themes theme jeux izle-videolar ruya tabirleri logohaberleri sinema ruya

Artiklid alates ‘Pahalased’ rubriigist

Sinowal on varastanud tuhatkonna Eesti arvutikasutaja andmed

5. november 2008

CERT Eesti on kokku löönud käesoleva aasta algusest Eestis levima hakanud Sinowali-nimelise troojalase põhjustatud kahju.

Eesti võrguturvajate hinnangul on Eestis umbes tuhatkond troojalase Sinowaliga nakatunud arvutit, mille kasutajate andmed on suure tõenäosusega jõudnud ka kurikaelteni.

CERT Eesti infoturbe ekspert Tarmo Randeli sõnul on Sinowal ohtlik pahalase märkamatu tegevuse tõttu. „Kerge on märgata varast, kes murrab lahti ukse ja lõhub aknaklaasi. Kui vargus toimub nii, et silmnähtavalt midagi ei muutu, on isegi varguse toimumise hetke raske tuvastada, rääkimata osalistest“.

Sinowal kogub nakatunud arvutitest näiteks kasutajate pangakontode ja paroolide andmeid ning saadab need arvutit kontrollivatele kurjategijatele. Ühtlasi talitab ta tavapärase troojalasena, avades kurjategijale vaba pääsu arvutisse.

Sissevaade röövlikoopasse

21. oktoober 2008

Pidžaamas oma arvutiekraani ees küürutades teenib “Frank” rohkem raha kui mõni osalise tööajaga narkodiiler. Frank ei pea isegi muretsema kinninabimise pärast ega isegi kodust lahkuma.

Pidevalt oma tegevuse jälgi internetis keeruliste serverisüsteemidega varjates on ta üks lüli globaalses küberkurjategijate jõgus. Koos riisuvad nad pahaaimamatutelt internetikasutajatelt miljardeid dollareid.
Selleks ei kasuta nad midagi muud kui kui tavalist internetti, tasuta tarkvara ja oma vaba aega.

Anonüümsust säilitades räägivad tema ja teised kogenud kurjamid, et pankade katsed krediitkaardivargustele kätt ette panna on mõttetud, arvestades kergust, millega nende klientide arvuteid saab nakatada.

Tänapäeva e-kaubanduse maailmas võid sa oma pangaandmed kaotada ka siis, kui külastad tavapäraseid ja enda arvust turvalisi lehekülgi. Häkkerid kasutavad tööriistu, mis automaatselt otsivad veebisaitide turvaauke. Kui selline lehekülg leitakse, võidakse selle andmebaasi kerge vaevada lisada paar rida pahatahtlikku koodi. Kui nüüd keegi kaaperdatud lehekülge külastab, suunatakse ta pahatahtliku koodi abil teisele leheküljele, mis sisaldab järjekordset pahavara. See aga nakatab arvuti troojalasega, mis avab pätile vaba ligipääsu ohvri arvutisse.
Lisaks mitmetele teistele vastikutele lisadele, näiteks botneti liikmeks olemisele, saadab pahavara iga kasutaja poolt tehtud klahvivajutuse oma peremehele. Kui need klahvivajutused juhtuvad sisaldama pangaparoole, võib asi väga kurvalt lõppeda.

“Sa kirjutad käsureale lihtsalt “.card” ning see näitab sulle kõikide krediitkaartide andmed, mida on nakatunud arvutis kasutatud”, rääkis Odin Evilzone.org häkkerite foorumis, kus paljud pahandusetegijad äritsevad.

Viirustõrjetarkvarad on küll pidevalt pahavaraga sõjatandril, et ka kõige uusimaid viiruseid tuvastada ja kasutajaid kaitsta, kuid ka kõige tihedamini uuenduvad viirusetõrjed ei suuda pakkuda piisavat kaitset värskemate viiruste vastu. Näiteks üks pahavaraliik, uss, levitab ennast vajadusel automaatselt spämmiga, MSNi kaudu ning ka p2p võrkudes, näiteks Lime Wire’s.

Loe edasi stuff.co.nz-st.

Pahavara maskeerib end turvapaikadeks

21. oktoober 2008

Kuna kasutajad on harjunud, et kord kuus laseb Microsoft välja Windowsi uuenduste paketi, kasutavad kurikaelad seda harjumust ära, et pahavara kübermaailma lennutada.

Paljud internetikasutajad on saanud oma postkasti teateid, mille saatja olla just kui Microsofti turvadirektor Steve Lipner. Spämm sisaldab ka ühte .exe faili, mis väidetavalt on “an experimental private version of an update for all Microsoft Windows OS users” ehk teisisõnu kõikidele Windows OS-i kasutajatele mõeldud ekperimentaalne uuenduste privaatversioon. Kasutajatel käsitakse see kiiruga installida, et kaitsta oma arvutit turvariskide vastu, ning ka jõudlusprobleemide puhul.
Kui kasutaja selle “uuenduse” installib, nakatub tema arvuti troojalasega. Microsoft kinnitab, et ei saada kunagi uuendusi laiali e-mailide abil.

Asus Eee lauaarvuteid müüdi koos viirusega

20. oktoober 2008

Asus hoiatab, et nende populaarse Eee PC lauaversioon Asus Eee Box tarniti Jaapanisse koos viirusega (Vaata ka teate ingliskeelset kokkuvõtet).

Madala hinnaga Asus Eee Box, mis on mõeldud piltide vaatamiseks, e-mailide saatmiseks, internetis käimiseks ja muudeks igapäevasteks ülesanneteks, tuli Jaapanis müügile eelmisel nädalalal. Asus aga hoiatas kasutajaid, et selle D-ketttal avastati viirus “recycled.exe”. Kohe pärast ketta poole pöördumist hakkab viirus ennast kopeerima C-kettale ja mujale, näiteks irdmälu ja teised USB kaudu ühilduvad seadmed.

Asus pole siiamaani täpsemalt teatanud, kuidas Eee Box’id nakatusid ning kui laialdaselt nakatunud arvuteid müüa jõuti. Näiteks McDonald’s süüdistas kunagi auhinnaks jagatud mp3 mängijate viirusega nakatamises oma Hongkongi allhankijat.

Eestis ei ole Eee Box’id teadaolevalt veel eriti levinud.

Zombikatku uus laine

29. september 2008

Shadowserver Foundation, mis muuhulgas tegeleb zombivõrkude jälgimisega, teatab, et on viimase kolme kuu jooksul täheldanud nakatunud arvutite hulga kolmekordistumist nende jälgitavas võrgusegmendis.

Kui käesoleva aasta juunis oli Shadowserverile teada 100 000 zombistunud arvutit, siis augusti lõpus oli sama botnet kasvanud juba 450 000 arvutini. Põhiosas nakatuvad arvutid pahatahtliku koodiga veebilehe külastamisel, reeglina kasutatakse nakatamiseks turvaauke arvutikasutajate veebibrausereis. Piisab, kui lappimata brauser lubab käivitada jupi koodi, mis kontakteerub pahatahtliku serveriga, tirib alla pahavara ülejäänud komponendid ning võtab arvuti üle täieliku kontrolli.

Sellistest kontrolli all olevatest arvutitest moodustatud võrku ehk botnetti laenutavad kurjategijad kas täies mahus või jupikaupa kas spämmi saatmiseks, teiste võrkude ründamiseks või pahavara levitamiseks. Kõige sellega kaasnevad suured rahasummad.

Paljud on nakatunud tänu legaalsete veebilehtede halvale turvalisusele. Samuti riskeerivad need arvutikasutajad, kellel on liiga vana ja/või turvapaikamata tarkvara. Uuematel brauseritel on paljude rünnakute vastane kaitse juba sisse ehitatud, samuti on neil peaaegu automaatne uuendamissüsteem, mis aga siiski võib nõuda kasutaja sekkumist. Sellepärast olge valvsad ning pange alati tähele, mida teie brauser teie käest küsib 🙂

Pahatahtik Firefoxi lisapakett FirestarterFox

29. september 2008

Mõningate uuemate pahavara variantidega võib kaasa tulla Firefoxi pahatahtlik lisapakett FirestarterFox. See kaaperdab kõik Google’i, Yahoo ning Windows Live’i otsingukeskuste kaudu tehtud päringud ning suunab need vene päritolu thebestwebsearch.net’i. Kus siis näidatakse näidatakse reklaame ning pahavara autor teenib sellega raha.

Allikas: Mischel Internet Security

Allikas: Mischel Internet Security

Õnneks ei installeeru see pahavara märkamatult – Firefox annab alati teada, et uus lisapakett on installeeritud.
Halvemal juhul tuleb selle pahalase eemaldamiseks kogu süsteem uuesti paigaldada. Kuna tegemist on mitte opsüsteemi, vaid Firefoxi-põhise lisapaketiga, siis teoreetiliselt suudab see töötada ka Linuxi ja MacOS-i all.

Live Messengeri uss Myfotoos

28. august 2008

ESET turvalabor annab teada, et liikvel on järjekordne uss, mis levib Windowsi Live Messengeri, aga võimalik ka, et MySpace’i, Orkuti ja muude selliste suhtluskohtade kaudu. Ohustatud on MSNi, AIMi ning Tritoni kasutajad.

Nakatunud arvuti saadab Messengeri kontaktilistis olevatele adressaatidele järgmise hispaaniakeelse sõnumi: “Yo creo que esta es tu fotografia! (järgneb link, mida vajutades saab ussi alla tirida)”

Ehk siis teate saatja olevat leidnud sinu pildi ning tahab, et sa seda vaataksid. Kasutajaid, kes seda teevad, küsitakse luba faili allalaadimiseks ja jooksutamiseks. Allatiritud fail aga näitab teadet “Picture can not be displayed” ning ühtlasi nakatab ka arvuti.

Senituntud versioon sellest viirusest kirjutab windowsi kataloogi (C:\WINDOWS) faili winrofl32.exe ning lisab selle ka registrisse, et fail ikka iga taaskäivitamise järel automaatselt käima tõmmataks. Edaspidi on nakatunud arvuti IRC botneti osa.

Ussi levitava teate sõnastus, sisu, isegi keel võivad muutuda. Samuti võidakse muuta viirust ennast, et see viirustõrjujatele raskemini märgatavaks teha.

Vasturohuks vanad soovitused:

  • Ära ava/võta vastu tundmatuid faile, isegi kui need on sulle saatnud sinu sõber või tuttav.
  • Kahtluse korral küsi alati üle, mida sulle saadeti.

Libatõrjujate uus tulemine

25. august 2008

TrendMicro pahavarablogi hoiatab, et Põhja-Ameerika kandis on jälle liikvel võltsviirustõrjed. Ehk siis kasutajaid ehmatatakse teatega, et tema arvutis on viirus, ning selle hävitamiseks pakutakse allalaadimiseks “viirustõrjet”. Viimase allasikutamise ja käivitamise järel raporteeritakse küll edukast “viiruste” kustutamisest, kuid arvuti on nüüd nakatunud uute, sedakorda tõeliste pahalastega.

Praeguse libatõrjujate laine puhul on iseloomulik see, et kasutajad juhatatakse veebilehekülgedele, millel on tõepoolest pahavara. Viimane käitub ka nii, nagu ühelt pahavaralt oodatakse: avab hüpikaknaid, muudab arvuti taustapilti ning üritab kasutajat kõikvõimalikel viisidel veenda, et tema arvuti on nakatunud. Pakutav tõrjuja üksnes kontrollib süsteemi, “viirusest” lahtisaamiseks tuleb viirustõrje täisversiooni eest maksta teatud rahasumma.

Kui tavalliselt saadetakse libatõrjujaid sisaldav pahavara või lingid sellele laiali spämmi abil, siis praeguse laine puhul kasutavad libatõrjujate levitajad otsimootoreid, tekitades vastavate skriptide abil oma pahavara sisaldavatele saitidele teenimatult kõrgeid reitinguid (mille tulemusena näidatakse neid otsitulemustes eespool).
Näiteks kui sisestada otsingufraas “changes on the river amazon”, kuvatakse meile teiste seas

Allikas: Trendmicro

Allikas: Trendmicro

Kuvatav sait on küll puhas, kuid mitmesuguste ümbersuunamistega viiakse kasutaja pahavara levitavale leheküljele, mis kuvab seesuguse teate:


Pop-upid soovitavad kasutajal, kes muidugi tahab nendest “viirustest” lahti saada, tõmmata liba-viirusetõrje Antivirus 2009.

Allikas: Trendmicro

Allikas: Trendmicro

Klikkides OK nõustub kasutaja “tasuta skänniga”. Kui tähele panete, siis pop-up isegi väidab, et allalaetav fail ei sisalda pahavara(viiruseid, nuhkvara jms). Tore ju 🙂

Kasutajal soovitatakse alla laadida kas AV2009Install_880488.exe või setup_100722_3.exe, peale nende installeerimist peab ostma “täisversiooni”, et “viirusi” eemaldada. Pärast mida on teie krediitkaardi andmed muidugi libatõrjuja autori kätes, kes saab sellega teha, mis pähe tuleb.

Libatõrjujatest pikemalt siit. Antud programmiga saab neid ka eemaldada.

Veel üks libatõrjujate eemaldaja on SAS.

Pahatahtlikud veebisaidid eristuvad otsingumootorites tavaliselt karjuvate pealkirjadega “CLICK HERE! ALL INFORMATION!” või “CLICK HERE! WANT TO KNOW MORE ABOUT?” Parem on sellistele linkidele mitte klikkida.

10 miljonit viiruskirja päevas

15. august 2008

Google’i korporatiivkilentide blogis kirjutatakse, et käesoleva aasta juulis mitmekordistus viirust sisaldavate kirjade pealevool – Google’i korporatiivklientide e-kirju haldava Postini serverid püüdsid 24. juulil kinni ligi 10 miljonit viiruslisandiga e-kirja. Suure osa sellest viirusvoost moodustasid kullerifirma UPS saadetise jälgimise linki sisaldanud kirjad, mida klikkides laaditi arvutisse pahavara. Spämmijad saatsid laiali ka võltsidtud CNN-i uudiskirju, milles mõnede uudiste lingid olid täiesti toimivad, osad aga viisid jällegi pahavara allalaadimise juurde. Ära pole kadunud ka meilimanuses sisalduvad viirused: augusti algul saadeti laiali krüpteeritud RAR-manusega kirju.

Google kiidab muidugi eelkõige oma firma teenuseid pahavara tabamisel, kuid nende statistika põhjal võib arvata, milline pahavaravool ka teisi postiservereid tabada võis.

Blogspot.com kui pahavara allikas

28. juuli 2008

Viirustõrjefirma Sophos raporteeris, et 2008 aasta esimesel poolaastal leidsid firma andmeturbespetsialistid iga päev kuni 16 000 pahatahtlikku internetilehtekülge (mis teeb viis tükki sekundis).

Neid saite kasutavad pahatahtlikud tegelased on kas nende lehekülgede autorid või siis kuritarvitavad võõraid lehekülgi. Näiteks on nakatatud lehel HTML kood, millele  on paigaldatud 1×1 piksli suurune element. Lehekülge alla laadides konktateerub brauser serveriga mis jooksutab nakatunud skripte või koode.

Paljud nakatunud veebisaidid on täiesti seaduslikud, kuuludes näiteks mõnele 500-st mõjuvõimsaimast firmast või siis mõnele populaarsele sotsiaalsele võrgustikule nagu www.blogspot.com.

Blogijatele mõeldud internetileheküljed teevad viiruse levitamise lihtsaks, kuna lehe haldaja jääb  ananüümseks ning blogi on kerge ja odav valmistada.

Enim pahatahtlikke saite leiti Google’i hallatavast Bloggerist (www.blogspot.com), nentis Sophos. Üksnes see blogisait on koduks kahele protsendile pahavarast, mis ringleb internetis. Blogidesse ei saa riputada ainult pahavaraskripte: kriminaalsed ründajad saavad kommenteerides sisestada ka linke, mis viivad  pahatahtlikele lehtedele.

Google ütleb sellepeale, et nad võtavad seda asja väga tõsiselt ja töötavad visalt, et end ja omainternetilehti pahavara eest kaitsta. Kasutades Igasugune pahavara levitamine on Google’i saitide kasutustingimuste räige rikkumine. “Me töötame selle kallal, et meie võrgustikus olevad saidid oleksid pahavarast puhtad. Pahatahtlike lehtede leidmisel me kustutame need” ütles Google.

Seniks aga tasub odavaid laene ja muud kahtlast kraami pakkuvatest blogidest eemal hoida ning jälgida, et ka omaenda blogi kommentaarium püsiks rämpsust puhas.