themes theme jeux izle-videolar ruya tabirleri logohaberleri sinema ruya

Artiklid alates ‘Pahalased’ rubriigist

Conficker on nakatanud 6 miljonit arvutit

22. mai 2009

Turvatarkvara tootja Kaspersky Labs hindab, et Confickeri-nimeline uss on nakatunud üle maailma juba 6 miljonit arvutit. Ainuüksi Hiinas on umbes 2.7 miljonit Confickeriga nakatunud arvutit.

Ussi esialgne ja veel üsna toores variant hakkas levima 2008 aasta lõpus. Nüüdseks on see tarkvarajupp teinud väga suure arengu. Confickerit saab käsu peale panna “DDoS-ima”  kasvõi Arvutikaitse.ee veebisaiti.

Rohkem Confickerist http://www.arvutikaitse.ee/?p=1881

Nuhtlus nimega Conficker

10. mai 2009

Juba 2008 aasta novembrist on kogu maakera internetikasutajaid kimbutanud uss nimega Conflicker. Kuna tegu on maailma ühe suurima, 1gusano1kurikuulsaima ja enim kõneainet pakkunud  botnet-võrgustikuga, siis on elementaarne, et sellest ollakse vähemalt poole kõrvaga kuuldudki.

Aga kuidas kusagil.  Olin 12 liikmelises seltskonnas, kus pahaaimamatult arvutiteemadele laskudes alustasin juttu Confickerist (alias Downadup,  Downup või Kido). Mulle vaadati otsa nagu võõrkeelt rääkivale kodanikule ja palju ei puudunud, et oleks küsitud – millega seda confickerit süüakse, kas pulkade või kahvliga?  Väga võimalik, et nüüd oled ka sina, hea lugeja, oma seltskonnast ainuke, kes sellest ohtlikust elajast on kuulnud…

Kokkuvõtvalt uss-viirus Confickeri kohta

Conficker on viirus, mis loob nakatunud arvutitest üle maailma salajase infrastruktuuri, ühtse löögirusika, mida kontrollivad küberkurjategijad.  Arvatakse, et kurjategijaid on mitu, ent kindlalt ei teata. Eeldatakse, et üksikisik niivõrd kõrgetasemelise ja levikualalt mastaapse ussi loomisega ning selle kontrolli all hoidmisega hakkama ei saaks. » Loe edasi: Nuhtlus nimega Conficker

Kuidas eemaldada keylogger?

16. märts 2009

Tiina küsib: “Kas oskate aidata, kuidas eemaldada arvutist keylogger?”

Keyloggeri ehk klahvinuhi eemaldamiseks pole tegelikult vaja erilisi teadmisi ega oskusi. Parim ning kindlaim viis on proovida  erinevaid pahavaratõrjujaid ning loota, et klahvinuhk leitakse. Selleks soovitaksin programme nagu Malwarebytes Anti-Malware ning Superantispyware.

Kui eelnimetatud programmid probleemi ei lahendanud ega kahtlusi hajutada ei suutnud, siis võib proovida ka Prevx CSI’d. Tegu on lihtsa tarkvaraga, mis kontrollib arvuti mõne minutiga kõiksugu pahavara suhtes  üle ning kuvab siis tulemused. Pahavara eemaldamiseks on vaja küll litsentsi, aga vähemalt näeb ära, kas arvutis leidub veel pahavara või mitte.

Vaat et kõige paremini tuvastab klahvinuhi tulemüür, näiteks Comodo Internet Security koosseisus olev Comodo tulemüür. See annab teada, kui tundmatu rakendus (näiteks klahvinuhk) tahab luua ühendust FTP või veebiserveriga, et sinna siis kogutud infot saata. Nime järgi võib leida kahtlase faili asukoha ning selle siis käsitsi kustutada. Kahtlase protsessi või faili kohta saab infot näiteks Google otsinguga.

Seniks aga, kui Te kahtlete et klahvinuhk teeb siiski teie arvutis oma tööd edasi, soovitan kasutada programmi nimega Keyscrambler Personal. Priit Aasmäe on sellest ka siin kirjutanud. Programm muudab klahvivajutused krüpteeritud sümbolite jadaks, millega klahvinuhil pole midagi peale hakata.

Tasuta viirusetõrjete päästeplaadid

25. veebruar 2009

Uuema põlvkonna viirused ja troojad nõuavad  uusi ja paremaid lahendusi nende kahjutustamiseks. Üllatav pole enam see, kui pahalased 1rescue-disks3 suudavad vältida online viirusskännereid või muuta töövõimetuks  portatiivsed ehk kaasaskantavad pahavaratõrjed.

Loomulikult ei maksa neid abivahendeid unustusehõlma jätta, aeg-ajalt tuleks arvuti  nendega ikka üle kontrollida, ent tunduvalt efektiivsemateks tõrjevahenditeks on saamas viirusetõrjetootjate poolt loodud päästeutiliidid (rescue disk). Kodulehtedelt tuleb arvutisse tirida päästeutiliidi valmistamisfail (.iso, .exe või .run ) ja seejärel see CD-le kõrvetada. Viiruse rünnaku korral, aga miks mitte ka seni avastamata pahalase kõrvaldamiseks tuleb buutiv päästeplaat CD/DVD-lugejasse asetada ning järgida edasisi juhiseid. Kuna utiliit laetakse üles enne Windows opisüsteemi sisenemata, siis kurivaral on raske end peita või utiliiti rikkuda.  Samuti on eraldi käivitatud keskkonnas lihtsam pahalast eemaldada, kuna paljud pahalased suudavad end arvutis olevasse opsüsteemi sügavale sisse kaevuda ning ennast sinna lukustada.

Tavakasutajale võivad need tööriistad esmapilgul keerulised tunduda,  sageli ei osata ka arvutisse tiritud  .iso failiga midagi peale hakata, ent kõik on õpitav ning vaieldamatult  saab neist päästevahenditest seni kindlaim viis pahalaste ohutukstegemisel. » Loe edasi: Tasuta viirusetõrjete päästeplaadid

Messengeri viiruste eemaldajad

16. veebruar 2009

2msnvirus1

Paljud meist on kokku puutunud MSN-is liikvel olevate usside ja viirustega – mõni neist  ohtlikum, teine käib lihtsalt närvidele. Õnneks on saadaval ka mõned spetsiaalsed tööriistad MSN-is ja ka teistes suhtlusprogrammides levivate kurjamite eemaldamiseks.

MSN Photo Virus Remover on äärmiselt lihtne ja kiire vahend MSN-i teel levivatest pahalastest lahtisaamiseks. » Loe edasi: Messengeri viiruste eemaldajad

Arvutikaitse 2009-2010

22. detsember 2008

Ennustamine on üks ääretult tänamatu tegevus. Kuid arvestades praegust olukorda ja trende tasuks siiski ettevaatavalt analüüsida järgneva 12-24 kuu olukorda arvutiturvalisuses.

Arvestades, et majanduslangus jätkub veel terve 2009. aasta, võib arvata, et kuritegevus sellevõrra kasvab,  seda nii tava- kui  kübermaailmas. Tõenäoliselt hakkab majandus 2010 vaikselt jalgu alla saama, samas, tulenevalt väikesest ajalisest nihkest, jätkub ka kuritegevuse kasv.

Põhihuvi on raha

Arvutimaailmas saab põhiliseks trendiks erinevat liiki küberkuritegevus. See tähendab, et jätkub ja kasvab eelkõige kiiret tulu lubavad asjad, nagu krediitkaardipettused ja spämmimine. Spämmi hulgas kasvab tõenäoliselt eelkõige kõikvõimalike „Nigeeria kirjade” ja püramiidskeemide reklaami hulk. Samuti muutub nende arsenal järjest kavalamaks.

Kodukasutajad löögi all

Infovargused ja spämmimine vajavad neutraalseid tugipunkte. Parmad sellised kohad on pahalaste poolt kontrollitavad kodukasutajate arvutid ehk botid. Seda arvestades võib oletada, et internetis kasvab pahavara hulk. Ülima tõenäosusega on esmasteks ründajateks teised botid, kuid ilmselt kasvab pahavara hulk ka Web2.0 rakendustes. Eelkõige kasutatakse siin ära kasutajate ja blogijate teadmatust.

Viiruste renessanss nutitelefonides

Arvestades, et järgneva mõne aasta jooksul kasvab internetivõimeliste mobiilseadmete hulk, on tõenäoline, et kasvab spetsiaalselt nende jaoks kirjutatud pahavara hulk. Umbes 10-15 aastat tagasi, kui internetiühendus toimis veel modemi abil, üritati arvutisse sokutada viiruseid, mis käskisid modemil helistada tasulistele numbritele. Arvestades, et nn nutifonid on oma olemuselt arvuti ja telefoni hübriidid, võib oletada, et need vanad viirused otsitakse uuesti välja ja kirjutatakse nutifonide jaoks ringi. Selliste helistamisseadmete risk on eelkõige selles, et ta hakkab ilma kasutaja teadmata helistama mingitele tasulistele numbritele (eestis näiteks 900- algavatele).

Pannes kokku kodukasutajate mobiilseadmed ja botid, saame mobiilse botneti. Tõenäoliselt ilmub esimene selline botnet aastal 2010. Ilmselt kasutatakse sellist mobiilset botneti eelkõige kasutajate andmete õngitsemiseks aga samuti ka arvutiviiruste levitamiseks.

Viirused muteeruvad

Tõenäoliselt muutuvad kavalamaks ka arvutiviirused. Juba mitu aastat on ennustatud multiplatvormsete arvutiviiruste laiemat levikut (esimesed on juba olemas). Tõenäoliselt saavad esimesteks sellisteks multiplatvormseteks viirusteks mobiilseadmete ja „päris” arvutite vahel liikuvad viirused. Tõenäoline on, et viirused kirjutatakse muteerumisvõimelisemaks, mis omakorda tähendab seda, et nende avastamine muutub raskemaks.

Viiruste kirjutamise ja levitamise põhiliseks eesmärgiks saab kasutajate andmete õngitsemine. See tähendab, et kasvab andmete varguste hulk. Saadud andmeid hakatakse kasutama eelkõige identiteedivarguseks, sealhulgas krediitkaardipettusteks.

Midagi head?

Sellise pessimistliku prognoosi peale võib küsida, et kas midagi paremaks ka läheb. Arvatavasti läheb aastatel 2009-2010 paremuse poole P2P võrgustiku olukord. See tähendab, et nende võrgustike kaudu edastatava pahavara hulk tõenäoliselt väheneb.  Eelkõige on põhjuseks toimiva viirustõrje kasutamise kasv.

Kuidas ennast kaista?

Kuidas kasvava küberkuritegevusega hakkama saada ning järjest metsikumas Internetis ellu jääda? Esiteks peavad arvutikasutajad teadvustama, et riskid järjest kasvavad. Teiseks peavad arvutikasutajad mõistma, et turvalisus sõltub eelkõige neist endist – et iga arvuti kõrvale ei ole võimalik panna eriteadmistega küberpolitseinikku. See tähendab omakorda, et kasvama peab arvutikasutajate teadlikkus ja hoolsus. Selle arvutikasutajate teadlikkuse tõstmise eest üritab Arvutikaitse hoolitseda ka järgneval aastal.

Netiuss ehitab uut botnetti

3. detsember 2008

Nagu Computerworld uudisest lugeda võib, on liikvel uus ussike, mis kasutab Windowsi turvaauku uue botneti ehitamiseks. Hetkel on TrendMicro spetsialistide hinnangul on nakatunud juba pool miljonit arvutit ning nakatunute arv kasvab suure kiirusega.

Microsofti poolt on augu jaoks lapp välja lastud juba oktoobri lõpus, nii et tegelikult kasutatakse ära hooletuid arvutiomanikke, kes pole seda lappi oma arvutile instaleerinud. Tasub märkida, et ohustatud on praktiliselt kõik Windowsi operatsioonisüsteemid.

Ohu vältimiseks on vaja alla laadida ja paigaldada operatsioonisüsteemi uuendused. Seda on võimalik teha Windows Update lehe kaudu.

McColo-Srizbi spämmiva botneti tagasitulek

27. november 2008

Ülisuur McColo spämmibotnet, mille arvele langes parimatel hetkedel 50-75% ülemaailmsest spämmihulgast ja mis suleti juba kaks nädalat tagasi, tõusis üleeile varjusurmast.

FireEye Inc andmetel võtsid pahavaraga (Srizbi Trojan: Troj/RKAgen-A, Srizbi Rootkit:W32/Agent.EA jt) nakatunud arvutid ühendust Eestis asuvate Srizbi botneti kontrollserveritega, et teha nakatatud Windowsi-põhistes arvutites pahavaralisi versiooniuuendusi. Pahavara versiooniuuendus oli nakatatud arvutites eluliselt tähtis just sellepärast, et Srizbi botneti uued omanikud saaksid üle võtta “surnud” McColo-Srizbi botneti kontrollserverite tsentraalhalduse.

Huvitav ja (ebameeldivalt) üllatav on antud juhtumi puhul see, et paarisaja Srizbi botneti uute domeeninimede hulgas olid ka Eestis asuvate kontrollserverite IP aadressid.

Millised olid Eestis asuvate Srizbi botneti kontrollserverite IP aadressid ja domeeninimed?
FireEye Inc. andmetel olid need järgmised:

Domeeni nimi: prpoqpsy.com
IP aadress: 92.62.100.4

Domeeni nimi: gffsfpey.com
IP aadress: 92.62.100.9

Domeeni nimi: oryitugf.com
IP aadress: 92.62.100.12

Domeeni nimi: ypouaypu.com
IP aadress: 92.62.100.13

Tänu Eesti asjaomaste institutsioonide operatiivsele tegutsemisele pole antud hetkel need IP aadressid enam Internetis pingitavad ega anna nimelahendusi.

Tasub märkida, et kõik ülalmainitud domeeninimed on registreeritud kellegi kodanik Ulugbek Asatopov`i nimele, kelle kontaktiks on  Türgis Ankaras asuv aadress ja e-postiks mail.ru konto. Nende domeenide nimeserverid (ns.tsr.ru, ns4.tsr.ru) aga asuvad Venemaal  ning kuuluvad omakorda Moskvas asuvale firmale STC TeleCom Service JSC (TeleCom Service).

Kuid ülalmainitud domeenide IP aadressid seevastu kuuluvad hoopis Eestis asuvale infotehnoloogiafirmale Starline Web Services, mis pakub e-äri, veebidisaini ja virtuaalserverite teenuseid.

Nüüdsel it-ajastul võiksime õigustatult enda käest küsida, kuidas on ikka võimalik, et Internetist mahavõetud ülimassiivne rahvusvahelise haardega  botnet suudetakse lühikese ajaga uuesti püsti ajada ning seda läbi sadade tuhandete nakatatud arvutite tarkvaraliselt uuesti värskendada, taastades seeläbi uue kontrollserverite keskhalduse?

Istume siin kodu- ja tööarvutite taga ning saame oma e-postkasti jätkuvalt suurtes kogustes spämmi. Ja juhul kui me seda spämmi otseselt ei saa, siis ikkagi kurdame aeglase internetiühenduse üle. Mis tuleneb sellest, et seesama “pikendustega” spämm koormab ja tekitab pudelikaelu meie arvutivõrkudes, ruuterites, tulemüürides ja spämmifiltrites.

Internetis on liikvel uudiseid, mis väidavad et Eestis asuvate botnet kontrollserveritega võttis ühendust ligikaudu 100 000 nakatunud arvutit. Srizbi botneti kuulub üle 300 000 nakatunud arvuti. Paraku ei näita nakatunud arvutite statistika internetis mitte kahanemistendentsi.

Botipesa McColo – järelhüüe

19. november 2008

Vähem kui nädal tagasi lülitati Internetist välja küberkriminaalide laiaulatuslik spämmi-, pahavara- ja botnetvõrgustik. Seda hoidis üleval USA-s paiknev veebihostingufirma McColo Corporation.

McColo`le on esitatud järgnevad raskekaalulised süüdistused: lastepornograafia levitamine, krediitkaardipettused (muuhulgas hostis Sinowali kontrollservereid), spämm (kõikvõimalikud pikendajad jms), pahavara (nt. webscannertools.com), anonüümsed proxy serverid (nt. proxy.fraudcrew.com) ja botnetvõrgustikud (nt. Rustock). Teadaolevalt asub Rustock botnetis üle 150 000 pahavaraga nakatunud arvuti.

McColo “teeneks” Internetis oli ka see, et tema ülemaailmne spämmi tekitamise turuosa oli 50%. Mõnedki sõltumatud infoturbespetsialistid on oma uurimustes väitnud aga seda, et see ülemaailmne spämmi protsent küündis McColo puhul 75%-ni.

McColo Corporation’i hallatav aadressivahemik Internetis oli 208.66.192.0/22 ja 208.72.168.0/21. Nende kodulehekülg www.mccolo.com ja teised sealsed hostid on praegu maas ning ei vasta enam välismaailmale.

Kes on ja olid McColo taga olevad inimesed?

Internetifoorumitest võib lugeda, et firma McColo Corporation loojaks peetakse 19-aastast Moskva tudengit. Erinevates infoallikates on teda kutsutud nimedega Alexey, Nikolai ja Kolya . Hüüdnimedeks on tal “McColo”, “Kolya-McColo” ja “Alexey Bladewalker”. Eriti tabav on minu meelest viimane hüüdnimi “Alexey Bladewalker”, sest McColo firma ise kõndis ju aastaid noateral 🙂

McColo vaimne isa “Kolya-McColo” ise hukkus traagiliselt 2007 aastal autoavariis Moskvas. Ellu jäi tollel korral BMW autoroolis istuv Kolya-McColo sõber, küberkriminaal hüüdnimedega “Jax”, “Jux”, kes ise kuulus “kidala” (fraudster) põrandaalusesse kommuuni.

Kas me nüüd tõesti saime “McColo Corporation” puhul lahti lastepornost, krediitkaardipettustest, spämmist, pahavarast ja botnetvõrgustikest?

Vaevalt küll, sest on juba teada tõsiasi, et “McColo” hüljatud lapse “Rustock” botnetvõrgu on juba jõudnud lapsendada Moskvas asuv Rial Com JSC [62.176.17.200]. Võib arvata, et lühikese aja jooksul jagatakse ja ostetakse Internetis küberpättide poolt üles kõik ülejäänud McColo “hüljatud” botnetid: Asprox, Warezov, Pushdo/Cutwail, Mega-D/Ozdock ja Srizbi. Näiteks Srizbi botneti kuulub rohkem kui 300 000 pahavaraga nakatunud arvutit.

McColo Corporation jäi oma pahategudega lõplikult vahele tänu Security Fix’i ja Brian Krebs’i ennastsalgavale uurimustööle.

McColo Corporation-i pahalaste põhjalikum ja detailsem *.pdf raport asub siin.

MSN-i uss lollitab veebikaameraga

11. november 2008

Täna oma MSNi sisse logides leidsin eest halva üllatuse. Taaskord oli üks mu sõpradest langenud MSNi uue ussi küüsi. Mulle pakuti klikkimiseks linki, mille peale püüdis parasiit mind seesuguse teatega lollitada:


Jällegi nõutakse, et installiksin “salakaameraga lindistatud video” mängimiseks Flash Playeri.
Video all olevale lingile klikkides tõmmatakse ja installitakse arvutisse tundmatut liiki pahavara, arvatavasti troojalane, mis muudab süsteemiseadeid ja tõmbab käima mõned lisaprotsessid.
Pildil on selgesti näha, et NoScript, mida Firefoxi lisana kasutan, on blokeerinud Java rakenduse – vähemalt iseenesest ta minu arvutisse ei pääse 🙂

Aga teie parem ärge niisuguseid linke klikkige, kui aga uudishimu kangesti vaevab, küsige enne sõbra käest üle, mida ta teile saatis.