Arvutikaitse

Petis-, kelm-  või võlts-tõrjeprogrammid ehk Rogue Security Software on tarkvaralised rakendused, mis turvalisuse seisukohast näivad olevat kasulikud, kuid tegelikult vaid simuleerivad pahavara eemaldamist ning ei paku üldse kaitset. Need kuvavad ekslikke hoiatusi ja teateid, millega hirmutatakse kasutajaid, et nende arvuti on nakatunud ohtlikusse pahavarasse ning sellega püütakse meelitada antud programmi ostma. Vahetevahel nimetatakse taolisi võlts-tõrjeprogramme ka paanikatarkvarakas ehk scareware´ks.

Võlts-turvaprogrammide nimed sarnanevad sageli tuntud tõrjeprogrammide nimedega, püüdes sellega eksitada kasutajaid programmi arvutisse paigaldama. Sisusuliselt on nende puhul siiski tegu pahavaraga, mille eesmärgiks on varastada kasutajate raha ja privaatset infot või paigaldada selle abil süsteemi teisi kuritahtlikke rakendusi, mis kahjustavad ja aeglustavad arvutitööd või avavad isegi varjatud tagauksi (backdoor) uuteks kuritahtlikeks tegevusteks.  Samuti võivad nad keelata Windows Update värskenduste saamise, rikkuda Windows rakendusi, sulgeda ehtsate tõrjeprogrammide töö või takistada ligipääsu mõnele aktuaalsele veebisaidile nagu näiteks tõrjeprogrammide kodulehtedele.

Kui veebibrauserid on turvaliseks seadmata ja ei kasutata turvapluginaid nagu WOT – Your Safer Web, McAfee SiteAdvisor,  Finjan SecureBrowsing, Prevx SafeOnline, Netcraft Anti Phishing Toolbar jne, võidakse pahatahtlikel veebiehtedel sageli kuvada hoiatavaid hüpikaknaid, mis teatavad, et arvutisüsteem on ohustatud ja vajab kiiret puhastamist. Tavaliselt on nii, et kui sellisel hüpikakna reklaamil klikata ükskõik millisele nupule, näiteks soovitakse seda ristist kinni panna, alustab see siiski koheselt pahalaste arvutisse allalaadimist.

Samuti võidakse e-kirjades pakkuda linke „suurepärase“ tõrjeprogrammi tirimiseks või pakutakse neid kirjamanustena avamiseks. Võlts-programmid võivad arvuti nakatada troojate või nuhkvaraga pahatahtlikelt saitidelt justkui süütut multimeedia koodekit-, ekraanisäästjat-(screensaver) või isegi tavalist pilti alla laadides, tihti võib neid saada ka peer-to-peer (P2P) failijagamisprogrammide vahendusel.

Väga tihti satub pahavaraline võlts-turvaprogramm kasutaja arvutisse kasutaja enda teadmatusest, kui ta tuttavatelt ja sõpradelt nõu küsimata otsib internetiotsingute kaudu omale väärt tõrjeprogramme ja laadib need pahaaimamatult arvutisse täiesti suvaliselt lehelt, kontrollimata nii lehte ennast kui ka programmi. Kuna ka programmil on kõlavalt ilus nimi ja selle reklaamtekst lubab arvutis lausa imesid korda saata, või sarnaneb see programmi nimi juba teada/tuntud tõrjeprogrammi nimega, nakatabki nii kogenematu kasutaja oma arvuti teadmatult.

Enne kui laaditakse kasutajale veel tundmatu, ent meelitavalt hea nimega turvaprogramm arvutisse, tasub otsida selle programmi kohta infot netist ja kindlasti kontrollida alljärgnevatelt lehtedelt, kas seda pole seal pahatahtlikena juba nimetatud:

http://www.lavasoft.com/mylavasoft/rogues/latest – üks paremaid ja informatiivsemaid lehti petturprogrammide tuvastamiseks.

http://en.wikipedia.org/wiki/Rogue_security_software – kerides veidi allapoole leiab nimekirja võltsprogrammidest (Partial list of rogue security software)

http://roguedatabase.net/RogueDL.php# – võltsprogrammide nimekiri, mida pidevalt uuendatakse

http://www.freepcsecurity.co.uk/2009/01/16/list-of-known-malicious-sites-rogue-software/ – lisaks pahatahtlike programmide nimekirjale leiab siit ka veebilehtede nimed, mida tuleks vältida.

http://rogueantispyware.blogspot.com/ – Sunbelt Rogue  Antispyware blog – kõige parem on otsida võimalikke võlts- tõrjeprogramme, kui leida blogi paremast reast Archive ja vajutada vastavatele kuupäevadele.

PS. Paljud välismaised saidid soovitavad järjekindlalt siiamaani otsida pahavaraprogramme saidilt nimega Spywarewarrior.com. Mina seda ei soovita või vähemalt ei soovita uskuda kõike seda, mis seal kirjas on. Spywarewarrior lehte on viimati uuendatud 4.mail 2007, seega pole seal kõik enam kuld, mis hiilgab.

Kui Conflicker välja arvata, siis viimasel paaril aastal on enim kõneainet pakkunud kurivara, mida kutsutakse botnettide kuningaks – Zeus. Hetkel peetakse selle tekitajat maailma ohtlikumaks troojalaseks, mille uute variantide vastu on võimetud paljud viirusetõrjevahendid. Kaks aastat järjest on see kohutanud finantsmaailma ja pangandust, varastades kümneid miljoneid dollareid arvutikasutajate raha.

Trusteer.com turvaspetsialist Amit Klein on teatanud, et Zeus viimane täiustatud variant kasutab iseenda peitmis- ja teisendamistüüpe, samuti kernel tasandi rootkit-tehnoloogiat, mis teeb ta veelgi raskemini avastatavaks misiganes tõrjevahenditele. Tema sõnul on ohustatud kõik Windowsipõhised opisüsteemid ja peamiselt just need arvutikasutajad, kes teevad oma online rahaülekandeid veebilehitsejate Mozilla Firefox ja Internet Explorer vahendusel. Turvafirma spetsialistid on tähenldanud, et hetkel kasvab arvutite pahavarasse nakatumine kiiremini kui kunagi varem.

Ajalugu

Troojalane Zeus, mida tuntakse ka paljude teiste erinevate nimede all – Zbot, PRG, NTOS, Wsnpoem, Gorhax – on olnud aktiivne juba aastast 2007, kui esimestest avastatud rünnakutest teatasid  Reuters ja SecureWorks. Esimene tõrjespetsialistide poolt tuvastatud rünnak toimus juulis 2007, mil püüti varastada andmeid mitmetest tuntud Ameerika Ühendriikide suurfirmadest (näiteks Hewlett-Packard Co), kusjuures ohvriks langes isegi USA Transpordiministeerium. Juba septembris –detsembris 2007 avastati uus tõrjevahendite eest peitu jäänud pangandustroojal Zeus põhinev botnet-võrgustik, mis ohustas paljusid juhtivaid suurpanku USA-s, Suurbritannias, Hispaanias ja Itaalias.

Aastal 2008 pakuti paketti juba müügiks või rentimiseks nn kõik-ühes-serveriteenusega koos sisseehitatud administraatori paneeliga ja ründetööriistadega, mis võimaldas rentijal luua iseenda isiklik botnetvõrgustik kuridegude kordasaatmiseks.

Juunis 2009 näitasid kräkkerid üles erilist jultumust, kui turvafirma Prevx  andmetel ohustas Zeus 74 000 FTP kontodele sisselogimisandmeid, näiteks Disney.com, Bloomberg.com, BusinessWeek.com, Discovery.com, Amazon.com kontosid  ja suhteliselt traagilises mõttes ka selliseid kontoomanikke, mis  ei tohiks sellesse nimekirja  iialgi sattuda  - NASA.com, BankofAmerica.com, Oracle.com, Symantec.com, McAfee.com, Cisco.com ja  Kaspersky.com.

2009 aasta oktoobris-novembris toimusid rünnakud sotsiaalvõrgustike Facebook ja MySpace kasutajate vastu, kutsudes neid klikkima linkidel, mille läbi tõmmati arvuti botnetti.

Aruanded

Trusteer 2009 septembri aruande järgi oli ainuüksi USA-s nakatanud 3,6 miljonit arvutit, kuid uurimustöö põhjal arvatakse, et tegelikku nakatumiste arvu võib pidada paljudes kordades suuremaks. Irooniline on veel see, et analüüsi järgi olid tervelt 55% protsenti botnetti kuuluvatest arvutitest viirusetõrjetega kaitstud, kusjuures need olid uuendatud ka viimaste tõrjesignatuuridega.

Ka turvafirma Prevx möönab, et botnetti nakatunud arvutite hulka ei oska keegi  täpselt prognoosida, võidakse ainult tõdeda, et see ulatub miljonitesse arvutitesse üle maailma.  Kui firma jälgis kuue nädala jooksul infektsioonide levikut, siis jõudis see nakatada 20 000 uut arvutit päevas. Tõrjespetsialistidele on selgeks saanud ka  Zeus trooja looja(te) kavalus – selleks ajaks, kui turvaanalüütikud jõuavad selle identifitseerida ja luua vastumeetmeid kurivara kahjustamiseks, on kräkkeri(te) poolt valmistatud juba uusim versioon pahavarast, mis jätkab edasist takistamatut tegevust.

Zeus on pangandus-trooja, mis eeldatavasti pärineb Venemaalt või vähemalt vene keelt kõnelevatest Ida-Euroopa riikidest.  Symantec.com andmetel on paketis mitmed failid, kaasaarvatud Help-abifailid, kirjutatud just vene keeles. Viimase aasta jooksul on paketti pidevalt uuendatud ja täiustatud selle looja või loojate poolt. Siiamaani ei teata kindlalt, kas selle ohtliku, samuti ülimalt professionaalse ja unikaalse tööriisakomplekti loojaks on üksikisik või kuritegelik rühmitus, kuigi viimaste andmete põhjal arvatakse selleks siiski olevat üksikisik. Zeus pahavarapakett on tänaseks saanud küberkurjategijate seas ülimalt populaarseks ning seda kasutatakse enim finantskuritegude kordasaatmisel.

Zeus paketti, mis kannab nime Zeus Builder (ehitaja -konstruktor), müüakse erinevates häkkerite kogunemislehtedel, -foorumites- ja jututubades olenevalt versioonist hinnaga 700 – 4000 dollarit tükk. Zeus Builder on lihtsalt üks väikesemahuline tööriistakomplekt, mille abil on erinevad küberkurjategijad loonud erinevaid botnette, nii väiksemaid kui suuremaid. Näiteks ka Kneber botnet, millest olen  kirjutanud artiklis Kneber – kuritegelik botnet-võrgustik, on loodud tegelikult  troojalase Zeus baasil.

Zeus viimaseid versioone ei pakuta ainult ühese paketina, vaid juurde on võimalik osta ka lisamooduleid. Näiteks Windows 7/Vista toe eest tuleb küberkurjategijatel lisaks letile laduda 2000 dollarit, aga kui nad aga soovivad osta lisamoodulina ka täielikult toimiva virtuaalühenduse (VNC-  Virtual Network Computing moodul), mille abil saavad nad võtta kogu kontrolli nakatunud arvuti üle, maksab see lisatasuna “kõigest” 10 000 dollarit veel.

Muuseas, viimase versiooni puhul on turvaspetsialistid täheldanud esmakordselt maailmas ainulaadset kuritegeliku tööriista  kaitsmise meetodit – autor kaitseb oma “suurteost” Zeus Builder´it riistvaralise litsenseerimise süsteemiga, mis tähendab, et paketti saab jooksutada vaid ainult ühes süsteemis kindla võtme olemasolul. See näitab väga selgelt, kui kõrgelt hindab pahavara looja oma tööd. Selle tööriista järjepidev täiustamine aga annab aimu, et nõudlus selle järele kurjategijate seas on suur ja oht Zeusi nakatuda tulevikus võib muutuda veelgi aktuaalsemaks kui praegu. Täpsemalt kõigest sellest kui ka Zeus Builder uusimast versioonist, millesse on lisatud veelgi surmavamaid funktsioone, saab lugeda Secureworks artiklist või Networkworld loost.

Nakatumise põhimõtted

Zeus on loodud varastama kasutajate kõikvõimalikke privaatseid andmeid finantspettuste kordasaatmiseks. Sellisteks andmeteks ei pruugi alati esmajärjekorras olla ainult pankade ja e-poodide kasutajatunnused ja paroolid, vaid ka kõikvõimalike sotsiaalsete võrgustike (Facebook, MySpace jne) kontoandmed ja FTP ning e-mailide logimisandmed, mille abil saadakse hiljem, kui kasutaja arvuti on liidetud botnet-võrku, niikuinii ligipääs pangakontodele. Loomulikult võimaldab see ka saadud kontode abil nakatada uusi kasutajaid botnet võrgustikku, saates kontoomaniku nimel tema nimekirjas olevatele tuttavatele ja sõpradele justkui süütuid linke neile klikkimiseks.

Peamiselt levitataksegi troojat e-mailidega, millesse on manustatud fail avamiseks või lisatud link sellele klikkimiseks. Näiteks teatakse, et keegi hea inimene on saatnud imeilusailusa tervituskaardi, mida saab imetleda lingile klikates. Või teatatakse justkui mõne sotsiaalse võrgustiku poolt või isegi Microsofti poolt, et näiteks Facebook kasutajaandmeid tuleb kirja manustatud ankeedil uuendada või on Microsoftil pakkuda mõni kriitiline turvavärskendus, mis tuleb lingi abil kohe arvutisse installeerida. Lingile klikates aga suunatakse õgnitsemissaidile, mis nakatab märkamatult arvuti. Paraku ka hiljem ei suuda kasutaja aru saada, et arvuti on juba botneti liikmeks määratud.

Samamoodi võib seda arvutisse laadida drive-by allaladimiste teel veebilehtedel, mis tähendab , et kasutaja kaudselt justkui kinnitab oma nõusolekut millegi allalaadimiseks, kuid ei saa aru tagajärgedest ja allalaadimine toimub tema teadmata. Näiteks kasutaja püüab veebilehel sulgeda häirivat hüpikakent, aga seoses sellega paigaldatakse kasutaja teadmata arvutisse pahavara. Sageli on see seotud võlts-programmide pakkumistega veebilehtedel  või mõne põneva reklaamkirjaga, mis viitab sellele klikkama.

Trooja suudab kräkkeri kaasabil süstida veebilehtedele ka uusi väljasid ja lahtreid, mis nõuavad kasutajatelt rohkemate privaatsete andmete sisestamist kui tavaliselt ja mis loomulikult saadetakse reaalajas just kurjategijale.

Kui arvuti on saanud botneti kliikmeks, siis luuakse tagauks ehk backdoor, mille kaudu edastatakse häkkerile veebilehel tehtavaid toiminguid – klahvinuhi abil salvestatud kasutajanimed ja paroolid või ekraamipildid sisestatud koodidest. Zeus trooja nakatumise puhul ei ole oluline, kas kasutaja on arvutis administraatori õigustes või mitte.

Veel mõned huvitavad aspektid

Huvitavaks teeb Zeus paketi puhul asjaolu, et häkker, kes seda kasutab, saab vajadusel lisakäskude abil kas ühte botneti liiget või tervet botnetti juhtida kontrollserverist oma tahtmise järgi. Näiteks huvitavamateks käskudeks on arvuti sulgemine või taaskäivitusele saatmine, muuta veebilehitseja kodulehte, laadida arvutisse faile, kaustu ja pahavaralisi programme, varastada digisertifikaate, muuta ja modifitseerida  arvutis olevaid faile ja regirtivõtmeid (%systemroot%\system32\drivers\etc\hosts).

Aga veelgi põnevam käsk, mis on pahavara analüüsijad  sügavalt mõtlema pannud, et milleks seda vaja on– on enesehävitamise käsk KOS (kill operating system). See võimaldab kräkkeril kaugjuhtimise teel kustutada olulisi süsteemifaile, mille tulemusel ei laadi opisüsteem enam üles ja sageli peale seda tuleb kasutajal  uus süsteem asemele installeerida. Mõningad arvamused siiski on – võimaliku vahelejäämise kartuses püütakse peita kõik jäljed, et edasine analüüs muutuks raskemaks. Samuti võib tegu olla kavalusega – arvuti rikkumisega püüab kräkker aega võita, et teostada kuritegelikke rahaülekandeid, ilma et kasutajal oleks pääsu internetti, et kahtlaseid tehinguid juhuslikult märgata. Näiteks aprillis 2009 hakkas  abuse.ch analüütik Roman Hüssy jälgima ühte Zeus kontrollserverit, mille botnetvõrgustikku oli ühendatud 100 000 nakatunud süsteemi, kui ta üllatusega märkas, et kontrollserver andis käsu KOS – 100 000 arvutisüsteemi surmati peaaegu üheaegselt.

Kuidas arvutit kaitsata

Ehkki https://zeustracker.abuse.ch/ andmetel on viirusetõrjetel botnettide avastamise määr kõigest 47, 11% (1.mai 2010 andmetel ) ja uusima Zeus Builder tööriistad teevad avastamise veelgi raskemaks, siis ikkagi tuleb järjepidevalt värskendada viiruse-ja nuhkvaratõrjeid viimaste signatuuridega. Kindlasti tuleb uuendada ka operatsioonisüsteemi viimaste turvapaikadega ning ka arvutisolevat tarkvara tuleb uuendada viimaste versioonide vastu.

Kindlasti ei tohi avada kahtlaseid e-maili manuseid ega klikkida igal lingil, mis nendes pakutakse. Sotsiaalsetes suhtlusvõrgustikes nagu Facebookis jne ning veebilehtedel surfates ei ole vaja klikata igale reklaamaknakesele ega laadida arvutisse kahtlaseid faile.

Töökohtades online pangatehinguid sooritades püüa seda teha alati arvutis, mis ei ole üldkasutuses. Mõned pessimistlikumad turvaspetsialistid soovitavad firmadel kaaluda isegi alternatiivsete opisüsteemide kasutuselevõttu just nimelt ja ainult pangatehingute tegemiseks ning eriti tähtsa info hoidmiseks, ent minu arvates on see liiast, ehkki tuleb tunnistada, et nutikas pakkumine. Seda enam, et väidetavalt suudab Zeus troojalane vahetult enne krüpteerimist teha andmetest koopiad, kuni need saadetakse läbi turvalise SSL-ühenduse teele.

RIA hoiatab järjekordse Adobe Acrobat Readeri turvaaugu eest, mille kaudu küberkurjamid teie arvuti üle kontrolli võivad saada.

Enamik meist kasutab PDF-dokumentide lugemiseks Adobe Acrobat Reader’it. Äsja jõudis laiema ülduseni teave selle rakenduse järjekordsest veast, mida küberkurjategijad kasutavad oma botnet’idele uute liikemete „värbamisel“. Kuna see turva-auk on seotud JavaScripti toega PDF’des, on viiruste ennetamiseks tõhus meede JavaScript Adobe Readeris üldse välja lülitada. Selleks tuleb Acrobat Readeri seadistuste lehel eemaldada linnuke valiku „Enable Acrobat JavaScript“ eest (seadistuste lehele jõuab Edit -> Preferences -> JavaScript).

Vihje pahadokumendile võib anda see, et avatud dokument sisaldab täiesti suvalist teksti või puudub sisu sootuks. Kui juhtumisi sai siiski nakkust edasiandev PDF avatud, siis tasub järgida tavapärast tõrjerutiini: käia arvuti üle erinevate viirustõrjujatega, võimalusel kasutada IT-professionaalide abi.

Üks pahalane, kes turva-auku kasutades arvutisse ronida võib, on meie eelnevates teadetes peaesinejaks olnud Zeus – rahamaias pahavara(s). Viimasel ajal on seda botnet’i kasutatud krediitkaardi andmete väljapetmiseks. Selleks saadavad nakatunud arvutid välja massiliselt e-kirju, milles palutakse kliendil tühistada krediitkaarditehingud. Selleks on vaja kõigest klikkida linki kirjas, millelt avaneb – üllatus-üllatus – veebileht, kus palutakse sisestada enda krediitkaardi andmed. Ilmselgelt on peale liba-veebilehele andmete sisestamist vaja kaardiomanikul suhelda tõelise pangaga, tõeliste tehingute tühistamiseks.

Adobe ise on turvaaugust teadlik, kuid ilmselt selle aastanumbri sees paiku välja ei saada.Lisaks Javascripti väljalülitamisele võiks kaaluda ka alternatiivsete PDF-i lugejate kasutamist.

Microsoft on uurinud oma pahavaravastaste tööriistade logisid ning koostanud nende põhjal ülevaate 2009. aasta esimeses pooles kinnipüütud pahavarast.

Täiesti ootuspäraselt jõuavad uurijad järeldusele, et mida uuem ja lapitum tarkvara, seda väiksem on tõenäosus, et mõni pahalane end sellest läbi murrab.

Levinuim pahavaraliik on jätkuvalt troojalased, kuid võimsa tagasituleku teinud ussid on tõusnud auhinnalisele teisele kohale. Jätkuvalt tõusuteel on nuhkvara, eriti selline, mis varastab elektronpanganduse ja onlain-mängude ligipääsuandmeid.

Eesti kohta kirjutatakse, et võrreldes 2008. aastaga on nakatunud arvutite arv veidi vähenenud – kui 2008. aasta II poolaastal eemaldati pahavara 0,53%-st Eestis asunud arvutitest, siis 2009. aasta I poolel 0,43%-st (Soomes vastavalt 0,26% ja 0,19%, Lätis 0,62% ja 0,58%, Venemaal 2,11% ja 1,5%).

Pahavara või õngitsemisskeeme sisaldavaid veebilehekülgi leiti Eestis olevat 0,034 ühikut 1000 internetti ühendatud arvuti kohta (Soomes 0,007, Lätis 0,086, Venemaal 0,934, Bangladeshis 23,861).

Ülevaate koostamisel kasutati Microsofti viirus- ja spämmitõrjetööriistade, otsimootori Bing ja Exchange’i tõrjesüsteemide andmeid.

Trendmicro kirjutab oma blogis, kuidas Tai politsei ning muid kõrgeid veebilehti muudeti küberkurjamite poolt nii, et neid külastades viiakse külastaja hoopis teisele lehele. See teine leht sisaldab endas pahavara (põhiliselt libatõrjeid), mis asuvad vahvasti arvutikasutajat viiruste eest kaitsma. Nagu libatõrjete puhul tavaline, küsitakse selle eest  raha ning spämmitakse arvutikasutaja oimetuks teadetega “Virus found! Get full protection” ja muud seesugust.

Tüüpiline libatõrjuja

CERT.EE hoiatab viiruse eest, mis poeb arvutitesse tööd pakkuvate e-kirjade kattevarju all.

Eile hakkas levima e-kiri, mis näib paljude tuntud firmade nimel tööd pakkuvat. Kirjas palutakse inimestel lingile klikata, seda tehes saab inimese aga oma arvutisse viiruse. Selge on see, et ükski nendest firmadest sellisel kujul tööd ei paku, veel vähem saadavad nad viirusega nakatunud linke.

CERT Eesti infoturbe ekspert Tarmo Randel räägib: „Masu-aeg sunnib pahavara levitajaid kiirelt võõrkeeli omandama. Alates eilsest täheldati pangakoode ja muud isiklikku infot varastava troojalase Zeus rünnet Eesti elanikele. Nimelt saadeti e-postiaadressidele eestikeelne positiivses noodis kiri, milles pakuti töökoha kaotanutele tasuta võimalust leida töökoht või tõsta kvalifikatsiooni. Kirjas olev veebilink viib võimaliku ohvri spetsiaalselt ette valmistatud veebileheni, millelt kostitatakse külastaja brauserit nakatamise “kokteiliga””.

Randel lisab: „Üks võimalus nakkumist ära tunda on see, et arvuti taaskäivitab end paarikümne sekundi jooksul. Antiviirused pahalast arvutisse paigutavat koodi kahjuks kergesti ära ei tunne – kindlaim viis nakatumist vältida on mitte klikkida kahtlaste e-kirjadega kaasa tulnud linke“.

Kirja tekst ütleb: Ärge kaotage lootust. Tasuta aitame Teil uue tookoha leida. Samuti pakume kvalifikatsiooni tõstmise kursusi. Meie tööandjad: EMT, ELISA, TELE2, MICROSOFT, SYMANTEC ja palju… (järgneb link).

Arvutikaitse lisab, et ettevaatlikult tasub suhtuda kõigisse pakkumistesse, mis tunduvad liiga head, et olla tõsi – tavaliselt pole need ei see ega teine.

Tartus registreeritud Rove Digital OÜ loodi 2002. aastal, põhikapitaliks 10 000 000 EEK-i. Firma tegevusalaks on tarkvaraarendus, omanikuks  Vladimir Tšaštšin. Äripäev kuulutas Rove Digitali 2007. aastal Eesti edukaimaks IT-firmaks.

Kuid kahjuks on Rove Digitali sära aastate jooksul inetumaks muutunud, päevavalgele on hulpinud palju taunitavat ja hämarat. Vladimir Tšaštšin on Eestis süüdi mõistetud ebaseaduslikus äris, dokumentide võltsimistes, pangapettustes ja arvutikelmustes. (veel…)

Sain minust suhteliselt kaugel elavalt sõbralt abipalve: “Tee mu arvuti puhtaks!”. Tema arvuti operatsioonisüsteem ei tahtnud enam käivituda.

Telefoni teel juhendasin ta Safe Mode’i,  seepeale sai ta MSNi tulla. Kontakt olemas, otsustasin kasutada kaughaldustarkvara Teamviewerit, sest sellega on päris lihtne üle interneti teises arvutis kurjameid taga ajada. Mõeldud-tehtud. Tundsin end kergelt nagu botmaster, kes võõrast arvutit kontrollib

Esimese asjana panin MBAM‘i kähku arvutit kontrollima.

Mõne sekundi möödudes oli pilt selline

Edasi asusin uurima HiJackThis logi ning sealtkaudu sain ka päris suure hulga pahalaste jälile.

MBAM oli vahepeal leidnud juba üle tosina uue ohu:

Rohkem kui kuue minuti pärast küündis leitud pahalaste arv juba 130 ligi.

Veidral kombel ei teinud ükski pahalane süsteemile taaskäivitust, kui teda kontrolliti. Olen mitmeid selliseid masinaid näinud ning see on paras peavalu. Õnneks on mul sellisel puhul abiks Ultimate Boot CD for Windows päästeplaat.

Mida MBAM siis leidis?

Paar libatõrjet, mitmeid troojalasi ja ka ühe Confickeri “järeltulija”.

Kui MBAM küsis pärast pahavara eemaldamist süsteemile taaskäivitust, palusin seda ka teha. Peale seda läks arvuti ilusasti tööle ning ma ei uskunud, et see veel puhas võiks olla. Sellepärast vaatasin veel Combofixi logi:

Pildil on näha, et Combofix eemaldas veel mitmeid pahalasejäänukeid ning peatas mitmeid draivereid ja teenuseid. Pärast Combofixi logi ülevaatamist tegin veel ühe HJT logi koos Prevx logiga. Kumbki ei leidnud arvutist enam midagi.

Pärast puhastamist sai peale pandud Avira Antivir tasuta tõrje koos Spyware Terminatoriga.

Selline näeb välja ühe kergesti nakatunud arvuti puhastamine. Kui tegu on mõne rootkiti või muu väga raske nakkusega, võib vaja minna UBCD4WIN ning see teeb eemaldamisele kuluva aja päris pikaks.

Kergem on hoida oma arvuti puhas. See säästab nii närve kui ka raha Pealegi ei pea korraliku kaitse eest peaaegu et midagi maksma.

Viimasel ajal on paljudes  kodudes kui töökohtades arvuteid valvavad viirusetõrjed löönud häirekella. Loomulikult niisugused tõrjed, mis on sätitud automaatselt  uuendama pahavaravastaseid andmebaase või on neid värskendatud  käsitsi.  Kindlasti on paljud kasutajad üllatunud, kuna omateada pole otseselt põhjust antud, et arvuti võiks olla nakatunud – pole käidud pahelistel netilehtedel, pole midagi arvutisse tiritud, pole käivitatud kahtlasi faile.

Samasugune üllatus tabas ka mind. Tehes arvutis tavapäraseid toimetusi, viskas mu viirusetõrje ootamatult lahti hoiatusakna ja hakkas paaniliselt teatama viiruse leidmisest. Just nimelt paaniliselt, kuna kurjamit edukalt karantiini suunates leidis ta selle üha uuesti ja uuesti.  Loomulikult asusin kohe uurima, mis viirusega tegu.

Esmapilgul tundus tegemist olema anomaaliaga, võib ka öelda valehäirega, kuna viirusekandjaks nimetati programm, mida mu arvutis polnud olemaski. Kui siis ehk katsetasin seda programmi vast umbes kuu või paar tagasi, aga ebasobivusel kustutasin  koos registrivõtmete ja –väärtustega. Ent asja edasi uurides selgus, et selle viiruse puhul polnudki tegu valehäirega (false positive). Viirus oli suutnud  kohe peale programmi nakatamist teha sellest tagavarakoopia ja peita selle nutikalt ära.

Viirus avastati alles paar päeva tagasi Sophos Labs viirusteanalüütiku Richard Cohen poolt. Õelvara nakatab rakendusi, mis on kirjutatud programmeerimiskeeles Delphi (üks versioon programmeerimiskeele Pascal edasiarendusest).  Lihtsa ja mugava kirjutamiskeele tõttu kasutatakse seda  paljudes Windows keskkonna programmides, näiteks andmebaase abistavates rakendustes. Viirus otsib nakatunud arvutist  Delphit kasutavad programmid, sisestab neisse pahatahtlikku koodi ning seejärel koostab iseendale uue täitmiskoodi (.exe).

Väljavõtteid viiruse kohta erinevatelt tõrjelehtedelt:

• Arvatakse, et viirus on takistamatult tegutsenud juba pikemat aega, kuna tagasisidena on saadud väga suur hulk nakatunud faile. Kuid needki andmed on saadud kõigest esimese paari päeva kohta. Näiteks peale seda, kui viirusetõrje Avast! lisas signatuuri viirusevastasesse  andmebaasi, leiti esimese 12 tunniga umbes 200 000 nakatunut faili.

• Viirus levib väga kiiresti iseenda paljundamise teel ja seetõttu nimetavad mõned tõrjespetsialistid  seda ka epideemiaks. Spetsialistide sõnul  kasutatakse  paljunemiseks uuenduslikku ja haruldast tehnoloogiat.

• Kuigi viirust ei peeta hetkel eriti ohtlikuks, siis tegelikult veel ei teata, mis otstarbel see kirjutati ja mis on selle eesmärgid. Põhimõttelist kahju see otseselt ei tee, ent viiruse uurimine ja analüüsimine alles jätkub.  Igal juhul kinnitatakse, et veel pole maailmast avastatud sellist viirust, mis oleks kasutajatele täiesti ohutu.
• Nakatunud faile kustutades jääb siiski mõningane võimalus, et mõne programmi töö saab häiritud.  Nagu öeldud, viirus võib nakatada kõiki ehtsaid ja häid programme, mis kasutavad Delphit. Delphi programmeerimiskeelt kasutatakse palju ka näiteks pankade- ja teiste suurettevõtete andmebaaside rakendustes, mis nõuavad suurel hulgal andmete töötlemist.

• Arvatakse, et viirusetõrje tootjad saavad kasutajatelt lähiajal hulga teateid valepositiivsetest failidest, mida nende tõrjevahendid on avastanud. See tekitab paju nördimust ka originaal-tarkvara müüjates, kuna nende tooteid kompromiteeritakse,  justkui oleks need viirusekandjaid. Halvemaks aga tuleb pidada olukorda, mil ehtsast programmist viirust leides arvatakse kohe, et tegu on valehäirega  ning välistatakse see viirusetõrje edasisest kontrollist. Sellega antakse viirusele võimalus edasi paljuneda.

• Nakatumise sümptomid sõltuvad vastavalt nakatatava programmi ülesannetest. Eemaldamine võib olla suhteliselt kerge, ent kui viirus  töötab mäluprotsessides, siis tuleb rakendada täiendavaid abinõusid selle kustutamiseks.
• Iroonilisel kombel nakatab viirus ka teisi kuritahtlikke programmijuppe, näiteks pangandusliinis levivaid troojaid, mis on kirjutatud Delphit kasutades.

• Nakaunud võivad olla süsteemid , milles kasutatakse programme, mis on kirjutatud Delphi koostamisversioonides 4-7  (Delphi Compiler).

  Tulles tagasi minu arvutitest leitud viiruste juurde,  siis ühes neist töötas viirus mäluprotsessides, aktiveerudes kohe peale arvuti alglaadimist. Viirusetõrje küll avastas selle, kuid suutis kustutada vaid pärast arvuti taaskäivitamist. Teises arvutis oli aga viirus peitnud ennast ka süsteemidraivi kausta (System Volume Information), mida kasutatakse süsteemisätete taastamiseks varasemasse aega.  Mõlemal juhul pidin viiruse eemaldamiseks süsteemitaaste välja lülitama.

  Viiruse eemaldamine

  • Lülita välja  System Restore. Vali  Start – Settings – Control Panel – System – System restore , märgi linnukesega ruuduke Turn off System Restore on all drives, vajuta Apply ja OK.

  

  • Uuenda viirusetõrje või teiste tõrjeprogrammide andmebaase.
  • Otsi viirusetõrjega  läbi kogu arvuti kasutades käsitsi skänneerimisvõimalust.
  • Vajadusel, kui viirust ei suudeta eemaldada, sisene Safe Mode (õpetus  siin) ja korda eelnevat tegevust.
  • Kui kurivara on eemaldatud, taaskäivita arvuti ja kontrolli mõttes skänneeri arvuti teistkordselt üle.

  Täiendavat lugemist:

  http://www.sophos.com/blogs/gc/g/2009/08/19/w32induca-spread-delphi-software-houses/

  http://www.sophos.com/security/analyses/viruses-and-spyware/w32induca.html

  http://www.scmagazineuk.com/Anti-virus-vendors-warn-over-Win32Induc-virus-that-attacks-the-Windows-based-development-environment-Delphi/article/146957/

  http://news.bitdefender.com/NW1116-en–BitDefender-Finds-Win32.Induc.A-Puts-Delphi-Compilers-at-Risk-and-Compromises-Legitimate-Applications.html

Trendlabs hoiatab uue libatõrje eest, mis muudab kõik .exe failid kasutamiskõlbmatuks.

Nimelt ei lase “System Security” avada .exe faile ning pakub ravina välja antiviiruse ostmist.

Tegelikult üritatakse muidugi arvutikasutajatelt hirmutamisega raha välja pressida.
On teada juhtumeid, kus libatõrjuja poolt allalaetavad skriptid krüpteerivad arvutikasutaja failid ning küsivad nende lahtimuukimiseks raha.

Ma pole ise  selle libatõrjega veel kokku puutunud, aga arvan, et kui läheneda Safe Mode’s või erinavate viirustõrjete päästeplaatidega, saab sellest kurjamist jagu.