Rubriik: Pahalased

Kuidas eemaldada keylogger?

Tiina küsib: “Kas oskate aidata, kuidas eemaldada arvutist keylogger?”

Keyloggeri ehk klahvinuhi eemaldamiseks pole tegelikult vaja erilisi teadmisi ega oskusi. Parim ning kindlaim viis on proovida  erinevaid pahavaratõrjujaid ning loota, et klahvinuhk leitakse. Selleks soovitaksin programme nagu Malwarebytes Anti-Malware ning Superantispyware.

Kui eelnimetatud programmid probleemi ei lahendanud ega kahtlusi hajutada ei suutnud, siis võib proovida ka Prevx CSI’d. Tegu on lihtsa tarkvaraga, mis kontrollib arvuti mõne minutiga kõiksugu pahavara suhtes  üle ning kuvab siis tulemused. Pahavara eemaldamiseks on vaja küll litsentsi, aga vähemalt näeb ära, kas arvutis leidub veel pahavara või mitte.

Vaat et kõige paremini tuvastab klahvinuhi tulemüür, näiteks Comodo Internet Security koosseisus olev Comodo tulemüür. See annab teada, kui tundmatu rakendus (näiteks klahvinuhk) tahab luua ühendust FTP või veebiserveriga, et sinna siis kogutud infot saata. Nime järgi võib leida kahtlase faili asukoha ning selle siis käsitsi kustutada. Kahtlase protsessi või faili kohta saab infot näiteks Google otsinguga.

Seniks aga, kui Te kahtlete et klahvinuhk teeb siiski teie arvutis oma tööd edasi, soovitan kasutada programmi nimega Keyscrambler Personal. Priit Aasmäe on sellest ka siin kirjutanud. Programm muudab klahvivajutused krüpteeritud sümbolite jadaks, millega klahvinuhil pole midagi peale hakata.

Tasuta viirusetõrjete päästeplaadid

Uuema põlvkonna viirused ja troojad nõuavad  uusi ja paremaid lahendusi nende kahjutustamiseks. Üllatav pole enam see, kui pahalased 1rescue-disks3 suudavad vältida online viirusskännereid või muuta töövõimetuks  portatiivsed ehk kaasaskantavad pahavaratõrjed.

Loomulikult ei maksa neid abivahendeid unustusehõlma jätta, aeg-ajalt tuleks arvuti  nendega ikka üle kontrollida, ent tunduvalt efektiivsemateks tõrjevahenditeks on saamas viirusetõrjetootjate poolt loodud päästeutiliidid (rescue disk). Kodulehtedelt tuleb arvutisse tirida päästeutiliidi valmistamisfail (.iso, .exe või .run ) ja seejärel see CD-le kõrvetada. Viiruse rünnaku korral, aga miks mitte ka seni avastamata pahalase kõrvaldamiseks tuleb buutiv päästeplaat CD/DVD-lugejasse asetada ning järgida edasisi juhiseid. Kuna utiliit laetakse üles enne Windows opisüsteemi sisenemata, siis kurivaral on raske end peita või utiliiti rikkuda.  Samuti on eraldi käivitatud keskkonnas lihtsam pahalast eemaldada, kuna paljud pahalased suudavad end arvutis olevasse opsüsteemi sügavale sisse kaevuda ning ennast sinna lukustada.

Tavakasutajale võivad need tööriistad esmapilgul keerulised tunduda,  sageli ei osata ka arvutisse tiritud  .iso failiga midagi peale hakata, ent kõik on õpitav ning vaieldamatult  saab neist päästevahenditest seni kindlaim viis pahalaste ohutukstegemisel. Loe edasi: Tasuta viirusetõrjete päästeplaadid

Messengeri viiruste eemaldajad

2msnvirus1

Paljud meist on kokku puutunud MSN-is liikvel olevate usside ja viirustega – mõni neist  ohtlikum, teine käib lihtsalt närvidele. Õnneks on saadaval ka mõned spetsiaalsed tööriistad MSN-is ja ka teistes suhtlusprogrammides levivate kurjamite eemaldamiseks.

MSN Photo Virus Remover on äärmiselt lihtne ja kiire vahend MSN-i teel levivatest pahalastest lahtisaamiseks. Loe edasi: Messengeri viiruste eemaldajad

Arvutikaitse 2009-2010

Ennustamine on üks ääretult tänamatu tegevus. Kuid arvestades praegust olukorda ja trende tasuks siiski ettevaatavalt analüüsida järgneva 12-24 kuu olukorda arvutiturvalisuses.

Arvestades, et majanduslangus jätkub veel terve 2009. aasta, võib arvata, et kuritegevus sellevõrra kasvab,  seda nii tava- kui  kübermaailmas. Tõenäoliselt hakkab majandus 2010 vaikselt jalgu alla saama, samas, tulenevalt väikesest ajalisest nihkest, jätkub ka kuritegevuse kasv.

Põhihuvi on raha

Arvutimaailmas saab põhiliseks trendiks erinevat liiki küberkuritegevus. See tähendab, et jätkub ja kasvab eelkõige kiiret tulu lubavad asjad, nagu krediitkaardipettused ja spämmimine. Spämmi hulgas kasvab tõenäoliselt eelkõige kõikvõimalike „Nigeeria kirjade” ja püramiidskeemide reklaami hulk. Samuti muutub nende arsenal järjest kavalamaks.

Kodukasutajad löögi all

Infovargused ja spämmimine vajavad neutraalseid tugipunkte. Parmad sellised kohad on pahalaste poolt kontrollitavad kodukasutajate arvutid ehk botid. Seda arvestades võib oletada, et internetis kasvab pahavara hulk. Ülima tõenäosusega on esmasteks ründajateks teised botid, kuid ilmselt kasvab pahavara hulk ka Web2.0 rakendustes. Eelkõige kasutatakse siin ära kasutajate ja blogijate teadmatust.

Viiruste renessanss nutitelefonides

Arvestades, et järgneva mõne aasta jooksul kasvab internetivõimeliste mobiilseadmete hulk, on tõenäoline, et kasvab spetsiaalselt nende jaoks kirjutatud pahavara hulk. Umbes 10-15 aastat tagasi, kui internetiühendus toimis veel modemi abil, üritati arvutisse sokutada viiruseid, mis käskisid modemil helistada tasulistele numbritele. Arvestades, et nn nutifonid on oma olemuselt arvuti ja telefoni hübriidid, võib oletada, et need vanad viirused otsitakse uuesti välja ja kirjutatakse nutifonide jaoks ringi. Selliste helistamisseadmete risk on eelkõige selles, et ta hakkab ilma kasutaja teadmata helistama mingitele tasulistele numbritele (eestis näiteks 900- algavatele).

Pannes kokku kodukasutajate mobiilseadmed ja botid, saame mobiilse botneti. Tõenäoliselt ilmub esimene selline botnet aastal 2010. Ilmselt kasutatakse sellist mobiilset botneti eelkõige kasutajate andmete õngitsemiseks aga samuti ka arvutiviiruste levitamiseks.

Viirused muteeruvad

Tõenäoliselt muutuvad kavalamaks ka arvutiviirused. Juba mitu aastat on ennustatud multiplatvormsete arvutiviiruste laiemat levikut (esimesed on juba olemas). Tõenäoliselt saavad esimesteks sellisteks multiplatvormseteks viirusteks mobiilseadmete ja „päris” arvutite vahel liikuvad viirused. Tõenäoline on, et viirused kirjutatakse muteerumisvõimelisemaks, mis omakorda tähendab seda, et nende avastamine muutub raskemaks.

Viiruste kirjutamise ja levitamise põhiliseks eesmärgiks saab kasutajate andmete õngitsemine. See tähendab, et kasvab andmete varguste hulk. Saadud andmeid hakatakse kasutama eelkõige identiteedivarguseks, sealhulgas krediitkaardipettusteks.

Midagi head?

Sellise pessimistliku prognoosi peale võib küsida, et kas midagi paremaks ka läheb. Arvatavasti läheb aastatel 2009-2010 paremuse poole P2P võrgustiku olukord. See tähendab, et nende võrgustike kaudu edastatava pahavara hulk tõenäoliselt väheneb.  Eelkõige on põhjuseks toimiva viirustõrje kasutamise kasv.

Kuidas ennast kaista?

Kuidas kasvava küberkuritegevusega hakkama saada ning järjest metsikumas Internetis ellu jääda? Esiteks peavad arvutikasutajad teadvustama, et riskid järjest kasvavad. Teiseks peavad arvutikasutajad mõistma, et turvalisus sõltub eelkõige neist endist – et iga arvuti kõrvale ei ole võimalik panna eriteadmistega küberpolitseinikku. See tähendab omakorda, et kasvama peab arvutikasutajate teadlikkus ja hoolsus. Selle arvutikasutajate teadlikkuse tõstmise eest üritab Arvutikaitse hoolitseda ka järgneval aastal.

Netiuss ehitab uut botnetti

Nagu Computerworld uudisest lugeda võib, on liikvel uus ussike, mis kasutab Windowsi turvaauku uue botneti ehitamiseks. Hetkel on TrendMicro spetsialistide hinnangul on nakatunud juba pool miljonit arvutit ning nakatunute arv kasvab suure kiirusega.

Microsofti poolt on augu jaoks lapp välja lastud juba oktoobri lõpus, nii et tegelikult kasutatakse ära hooletuid arvutiomanikke, kes pole seda lappi oma arvutile instaleerinud. Tasub märkida, et ohustatud on praktiliselt kõik Windowsi operatsioonisüsteemid.

Ohu vältimiseks on vaja alla laadida ja paigaldada operatsioonisüsteemi uuendused. Seda on võimalik teha Windows Update lehe kaudu.

McColo-Srizbi spämmiva botneti tagasitulek

Ülisuur McColo spämmibotnet, mille arvele langes parimatel hetkedel 50-75% ülemaailmsest spämmihulgast ja mis suleti juba kaks nädalat tagasi, tõusis üleeile varjusurmast.

FireEye Inc andmetel võtsid pahavaraga (Srizbi Trojan: Troj/RKAgen-A, Srizbi Rootkit:W32/Agent.EA jt) nakatunud arvutid ühendust Eestis asuvate Srizbi botneti kontrollserveritega, et teha nakatatud Windowsi-põhistes arvutites pahavaralisi versiooniuuendusi. Pahavara versiooniuuendus oli nakatatud arvutites eluliselt tähtis just sellepärast, et Srizbi botneti uued omanikud saaksid üle võtta “surnud” McColo-Srizbi botneti kontrollserverite tsentraalhalduse.

Huvitav ja (ebameeldivalt) üllatav on antud juhtumi puhul see, et paarisaja Srizbi botneti uute domeeninimede hulgas olid ka Eestis asuvate kontrollserverite IP aadressid.

Millised olid Eestis asuvate Srizbi botneti kontrollserverite IP aadressid ja domeeninimed?
FireEye Inc. andmetel olid need järgmised:

Domeeni nimi: prpoqpsy.com
IP aadress: 92.62.100.4

Domeeni nimi: gffsfpey.com
IP aadress: 92.62.100.9

Domeeni nimi: oryitugf.com
IP aadress: 92.62.100.12

Domeeni nimi: ypouaypu.com
IP aadress: 92.62.100.13

Tänu Eesti asjaomaste institutsioonide operatiivsele tegutsemisele pole antud hetkel need IP aadressid enam Internetis pingitavad ega anna nimelahendusi.

Tasub märkida, et kõik ülalmainitud domeeninimed on registreeritud kellegi kodanik Ulugbek Asatopov`i nimele, kelle kontaktiks on  Türgis Ankaras asuv aadress ja e-postiks mail.ru konto. Nende domeenide nimeserverid (ns.tsr.ru, ns4.tsr.ru) aga asuvad Venemaal  ning kuuluvad omakorda Moskvas asuvale firmale STC TeleCom Service JSC (TeleCom Service).

Kuid ülalmainitud domeenide IP aadressid seevastu kuuluvad hoopis Eestis asuvale infotehnoloogiafirmale Starline Web Services, mis pakub e-äri, veebidisaini ja virtuaalserverite teenuseid.

Nüüdsel it-ajastul võiksime õigustatult enda käest küsida, kuidas on ikka võimalik, et Internetist mahavõetud ülimassiivne rahvusvahelise haardega  botnet suudetakse lühikese ajaga uuesti püsti ajada ning seda läbi sadade tuhandete nakatatud arvutite tarkvaraliselt uuesti värskendada, taastades seeläbi uue kontrollserverite keskhalduse?

Istume siin kodu- ja tööarvutite taga ning saame oma e-postkasti jätkuvalt suurtes kogustes spämmi. Ja juhul kui me seda spämmi otseselt ei saa, siis ikkagi kurdame aeglase internetiühenduse üle. Mis tuleneb sellest, et seesama “pikendustega” spämm koormab ja tekitab pudelikaelu meie arvutivõrkudes, ruuterites, tulemüürides ja spämmifiltrites.

Internetis on liikvel uudiseid, mis väidavad et Eestis asuvate botnet kontrollserveritega võttis ühendust ligikaudu 100 000 nakatunud arvutit. Srizbi botneti kuulub üle 300 000 nakatunud arvuti. Paraku ei näita nakatunud arvutite statistika internetis mitte kahanemistendentsi.