Autor: Aare Kirna

Liba-Orkut laeb alla kahtlasi faile

Sõber Janar saatis edasi sellise teate:

Haige, nüüd levitatakse orkuti kaudu ka viiruseid. Kui teie scrapbooki satub kellegi poolt selline tekst siis palun mitte seda linki kasutada (Panin lingi lõpu tärnidesse):

“ei Nele vc fez outro orkut achei esse com suas fotos me aceita nele

http:/www.oorkut.us/Profile.aspx-uid=51481404300652*****.php”

Mu viirusetõrje andis märku, et see on trooja viirus.

Paistab, et viidatud saidi näol on tegemist nn hüljatud domeeniga, millele keegi on püsti pannud Orkutiga sarnase, kuid portugalikeelse lehekülje. Konkreetset linki klikkides laetakse teie arvutisse alla fail www.orkut.com, mis näeb küll välja nagu veebiaadress, kuid tänu com-lõpule käivitatakse kui tavaline programm. Kiire uurimine ei näidanud, mida konkreetselt see arvutis teeb, kuid alla laadida seda vast tõesti ei maksa.

EDIT: Tegemist on pangaparoole varastava troojalasega.

Küberrünnaku korraldaja sai trahvi

20-aastane Dmitri GaluÅ¡kevitÅ¡it sai 17 500 krooni trahvi DDoS-rünnaku korraldamise eest aprillikuiste pronksmeherahutuste ajal. Postimehe uudise kohaselt süüdistati Dmitrit konkreetselt Reformierakonna serveri ründamises, varasem uudis väidab aga, et mai algul, mil politsei noormehe kinni võttis, kahtlustati teda vaat et terve Eesti vastu suunatud küberrünnakute korraldamises või vähemalt õhutamises.

Reformierakond sai rünnakuga väidetavalt 25 210 krooni ning erakonnale telekommunikatsiooni teenust osutav OÜ Exact Holding 18 880 krooni kahju.  Rahatrahv mõisteti Dmitrile kokkuleppemenetlusega.

Rootkit

Rootkit ehk käomuna on selline tarkvara, mis toimetab arvutis juurkasutaja (ehk administraatori) õigustes, tavaliselt operatsioonisüsteemi tuuma tasandil, hiilides niiviisi mööda operatsioonisüsteemi turvamehhanismidest. Tavaliselt jääb käomuna protsessitabelis kajastamata ning sageli ka arvuti seaduslikul kasutajal märkamata.  Rootkit võib esineda mõne programmiohjuri või tuuma moodulina, luua endale võltsitud alglaadimissektori või kasutada mõnd muud kavalat tehnikat. Tuntuim käomuna oli Sony multimeediafailide kopeerimiskaitsemehhanism, mis peitis end sügavale operatsioonisüsteemi ning mida oli tõsiselt tülikas eemaldada. Samasuguseid peitemehhanisme kasutab aga ka mitmesugune pahavara, kindlustades selle, et tema olemasolu jääb nii kasutajal kui viirustõrjel märkamata.

Järjekordne vaheloosimine toimunud

Reedel, 18. jaanuaril toimus Vaata Maailma sihtasutuse turvalise loosi järjekordne vaheloosimine. Loosimise õigsust jälgisid Vaata Maailma esindajad ning Henrik Roonemaa. Juhunumbrite generaator jagas auhinnad järgmiselt:

SonyEricsson K810i – Andrus (44, Mobiil-ID-ga osaleja)
SonyEricsson K810i – Tiit (49)
Nokia 7500 – Helgi (53)
Nokia 7500 – Andres (32)

Võitjatega on ühendust võetud.

Järgmine, seekord lõplik loosimine toimub 6. veebruaril, siis lähevad loosi ka reisikinkekaart ning Delli sülearvutid. Kes veel osalenud ei ole, saab seda teha kuni 1. veebruarini.

Kuidas Limbo ja Sinowal raha varastavad

Tegelikult varastavad nad muidugi ainult pangaparoole, raha kõrvaldavad teie arvelt neidsamu pangaparoole kasutavad  lihast ja luust pätid.

Sinowal on troojalane, mis on mõeldud paroolide, eriti pangaparoolide varastamiseks. Samuti võib see pahalane võltsida SSL-ühenduseks vajalikke sertifikaate ning avada mõne suvalise TCP pordi kaudu arvutisse tagaukse. Külge saab selle mõnelt pahatahtliku skriptiga veebisaidilt, viimasel ajal ka internetifoorumitest, eriti juhul, kui külastate neid vananenud ja turvapaikadeta brauseriga. Pärast oma pahatahtlike komponentide allalaadimist haagib see end mõne Windowsi protsessi, tavaliselt explorer.exe külge ning muudab ka registrit, nii et ta arvuti taaskäivitamisel kindlasti käima tõmmataks.
Limbo oli algselt mõeldud veebiliikluse ümbersuunamiseks võltsitud pangalehekülgedele, kuid selle uuemate variatsioonide funktsionaalsus on Sinowaliga üsna sarnane. Nakatunud arvuti omanik ise märkab heal juhul vaid veateateid internetipanga kasutamisel.

Teie salajased paroolid varastatakse kas arvuti paroolihoidlast või salvestatakse teie klahvivajutused siis, kui internetipanka sisse logite. Varastatud paroolid saadetakse võrgus passivatele kurjategijatele, kes neid kasutades teie pangakontole sisse logivad ning teie raha sealt mõne tankisti pangaarvele edasi kannavad. Tankist omakorda võtab raha sularahaautomaadist välja ning annab kurikaeltele. Hiljem politseile räägib tankist, et on suure rahvusvahelise firma sularahaoperatsioonide mänedžer (võib koguni näidata uhkete rekvisiitide ja loetamatute allkirjadegaga lepingut), hiljem uurides aga selgub, et ta tegelikult ei tunnegi neid inimesi, kelle heaks töötab ning kellele raha andis. Ühte kuritegelikku  jõuku teenindab tavaliselt mitu tankisti.
Panda Security blogis on ka ülevaade selliste troojalaste levitamise mehhanismist ja majanduslikust tasuvusest.

Oma raha kaitsmiseks tuleb:

1. Kasutada viirusetõrjet, mõlemad pahalased on enamikes viirusdefinitsioonides sees.
2. Paigaldage kõik operatsioonisüsteemi turvaparandused.
3. Ärge kasutage Internet Exploreri vanemaid versioone, IE7 on vähim, mis teid kaitsta suudab. Kui võimalik, kasutage kõige uuemat Mozilla Firefoxi.
4. Loobuge koodikaardist, pangas käige ID-kaardi või Mobiil-ID-ga. Nende võtmed asuvad kiibil, millele troojalased ligi ei pääse.

MacOS X-i troojalane tegevuses

F-Secure’i blogis on video troojalasest, mis muudab MacOS X-i jooksutava arvuti sisemise nimeserveri kirjeid. Demoklipis suunab troojalane veebisurfaja pornosaitidele, kuid väga vabalt võidakse kasutajale näidata ka pangakujundusega libalehekülge.

video://www.youtube.com/watch?v=XrGuVTzYEsw

DNS-i kirjeid muutva troojalase võib alla laadida pahatahtlikult veebileheküljelt videotarkvara nime all. Need, kes külastavad pahatahtlikku saiti Windowsi-arvutiga, saavad Windowsile mõeldud troojalase, mäkiomanikud aga MacOS X-i versiooni.