Vlákno názorů k článku W32/SirCam@mm - digitální epidemie od Geby - Presne tak... Dava to ranu zazitemu dojmu, ze...

Presne tak... Dava to ranu zazitemu dojmu, ze virus musi byt maly a nenapadny. tak se doposud pachtil v ASM (coz malo lidi umi), nebo posledni dobou ve VBS, coz se ale velmi dobre prokoukavalo a navic ne na vsech pocitacich VBS vubec existuje.

Takova cistokrevna binarka, tu pustte temer vsude.. a v Delphi (potazmo v pascapu) se to pise velmi snadno.

Rikam si, ze nas ceka jeste neco mnohem lepsiho, protoze pouzita knihovna Synapse umoznuje mnohem rafinovanejsi rozesilani viru, umoznuje vyrabet linuxove mutace, atd...

Ad velikost .. pamatuju pár let staré sci-fi, kde sítí putovaly gigabytové viry s implementací jednoduché umělé inteligence apod. Sice jsme ještě stále o pár řádů níž, ale v porovnání s prvními pure-assembler viry už to není představa tak nereálná.

no samo. Na to abych poslal majla musi stacit vedet jeho adresu. Kdyz vim jak na to, tak zadny SMTP server nepotrebuju. A kdyz mam strach ze jsem za firewalem, tak proste najdu SMTP server - staci oscanovat IP adresy na subnetu a na sitich ke kterym ma moje masina pristup a hledam port 25. A z 99% mam vystarano, kdyz jsem za firewalem.

Tak to bylo asi tady:

http://www.symantec.com/avcenter/venc/data/w32.sircam.worm@mm.html

No, to je ponekud zkreslena infrmace. Zadnmy SMTP server tam pochopitelne neni.

Je tam kod, ktery slouzi jako SMTP klient a tim prave odesila na postovni server nakazene e-maily. Pohledem do hlavicek je videt (alespon u toho co prislo sem k nam), ze pouziva SMTP server u ODESILATELE, tedy nedorucuje primo na cilovy server.

Nezapomente, ze vetsina lidi sedi za firewally, ktere casto ani neumoznuji SMTp spojeni nekam ven, pouze na domovsky server.

kazdopadne pouzita TCP/IP knihovna Synapse OBSAHUJE i DNS resolver, takze zjisteni cilovych postovnich serveru je ciste jen zavolani jedne funkce a nemohu vyloucit, ze tuto funkci virus ve specifickych situacich take vyuziva. na to by odpovedel asi nekdo, kdo ten virus analyzoval. Toto je jen vyjadreni autora pouzite knihovny. ;-)))

OK.. kdyz jsem rikal ze nevim kde to bere, myslel jsem tim prave tohle. Nevedel jsem, jestli ji taha z outlooku ci jestli se ji snazi zjistit i nekde jine.

Tenhle virus vsem antivirovym analytykum asi pekne zamotal hlavu, protoze je psan v delphi, je velky... a tak tezko analyzovatelny.

Někde jsem četl, že SirCamm obsahuje vlastní SMTP server, tj. doručuje přímo na koncové MX. Hlavičky přijatých mailů by tomu odpovídaly.

Špatně jsem se vyjádřil. Smtp server je v případě MS Outlook Express v registrech Windows. Kde máš SMTP ty to teda nevim. Jinak toho to nemám ze svojí hlavy, ale stačí si přečíst popis viru od symantecu. Podle něj jsem to našel.

No dobra, ja to zkusil a nic tam neni. ;-) To tam totiz je prave u toho 'konkretniho monokulturniho postovniho programu' ;-) jinak kazdy jiny postovni program si to uklada nejak jinak a nekam jinam.

Z technickeho hlediska neexistuje univerzalni postup, jak zjistit SMTp server pro dany pocitac, pokud neznas jaky je tam postovni program a kam si to poznamenava.

Zadny univerzalni chlivek v registrech neni! Stejne tak jako Outlook neni zdaleka jediny postovni klient, windows nejsou jediny operacni system a tak...

A prave u Sircamu nevim, jestli hleda pouze v konfiguraci outlooku, ci zda se pokousi detekovat SMTp server i z konfiguraci jinych programu, trebas netscape messenger a tak.

Smtp server si zjistí z registrů Windows je tam na to chlívek. Stačí pustit Regedit a hledat řetězec "SMTP" popřípadě mail.Podle mě uspěšnost toho viru tkví v nenápadnosti. Popíšu svůj případ: Přišel soubor ze známé firmy, u toho byl nalepenej file. Kouknu na file vidim:
Nabidka.doc.doc. Řeknu si zas jeden uživatel kterej neumí ukládat soubory. No závěrem chci říct, že ty tabulky co tam byly mi nic neříkají šéf do jedný taky na svym počitači koukal a mlčel. Dneska ráno jsme mlčeli oba, protože nám nějak ztuhly kompy. A tak chci alespoň touto cestou pozdravit Alexu od které jsem to chytil. Šéf si vzal dovolenou.

tak zde se pletete. tato breberka je totiz nova v tom, ze prave NEMUSITE mit 'ten spravny postovni klient'. Virus se odesila primo pres SMTP protokol. (otazka je jak zjisti SMTP server.. to nevim) tedy alespon principielne neni vazan na zadneho postovniho klienta.. staci aby uzivatel byl blbej a pustil ho.

To, ze je v e-mailu napsano, ze je odeslan z outlook-express, to je jen falesna hlavicka. ;-)

Virus pouziva na odesilani i na vytvoreni e-mailu moje knihovny pro delphi, a tak jaksi vim, jak funguje. ;) A co vic, tato moje knihovna je na urovni zdrojovych texty plne kompaibilni s linuxem! Tedy s malym usilim by se dala vytvorit linuxova varianta.. a pokud by se nasel nedobre zabezpeceny linux s dostatecne blbym uzivatelem, mel by takovyto virus sanci!

Jiste si rikate,z e dneska linux pouzivaji takovi lide, kteri blbi nejsu. jenze cim vic se snazi linux prosadit do desktopove sfery, tim vic bude blbych uzivatelu a tim vic bude nedobrych instalaci.

Copak se lidi nikdy nepouci. Jestlize vetsina pouziva ten jediny spravny OS a toho jedineho spravneho e-mail klienta. Je to jako pestovat monokulturu. Prijde epidemie a vsechno znici. V ruznorodosti je budoucnost. A to se tyka nejen SW (OS) ale vseho.