Hoiatus: uut tüüpi viirused!

Aare Kirna, 17, jaanuar 2008

Hillar Aarelaid CERT-ist saadab sellise hoiatuse. Asi on tõsine, taustainfo väidab, et rünnatud on konkreetselt Eesti pankade kliente. 

Arvutiturbe uurimisega tegelev firma Panda Research hoiatab oma analüüsis uut tüüpi viiruste eest, mis suudavad kasutajate pangakontodelt raha varastada, ilma et kasutaja seda märkaks.

Kui varem võis kasutaja pahavarast aru saada selle järgi, et panka sisenemisel küsiti näiteks mitut koodi, siis nüüd on liikvel uut tüüpi viirused. Neid saab leida vaid viirusetõrjega, ilma tarkavara kasutamata ei ole nakatunud ja viirusest puhta arvuti erinevust võimalik näha. Nn troojalased nimedega Limbo ning Sinowal sisenevad kaitsmata arvutitesse kasutaja teadmata ja lisavad sinna koodi, mis annab kontrolli arvuti üle.

Kui kasutaja tahab olla kindel, et tema arvuti ei ole uut tüüpi viirustega nakatunud, tuleks arvuti puhastada viirusetõrjega. Kuna need viirused uuenevad kiiresti, on hea kasutada mitme eri firma tarkvarasid ja lasta neil oma arvuti üle kontrollida.

Kel veel viirusetõrje tarkvara arvutis ei ole, on võimalik arvutifirmadelt tellida arvuti puhastamist viirustest ja paluda selle käigus endale uusim viirusetõrje installeerida.

This entry was posted on Neljapäev, jaanuar 17th, 2008 at 13:57 and is filed under Pahalased, Rünnakud, Uudised. You can follow any responses to this entry through the RSS 2.0 feed. You can skip to the end and leave a response. Pinging is currently not allowed.

21 kommentaari to “Hoiatus: uut tüüpi viirused!”

  • Postitatud: jaanuar 17th, 2008 14:34

    Urmas

    Kõike seda arvestades tuleks inimestele rohkem rääkida Linuxist ja live-cd võludest.

  • Postitatud: jaanuar 17th, 2008 14:48

    ety

    Ok viirus võtab arvuti üle kontrolli aga sellest ei piisa ju internetipanka pääsemiseks. Netipank küsib ju lisaks tavaparoolidele ka paroolikaardilt või pin-kalkulaatorilt erinevat koodi. Ehk siis kui viirus näiteks salvestab kasutaja sisestatud koodid ja hakkab nendega netipanka ründama siis peab see viirus ükshaaval salvestama ka kõik paroolikaardi koodid 24-72 ja pinkalkulaatori kasutajale see viirus ohtu ei kujuta, kuna pin-kalkulaato genereerib igakord uue parooli. Viirus võib neid meelde jätta palju tahab ja siis netipangas neid ükshaaval proovida, kuid neid pinkalkulaatori koode, mis juba korra kasutatud pank enam uuesti ei küsi.

  • Postitatud: jaanuar 17th, 2008 15:44

    Jürgen

    aga meie armastatud ID kaart?

    kas ta sealt ka cerdid maha loeb ja nigeeriasse müüb?

  • Postitatud: jaanuar 17th, 2008 16:16

    ety

    vot, mina ei ole arvutispets. Mina töötan pangas ja minu loogika ütleb, et kui tõesti eksisteerib selline hüpervinge viirus siis pigem on uht just id-kaardiga, sest need koodid on ju muutumatud. Loogika kohaselt seisneb just viirus selles, et ta loeb/salvestab/saadab edasi neid koode, millega inimesed panka logivad. Seega id-kaardi koode oleks kõige lihtsam ära arvata. Segav asjaolu vaid see kiip, ei kujuta ette kas on võimalik neid kiibi andmeid niimoodi kopeerida ja pahatahtlikele kasutamiseks edastada, näiteks genereerib mingi programmi, mis laseks arvutil arvata et nimetatud id-kaart on lugejas…

  • Postitatud: jaanuar 17th, 2008 20:57

    KT

    Mind aga huvitab see, et mis protsessi nimega antud viirus esineb ? Kas ta on nähtav või nähtamatu protsess ? Või hoopis midagi muud ?

  • Postitatud: jaanuar 17th, 2008 21:53

    Mia

    Ma olen tglt üsna dumb-user, aga me just täna rääkisime mu panga IT-spetsist kasuisaga sellest. Tema ütles, et ID-kaart on kõige turvalisem, sest tal on oma protsessor ja info, mis sinna läheb, ei lähe läbi arvuti. Seega on ilma kaarti valdamata võimatu ID-kaardi abil internetipangast varastada. Veel parem lahendus pidi aga olema ID-mobiil, sest see ajab asja ära ka maades, kus ID-kaart on sama tundmatu ja hirmuäratav kui UFOd.

  • Postitatud: jaanuar 18th, 2008 3:10

    ety

    mobiil-id mitte id-mobiil 🙂

  • Postitatud: jaanuar 18th, 2008 3:29

    cyr

    Lihtsalt mainiks: andmevahetuseks kasutab ID kaart kui mitte opsüsteemi võrgu-APIt siis vähemalt suhtleb arvuti võrgukaardiga, millele tarkvara iga kell ligi saab. Nii et vähemalt teoreetiliselt peaks andma ilusasti ka ID-kaardi liiklust pealt kuulata. Kas see ka praktikas toimib ja kui ka toimib siis kas selle krüptitud andmevahetusega ka midagi peale annab hakata on hoopis teine teema.
    Koodikaardist niipalju, et rohkem kui 1 koodi polegi vaja. Kui see ei toimi, siis ootab röövel lihtsalt paar minutit ja proovib uuesti, kood midagi küsitakse peaks juba mingit muud järjekorranumbrit kandma kui eelmisel korras. Kui ei toimi ootab veel veidi ning proovib uuesti. Jne jne jne kuni ühel hetkel sisse saab.

  • Postitatud: jaanuar 18th, 2008 10:14

    uhuu

    kusjuures, minuteada, küsib pank ebaõnnestunud sisselogimisel ikkagi sama koodi ja pealegi, blokeeritakse netipank kolme ebaõnnestunud katse järel.

  • Postitatud: jaanuar 18th, 2008 13:17

    ety

    minu meelest ka panka (hansa vähemalt) küsib ebaõnnestumise korral sama koodi ja pärast viiendat ebaõnnestumis blokeerib kasutajatunnuse. Minu jaoks kõlab see uudis tegelikult natuke nagu “krooni devalveerimine 2”. Terve mõistus lihtsalt keeldub uskumast, samas ei tea ma suurt miskit IT-st ja häkkerite võimete piiridest. Aga pin-kalkulaatori kasutajat ei tohiks see küll ohustada, sest sellisel juhul ei oleks enam tegemist kasutaja arvuti üle kontrolli võtmises vaid otseselt panga-süsteemi turbe lahti muukimisest ja ma tõesti ei usu, et see kuigi lihtne võiks olla.

  • Postitatud: jaanuar 18th, 2008 21:06

    e-note

    id kaardi sertifikaadid ja kiip sisaldavad võtmeid- sha – aes tüüpi.

    On samal põhimõttel, mis avalik võti ja salajane võti.
    Ning nende võtmepaaride genereerimine ja informatsiooni krüpteerimine.

    Lihtviirused ei suuda veel lugeda id kaardi salajasi võtmeid.
    Seega peab viirus suutma id kaardi tarkvarale midagi juurde kirjutama s.t mingi logini binaarile- tundes x.x versiooni.

    Ja binaarile juurde lisada suudetakse ainult windowsis, mitte *nix like süsteemis.

    Samas peab tundma viiruselooja ka ID kaardi kiibi ehitust ja muud asju. See saab olema kõva pähkel.

    Just see, et mis super-hüper server suudab lahti muukida äsja genereeritud mitmekordse aes tüüpi võtme?
    Viirus küll mitte, sest see vajaks mitusada võimast arvutit ja aega…

  • Postitatud: jaanuar 19th, 2008 7:24

    kah hansa klient

    1) id-kaardi ründamine: eh? mis võtmed? viirus ootab, kuni kodanik end panka logib – ja saab kätte kaardiga autenditud sessiooni. ja seejärel teeb makse või püsikorralduse. id-kaart võib “sha-aes” asemel ka rot13 krüptot teha, vahet pole: teda kasutatakse vaid autentimisel.

    2) pin-kalkulaatoriga on veidi tüütum majandada, aga võimalik ikka.

    etv, mõtle oma terve mõistusega nii: kui sinu arvutis käib kuritahtlik programm, siis võib see seal teha _kõike_. iseäranis võib ta teha kõike, mida suudad sina. kui sina saad läbi selle arvuti panka logida ja raha maksta, siis viirus suudab ka.

  • Postitatud: jaanuar 19th, 2008 10:19

    e-note

    to kah hansa klient-

    Sa arvad vaid nii. Esiteks oled hansa klient. Seb ühispank kasutab veel digitaalset signeerimist.

    Teiseks ei saa viirus ID sessioonist aru kuna see on seansi lõpuni krüpteeritud.

    Aga eks kasutage edasi windowsi ja hirmutage üksteisi edasi KUI see teile lõbu pakub.

  • Postitatud: jaanuar 19th, 2008 11:14

    r 2 s t i k

    tere! ega pole teada kuidas see mõjutab MOBIILI ID kasutajaid? 🙂 tänu taevale on EMT ;)!

  • Postitatud: jaanuar 19th, 2008 18:48

    ety

    ma mõtlengi, et viirus saab teha arvutis samu asju mis mina. Aga mida on minul selleks vaja, et panka logida? Parooli eksole? Ok viirus saab minu parooli teada, pin-kalkulaatori puhul on viirusel suht vähe kasu sellest, et tea teab mis parooliga ma viimati sisse logisin. Seda koodi pank enam uuesti ei küsi – mitte kunagi. Nii kujutame siis et viirus ronib panka minuga koos et mina login sisse ja viirus toimetab. No vot iga toimetuse juures küsib pank jälle koodi. Erinevat. Makse tegemiseks on pisut vähe sellest, et yess logisin sisse.

  • Postitatud: jaanuar 20th, 2008 21:51

    hansa klient

    Ety, sina (või vähemalt tavaline inimene) ei suuda vahet teha, kas koodi küsib “pank” või viirus. Logisid sisse, hakkad makset tegema, leht küsib uut koodi. Paned selle sisse – aga viirus asub vahele, võtab koodi endale ja teeb ise makse.

    Või siis logid sisse, paned koodi, leht ütleb “mingi viga, proovi uuesti”, Paned uue koodi, jälle mingi viga.. Tegelikult aga ei jõudnud sinu koodid mitte panka, vaid viirusele, kes nendega siis oma äranägemise järgi toimetab.

    Moraal ongi see, et viirusega arvuti puhul ei saa sa olla kindel mitte milleski. Kõik, mida näed, võib olla viiruse kontrolli all. Kirjutasid brauserisse hanza.net, näed hansa logo ja aadressi, isegi sertifikaat klapib – aga tegelikult on nii DNS, brauseri ekraanipilt kui serdidialoog viiruse kontrolli all ja ta näitab sulle ainult seda, mida ise tahab. Ja tavaline inimene tipib “viga, proovige uuesti, parool nr 5 palun” peale 5. parooli rahulikult sisse – ja siis järgmise ja järgmise – nii et ei paroolide ega u-neti signatuuride saamine pole nupuka viiruse jaoks probleem.

    Kõik algab sellest, et su arvuti PEAB puhas olema. Kui ei ole – pole loota millelegi. Järgmisena PEAD alustama õigest veebilehest – https://www.hanza.net jne – valele lingile klikkides oled sama hävinud nagu viiruse puhul. Paroolid ja koodikaardid aitavad ainult siis, kui need kaks tingimust on täidetud.

    Ma ei taha siin hirmu külvata, enamik viiruseid ei viitsi niikuinii eesti panku rünnata, ja mis viitisivad, jätavad ID-kaardi ja PIN-kalkulaatori kasutajad kõrvale. Aga lootused “viirus ei saa” või “mu parool kaitseb mind” on kahjuks veidi naiivsed.

  • Postitatud: jaanuar 21st, 2008 10:30

    e-note

    to hanza klient

    Paned natuke mööda. Nii hull asi ei ole kui kasutad ID kaarti.

    Ka võltshansapanga koos ssl ja id-kaardi tuvastaja veebitarkvaraga olemasolu on täiesti mõttetu.

    Klient logib võltslehele ja siseneb ID kaardiga- andes vaid ajutiselt genereeritud avaliku võtme. Pätil ei ole sellega midagi peale hakata. Salajane võti asub aga kiipkaardil- lukutaga.
    ning isegi kui on võimalik saada (ma kahtlen selles) PIN1 koodi- siis on pätil vaja ID kaarti, mis on juba füüsiline ja selliseid asju peab füüsiliselt virutama, mis tähendab seda, et kapo või mingi muu organ- leiab kiirelt ülesse- ja petetud klient saab kohtust kopsaka hüvitise küsida.

    Miks ma seda tean? Sellepärast, et näitaks sha on vaba lähtekoodiga:
    Note: All variables are unsigned 32 bits and wrap modulo 232 when calculating

    Initialize variables
    (first 32 bits of the fractional parts of the square roots of the first 8 primes 2..19):
    h0 := 0x6a09e667
    h1 := 0xbb67ae85
    h2 := 0x3c6ef372
    h3 := 0xa54ff53a
    h4 := 0x510e527f
    h5 := 0x9b05688c
    h6 := 0x1f83d9ab
    h7 := 0x5be0cd19

    Initialize table of round constants
    (first 32 bits of the fractional parts of the cube roots of the first 64 primes 2..311):
    k[0..63] :=
    0x428a2f98, 0x71374491, 0xb5c0fbcf, 0xe9b5dba5, 0x3956c25b, 0x59f111f1, 0x923f82a4, 0xab1c5ed5,
    0xd807aa98, 0x12835b01, 0x243185be, 0x550c7dc3, 0x72be5d74, 0x80deb1fe, 0x9bdc06a7, 0xc19bf174,
    0xe49b69c1, 0xefbe4786, 0x0fc19dc6, 0x240ca1cc, 0x2de92c6f, 0x4a7484aa, 0x5cb0a9dc, 0x76f988da,
    0x983e5152, 0xa831c66d, 0xb00327c8, 0xbf597fc7, 0xc6e00bf3, 0xd5a79147, 0x06ca6351, 0x14292967,
    0x27b70a85, 0x2e1b2138, 0x4d2c6dfc, 0x53380d13, 0x650a7354, 0x766a0abb, 0x81c2c92e, 0x92722c85,
    0xa2bfe8a1, 0xa81a664b, 0xc24b8b70, 0xc76c51a3, 0xd192e819, 0xd6990624, 0xf40e3585, 0x106aa070,
    0x19a4c116, 0x1e376c08, 0x2748774c, 0x34b0bcb5, 0x391c0cb3, 0x4ed8aa4a, 0x5b9cca4f, 0x682e6ff3,
    0x748f82ee, 0x78a5636f, 0x84c87814, 0x8cc70208, 0x90befffa, 0xa4506ceb, 0xbef9a3f7, 0xc67178f2

    Pre-processing:
    append the bit ‘1’ to the message
    append k bits ‘0’, where k is the minimum number >= 0 such that the resulting message
    length (in bits) is congruent to 448 (mod 512)
    append length of message (before pre-processing), in bits, as 64-bit big-endian integer

    Process the message in successive 512-bit chunks:
    break message into 512-bit chunks
    for each chunk
    break chunk into sixteen 32-bit big-endian words w[0..15]

    Extend the sixteen 32-bit words into sixty-four 32-bit words:
    for i from 16 to 63
    s0 := (w[i-15] rightrotate 7) xor (w[i-15] rightrotate 18) xor (w[i-15] rightshift 3)
    s1 := (w[i-2] rightrotate 17) xor (w[i-2] rightrotate 19) xor (w[i-2] rightshift 10)
    w[i] := w[i-16] + s0 + w[i-7] + s1

    Initialize hash value for this chunk:
    a := h0
    b := h1
    c := h2
    d := h3
    e := h4
    f := h5
    g := h6
    h := h7

    Main loop:
    for i from 0 to 63
    s0 := (a rightrotate 2) xor (a rightrotate 13) xor (a rightrotate 22)
    maj := (a and b) xor (a and c) xor (b and c)
    t2 := s0 + maj
    s1 := (e rightrotate 6) xor (e rightrotate 11) xor (e rightrotate 25)
    ch := (e and f) xor ((not e) and g)
    t1 := h + s1 + ch + k[i] + w[i]

    h := g
    g := f
    f := e
    e := d + t1
    d := c
    c := b
    b := a
    a := t1 + t2

    Add this chunk’s hash to result so far:
    h0 := h0 + a
    h1 := h1 + b
    h2 := h2 + c
    h3 := h3 + d
    h4 := h4 + e
    h5 := h5 + f
    h6 := h6 + g
    h7 := h7 + h

    Produce the final hash value (big-endian):
    digest = hash = h0 append h1 append h2 append h3 append h4 append h5 append h6 append h7

  • Postitatud: jaanuar 21st, 2008 10:42

    e-note

    avaliku aes võti on 1024 bitise puhul nii pikk ja samamoodi pika salajase võtme poolt ajutiselt tehtud- seega salajase võtme baasil ja ta peab ristuma salajase võtmega ning vale avaliku võtmega- asi ei tööta.
    lQHhBEdlV8oRBACruxdUWIKDAMpAkUyYbXbPF6eFp+1JLhlfUMStvErvrMjzYQQW
    2QHicqaC/oQ52ocOHpX3uxPvy53hfIbWzyp1YKEgSVyECOlt0hvAQ6uJwQ4uhBHd
    NVAW/IeJLn4eUKsT8calyjGXzcA3w2+NjI2+5VXBgwDVSoT+7aodA/8iswCg8CQK
    761lQAxMu27dlGIfKk02OasEAJFakeGGjWCvjzPGGNnx8tD39wNmjRwUlc6GoduU
    afjpKHBiSskeHJeV/UbxZJR4qYnEttNk8Dz+6fpHYhw3IYHRwbD8A5ZicGOh8vFP
    f77YbHxhK2X+csHsYZ8MCV3/wjCqbb/MbDNBi+2TjZnbcP2d0dg0RFT8GhfSfztf
    3JnTA/9KI/OX8WldAJ0HNOmzdmeYBHAk4sU0gqtD5pa69W7j6rD850sp0EaxfXKN
    iqPMJoC/iadRX2CiZhl1TcGh4TFPCAJH0tG2tfL5Q5ojJRkHoxzkrvFAOUI7rW+I
    scOt/eUgIFKql/r1pK06cAwpcaSdqFP8RtC7vHM88SgP50VT6v4DAwIHG/GVZwUZ
    YmBj/fTQIuJljbtglQHqJI4Pk6uOQFAUVY4GFz7y3aI5RCVLmzsbDWF9DzfY7/av
    lW4zbLQXZS1ub3RlIDx1bml4QHBsYW5ldC5lZT6IYAQTEQIAIAUCR2VXygIbIwYL
    CQgHAwIEFQIIAwQWAgMBAh4BAheAAAoJELQ+PAcjFm1QOD0AoNjLyz5UkkrvIkRY
    U+csHH9pDgi9AKCZs8YUZZCyzOQ3HuLQLmmroHtC7Z0CYwRHZVhUEAgArHJp80m/
    OQHTfEKwMCar5bg/NrXzt76NVB8r/JhKjOEM7XbbA080QIKzSqYzUtRmkkMNElwv
    TCKXKcZc4iEkxgo9nKkApFuWpLQa1vHnaZb2+rYxOfOAMZ6Qu2k9h2+kKfbpvzr9
    pGRV3nzr6mbM/fqhRfPzmJa7+C0KsSUW6K2Nt6dNjSVxH31Lt2irXxJXlm72yETU
    hjrxtdynU8gRpw0Kfs12bMf9jB5aii/1l36060s3jK9v62upnIIs5C1qjSIryIEl
    l8zML4uTxDKYSOR7XZmEVaGilVk+XfcljoLO0NO0d3wKii/zwR2YHLvk5SdSIMri
    tuJ8cb44cV5UZwAFEQf/WeJufWpzyDXBJwYTZia7MaJKbA6RCi631ksJArPObQ/W
    hNe2ibXyZGgA1y7fO8iR5Zos2/kCi8zgSdZmtzZ6rE9VwnGcSRRFdyUcYe7c96eJ
    hPb8GgG53K0YklTse5cjaNeL8/b/9XSpbl/eKf/RCARmEAn/dDZjbY4SMuHTXkD7
    qcooVHGtwzcxFmV2kapFp6lRhtRihUCr3PamkCPmxXd2k9wbSHzpJb1u8mjz1pUf
    DIXQRnCzCuEmkpAFiKYtLKaa+ZRwtfFtwyYoYqgpnCfl1N78Hhazijry8yb6FgYe
    t4z+4xH7i5SoMoAUAaGWTC11munmAPh7fnpNdjuyM/4DAwIHG/GVZwUZYmB4Q2UA
    /scpOU7qYOFApOITALMTfY7tcapsLnqvIqmEyEwVXDsMi4hxurICQb3fhrCNAot2
    5pgSbPBcFST2W7qeGP5x0rqxfsHXiEkEGBECAAkFAkdlWFQCGwwACgkQtD48ByMW
    bVBxwQCeNCrtg23gt+d7C2kGMm+icl32+IEAnik58ngzJB9ncGFOlN4ZV0fOjEeA
    =ud+w

  • Postitatud: jaanuar 21st, 2008 10:57

    e-note

    Kes tahab umbes vaadata, missugune arvutusmasin sinu ID kaardi sees on graafiliselt: (nb! see on ainult 128 bitine- 2048 ja üle on suurem arvutus, mis on juba id’s)
    http://www.cs.bc.edu/~straubin/cs381-05/blockciphers/rijndael_ingles2004.swf

  • Postitatud: jaanuar 23rd, 2008 23:37

    TO: kahtlustajale

    Kui see panga uudis liba oleks, siis küsiks seda, et miks siis kaarte sulgeti? Minul isiklikult pandi kaart kinni.
    Järelikult viib see mõtted paratamatult selleni, et pangal endal oli turvalisusega probleeme. Ja seda viimast olen hakanud järjest rohkem uskuma, kuna pank on kaartide sulgemise kohapealt üsna kidakeelne!

  • Postitatud: september 19th, 2008 18:17

    Seenekas

    milline on parim viiruse kaitsja ?

Kommenteeri

NB! Kommentaarid, mille tekstis on rohkem kui üks URL, tuleb toimetajal spämmifiltrist käsitsi ära päästa.

Läbu ja ropendamine kustutatakse!

Arvutikaitse Facebookis

Loe lisa: https://www.facebook.com/Arvutikaitse

Arvutikaitse toetajad

Viimased kommentaarid:

Nuhkvaratõrjujad

Online-tõrjujad

Tasuta tõrjujad

Viited

Rubriigid

Arhiiv

RSS Graham Cluley

RSS Bleeping Computer

RSS The Hacker News

RSS HackRead

Arvutikaitse is proudly powered by WordPress