themes theme jeux izle-videolar ruya tabirleri logohaberleri sinema ruya

Artiklid alates ‘Pahalased’ rubriigist

Android nutitelefoni pahavara ja kaitse

1. september 2013

1Esimene android süsteemile SMS trooja Android/FakePlayer avastati augustis 2010. aastal. Tegemist oli pahavaraga, mille kasutaja ise paigaldas teadmatusest nutitelefoni, mis seejärel hakkas saatma sõnumeid tasulistele telefoninumbritele. Juba siis ennustati turvaspetsialistide poolt pahavara leviku mõningat tõusu android nutisedmetes, kuid kui lugeda turvafirma ESET 2012. aasta lõpus avaldatud rapordit viiruste leviku kohta, siis tõdetakse, et sellist mobiilse pahavara kiiret kasvu nii lühikese aja jooksul peetakse uskumatuks ja isegi harukordseks nähtuseks.

Kuigi arvutiviirused pole kuhugi kadunud, siis ESET Eesti juhi Allan Kinsigo sõnul võib kindlalt väita, et juba eelmise aasta pahavara leviku ühisnimetusena võib öelda, et ” Malware Goes Mobile”.  Ehk siis küberkurjategijad jälgisid hoolsalt trende ja rahalise kasusaamise eesmärgil hakkasid genereerima rohkem pahavara just mobiilsetele seadmetele, mis käesoleval 2013. aastal on omakorda hüppeliselt kasvanud. » Loe edasi: Android nutitelefoni pahavara ja kaitse

Apple Mac arvutid on viirustele avatud

8. aprill 2012

Aastaid on Apple omanikud arvanud, et Mac arvutid ei nakatu viirustesse, kuigi see pole tõsi. Kui varasematel aastatel kasutati Mac arvutite nakatamiseks pahavarasse kavalaid nippe, näiteks meelitati kasutajat arvutisse laadima mingit põnevat programmi, mis sisaldas viirust, siis käesoleval aastal on hakatud ära kasutatama operatsioonisüsteemi turvaauke nagu ka Windows puhul. Sellistel puhkudel ei pruugi Apple Mac omanik arugi saada, kui arvuti on juba nakatunud pahavarasse.

Suuresti on selles süüdi kasutaja ise, kes petlikult arvab, et Apple Mac puhul ei pea kasutama viirusetõrjeid või teisi turvameetmeid, kuid oma süü on selles ka Apple Mac OS X arendajatel. Aastaid on Apple arendajad ise uhkusega kinnitanud, et nende opisüsteem on väga turvaline ja seeläbi on nad võimalikele ohtudele liialt vähe tähelepanu pööranud. Kuid paraku selline liigne enesekindlus võib juba praegu valusalt kätte maksta ja võib muuta Mac arvutid pahavara rünnakutele isegi kergemini haavatavateks kui teistele platvormidele.

Näiteks kui juba kaks kuud tagasi avastati Flash trooja (Flashback trojan), mis nakatas märkamatult Java kaudu Mac arvuteid, siis turvapaik sai sellele valmis alles nüüd, 3.aprillil. Kuid selle aja jooksul on Flashback trooja nakatanud üle maalima kokku juba 600 000 Mac arvuti, kusjuures paar päeva tagasi leiti Venemaa turvafirma analüütiku Ivan Sorokini poolt uus variant Flashback troojast. 56,6 protsenti nakatunud Mac arvutitest asuvad USA-s,  19,8 protsenti  Kanadas ja 12,8 protsenti Ühendkuningriigis ja arvutite nakatumine jätkub suure hooga. Väidetavalt Eestis Apple Mac arvutid pole veel troojasse nakatunud, kuid sellegipoolest pidas Riigi infosüsteemi Amet (RIA) vajalikuks hoiatada kaasmaalasi Macidele suunatud Flashbacki-nimelisest viirusest.

 

 Turvaspetsialistid prognoosivad, et juba väga varsti tuleb valmis olla, kui Apple MAC OS nakatumisi viiakse läbi kas Adobe Flash Playerite, Adobe Reader- või miks ka mitte Skype turvavigade kaudu, kuna Apple arendajad pole selleks veel valmis ja mingeid ettevalmistusi teinud. Miks aga tänapäeval pööratakse suuremat rõhku ka Apple arvutite ründamisteks küberkurjategijate poolt, tuleneb sellest, et Apple arvuteid ostetakse aina rohkem ja on saamas arvestatavaks jõuks neile viiruste, troojate ja nuhkvara loomiseks, mille peamiseks eesmärgiks ongi just informatsiooni vargus pahavarasse nakatatud arvutitest.

Apple MAC OS X arvutite nakatumine toimub märkamatult, kui kasutaja, kelle arvutis on paikamata Java, külastab mõnda pahatahtlikku veebilehte. Nakatatud arvutist võidakse varastada kasutaja paroolid, kasutajanimed, kaaperdada pangakontosid, jälgida võrguliiklust, botnet abil kasutada arvutit rämpsposti levitamiseks jne. Troojalane võib haarata kogu kontrolli kasutaja arvuti üle, saab anda käske arvutile, faile arvutisse või arvutist välja laadida, programme käivitada jne.

Praegune Mac botnet ohustab Apple arvuteid paikamata Java turvavea kaudu ja kui viirus on arvutis koha leidnud, siis saadab ta viirusest koopiaid edasi teistele Mac arvutitele läbi serverite. Ohustatud on kõik Mac OS X arvutid kuni viimase väljalaskeni Lion (OS X 10.7). Vanemad Apple MAC arvutid on eriti haavatavad.

Apple Mac turvalisemaks muutmine

Java turvapaigad Apple MAC-ile võib leida siit Java for Mac OS X 10.5 Update 6, Java for Mac OS X 10.6 Update 7 and Java for OS X Lion 2012-001. Paraku alles avastatud Flashback uue variandi troojale turvapaika veel pole, aga ehk suur tähelepanu kogu maailmas Apple haavatuvusele kiirustab Apple meeskonda seekord kiiremini turvapaika leidma.

Turvakompanii F-Secure on esitanud nõuanded, kuidas diagnoosida ja lahendada probleemi, kui arvuti on juba nakatunuid viirusesse, kuid hoiatab, et see võib tavakasutaja jaoks olla veidi keeruline.

Nõuandeid, kuidas MAC arvuteid saab turvalisemaks muuta, leiab Apple kodulehelt.

RIA soovitab uue variandi viiruse puhuks, kuni sellele pole veel turvapaika välja pakutud, Java välja lülitada.

 

Kasutatud allikad: New Mac malware epidemic exploits weaknesses in Apple ecosyste, Over 600,000 Macs infected with Flashback Trojan, Half of 600,000 infected Macs are in the U.S., Flashback trojan reportedly controls half a million Macs and counting

Veebiuss Koobface, lisandustega.

18. mai 2011

Koobface on üks esimesi Web 2.0 usse, mis levib sotsiaalvõrgustikes nagu Facebook, MySpace, Twitter ja teised. Ussi nimigi on anagramm sõnast Facebook. Loodi see juba aastal 2008 ning oma suurima leviku saavutas see aastal 2010. Suurem osa Koobface’i juhtimiskeskustest võeti võrgust maha 2010. aasta novembris, hinnanguliselt teenisid kurikaelad selle botnetiga kuni 2 miljonit dollarit aastas.

Koobface on võimeline ründama nii Windowsi, MacOS X-i kui ka Linuxit jooksutavaid arvuteid ning tema peamiseks ülesandeks on koguda neis leiduvaid sotsiaalvõrgustike, aga ka FTP kontode sisselogimisandmeid. Ussi peamiseks levikualaks on Facebooki ja teiste sotsiaalvõrgustike teateseinad, mille kaudu nakatunute sõbrad meelitatakse klikkima “huvitavaid” linke, mis tüüpiliselt viitaksid justkui piltidele või videotele. Klikkija võidakse suunata lehele, mis näeb välja nagu Youtube (kuid mille nimi on YuoTube) ning selleks, et video käima läheks, palutakse alla laadida ja installida eraldi videomängija. Installitud “videomängija” tõmbab võrgust alla Koobface’i ülejäänud komponendid. Viimased võivad tegelda ussi levitamisega, kasutajatunnuste ja paroolide varastamisega, reklaamide näitamisega CAPTCHA murdmisega. Nakatunud arvuti kasutajat võidakse sundida paigaldama libaviirustõrjet, tema otsimootori sätteid muudetakse nii, et otsingud suunduvad pahatahtlikele lehekülgedele ning arvuti DNS-i seaded sätestatakse ümber nii, et sellest arvutist ei pääse enam tuntumate viirustõrjujate kodulehekülgedele.

Põhjalikku ülevaadet Koobface’ist saab lugeda siit (PDF, 2,7 MB)

Kuid miks ma sellest ussist alles nüüd räägin, kui suurem osa botnetist, nagu ülalpool kirjas, juba pool aastat tagasi kahjutuks tehti?

Uss on küll senimaani aktiivne, kuid saanud ühe lisaomaduse. Nimelt levivad  ka eestikeelsetes sotsiaalvõrgustikes teated, mis hoiatavad Koobface’i eest:

Koobface'i hoiatus

See on toortõlge aasta tagasi levima hakanud ingliskeelsest lollitamisteatest. Teates kirjeldatud linkide kaudu pole Koobface’i kunagi levitatud.

Lühidalt öeldes levitavad täiesti head ja toredad inimesed kõige parematest kavatsustest lähtudes Facebooki ja teiste sotsiaalvõrgustike seintel kõige tavalisemat spämmi. Levitajale endale sellest muidugi erilist kahju ei sünni, kui hilisem pisike piinlikkustunne välja arvata.

Kuidas selliste lollitamisteadete ohvriks sattumist vältida?

Kõige lihtsam – küsige sõbralt, kellelt te sellise teate saate, kas ta on nimetatud ohuga ise kokku puutunud või oskab viidata mõnele autoriteetsele allikale. Kui ta teile head viidet anda ei oska, võite teate südamerahuga seinale kleepimata või edasi saatmata jätta.

Samsung müüb klahvinuhiga sülearvuteid?

31. märts 2011

Kanada infoturbeekspert Mohamed Hassan leidis kahest erinevat marki, eri poodidest ostetud Samsungi läpakast StarLogger’i nimelise klahvinuhi. Samsungi esindajad väitsid, et paigaldasid nuhkvara nende müüdavatesse arvutitesse selleks, et jälgida, kuidas arvuti töötab ning kuidas seda kasutatakse.

Mohamed Hasan ostis Samsung R525 mudeli sülearvuti ühest Toronto suurest elektroonikapoest. Enne kasutamist ja lisaprogrammide installeerimist kontrollis ta arvuti üle ning leidis, et sinna on installeeritud professionaalseks kasutamiseks mõeldud nuhkvara StarLogger. Viimast tootva firma koduleht väidab, et Starlogger on täiesti avastamatu, käivitub koos arvutiga ning näitab jälgijale kõike, mis klaviatuuri kaudu sisestatakse: e-kirju, sõnumeid, dokumente, veebilehti, kasutajanimesid, paroole ja nii edasi. Samuti teeb StarLogger ettemääratud ajavahemike tagant ekraanitõmmise, mis lisatakse koos kinnipüütud tekstiga e-mailidele, viimased omakorda aga saadetakse arvuti kasutaja teadmata jälgimistarkvara paigaldanud isiku e-posti aadressile.

Arvates, et tegemist võib olla eksitusega, eemaldas Hasan klahvinuhi arvutist ja jättis esialgu asja sinnapaika. Kuid paar nädalat hiljem leidis ta, et vajab võimsamat arvutit, ning ostis teisest poest mudeli Samsung R540. Leidnud ka sellest sama nuhkvara, võttis ta ühendust Samsungi tehnilise toega. Firma esindajad algul eitasid seost, kuid hiljem võtsid omaks, et paigaldasid klahvinuhi selleks, et “jälgida, kuidas arvuti töötab ning näha, mil viisil seda kasutatakse”. Praeguseks on Samsung teatanud, et teeb Hasaniga koostööd, selgitamaks välja, mis asjaoludel nuhkvara sülearvutitesse sai.

Ilmselt pole Mohamed Hasani väidetes põhjust kahelda, küll aga pole hetkel veel päris kindel, kas Samsungi sülearvutitesse eelinstalleeritud klahvinuhk on korporatiivne poliitika või mõne liigagara kohapealse asjapulga isiklik initsiatiiv. Arvata on, et puhkev skandaal võib Samsungile maksma minna päris kena kopika – näiteks Sony BMG pidi oma kuulsa rootkiti eest välja käima 175 miljonit dollarit.

Täiendatud: F-Secure kinnitab, et antud juhul võis olla tegemist VIPRE-nimelise viirustõrjuja poolt genereeritud valehäirega. F-Secure labori töötajad kontrollisid Soomes müüdavaid Samsungi läptoppe ega leidnud neist klahvinuhke. Küll aga raporteeris VIPRE StarLoggeri leidmisest ka siis, kui arvutisse tekitati tühi kaust nimega C:\windows\SL.

StarLoggeri pilt on illustratiivne.

Facebook´is levib trooja nimega Üllatus

27. jaanuar 2011

Nädal tagasi hoiatas tuntud Emsisoft tõrjetarkvara arendav firma Facebook´is üsna kiiresti levima hakanud troojast, mis lingile klõpsates installeerub märkamatult kasutaja arvutisse, muutes selle spämmi tootvaks ja seda edasi levitavaks masinaks.

Arvuti nakatamine toimub nii: Kasutaja Facebook kontole saadetakse järgmise sisuga teade – “Mul on sulle üllatus www.nyhely………..blogspot.com.”

» Loe edasi: Facebook´is levib trooja nimega Üllatus

Võlts-turvaprogrammid ehk Rogue Security Software

16. mai 2010

Petis-, kelm-  või võlts-tõrjeprogrammid ehk Rogue Security Software on tarkvaralised rakendused, mis turvalisuse seisukohast näivad olevat kasulikud, kuid tegelikult vaid simuleerivad pahavara eemaldamist ning ei paku üldse kaitset. Need kuvavad ekslikke hoiatusi ja teateid, millega hirmutatakse kasutajaid, et nende arvuti on nakatunud ohtlikusse pahavarasse ning sellega püütakse meelitada antud programmi ostma. Vahetevahel nimetatakse taolisi võlts-tõrjeprogramme ka paanikatarkvarakas ehk scareware´ks.

Võlts-turvaprogrammide nimed sarnanevad sageli tuntud tõrjeprogrammide nimedega, püüdes sellega eksitada kasutajaid programmi arvutisse paigaldama. Sisusuliselt on nende puhul siiski tegu pahavaraga, mille eesmärgiks on varastada kasutajate raha ja privaatset infot või paigaldada selle abil süsteemi teisi kuritahtlikke rakendusi, mis kahjustavad ja aeglustavad arvutitööd või avavad isegi varjatud tagauksi (backdoor) uuteks kuritahtlikeks tegevusteks.  Samuti võivad nad keelata Windows Update värskenduste saamise, rikkuda Windows rakendusi, sulgeda ehtsate tõrjeprogrammide töö või takistada ligipääsu mõnele aktuaalsele veebisaidile nagu näiteks tõrjeprogrammide kodulehtedele.

Kui veebibrauserid on turvaliseks seadmata ja ei kasutata turvapluginaid nagu WOT – Your Safer Web, McAfee SiteAdvisor,  Finjan SecureBrowsing, Prevx SafeOnline, Netcraft Anti Phishing Toolbar jne, võidakse pahatahtlikel veebiehtedel sageli kuvada hoiatavaid hüpikaknaid, mis teatavad, et arvutisüsteem on ohustatud ja vajab kiiret puhastamist. Tavaliselt on nii, et kui sellisel hüpikakna reklaamil klikata ükskõik millisele nupule, näiteks soovitakse seda ristist kinni panna, alustab see siiski koheselt pahalaste arvutisse allalaadimist.

Samuti võidakse e-kirjades pakkuda linke „suurepärase“ tõrjeprogrammi tirimiseks või pakutakse neid kirjamanustena avamiseks. Võlts-programmid võivad arvuti nakatada troojate või nuhkvaraga pahatahtlikelt saitidelt justkui süütut multimeedia koodekit-, ekraanisäästjat-(screensaver) või isegi tavalist pilti alla laadides, tihti võib neid saada ka peer-to-peer (P2P) failijagamisprogrammide vahendusel.

Väga tihti satub pahavaraline võlts-turvaprogramm kasutaja arvutisse kasutaja enda teadmatusest, kui ta tuttavatelt ja sõpradelt nõu küsimata otsib internetiotsingute kaudu omale väärt tõrjeprogramme ja laadib need pahaaimamatult arvutisse täiesti suvaliselt lehelt, kontrollimata nii lehte ennast kui ka programmi. Kuna ka programmil on kõlavalt ilus nimi ja selle reklaamtekst lubab arvutis lausa imesid korda saata, või sarnaneb see programmi nimi juba teada/tuntud tõrjeprogrammi nimega, nakatabki nii kogenematu kasutaja oma arvuti teadmatult.

Enne kui laaditakse kasutajale veel tundmatu, ent meelitavalt hea nimega turvaprogramm arvutisse, tasub otsida selle programmi kohta infot netist ja kindlasti kontrollida alljärgnevatelt lehtedelt, kas seda pole seal pahatahtlikena juba nimetatud:

http://www.lavasoft.com/mylavasoft/rogues/latest – üks paremaid ja informatiivsemaid lehti petturprogrammide tuvastamiseks.

http://en.wikipedia.org/wiki/Rogue_security_software – kerides veidi allapoole leiab nimekirja võltsprogrammidest (Partial list of rogue security software)

http://roguedatabase.net/RogueDL.php# – võltsprogrammide nimekiri, mida pidevalt uuendatakse

http://www.freepcsecurity.co.uk/2009/01/16/list-of-known-malicious-sites-rogue-software/ – lisaks pahatahtlike programmide nimekirjale leiab siit ka veebilehtede nimed, mida tuleks vältida.

http://rogueantispyware.blogspot.com/Sunbelt Rogue  Antispyware blog – kõige parem on otsida võimalikke võlts- tõrjeprogramme, kui leida blogi paremast reast Archive ja vajutada vastavatele kuupäevadele.

PS. Paljud välismaised saidid soovitavad järjekindlalt siiamaani otsida pahavaraprogramme saidilt nimega Spywarewarrior.com. Mina seda ei soovita või vähemalt ei soovita uskuda kõike seda, mis seal kirjas on. Spywarewarrior lehte on viimati uuendatud 4.mail 2007, seega pole seal kõik enam kuld, mis hiilgab.

Küberkuritegevuse tippklass – botnet Zeus

1. mai 2010

Kui Conflicker välja arvata, siis viimasel paaril aastal on enim kõneainet pakkunud kurivara, mida kutsutakse botnettide kuningaks – Zeus. Hetkel peetakse selle tekitajat maailma ohtlikumaks troojalaseks, mille uute variantide vastu on võimetud paljud viirusetõrjevahendid. Kaks aastat järjest on see kohutanud finantsmaailma ja pangandust, varastades kümneid miljoneid dollareid arvutikasutajate raha.

Trusteer.com turvaspetsialist Amit Klein on teatanud, et Zeus viimane täiustatud variant kasutab iseenda peitmis- ja teisendamistüüpe, samuti kernel tasandi rootkit-tehnoloogiat, mis teeb ta veelgi raskemini avastatavaks misiganes tõrjevahenditele. Tema sõnul on ohustatud kõik Windowsipõhised opisüsteemid ja peamiselt just need arvutikasutajad, kes teevad oma online rahaülekandeid veebilehitsejate Mozilla Firefox ja Internet Explorer vahendusel. Turvafirma spetsialistid on tähenldanud, et hetkel kasvab arvutite pahavarasse nakatumine kiiremini kui kunagi varem.

Ajalugu

Troojalane Zeus, mida tuntakse ka paljude teiste erinevate nimede all Zbot, PRG, NTOS, Wsnpoem, Gorhax – on olnud aktiivne juba aastast 2007, kui esimestest avastatud rünnakutest teatasid  Reuters ja SecureWorks. Esimene tõrjespetsialistide poolt tuvastatud rünnak toimus juulis 2007, mil püüti varastada andmeid mitmetest tuntud Ameerika Ühendriikide suurfirmadest (näiteks Hewlett-Packard Co), kusjuures ohvriks langes isegi USA Transpordiministeerium. Juba septembris –detsembris 2007 avastati uus tõrjevahendite eest peitu jäänud pangandustroojal Zeus põhinev botnet-võrgustik, mis ohustas paljusid juhtivaid suurpanku USA-s, Suurbritannias, Hispaanias ja Itaalias.

Aastal 2008 pakuti paketti juba müügiks või rentimiseks nn kõik-ühes-serveriteenusega koos sisseehitatud administraatori paneeliga ja ründetööriistadega, mis võimaldas rentijal luua iseenda isiklik botnetvõrgustik kuridegude kordasaatmiseks.

Juunis 2009 näitasid kräkkerid üles erilist jultumust, kui turvafirma Prevx  andmetel ohustas Zeus 74 000 FTP kontodele sisselogimisandmeid, näiteks Disney.com, Bloomberg.com, BusinessWeek.com, Discovery.com, Amazon.com kontosid  ja suhteliselt traagilises mõttes ka selliseid kontoomanikke, mis  ei tohiks sellesse nimekirja  iialgi sattuda  – NASA.com, BankofAmerica.com, Oracle.com, Symantec.com, McAfee.com, Cisco.com ja  Kaspersky.com.

2009 aasta oktoobris-novembris toimusid rünnakud sotsiaalvõrgustike Facebook ja MySpace kasutajate vastu, kutsudes neid klikkima linkidel, mille läbi tõmmati arvuti botnetti.

Aruanded

Trusteer 2009 septembri aruande järgi oli ainuüksi USA-s nakatanud 3,6 miljonit arvutit, kuid uurimustöö põhjal arvatakse, et tegelikku nakatumiste arvu võib pidada paljudes kordades suuremaks. Irooniline on veel see, et analüüsi järgi olid tervelt 55% protsenti botnetti kuuluvatest arvutitest viirusetõrjetega kaitstud, kusjuures need olid uuendatud ka viimaste tõrjesignatuuridega.

Ka turvafirma Prevx möönab, et botnetti nakatunud arvutite hulka ei oska keegi  täpselt prognoosida, võidakse ainult tõdeda, et see ulatub miljonitesse arvutitesse üle maailma.  Kui firma jälgis kuue nädala jooksul infektsioonide levikut, siis jõudis see nakatada 20 000 uut arvutit päevas. Tõrjespetsialistidele on selgeks saanud ka  Zeus trooja looja(te) kavalus – selleks ajaks, kui turvaanalüütikud jõuavad selle identifitseerida ja luua vastumeetmeid kurivara kahjustamiseks, on kräkkeri(te) poolt valmistatud juba uusim versioon pahavarast, mis jätkab edasist takistamatut tegevust.

Zeus on pangandus-trooja, mis eeldatavasti pärineb Venemaalt või vähemalt vene keelt kõnelevatest Ida-Euroopa riikidest.  Symantec.com andmetel on paketis mitmed failid, kaasaarvatud Help-abifailid, kirjutatud just vene keeles. Viimase aasta jooksul on paketti pidevalt uuendatud ja täiustatud selle looja või loojate poolt. Siiamaani ei teata kindlalt, kas selle ohtliku, samuti ülimalt professionaalse ja unikaalse tööriisakomplekti loojaks on üksikisik või kuritegelik rühmitus, kuigi viimaste andmete põhjal arvatakse selleks siiski olevat üksikisik. Zeus pahavarapakett on tänaseks saanud küberkurjategijate seas ülimalt populaarseks ning seda kasutatakse enim finantskuritegude kordasaatmisel.

Zeus paketti, mis kannab nime Zeus Builder (ehitaja -konstruktor), müüakse erinevates häkkerite kogunemislehtedel, -foorumites- ja jututubades olenevalt versioonist hinnaga 700 – 4000 dollarit tükk. Zeus Builder on lihtsalt üks väikesemahuline tööriistakomplekt, mille abil on erinevad küberkurjategijad loonud erinevaid botnette, nii väiksemaid kui suuremaid. Näiteks ka Kneber botnet, millest olen  kirjutanud artiklis Kneber – kuritegelik botnet-võrgustik, on loodud tegelikult  troojalase Zeus baasil.

Zeus viimaseid versioone ei pakuta ainult ühese paketina, vaid juurde on võimalik osta ka lisamooduleid. Näiteks Windows 7/Vista toe eest tuleb küberkurjategijatel lisaks letile laduda 2000 dollarit, aga kui nad aga soovivad osta lisamoodulina ka täielikult toimiva virtuaalühenduse (VNC-  Virtual Network Computing moodul), mille abil saavad nad võtta kogu kontrolli nakatunud arvuti üle, maksab see lisatasuna “kõigest” 10 000 dollarit veel.

Muuseas, viimase versiooni puhul on turvaspetsialistid täheldanud esmakordselt maailmas ainulaadset kuritegeliku tööriista  kaitsmise meetodit – autor kaitseb oma “suurteost” Zeus Builder´it riistvaralise litsenseerimise süsteemiga, mis tähendab, et paketti saab jooksutada vaid ainult ühes süsteemis kindla võtme olemasolul. See näitab väga selgelt, kui kõrgelt hindab pahavara looja oma tööd. Selle tööriista järjepidev täiustamine aga annab aimu, et nõudlus selle järele kurjategijate seas on suur ja oht Zeusi nakatuda tulevikus võib muutuda veelgi aktuaalsemaks kui praegu. Täpsemalt kõigest sellest kui ka Zeus Builder uusimast versioonist, millesse on lisatud veelgi surmavamaid funktsioone, saab lugeda Secureworks artiklist või Networkworld loost.

Nakatumise põhimõtted

Zeus on loodud varastama kasutajate kõikvõimalikke privaatseid andmeid finantspettuste kordasaatmiseks. Sellisteks andmeteks ei pruugi alati esmajärjekorras olla ainult pankade ja e-poodide kasutajatunnused ja paroolid, vaid ka kõikvõimalike sotsiaalsete võrgustike (Facebook, MySpace jne) kontoandmed ja FTP ning e-mailide logimisandmed, mille abil saadakse hiljem, kui kasutaja arvuti on liidetud botnet-võrku, niikuinii ligipääs pangakontodele. Loomulikult võimaldab see ka saadud kontode abil nakatada uusi kasutajaid botnet võrgustikku, saates kontoomaniku nimel tema nimekirjas olevatele tuttavatele ja sõpradele justkui süütuid linke neile klikkimiseks.

Peamiselt levitataksegi troojat e-mailidega, millesse on manustatud fail avamiseks või lisatud link sellele klikkimiseks. Näiteks teatakse, et keegi hea inimene on saatnud imeilusailusa tervituskaardi, mida saab imetleda lingile klikates. Või teatatakse justkui mõne sotsiaalse võrgustiku poolt või isegi Microsofti poolt, et näiteks Facebook kasutajaandmeid tuleb kirja manustatud ankeedil uuendada või on Microsoftil pakkuda mõni kriitiline turvavärskendus, mis tuleb lingi abil kohe arvutisse installeerida. Lingile klikates aga suunatakse õgnitsemissaidile, mis nakatab märkamatult arvuti. Paraku ka hiljem ei suuda kasutaja aru saada, et arvuti on juba botneti liikmeks määratud.

Samamoodi võib seda arvutisse laadida drive-by allaladimiste teel veebilehtedel, mis tähendab , et kasutaja kaudselt justkui kinnitab oma nõusolekut millegi allalaadimiseks, kuid ei saa aru tagajärgedest ja allalaadimine toimub tema teadmata. Näiteks kasutaja püüab veebilehel sulgeda häirivat hüpikakent, aga seoses sellega paigaldatakse kasutaja teadmata arvutisse pahavara. Sageli on see seotud võlts-programmide pakkumistega veebilehtedel  või mõne põneva reklaamkirjaga, mis viitab sellele klikkama.

Trooja suudab kräkkeri kaasabil süstida veebilehtedele ka uusi väljasid ja lahtreid, mis nõuavad kasutajatelt rohkemate privaatsete andmete sisestamist kui tavaliselt ja mis loomulikult saadetakse reaalajas just kurjategijale.

Kui arvuti on saanud botneti kliikmeks, siis luuakse tagauks ehk backdoor, mille kaudu edastatakse häkkerile veebilehel tehtavaid toiminguid – klahvinuhi abil salvestatud kasutajanimed ja paroolid või ekraamipildid sisestatud koodidest. Zeus trooja nakatumise puhul ei ole oluline, kas kasutaja on arvutis administraatori õigustes või mitte.

Veel mõned huvitavad aspektid

Huvitavaks teeb Zeus paketi puhul asjaolu, et häkker, kes seda kasutab, saab vajadusel lisakäskude abil kas ühte botneti liiget või tervet botnetti juhtida kontrollserverist oma tahtmise järgi. Näiteks huvitavamateks käskudeks on arvuti sulgemine või taaskäivitusele saatmine, muuta veebilehitseja kodulehte, laadida arvutisse faile, kaustu ja pahavaralisi programme, varastada digisertifikaate, muuta ja modifitseerida  arvutis olevaid faile ja regirtivõtmeid (%systemroot%\system32\drivers\etc\hosts).

Aga veelgi põnevam käsk, mis on pahavara analüüsijad  sügavalt mõtlema pannud, et milleks seda vaja on– on enesehävitamise käsk KOS (kill operating system). See võimaldab kräkkeril kaugjuhtimise teel kustutada olulisi süsteemifaile, mille tulemusel ei laadi opisüsteem enam üles ja sageli peale seda tuleb kasutajal  uus süsteem asemele installeerida. Mõningad arvamused siiski on – võimaliku vahelejäämise kartuses püütakse peita kõik jäljed, et edasine analüüs muutuks raskemaks. Samuti võib tegu olla kavalusega – arvuti rikkumisega püüab kräkker aega võita, et teostada kuritegelikke rahaülekandeid, ilma et kasutajal oleks pääsu internetti, et kahtlaseid tehinguid juhuslikult märgata. Näiteks aprillis 2009 hakkas  abuse.ch analüütik Roman Hüssy jälgima ühte Zeus kontrollserverit, mille botnetvõrgustikku oli ühendatud 100 000 nakatunud süsteemi, kui ta üllatusega märkas, et kontrollserver andis käsu KOS – 100 000 arvutisüsteemi surmati peaaegu üheaegselt.

Kuidas arvutit kaitsata

Ehkki https://zeustracker.abuse.ch/ andmetel on viirusetõrjetel botnettide avastamise määr kõigest 47, 11% (1.mai 2010 andmetel ) ja uusima Zeus Builder tööriistad teevad avastamise veelgi raskemaks, siis ikkagi tuleb järjepidevalt värskendada viiruse-ja nuhkvaratõrjeid viimaste signatuuridega. Kindlasti tuleb uuendada ka operatsioonisüsteemi viimaste turvapaikadega ning ka arvutisolevat tarkvara tuleb uuendada viimaste versioonide vastu.

Kindlasti ei tohi avada kahtlaseid e-maili manuseid ega klikkida igal lingil, mis nendes pakutakse. Sotsiaalsetes suhtlusvõrgustikes nagu Facebookis jne ning veebilehtedel surfates ei ole vaja klikata igale reklaamaknakesele ega laadida arvutisse kahtlaseid faile.

Töökohtades online pangatehinguid sooritades püüa seda teha alati arvutis, mis ei ole üldkasutuses. Mõned pessimistlikumad turvaspetsialistid soovitavad firmadel kaaluda isegi alternatiivsete opisüsteemide kasutuselevõttu just nimelt ja ainult pangatehingute tegemiseks ning eriti tähtsa info hoidmiseks, ent minu arvates on see liiast, ehkki tuleb tunnistada, et nutikas pakkumine. Seda enam, et väidetavalt suudab Zeus troojalane vahetult enne krüpteerimist teha andmetest koopiad, kuni need saadetakse läbi turvalise SSL-ühenduse teele.

PDF-dokumendiga võib saada viiruse

18. detsember 2009

RIA hoiatab järjekordse Adobe Acrobat Readeri turvaaugu eest, mille kaudu küberkurjamid teie arvuti üle kontrolli võivad saada.

Enamik meist kasutab PDF-dokumentide lugemiseks Adobe Acrobat Reader’it. Äsja jõudis laiema ülduseni teave selle rakenduse järjekordsest veast, mida küberkurjategijad kasutavad oma botnet’idele uute liikemete „värbamisel“. Kuna see turva-auk on seotud JavaScripti toega PDF’des, on viiruste ennetamiseks tõhus meede JavaScript Adobe Readeris üldse välja lülitada. Selleks tuleb Acrobat Readeri seadistuste lehel eemaldada linnuke valiku „Enable Acrobat JavaScript“ eest (seadistuste lehele jõuab Edit -> Preferences -> JavaScript).

Vihje pahadokumendile võib anda see, et avatud dokument sisaldab täiesti suvalist teksti või puudub sisu sootuks. Kui juhtumisi sai siiski nakkust edasiandev PDF avatud, siis tasub järgida tavapärast tõrjerutiini: käia arvuti üle erinevate viirustõrjujatega, võimalusel kasutada IT-professionaalide abi.

Üks pahalane, kes turva-auku kasutades arvutisse ronida võib, on meie eelnevates teadetes peaesinejaks olnud Zeus – rahamaias pahavara(s). Viimasel ajal on seda botnet’i kasutatud krediitkaardi andmete väljapetmiseks. Selleks saadavad nakatunud arvutid välja massiliselt e-kirju, milles palutakse kliendil tühistada krediitkaarditehingud. Selleks on vaja kõigest klikkida linki kirjas, millelt avaneb – üllatus-üllatus – veebileht, kus palutakse sisestada enda krediitkaardi andmed. Ilmselgelt on peale liba-veebilehele andmete sisestamist vaja kaardiomanikul suhelda tõelise pangaga, tõeliste tehingute tühistamiseks.

Adobe ise on turvaaugust teadlik, kuid ilmselt selle aastanumbri sees paiku välja ei saada.Lisaks Javascripti väljalülitamisele võiks kaaluda ka alternatiivsete PDF-i lugejate kasutamist.

Microsoftilt 2009. aasta võrguohtude ülevaade

4. november 2009

Microsoft on uurinud oma pahavaravastaste tööriistade logisid ning koostanud nende põhjal ülevaate 2009. aasta esimeses pooles kinnipüütud pahavarast.

Täiesti ootuspäraselt jõuavad uurijad järeldusele, et mida uuem ja lapitum tarkvara, seda väiksem on tõenäosus, et mõni pahalane end sellest läbi murrab.

Levinuim pahavaraliik on jätkuvalt troojalased, kuid võimsa tagasituleku teinud ussid on tõusnud auhinnalisele teisele kohale. Jätkuvalt tõusuteel on nuhkvara, eriti selline, mis varastab elektronpanganduse ja onlain-mängude ligipääsuandmeid.

Eesti kohta kirjutatakse, et võrreldes 2008. aastaga on nakatunud arvutite arv veidi vähenenud – kui 2008. aasta II poolaastal eemaldati pahavara 0,53%-st Eestis asunud arvutitest, siis 2009. aasta I poolel 0,43%-st (Soomes vastavalt 0,26% ja 0,19%, Lätis 0,62% ja 0,58%, Venemaal 2,11% ja 1,5%).

Pahavara või õngitsemisskeeme sisaldavaid veebilehekülgi leiti Eestis olevat 0,034 ühikut 1000 internetti ühendatud arvuti kohta (Soomes 0,007, Lätis 0,086, Venemaal 0,934, Bangladeshis 23,861).

Ülevaate koostamisel kasutati Microsofti viirus- ja spämmitõrjetööriistade, otsimootori Bing ja Exchange’i tõrjesüsteemide andmeid.

Tai politsei veebileht rünnaku all

13. oktoober 2009

Trendmicro kirjutab oma blogis, kuidas Tai politsei ning muid kõrgeid veebilehti muudeti küberkurjamite poolt nii, et neid külastades viiakse külastaja hoopis teisele lehele. See teine leht sisaldab endas pahavara (põhiliselt libatõrjeid), mis asuvad vahvasti arvutikasutajat viiruste eest kaitsma. Nagu libatõrjete puhul tavaline, küsitakse selle eest  raha ning spämmitakse arvutikasutaja oimetuks teadetega “Virus found! Get full protection” ja muud seesugust.

Libatõrje
Tüüpiline libatõrjuja