Troojahäire – Windows 7 ja FIFA karikas 2010

Kui kirjutasin artiklit Confickerist, lisasin kirjatükki järgmised read: 1trooja-viirus

„Loomulikult ei maksa unustada, et Confickeri võib pahaaimamatult ise arvutisse tõmmata piraatsaitidelt nagu Rapidshare või P2P programmidega mingi teise faili sisse peidetult. Välissaitide foorumites surfates on silma jäänud, et Confickerit on kaasavarana peidetud Windowsi piraatversioonidesse, mida lahkelt allatirimiseks pakutakse.”

Nüüd siis ka tarkvaraarendaja PC Tools saatis mu postkasti hoiatuskirja, mille sisu on lühidalt  järgmine:

PC Tools on kindlaks teinud, et küberkurjategijad otsivad jätkuvalt võimalusi arvutite nakatamiseks suurürituste abil, milleks võib lugeda nii Windows 7 prooviversiooni  väljalaskmist kui ka 2010. aastal algavaid jalgpalli maailmameistrivõistlusi.

P2P programmidega  ja torrentitest allalaadimiseks pakutavad erinevad Windows 7 installitõmmised sisaldavad  pahatahtlikku troojalast, mille eesmärgiks on varastada arvutikasutaja isiklikke andmeid, põhjustades nii rahalist kahju kui ka identititeedivargusi, samuti võib trooja tekitada arvutisüsteemi  rikkeid.

Samuti on PC Tools kindlaks teinud õngitsemisrünnakud (pishing attacks), mis on seotud 2010. aasta FIFA jalgapalli maailmameistrivõistluste alagrupiturniiridega ning eeldavad, et taolised rünnakud kasvavad tõusvas tempos kuni põhiturniirideni välja. Näiteks eelmised maailmameistrivõistlused tõstsid õngitsemisjuhtumite arvu 40% võrra.

PC Tools soovitab:

  • Tirida operatsioonisüsteeme (samuti ka teisi vajalikke programme) vaid ohututelt saitidelt nagu programmitootjate kodulehed või volitatud edasimüüjate saidid. Windows 7 ametlik koduleht, kust saab soovi korral ka prooviversiooni arvutisse laadida (Get the Release Candidate) asub siin.

 

  • Kui arvutisse tõmmatakse erinevaid programme (eriti just Windows 7 versioone) torrentitest ja P2P programmidega, siis tuleb need kindlasti enne installeerimist viirusetõrje- ja nuhkvaratõrje programmidega pahavara leidmiseks läbi skänneerida.

Õngitsemisrünnakutest

2trojan-alert

Õngitsemisrünnakute kasvust hoiatas ka turvahiid Symantec Corporation oma 12.mai pressiteates. Põhiliselt saadetakse kasutajate e-mailidele põnevaid sõnumeid, mis veennavad neid klikkima kirjas toodud linkidel, misjärel suunatakse nad edasi ebaseaduslikele veebisaitidele, kus küberkurjategijatel on lihtne varastada nende isklikke andmeid. Veel lihtsamaks teeb pettuse asjaolu, et pakutakse väga soodsalt (vale)pileteid turniiridele või mängudega seotud suveniire (särke, mütse, sümboolikat jne.) ning kasutaja ise toksib oma lihtsameelsuses ja saamahimus pangaparoolid ja -koodid vastavatesse lahtritesse.  Nii võibki juhtuda, et loodetava odava lõbu asemel  võib elu muutuda kallimaks kui eales arvatud.

Veelkord  meeldetuletuseks:

  • Kui kasutate arvutisisest meiliprogrammi, näiteks Microsoft Outlook, Mozilla Thunderbird jne, seadistage viirusetõrje neid skanneerima ja /või kasuta spämmifiltreid.
  • Kui kasutate arvutiväliseid meiliteenuseid, näiteks Gmaili, Live Hot suhtluskeskkonda jne, paigaldage veebilehitsejale turvalaiendused nagu McAfee SiteAdvisor , Wot , Netcraft vms, mis hoiatavad pahatahtlikele saitidele sattumise eest. Nimetatud brauserilisad toetavad nii Interner Explorerit kui ka Mozilla Firefoxi. Ülaltoodud pildil on näha, et oma Gmaili postkasti avades lisab plugin Wot iga kirjas oleva lingi lõppu veebilehe reitingu, ehk siis antud juhul rohelised rõngagkesed, mis teavitavad ohututest linkidest. Oleks rõngad punased, peaksin olema väga ettevaatlik neile klikkamisega.
  • Isegi kui veebilehitsejatele on paigaldatud turvalaiendused, mis teavitavad veebilehtede ohtlikkusest, siis ikkagi ärge klikake igal pakutaval lingil, kuna paraku ka pishing-võltslehed luuakse alati varem, kui nad avastatakse ja andmebaasi lisatakse.
  • Ärge avage tundmatute inimeste poolt saadetud e-posti manuseid, kaasaarvatud ka sõprade-ja tuttavate poolt saadetud manuseid, kui nende saatmisest pole varasemalt kokku lepitud või kirjas endas sellest ei teatata – botneti liikmena võidakse rämpskirju õngitsemislinkidega ja troojamanustega saata ka ilma nende teadmata. Iga e-kirjaga saadetud fail kontrollige alati enne selle avamist viiruse-ja nuhkvaratõrjega üle.
  • Suurima ettevaatusega suhtuge kõikvõimalikesse kirjadesse, kus küsitakse teie isikuandmeid – aadressi, telefoninumbreid, pangaparoole ja -koode jne. Tõsi ta ju on, et paljud firmad korraldavad e-maili teel mitmeid auhindadega pärjatud reklaamkampaaniaid, et iial ei või teada, kas just äkki mitte seesama justkui turvaline veebileht pole osavalt järgi tehtud võltsing….

 

Windows 7 troojast

Ettevaatlikud peaksid olema ka kõik need, kes on läbi erinevate torrentite, P2P programmide või piraatfaile jagavate veebilehtede (Rapidshare, Easy Share jne.) tirinud omale  Windows 7 piraatversioone või kavatsevad seda teha. Need, kes on jõudnud opisüsteemi juba arvutisse paigaldada, ise seda võibolla ei teagi, aga tõenäoliselt on nende süsteem nakatunud troojalasega, mis kasutaja teadmata otsib läbi internetiavaruste uusi ohvreid, keda kahjustada. Tundub, et küberkurjategijate seas on moeasjaks saamas botnet-võrgustike loomine, sest just selle liikmeks saamist  antud trooja toetabki.

Üks asi on omale Windows 7 alla laadida ja viirusetõrje programmiga läbi skänneerida. Heal juhul on troojavastane andmebaas juba olemas ja faili saab eos surmata. Teine asi on aga see, kui pole tuldudki selle peale,  et Microsofti tootest viirust otsida vaid see on automaatselt plaadile kõrvetatud ja arvutisse installeeritud. Või siis on pahavaraline kood niivõrd uus, et viirusetõrjujate andmebaasides seda hetkel veel polegi. Näiteks just tänase kuupäevaga pakutakse täiesti värsket versiooni Windows 7-st ühel piraatfaile pakkuval veebilehel. Arvatavasti on  ka selle versiooni puhul pahavaraline

3win7-trooja

kood niivõrd uus kirjutatud, et viirusetõrjed ei suuda seda koheselt avastada. Arvutisse paigaldades aga kujutab see opisüsteem ohtu mitte ainult kasutajale endale vaid eelkõige ka kõigile tema tuttavatele ja sõpradele, kellega ta vahetult läbi interneti suhtleb.

Muide, täiesti selgelt võib välja lugeda, et fail on saadaval allalaadimiseks läbi BitTorrent võrgu, mille teel jagati ka eelmist troojasse nakatatud versiooni. Ja veel – ka tookord teatati versiooni “lekkimisest” enne Microsofti ametliku versiooni väljalaset. Et Microsoft  vahetevahel  “lekib”, on ammu teada tõsiasi, aga et nii mitu korda järjest ühe ja sama reha otsa asutakse – see peaks küll kahtlustama panema.

Pahatahtik kood oli peidetud opisüsteemi paigaldamisfaili setup.exe sisse,  misjärel peale installeerimist muudeti arvuti niinimetatud zombiks, botnet-võrgustiku üheks liikmetest. Nakatumist  on väga raske märgata, kuna trooja jääb peidetuks traditsiooniliste viirusetõrjete eest, seda enam, et veel vähesed  tõrjeprogrammid sobituvad Windows 7-ga.  Edasine kontroll arvuti üle on aga täielikult botmasteritel , kes vastavalt oma soovile või teiste kurjategijate tellimustele  korraldavad  selle abil küberrünnakuid mis tahes maa või serveri vastu, kasutavad arvutiomaniku mailiaadresse rämpsposti saatmiseks, kaasaarvatud õngitsemislehtede levitamiseks, paigaldavad arvutisse kuritahtlikke programme, või salvestavad kasutajate privaatseid andmeid, pangaparoole jne.

Täiendavaks  lugemiseks:

http://news.zdnet.co.uk/security/0,1000000189,39651457,00.htm

http://news.softpedia.com/news/Pirated-Trojan-Infested-Windows-7-RC-Builds-Botnet-111445.shtml

http://www.damballa.com/mediacenter/news.php

5 thoughts on “Troojahäire – Windows 7 ja FIFA karikas 2010”

  1. Täiesti vale on soovitada tundmatust kohast tõmmatud tarkvara üldsegi proovida. Erandjuhul küll! Aga vähemalt nõndaviisi omandatud operatsioonisüsteemide tõmmiste puhul oleks õigem soovitada need kohe ära kustutada. Kui jätta mõni nostalgiline iidvana mäng kõrvale, siis mina ei kujutagi ettegi, et kuskilt torrentist oleks vaja mõnda programmi tõmmata.

    Samas, ma ei tea kas Windowsi tõmmisel on ka nii, aga FreeBSD tõmmisel on igatahes md5 ja sha võtmed. Nii et kui tõmbadki kuskilt päris tundmatust kohast, siis saab tõmmise vastavust originaalile kontrollida.

    Tegelikult soovitatakse ka täiesti ettenähtud kohtadest tõmmatud takrvara vastavust terviklikkusele kontrollida nende md5 võtmetega. Et näiteks fail ei oleks poolik või mingil muul viisil originaalile mittevastav.

  2. Windowsi maailm ei oska kontrollsummaga midagi mõistlikku ette võtta. Kui päris aus olla, siis olen ma näinud ainult ühte SH1 (MD5 on juba kräkitav) arvutavat programmijuppi.

  3. Zebra kirjutab: “Täiesti vale on soovitada tundmatust kohast tõmmatud tarkvara üldsegi proovida. … Samas, ma ei tea kas Windowsi tõmmisel on ka nii, aga FreeBSD tõmmisel on igatahes md5 ja sha võtmed. Nii et kui tõmbadki kuskilt päris tundmatust kohast, siis saab tõmmise vastavust originaalile kontrollida.”
    Täiesti õigus – vale on soovitada tarkvara tirida piraatsaitidelt ja Arvutikaitse seda ei propageerigi. Vastupidi, hoiatatakse võimalike tagajärgede eest, kui seda siiski tehakse. See on ka antud artikli eesmärk. Otseselt keelamine või hurjustamine aga ei annaks mingeid tulemusi – kes on mistahes faile varem kahtlase suunitlusega saitidelt tirinud, teevad seda ka edaspidi – kes saab santi sundida, kui sant ei taha kõndida!
    Win 7 prooviversiooni puhul on aga asi seda komplitseeritum, et otseselt ei ole tegu lahtimuugitud tasulise versiooniga, vaid siiamaani pakub Microsoft seda kõigile soovijaile tasuta allalaadimiseks. Kes on sellest kuulnud ja soovib ebakindlat Vistat välja vahetada, XP-le vaheldust või teise arvutisse põnevaks proovimiseks, tõttab seda kohe tirima. Igaüks aga ei tule selle pealegi, et kõige kindlam on seda teha Microsoft kodulehelt: http://www.microsoft.com/windows/windows-7/download.aspx
    Eeldan, et tüüpiline tavakasutaja tirib tõmmisfaili esimeselt ettejuhtuvalt saidilt või läbi P2P programmi, sest nii on ju lihtsam – siis ei pea kirja panema oma toimivat e-maili aadressi ja pole ka vähimatki kartust, et mittelegaalse opisüsteemi korral Microsoft selle avastab. Sest tavaliselt on ju nii, et iga väiksemagi pakutava vidina puhul nõutakse valideerimist ehk opisüsteemi ehtsuse kinnitamist.
    Kinnitan, et Windows 7 ametliku tõmmisfaili tirimine Microsoft kodulehelt pole üldsegi valulik. Kui mõni arvutit vähem tundev inimene soovib siin põhjalikumat juhendit, kuidas fail arvutisse tirida; millega peab arvestama, et see hiljem arvutisüsteemiga sobiks, kuidas paigaldada jne, andku teada.
    Loomulikult saab Win 7 originaaltõmmise krüpteerimisalgoritme kõrvutada nende failidega, mis ei ole tiritud ametlikult saidilt, ja seeläbi kontrollida nende ehtsust.
    Kui arvutis juba on originaalfail, siis heaks abivahendiks on tasuta Hash Tab – http://beeblebrox.org/hashtab/
    Tirige Hash Tab arvutisse ja installeerige. Seejärel tehke Windows 7 installitõmmisel paremklikk , valige Properties, siis File Hashes ja oodake kuni kuvatakse väärtused. Seejärel saab neid algoritme võrrelda selle tõmmisega, mis on tiritud näiteks piraatsaidilt.
    Kui arvutis originaalfaili pole, aga on mõnelt teiselt saidilt tõmmatud installitõmmis, saab selle ehtsust kontrollida utiliitidega WinMD5 Free (http://www.winmd5.com/?rid=winmd5), MD5-Check (http://www.softpedia.com/get/System/File-Management/MD5-Check.shtml), Hash (http://keir.net/hash.html) ja veel mitmeteise programmikese abil. Sel juhul peab teadma originaalfaili kontrollsumma väärtusi, mille tavaliselt leiab ametlikelt kodulehtedelt. Loomulikult leiab neid ka mitmetelt teistelt veebilehtedelt, ent siis peab kindel olema,et need ikka õiged on.
    Näiteks Windows 7 viimase installitõmmise 7100.0.090421-1700_x86fre_client_en-us_retail_ultimate-grc1culfrer_en_dvd.iso algoritmid, mille ma kindluse mõttes ka ise üle kontrollisin, on järgmised:
    86 bit:
    MD5: 8867C13330F56A93944BCD46DCD73590
    SHA1: 7D1F486CA569EFFFFB719CFB48355BB7BF499712
    64 bit:
    XMD5: 98341AF35655137966E382C4FEAA282D
    SHA1: FC867FE1AB2E0A9796F9E4D155B44EA6998F4874
    Mis aga puutub Hillari kommentaari, siis tal on õigus – MD5 on kräkitav. Küllap ka sellepärast Microsoft TechNet annab sellel lehel http://technet.microsoft.com/et-ee/subscriptions/downloads/default(en-us).aspx?pv=36:350 detailide all kontrollimiseks vaid SHA1 kontrollsummat. Mis aga puutub SHA1 lahtimuukimiskindlusesse, siis vähemalt hiinlased Shandongi ülikooli meeskonnast väidavad, et nad on ka selle lahti murdnud. Slashdot (http://it.slashdot.org/it/05/02/19/1424201.shtml?tid=93&tid=172&tid=218)soovitab heaga hakata kõndima varuväljapääsude poole.
    SHA1 –te arvutavaid programmikesi aga on mitmeid, ka kaks siinnimetatud utiliiti toetavad seda.

  4. ubuntu(dot)planet(dot)ee

    sha256 summeerimise kontroll on ka olemas.

    Üldiselt on ka linuxi distributsioonid pakutavad originaalkodulehelt ja seal on ka nende .torrent failid.

    Nii, et ega maailm väga erinev ei olegi.

Kommenteerimine on suletud.