themes theme jeux izle-videolar ruya tabirleri logohaberleri sinema ruya

Artiklid alates ‘Pahalased’ rubriigist

Kaspersky Lab hoiatab ohtliku krüptoviiruse eest

6. juuni 2008

Kaspersky Lab-i turvalabor avastas üleeile uue versiooni Gpcode viirusest. See erineb eelmisest Gpcode versioonist selle poolest, et kasutatakse eelmisega võrreldes tunduvalt keerulisemat, 1024-bitist võtit.
Viimane, 660-bitine võti õnnestus enamikel tutud viirusetõrjetel lahti murda, aga 1024 bitine võti on juba kõvem pähkel.
See viirus levib peamiselt spämmiga ja krüpteerib arvutis leiduvad tähtsamad (DOC, TXT, PDF, XLS, JPG, PNG, CPP, EXE jms) failid, nii et tavakasutaja neid enam avada ei saa. Avamise jaoks on aga vaja lahtikrüpteerijat, mida saab osta ainult viiruse autorilt.

Loe ka siit, siit ja seda.

Lisan veel Kaspersky Lab´i Eesti esindaja pressiteate:

TÄHELEPANU! Väga ohtlik viirus!

Menelon OÜ, Kaspersky Lab´i ametlik esindaja, teatab väga ohtliku viiruse – Gpcode – avastamisest.

Uue viiruse Virus.Win32.Gpcode.ak signatuur lisati viirustõrjebaasidesse 4. juunil 2008. Praegu pole võimalik kahjustatud faile dekrüpteerida, kuna viirus kasutab krüptimiseks lahtimurdmiskindlat RSA-algoritmi, mille võtme pikkus on 1024 bitti. Viirus krüptib paljudes vormingutes (DOC, TXT, PDF, XLS, JPG, PNG, CPP, H jt) kasutajafaile. Peale seda ilmub ekraanile ingliskeelne teade: “Teie failid on krüptitud RSA-1024 algoritmiga. Failide dekrüpteerimiseks on vaja salajast võtit. Selle saab osta aadressil: xyz@yahoo.com».

Kahjuks pole veel kindlaks tehtud viiruse levitamisteed, seetõttu soovitame lülitada sisse kõik kahjurprogrammivastased kaitsevahendid, mis teil on.

TÄHELEPANU! Kui te näete oma arvutis sellist teadet:

cpcode.png

…siis on seda arvatavasti rünnanud Gpcode.ak. Sellisel juhul üritage SÜSTEEMI TAASKÄIVITAMATA JA VÄLJALÜLITAMATA võtta meiega ühendust, kasutades teist internetiühendusega arvutit.

Kirjutage meile e-posti aadressil stopgpcode@kaspersky.com ja teatage nakatumise täpne kuupäev ja kellaaeg, samuti, mida te tegite arvutis viimase 5 minuti jooksul enne selle nakatumist: milliseid programme käivitasite, millist veebilehte külastasite. Me üritame aidata teile tagastada Å¡ifreeritud andmed.

Vaatamata tekkinud olukorra keerukusele, analüüsivad meie analüütikud viirust edasi ja otsivad võimalusi deÅ¡ifreerida faile ilma salajase võtmeta.

RSA-algoritm põhineb Å¡ifreerimisvõtmete jaotusel salajasteks ja avalikeks. RSA-algoritmiga Å¡ifreerimise printsiip kõlab: teate Å¡ifreerimiseks piisab vaid ühest avatud võtmest. Sellist teadet saab aga deÅ¡ifreerida vaid salajast võtit omades.

Sellel printsiibil põhineb ka viirus Gpcode. Ta Å¡ifreerib kasutajafaile omaenese kehas asuva avatud võtmega. Faile deÅ¡ifreerida saab ainult salajase võtme omanik ehk kahjurprogrammi Gpcode autor.

See pole esimene selline viirus, veel kaks aastat tagasi õnnestus Kaspersky Lab´il dekrüpteerida Gpcode eelmine versioon, mis kasutas 660-bitist RSA-võtit. Kuid seekord õppis kurjategija oma eelmistest vigadest ja ei korranud neid enam.

Kõik edasised täpsustused kajastuvad veebilehel: http://www.kaspersky.ee

Kuidas botnetiga raha teenitakse

26. mai 2008

zombivork.pngBotnetid on tegutsenud juba pea 10 aastat. Eksperdid on nende pärast ammu muret tundnud, kuid paljud tavakasutajad peavad botnettide probleemi ikka veel kaugeks ja mitte neisse puutuvaks. Selline muretus kestab seni, kuni nende võrguteenuse pakkuja ühendab neid võrgust lahti, nende pangaarvetelt on raha varastatud või nende emaili või MSNi paroole on kuritarvitatud.

Mis on botnet?

Kui arvuti nakatub nn tagaukse troojalasega, saavad küberkurjategijad nakatunud arvutit suure vahemaa tagant kasutada nii, et selle tegelik omanik ei märkagi, et midagi kahtlast toimuks. Tavaliselt nakatatakse korraga suurem hulk arvuteid, küberkurjategijate poolt kontrollitavate arvutite kogumit nimetatakse aga botnetiks.

Botnetil on ääretult suur jõud. Neid kasutatakse kui võimsat küberrelva, millega teenitakse suuri summasid. Botneti valdaja saab kontrollida oma botnetis olevaid arvuteid üle kogu maailma, jäädes ise anonüümseks ja arvuti tegelikele omanikele märkamatuks.

Kasutaja, kelle arvuti on botneti üks lüli, ei pruugi tavaliselt arugi saada, et tema arvutit kasutavad ka küberkriminaalid. Selliseid eemalt kontrollitavaid arvuteid nimetatakse ka zombideks, botnetti aga vahel ka zombide võrgustikuks.

Kuidas botnetti kasutatakse?

Botnetti saab kontrollida nii kaudselt kui ka otse. Viimasel juhul loob botneti valdaja ühenduse nakatunud arvutiga ning kasutab käske, mis on ehitatud tagaukseprogrammi sisse. Zombiarvuti võib ka ühendada ennast kas kontrollkeskusesse või siis teistesse botneti masinatesse, saadab päringu ja teeb seda mida tal teha käsitakse.

Botnetti saab kasutada laiaulatuslikeks rünnakuteks, näiteks valitsuste võrkude vastu, või lihtsalt spämmi laialisaatmiseks. Botneti “iva” seisnebki selles, et võrgus olevaid arvuteid võib olla tuhandeid ja see on liiga suur kogus, et neid igaühte eraldi blokeerida.

Eksperdid on arvamusel, et 80% spämmist tuleb just zombiarvutitest. Sealjuures tuleks mainida, et spämmi autoriks ei ole enamasti botneti valdajad, nad lihtsalt pakuvad spämmisaatmisteenust. Tuhanded nakatunud arvutid lubavad spämmeritel saata miljoneid maile väga lühikese ajaga, nii et spämmifiltrite koostajad ei jõua sellele laviinile reageerida ega saatjate aadresse oma musta nimekirja lisada.

Ka DDoS-rünnakute puhul on botnet äraproovitud relv. Hulgaliselt mõttetuid päringuid erinevatelt IP-aadressidelt on raskesti tõrjutav, tulemuseks aga on serveri ülekoormus, mida nägime eelmine aasta pronksöö ajal paljude Eesti veebiserverite puhul.

Tavaliselt küsivad küberkurjategijad rünnaku lõpetamise eest raha, mida pahatihti ka makstakse. Tänapäeval töötavad paljud firmad suuresti interneti teel ja sellised rünnakud võivad põhjustada äri seiskumise, mis omakorda toob kaasa rahalisi kaotusi. Sellistel puhkudel leiavadd paljud firmad, et odavam on botneti haldajale maksta…

Botnetis olevaid arvuteid saab kasutada ka uute arvutite nakatamiseks või muudeks valgustkartvateks tegevusteks. Kui süüdlasi hakatakse otsima, viivad jäljed nakatunud arvutisse, küberkriminaal aga pääseb puhtalt.

Jälle üks MSNi parooliõngitseja

12. mai 2008

Mulle saadeti MSN-is hiljuti viide aadressile http://ph0t0s.info/login.php
Avanenud aknas on selgelt kirjas, et “piltide” nägemiseks tuleb oma MSN-i kasutajanimega sisse logida. Peale sisenemist aga ei juhtu midagi. Pealtnäha. Taustal aga logib bot ise teie MSN-i kontole sisse ning hakkab seda lehte kergemeelse kasutaja MSN-i kontaktidele spämmima. Kõik nii, nagu kasutustingimustes (kui keegi neid lugeda viitsib) lubatud:

By using our service/website you hereby fully authorize TST Management, Inc to send messages of a commercial nature via Instant Messages and E-Mails on behalf of third parties via the information you provide us.

Kui  olete sellele leheküljele sattunud ja oma MSNi kasutajaandmed sinna trükkinud, siis õnneks pole teie arvuti tegelikult viirusega nakatunud.
Nuhtlusest lahtisaamiseks tuleb vaid MSNi parool ära vahetada. Seda saate teha aadressil www.hotmail.com: logite sisse ning valite alt reast “Account”. Avanenud lehel on keskel password ja taga nupp Change.

Tundmatu uss MSN-is

29. aprill 2008

misfotos.jpg

Loomulikult ei teadnud mu MSN-i kontakt oma vahepealsest hispaaniakeelsest sõnavõtust midagi, tema saadetud arhiivis aga oli fail nimega misfotos7.jpg-www.myspace.com. Pealtnäha nagu Myspace’i fotogalerii, ent tegelikult .com-lõpuline käsufail, mis paigaldab arvutisse seni tundmatu troojalase. Mida see konkreetselt arvutis teeb ning kuidas seda eemaldada, ei tea hetkel veel ei mina ega viirustõrjujad, kuid soovitan tõsiselt pakutavat faili mitte alla laadida, avamisest ja käivitamisest rääkimata.

Pisike õel skämm

18. aprill 2008

Sain hiljaaegu oma spämmiaadressile kaks veidi erinevat, kuid sama manusega kirja:

lenocka.png

Ehk siis mulle tundmatud Leenake ja Vikulja tahavad kangesti vana tutvust uuendada ning avavad mulle ka juurdepääsu fotodele, mida ma olevat küsinud. Kirjades toodud lingile klikkides avanevad mõistagi mitte tütarlaste fotoalbumid, vaid  exe-fail, mis paigaldab arvutisse troojalase nimega Trojan.Win32.Srizbi. See üritab kustutada kõik jäljed enda paigaldamisest ning peidab end arvutis kui rootkit. Väidetavalt suudab ta end jooksutada ka Safe Mode’s, nii et eemaldada on seda tõsiselt raske. Lisaks haagib see troojalane end ka TCP/IP draiveri külge, hiilides nii mööda tulemüüridest ja tsentraalsest viirustõrjest.  Põhiliselt kasutatakse seda troojalast spämmi saatmiseks, kuid praktiliselt võib pahalane selle troojalase poolt kontrollitavas arvutis teha mida tahes.

Õnneks on saadud kirjas olev “fotoalbumi” link hästi äratuntavalt exe-lõpuline, mis peaks vähegi hoolast arvutikasutajat hoidma seda klikkimast.

Tänase päeva põnevaim troojalane

1. aprill 2008

F-Secure’i turvalabori spetsialistid avastasid uue, väga veidralt käituva troojalase. Win32.Pril.A nime saanud pahalane nimelt installeerib end alglaadimissektorisse, kirjutab üle BIOS-i ning asub passima momenti, mil kasutaja siseneb suvalisse sadadest üle maailma paiknevatest online-pankadest. Seejärel projtseerib troojalane võltsitud kodulehe otse VGA adapterisse ja, nagu sellest veel vähe oleks, kannab raha ohvri pangaarvele, mitte sealt minema. Mikko kirjutab, kuidas terve turvalabor testis seda veidrat nähtust mitu korda ja mitmete pangaarvetega…

Seda uut põnevat pahalast saab alla laadida siit.

Veel üks Messengeri uss

17. märts 2008

Vahepeal on jalad kõhu alt välja ajanud ka vana teenus, mis lubab kindlaks teha, kes on sind oma MSN-is ära blokeerinud.
http://whoblocksyou.net/ on Järjekorde MSN-i teel reklaamitav kontokaaperdamise leht.
Olles sisestanud sellel lehel oma MSN-i kasutajanime ja parooli, muudetakse sinu ekraaninimi selliseks: http://whoblocksyou.net/ find …
Minu MSN-is olev sõber vähemasti minule seda linki ise ei saatnud, link oli ainult tema pealkirjas kajastatud.
Soovitan tungivalt hoida oma MSNi parooli enda teada ja mitte avaldada seda kolmandatele lehtedele ja isikutele.

Uus uss Messengeris

17. märts 2008

Messengeris on liikvel järjekordne uss, mis korjab kasutajatelt nende kasutajanimesid ja paroole ning saadab kontaktinimekirjas olijaile lingi koduleheküljele, millel saab ise oma kasutajanime ja parooli sisestada.
Uss saadab kasutajale justkui pildigaleriile viitava lingi:

messenger1.jpg

Linki klõpsides avaneb kodulehekülg, millel justkui piltide vaatamiseks küsitakse MSN-i kasutajanime ja parooli:

messenger2.jpg

Sisselogimisakna all on ka kasutustingimused, milles täiesti varjamatult väidetakse:

We may temporarily access your MSN account to do a combination
of the following:
1.  Send Instant Messages to your friends promoting this site.
2.  Introduce new entertaining sites to your friends via Instant Messages.

Ussist lahti saamiseks tuleks muuta oma MSN-i parool.

Värskeid viirusi sõbrapäevaks

13. veebruar 2008

Homme on sõbrapäev ka küberkaabakatel – PandaLabs hoiatab, et juba on liikvel valentinikaardid failiga “valentine.exe”, mis käivitamisel pakib arvutiusse lahti ussi nimega W32/Nuwar.QI.

Valentinipäeva hoiatuse saatis ka F-Secure’i edasimüügijuht Raido Orumets. Praeguseks on F-Secure juba leidnud õnnitluskaarte, mis sisaldasid pahavara Vbs_Valentin.A ning San VBS worm.

Kui eelnevatel aastatel tuli rohkem kahtlustada õnnitluskaarte, siis nüüd tuleks kasutajatel, kes soovivad saata õnnitlusi, kontrollida ka kohta, kust sõbrapäeva kaarte saata. Internetis on tuhandeid lehekülgi, kust on võimalik saata „tasuta“ õnnitlusi oma sõpradele. Siinkohal tuleks usaldada tuntud ja võib-olla pigem eestimaised teenusepakkujaid, ütleb Raido.

Kui satute võltsteenusepakkuja leheküljele, siis sealt võib teie arvutisse koheselt installeeruda pahavara. Igasugune edasine tegevus, näiteks sõprade e-posti aadresside sisestamine, tähendab kurjategijate rämpsposti andmebaasi täiendamist. Loomulikult saadetakse sõpradele õnnitlused, kuhu lisatakse viiruseid ning teenusepakkuja reklaam, et levik ikka edasi toimuks.

Arvutikaitse ABC

12. veebruar 2008

arvutikaitse_abc_esikaas.jpgSee on väga hea ja asjakohane raamat. Mina kirjutasin selle 🙂

Tähendasin seal üles enamlevinud pahavara iseloomustused ning mõningad võtted, kuidas end internetiohtude vastu kaitsta. Üritasin vältida akadeemilist soliidsust ning lugeja koormamist tehniliste detailidega, nii et seda peaksid julgema kätte võtta ka need, kes end arvutiasjanduses väga kodus ei tunne.

Kõik nähtused on rühmitatud eraldi peatükkidesse ja esitatud tähestiku järjekorras. Kaanest kaaneni järjest läbilugemine ei ole kohustuslik, kavalam on leida registrist huvipakkuv märksõna ja lugeda konkreetset peatükki. Jah, paberil ei saa ikka nii mugavalt linkida kui internetis…

Irja Ahi tegi “Arvutikaitse ABC”-le võrratud ja vaimukad illustratsioonid, Sverre Lasn ägeda kujunduse. Väljaandmise korraldas sihtasutus Vaata Maailma, rahaliselt toetasid Hansapank, SEB, Elion ja EMT.

Esitlus on täna, 12.02 kell 14 Viru Keskuse Rahva Raamatu esitlussaalis. Osta saab esialgu Rahva Raamatust, kui trükikoda ülejäänud tiraaži valmis saab, siis ka Apollost ja mujalt.