Nebezpečný vir Trojan.Peacomm zvyšuje svou aktivitu

# Na poštovních serverech by mělo _bez výjimek_ docházet k blokaci příloh se spustitelnými soubory: .EXE, .VBS, .BAT, .PIF, .SCR, .COM.
Když vám někdo pošle selfextract archiv, tak jste v řiti.

Ehm, nikoliv, to prave resi ono blokovani .EXE priloh. -_-'

Selfextract archiv bych stejne neotviral. Takze ma odesilatel smulu tak jako tak. Minimalne protoze je to nevychovanec a mel by mu kazdy radikalni muslim vypit krev.

Proč? Protože posílá soubor?

protoze posila spustitelny soubor

Co je na tom špatného?

S vyjimkou toho, ze ten soubor muze provest cokoli muze provest uzivatel, ktery ho spusti, a nebo k cemu ziska prava pomoci nejake diry v systemu, nejspis nic.

(promin mi, neni to snaha urazit te: ta otazka byla myslena vazne?)

Když vám pošlu poštou balíček, tak v něm může být výbušnina a může vás zabít. Je to důvod, aby pošta přepravovala jenom tenké dopisy, do kterých se výbušnina nevejde? Nebo je to důvod, abyste neotevřel ani balíček od své matky, která vám telefonem potvrdila, že jsou tam buchty?
Existuje spousta dobrých důvodů, proč si posílat exe soubor.

To srovnani je zavadejici. Zatimco poslat buchty mi mama jinak nez postou poslat nemuze, exe soubor je mozne zabalit do archivu.
A pokud by 95 procent vsech zasilek posilal UnaBomber a existoval spolehlivy zpusob jak posilat buchty jinak nez postou (a drtiva vetsina exe je mallware a rozhodne jsou lepsi zpusoby jak exe predat nez prilozit jak lezi a bezi k poste) tak byste asi mluvil jinak.

Exe soubor je možno zabalit do archivu a co dál? Bězný mailserver dokáže obvyklé typy archivů otevřít a archivy obsahující exe stopnout.
Drtivá většina mailů je spam, ale přesto maily je čtu (ty které vyhodnotím jako nonspam) a nenapadlo by kvůli tomu blokovat všechny maily a koukat se na krásně prázdný inbox. Jistě existují i jiné cesty jak poslat exe soubor, ale žádný není tak snadný jako přílohou mailu. Na komunikaci totiž musí být dva a pokud ten druhý není zdatný počítačový uživatel, tak vám jich moc nezbývá.
A mezi námi - jakmile se nějaká webová úschovna, nebo něco stane dostatečně rozšířené a snadné k použití pro běžné uživatele, tak jaký je rozdíl, když exe pošlu přes ni a když tam exe uloží virus a maile rozesílá jenom ten odkaz. Identická situace - uživatel stojí před identickým rozhodnutím, jestli je exe z důvěryhodného zdroje nebo ne.

Pokud ten druhý neni zdatný uživatel tim spíše mu exe blokovat. Pokud nepodepíše revers ;)

To je otázka. Vysvětlit někomu, že exe a další typy souborů, která má vytištěny vedle počítače má spouštět pouze ve vyžádaných případech je snazší, než toho uživatele učit pokročilé užívání počítače. Připouštím, že vzhledem k prasárně MS se standardním skrýváním přípon souborů je to volba mezi obrovským zlem a ještě větším zlem, ale nemyslím si, že plošné blokování exe souborů je správná cesta.

Tak já své partnery (a to i zahraniční zákazníky, kteří jsou pro mě životně důležití) slušně žádám, aby mi žádné soubory s exe koncovkou neposílali a dosud jsem to neměl ani zapotřebí je používat. Ostatně otevírání takových souborů v Linuxu nebývá vždy bezproblémové. Dnes již používají hodně soubory .odt, .pdf, .png, .html apod.

Posílnání exe souborů je vždy otázka předchozí dohody. Fakt si myslíte, že je váš příspěvek nějak přínosný, když jste ho poslal?

Já si myslím, že přínosný je. Tak asi jako váš.
Chtěl jsem říci, že subjekty, kteří si píšou častěji, se mají dohodnout na formátu příspěvků.
U těch ostatních se problematické přílohy otevírat nemají.

Subjekty, které si píší často se mají dohodnout a jistě se dohodnou. Tahle diskuze je o tom, jestli by se mělo apriori zakázat exe, aby se na tom nemohli dohodnout i když by chtěli.

Jj, omlouvám se. Můj názor je, že by ve firmě mělo být dohodnuto, zda exe zakázat či nikoliv.
Pokud se nezakáže, předpokládá se inteligentní chování uživatelů. Není-li to zaručeno, raději zakázat. Jinak proč nezabalit soubory třeba do taru nebo zipu.

Reakce pod tímto příspěvkem se již nevětví

Co na to říct?
Už jsem viděl i upozornění na vzorek viru, který vyráběl přílohu se zaheslovaným RARem a v těle obsahoval heslo a link na stažení aktuální verze RARu. Divili byste se, kolik blbců si i ten WinRAR dobrovolně stáhlo a přestože nikdy neuměli anglicky, tak tam to heslo zvládli naentrovat a rozbalený "seriózní" exák s mallwarem spustit...

Tupé blokování příloh podle typu přípony je prostě chujovina - už proto že Vámi prosazovaný zip je standardní součástí WindowsXP a pro BFU tedy znamená jenom jedno (dobrý pocit vzbuzující) kliknutí navíc.

PS: Zaměstnavatel "nemilosrdného administrátora" který by o tom chtěl uvažovat by si navíc měl uvědomit, že v případě příjemcem nevyžádaného filtrování příloh (název přílohy je součástí těla zprávy) porušuje listovní tajemství. Ale to už je na jinou diskusi

První dva odstavce vystihují situaci.

Zaměstnavatel "nemilosrdného administrátora" který by o tom chtěl uvažovat by si navíc měl uvědomit, že v případě příjemcem nevyžádaného filtrování příloh (název přílohy je součástí těla zprávy) porušuje listovní tajemství.>
Tak to je pravda. Ale v každém případě by měl dobrý zaměstnavatel v téhle věci s administrátorem úzce spolupracovat - například by mohla být možnost požádat o umožnění otevření konkrétní zprávy - riziko by pak přecházelo (v určité míře) na příslušného
uživatele, který implicitně zprávu vyžadoval - tedy jde o systém povolování výjimek.
Tohle jsem už u jedné firmy viděl.

Jiste, striktne vzato asi jo. Stejne jako jakakoliv antivirova/antispamova kontrola. Je uplne nepodstatne, zda doslo ke zmene zpravy ci nikoliv, podstatne je, ze doslo k jejimu precteni.
Neni nahodou poruseni listovniho tajmenstvi i proste doruceni (bez explicitniho predchoziho souhlasu)? Postovni server taky musi zpravu nacist.

No a ted vazne. Opravdu si myslite, ze jasna pravidla na firemnim mailu (trebas i diskutabilni mazani exe priloh) je poruseni listovniho tajemstvi? A pokud si to myslite, muzete naznacit, jak se predstavujete nevyzadane doruceni emailu bez jeho poruseni?
Postacka vam jiste muze hodit obalku do schranky aniz by zpravu cetla, postovni server ovsem nikoliv...

Ostatne netreba mluvit o tom, ze email opravdu nebyl a neni medium na prenos vetsich souboru...

To máte pravdu, že SMTP protokol je doslova zoufale nevhodný pro přenos větších souborů. Ale co existuje jiného? Pochopitelně se ptám co existuje jiného, co má stejně snadnou obsluhu a funguje to (i v korporátních sítích) - a do fungování patří i to, že uživatelé mají k dispozici klienta. HTTP upload na některých serverch splňuje požadavek na snadnou obsluhu, ale žádná výhra to není. Naprostá většina ostatních variant nesplňuje podmínku "funguje to".

mno, u nas je toto reseno tak, ze na lokalni siti je sdilena slozka s nazvem PUB na firemnim serveru a tato je pristupna zvenku pres HTTP. je tam zakazano prochazeni slozek, takze musim zakaznikovi/partnerovi napsat presny odkaz ve formatu http://www.firma.cz/pub/presny_nazev_souboru.zip a ten si tento soubor stahne. Po nejakem case, napr. kdyz uz od zakaznika vim, ze si data stahnul, jednoduse soubor ze slozky PUB smazu. Nebo lze mazat automaticky data starsi nez napr. 2 mesice. Co?

To řešení není špatné, ale z principu je pouze jednosměrné.
Jak máte řešen generátor url? Těžko můžete nechat na uživateli, aby sám dokázal složit odkaz http://www.firma.cz/pub/presny_nazev_souboru.zip, žejo.
Potřebujete nějakou zpětnou vazbu, abyste se dozvěděl, že už to uživatel stáhl a i v případě několikaměsíční automatické mazací lhůty se vystavujete riziku, že to druhá strana nechala na jindy a rozhodne se to stáhnout až po smazání. Nebo, že soubor při práci "ztratí" a bude si ho chtít za 3 měsíce stáhnout znova.
A co z domova - jak máte doma vyřešen přístup na firemní sdílecí server? Máte svůj soukromý počítač ve firemní VPNce?

Suma sumárum - poslat soubor mailem je pro běžného uživatele mnohem jednodušší.

A co ICQ a spol, ftp?

A at tu nemlatime prazdnou slamu: zkuste vyjmenovat alespon par z te spousty dobrych duvodu.

No bohatě stačí ten samorozbalovací archiv pro lidi, kteří používají win2000 a nemají povoleno si na počítač doinstalovat cokoliv na rozbalování archivů.

V takovem pripade bude jiste admin vsemi deseti pro nejake posilani exe souboru...

V některých případech jsem to zažil - exe povoleno, jakýkoliv program (včetně dekomprimačních) - i zdarma - zakázán.

Kdyz nema pracovnik co docineni se zabalenymi soubory tak na co by mel na pracovnim PC komprimacni program?
Pokud pracuje s archivy tak je prinosem pro firmy aby mel archivacni program... .

Děkuji pěkný příklad běžné idiocie. Bohužel je časté, že někdo rozhodne, že někdo nemá co do činění se zabalenými soubory a takový člověk má potom problém, když mu občas nějaký přijde.
A jestli takovému člověku chcete poslat něco zabaleného (třeba proto aby to prošlo přes limit na SMTP), tak často nezbývá, než použít samorozbalovací archiv.

Ano, otázka byla myšlena vážně. Nejdřív totiž ten soubor musí spustit uživatel (nebo uložit a pak spustit. záleží jen na něm, co chce se souborem udělat.)
Jsem radši, když si můžu sám rozhodnout co se souborem v příloze udělám, nechci to nechávat na systému.

Vy se mozna rozhodnete spravne. Ale 500 dalsich spatne, z jejich pocitacu se stanou zombie a zacnou rozesilat vsude kolem dalsi exe, sirit ledacos po lokalnich sitich a delat podobne vylomeniny.

1/ - je to jejich problém, čím si zaserou počítač
2/ - když budou šířit ledacos po lokálních sítích, je to věc správce sítě.

Proč já bych měl mít nastaveny stejné blokace, jako kdejaký pablb, který si s pustí vira?

Ale v 1/ to stejne schytate, protoze ty pocitace budou posilat sve soubory vam, svuj spam vam a sve explity zkouset na vas.

A pro 2/ samozrejme prvni vec, co admin udela bude prenasteveni mailserveru, aby mu tam nepoustel exe.

(Mimochodem, proc se nemohu zbavit dojmu, ze je to ciste windowsi problem? Vsechny ostatni OS nemaji tak rozostrenou hranici mezi daty a spustitelnym kodem - alespon pro bezne uzivatele. A ten zvyk posilat exe pochazi z toho, ze windows nemely predinstalovane zadne komprimacni programy neb je to jeste nejaky sobecky mem z casu DOSu?)

Ad 1/ No ja je otvirat nebudu :)
Ad 2/ nebo to necha tak jak to je a ponecha nastaveni klientu (kde je by default otevirani exe blokovano, ale nastesti to jde odblokovat)

Posilam exe stejne jako pdf, odt, doc a jine formaty souboru.
btw: v DOSu se zase tak moc mailem veci neposilaly, pokud beru termin masivniho rozsireni internetu v ceskych zemich v roce 1996 a pozdeji. To uz existovaly Win95, NN.

Total Commander -> Ctrl+Page Down

???Total Commander nemám zakoupen.

Neuraz se, ale jakto ze nemas, dyt to stoji cca petistovku? Snad nejsou windowsari stejne nebo jeste vetsi socky nez linuxari, jak to tady vysvetloval Petan s Maskotem .

V prepoctu z EUR 770.
TC je skvela utilitka, ale nemam pocit, ze by to neco menilo na tom, ze je opravdu spatny napad posilat jakekoli spustitelne soubory.

V tom případě máme odlišné pocity

To je vyhozená pětistovka, to raději kliknu vždycky po spuštění na to číslo, to mě fakt nemrzí.

Tak to si proboha stáhněte crack, ne? Když už jste se rozhodl používát TC nelegálně, tak si to zase nekomplikujte.

Klikat si muzes (legalne) mesic, po mesici mas PLATIT, wole!

Wokenáři, to jste opravdu takové socky ze musite krast soft za petistovku?? Ghisler si ty prachy zaslouzi.

A musím jej mít? Dámské vložky jsou nesrovnatelně levnější a také je nemusím mít. A už vůbec to nemá co dělat s tím jestli na něco mám nebo nemám. Je to moje volba.

"Společnost Symantec, poskytovatel bezpečnostních řešení pro podnikové informační systémy i domácí uživatele..."

Tohle zavani... :) (doplnte si co chcete)!

Všechny větší poštovní servery dnes provádějí antivirovou kontrolu. Od těch veřejných jako seznam.cz po firemní s alespoň trochu soudným adminem. Aktualizace antivirů bývá k dispozici během pár hodin od objevení nového viru.
Mě mailem nepřišel virus ani nepamatuji. Tak mi nějak uniká, jak to, že se ty viry pomocí mailů pořád tak šíří. Má pro to někdo rozumné vysvětlení?

ze muj macik to vubec nebere vazne ..... nejaky wincom32.sys se u me doma nechyta

Výborně! Čekal jsem, kdy se ozve někdo, že na Linuxu ho to netrápí, a vida, on se ozval mackař