CERT Eesti on kokku löönud käesoleva aasta algusest Eestis levima hakanud Sinowali-nimelise troojalase põhjustatud kahju.
Eesti võrguturvajate hinnangul on Eestis umbes tuhatkond troojalase Sinowaliga nakatunud arvutit, mille kasutajate andmed on suure tõenäosusega jõudnud ka kurikaelteni.
CERT Eesti infoturbe ekspert Tarmo Randeli sõnul on Sinowal ohtlik pahalase märkamatu tegevuse tõttu. „Kerge on märgata varast, kes murrab lahti ukse ja lõhub aknaklaasi. Kui vargus toimub nii, et silmnähtavalt midagi ei muutu, on isegi varguse toimumise hetke raske tuvastada, rääkimata osalistest“.
Sinowal kogub nakatunud arvutitest näiteks kasutajate pangakontode ja paroolide andmeid ning saadab need arvutit kontrollivatele kurjategijatele. Ühtlasi talitab ta tavapärase troojalasena, avades kurjategijale vaba pääsu arvutisse.
eKaitse foorum
Nagu aru saan, siis tegu on Windowsis leviva viirusega ? Mac ja Linux on puutumatud selle viiruse poolt ?
Jah, konkreetne troojalane nakatab Windowsi operatsioonisüsteemiga arvuteid.
CERT-i teadaanne on iseenesest tore asi, aga kahjuks jäetakse tavakasutajad jälle kõige vajalikuma infota – kuidas oma arvutit kontrollida. Võiks siis ju viidata mõnele tasuta tööriistale või veebipõhisele kontrollile, mille abil Sinowali probleemi lahendatud saab, sest muidu kukuvad ehmunud kasutajad jumal-teab-mida vaatama ja alla laadima, et oma arvuti turvalisuses veenduda.
Tavakasutaja ju ei tea turvalisusest tuhkagi, tihti on mõni tuttav wannabe-itimees kõik kaitsed välja lülitanud (sest need tegevat arvuti aeglaseks ja küsivat küsimusi, millest keegi midagi aru ei saa) ja lõpptulemusena ongi eelnevalt võib-olla puhas arvuti nuhkvara täis.
See on tore, et cert pressiteateid üritab kirjutada, aga kas neil seal tõesti pole kedagi, kes eesti keelt KORREKTSELT oskab? Kas tõesti on koos vaid IT-nohikutest düsgraafikud? Pressiteade peab olema mõnusalt loetav, jälgima peab seda, kellele tekst on suunatud. On ju avalik saladus, et tänapäeva IT nohikud ei oska suhelda, võtku nad siis omale tööle keegi, kes oskab kirjutada.
Margus, loe algset teksti (kõige esimese lingi all) – seal on kõik olemas. Kaasa arvatud juhend, mida vältimiseks või nakatumise kahtluse korral teha. Nende tänases jutus on veel veidi infot http://uudised.err.ee/index.php?06143073
Kaur, mis sellel pressiteatel häda on? Antud juhul eeldatakse, et inimene oskab arvutit kasutada (mitte ei käi niisama nuppe toksimas). Kasutada oskava jaoks on info täiesti adekvaatne. Muidugi mingi suvalise kontoris istuva Klahviira jaoks on see jutt nagu hiina keel, kuid ega see tema jaoks polegi mõeldud, kuna eeldatavasti hoolitsevad tema masina puhtuse eest teised.
Hullem lugu on Delfiilikutega – ilusat pildikestega manuaali nad lugeda ei viitsi, pealegi tunnevad nad, et see rikub nende inimõigusi (piramisel, kommenteerimisel jne). Keeruliste asjade jaoks aga lihtsaid lahendusi ei olegi olemas (ega ka tulemas). Loodetavasti lähevad reeglid arvutimaailmas (veelgi) karmimaks ja siis tekib siin mingi looduslik valik, mis selle seltskonna välja suretab.
huvitav, kust CERT enda käsutusse sellised andmed saab, et ütleb ntx 1000 või hoopis 10 000?!? Kas tegu on kõhutundega?
hillarp, ma ei ütleks, et see pressiteade eriti informatiivne oleks. Tavakasutaja saab sealt reaalselt väga vähe aru, sest pole kordagi öeldud, kuidas teada saada, et arvuti on just nimelt Sinowali nakatunud.
Lause “kui inimene on siiski arvutiviiruse ohvriks sattunud, tuleb pöörduda asjatundja poole, kes arvuti puhastab” tekitab tavakasutajas kohe küsimusi – kes on asjatundja, kui palju maksab ja peamine: kas ma seda ise ei saaks tehtud, ma ei taha raha maksta, sest ma ei teagi kas mu arvutis üldse viirus on.
Edasine lause “tuleb meeles pidada, et kui kasutatav antiviirus ei avasta pahalast, proovige alternatiivseid tõrjujaid” tekitab tädi Maalis ja onu Oskaris paanika, et äkki neil ikka pole piisavalt hea tõrjuja ning nad hakkavad suvalise tuttava kaasabil igasuguseid programme läbi proovima. Kes tagab, et nende seas pole mõni levinud libatõrjuja, mis justkui avastab hulga probleeme ja lahendamise eest küsib raha? Tädi ja onu käivad hirmunult oma pangaandmed välja ja ongi “assa pauk”. Rõhutan veelkord, tavakasutaja ei oma vähimatki aimu sellest, kes on asjatundja ja millistele kriteeriumitele ta vastama peaks. Veel vähem suudavad nad eristada ausat programmi petukaubast.
Ei AssaPauk ega CERT ei anna vähimatki infot Sinowali tuvastamiseks, mitte sõnagi pole sellest, et vähemalt üks Sinowali variant on rootkit, mille avastavad vähesed viirusetõrjujad ning mille eemaldamiseks on ilmselt vaja teha rohkem kui lihtsalt tõrjeprogramm installeerida. Samamoodi ei ole võimalik nendest artiklitest tuvastada ühtegi turvalise programmi nime, mis kasutajat antud olukorras aitaks kasvõi viiruse olemasolust või puudumisest teadasaamisel.
Minu jutu mõte seisneb eelkõige selles, et iga turvalisust puudutava artikli juures peab teadmatute kasutajate jaoks olema nimekiri tasuta turvaprogrammidest koos viidetega, kust neid alla laadida ning lihtsad juhendid, kuidas neid uuendatuna hoida ja kasutada. Leppige faktiga, et tavakasutaja on rumal ja usaldab ükskõik mida või keda. Just sellepärast unustage tehniline keel ja andke täpsed piltidega juhendid, millest tädi Maali ja onu Oskar ka aru saavad, olgu nad 40 või 70 aastat maamunal veetnud. Unustage hirm, et kasutajad hakkavad nimekirja kritiseerima või reklaamiks pidama, tavakasutaja arvuti saab olla turvaline vaid siis, kui kasutaja ise oskab seda põhitasemelgi turvatuna hoida. Turvalisusest tuleb mitte ainult kirjutada stiilis “kuskil seal on olemas midagi, mis teid aitab, aga ärge ise mitte mingil juhul targaks saage, olge lollid edasi, teid aitab ainult spetsialist, keda te tuvastada ei oska”, vaid alati, absoluutselt alati, peab olema ka õpetus vältimiseks, kontrolliks ja eemaldamiseks. Leppige sellega, et kasutaja ei tule Arvutikaitse lehele, ta ei tule CERT lehele, ta ei tule AssaPauk lehele, ta tahab kogu vajalikku informatsiooni kohe sellestsamast hoiatavast artiklist. Vastasel juhul ta kas ignoreerib seda (stiilis: minuga ju seda ometi ei juhtu, minu arvutis pole midagi huvitavat!) või satub just nimelt esimese ettejuhtuva tobu otsa, kes ainult arvab, et ta teab arvutitest midagi, sest ta oskab iseseisvalt juba isegi prügikastist faile taastada ja on kuulnud kuidas keegi kuskil rääkis et Antivirus 2008 pidi üle pahna hea programm olema.
Margus, see jutt programmide nimekirjast on muidugi asjalik. Samas tean ma ühest oma eelmisest elust, kuidas minu tollast tööandjat üritati ärimeeste vankri ette rakendada. Lisaks on neid erinevaid vahendeid kohutav hulk ja neist igaühe jaoks hakata manuaali kirjutama on tõsine ettevõtmine. Kes selle kinni maksab?
Selle ettevõtmise kasutegur… ma tooks näite http://www.minut.ee/comments.pl?sid=87471&cid=95152 ennevanasti oli Minutis keskmisest teadlikum arvutikasutaja. Tänapäeval nõutakse et teenusepakkuja hoolikseks pahavara-vaba interneti eest.
Ma ei arvagi, et kõigi vahendite jaoks peaks eestikeelse juhendi kirjutama, piisab viiest-kuuest tõhusamast. Ühe kindla pahavara eemaldamiseks loodud programmid koosnevad niikuinii vaid ühest-kahest vormist. Valiku aluseks võiks võtta kasvõi mõne iga-aastase viirusetõrjeprogrammide testi.
Kurb fakt on see, et ükski teenusepakkuja ei liiguta lillegi pahavara automaatse eemaldamise osas, pakutakse muidugi tasulisi asju (näit. Elion pakub F-Secure paketti), kuid tavakasutaja isegi ei mõtle selle valimisele, tema tahab kõike kiiresti ja tasuta.
Kes kinni maksab juhendite kirjutamise? Ma ei taandaks kõike rahale, lihtsad juhendid saab ka rahata tehtud (ma loodan). Kui inimesed saavad heast tahtest programmidki tasuta kirjutatud, siis äkki oleksime ise ka natuke heatahtlikumad ja teeksime midagi tasu ootamata?
Viis-kuus tõhusamat… mille alusel seda otsustada – erinevaid rohkem või vähem sõltumatuid teste on palju. Juhul, kui nüüd keegi sealt valida, siis tõstavad teised kohe kisa, valiku kriteeriumite üle. Minu jutu mõte on see, et CERT EE ei saa kindlasti selliseid valikuid teha, küll aga saab siin neid teha (ja on ka tehtud, nagu pealehe paremal tulbas paistab).
See, et teenusepakkuja ei liiguta on muidugi tõsi. Iseküsimus on see, et kas peakski. Hendrik juba virises interneti mõrvamise pärast. Selline teenuseosutaja poolt interneti kohitsemine oleks veel hullem. Kindlasti ei ole ma selle poolt, et keegi piirab minu vabadust otsustada, mis on halb ja mis hea.
Juhendid – siinsamas on selliseid juhendeid ja päris piisavalt. Samas, nagu ma juba mainisin, ei ole keegi huvitatud nende lugemisest. Minu igapäevatöö on igasuguste turvajuhendite kirjutamine ja minu tööandja poolt on nad ka kohustuslikuks tehtud. Mis Sa arvad, kuidas järjekordne juhend vastu võetakse?
‘Sinowal’ pahavara tuntakse ka ‘Torpig’ ja ‘Mebroot’ nime all. Arvutivõrkudesse ilmus 2006 aasta alguses.
Sinowal info:
http://www.f-secure.com/v-descs/trojan-psw_w32_sinowal_cp.shtml#detect
Ülioskuslikult loodud pahavara Windows platvormile. Põhieesmärgiks on nakatatud Windows arvutite kaasabil Euroopa online pankade ründamine ja sealt raha varastamine. Sinowal looja või loojad on üldsusele tundmatud. Pahavara kood on enamuses segane ja selgusetu. Pahavara installatsiooni protsess üritab ülekavaldada ja eirata Windows arvuti tarkvaralisi kaitsesüsteeme (tulemüür, viirusetõrje). Sinowal resideerub tavaliselt seal kus on suur arvutite võrguliiklus. Windows arvutite rohkus tagab protsentuaalselt suurema ohvrite hulga. Internetis on viiteid, et Sinowal on loodud Venemaa küberkurjategijate jõugu poolt.
Kuidas avastada ja eemaldada Windows arvutis Sinowal ehk Torpig ehk Mebroot?
Eks ikka juba AK kodulehel varemgi mainitud pahavara eemaldajatega: superantispyware, ad-aware ja spybot.
Ps! Minule enesele assotseerub nimi ‘Sinowal’ vene keelse sõnaga ‘senoval’ ehk eesti keelse sõnavastega ‘heinakuhi’. Infotehnoloogilisest seisukohast lähtudes ongi ju Sinowal pahavara käesoleval ajahetkel oma olemuselt “heinakuhja” staatuses. Ehk teisiti üteldes annavad Sinowal loojad meile ninanipsuga mõttemärgi:”Windows kasutajad, otsige nõela heinakuhjast…!” 🙂
Sinowal lisainfoks:
Näiteks antud Ukraina veebiserveri aadressil
http://78.109.30.232/auth/index.cgi paiknes 26.09.08 seisuga pahavara ‘Sinowal.ce / Sinowal.GL’ mis nakatas 90-päeva jooksul 913 domeeni.
NB! Windows arvutitel selles Ukraina keskkonnas surfamine ainult arvutikasutaja enda riisikol. 😉
Essee
Olid paratamatud ajad. Windows 95 ja 98 olid jube populaarsed OS-id. Graafika areng ja suur mängubuum.
Win95 ajal ma veel ei teadnud, et mul oli nakatatud pc ja tuhandetel eestlastel samuti.
98 ajal hakkas paroolideõngitsemine kasutajatelt ning kui tuli interneti pangandus mängu, siis oli kindel, et peab olema viirusetõrje ja nuhkvaratõrje ja rootkit-kaitse.
Ja 98 vanal arvutil koos viirusetõrje programmiga tegi masina aeglaseks ning inimestel läks palju aega rahaliselt raisku.
Nüüdseks on kiiremad arvutid, kuid ikka peab kuulma, et viirus ja nakatumine.
See on ikka veel teadmatus ja paratamatus: kui juba paned enda arvutisse anti-viiruse tõrje, oled juba oma arvutit nakatanud, sest teine antiviirusefirma hakkab sinu arvutit ründama.
Sama ka linuxiga. Kui paned oma linuxisse, macos’i või windowsisee anti-viirusetõrje programmi, siis hakkab see sama jura pihta, et 3ndad programmid, mis skaneerivad sinu katalooge- seda ka teevad. Lisaks on Windows Vista ka ise üks viirus, sest neil on oma tuvastussüsteem, mis saadab päringuid Microsoftile- kui keegi seda nakatab, siis saadetakse päringud sinu arvuti sisust pättidele.
ANTI -VIIRUS (mis on viirus? bakterid? ja mis on anti-bakter: vastumürk, viirus)
Et siis anti-viiruste firmade vaheline konkurents. Firma A teeb viiruse ning pommitab ja nakatab Firma B viirusetõrjetega arvuteid.
Firma A laseb välja kaks viirust. Üks on tuvastusviirus ja teine seda hullem veel kui esimine.
Firma B arvuteid pommitatakse betaviirusega.
õnnestunud päringutele, mis tuvastavad, et seda betaviirust ei tuvastatud- seejärel lastakse neile sisse Alfa-viirus.
Firma B avastas hiljem, et tema 20 000 kliendi arvutid said kaotuse osaliseks, nende andmeid rööviti ja levitati Firma A sulidele.
Seega Firma B lasi välja Firma A vastu oma bakterid.
Firma C aga ei meeldinud üldse, et Firma A ja Firma B üksteisega sõdivad. Ta palkas “Koristaja” ning lasi välja 10% maailma viirustest üldse.
Microsoft kui maffia isa( tema windows ikkagi) – lasi välja nüüdseks – VISTA BUMERANG
Tõelise bakterikobara. Täistopituid kümneid tuhandeid vastumürgi osakesi ja anti-baktereid kräkkerite vastu.
Ja nüüd pritsib raisk!! Igast august tuhendeid valanguid sekundis.
Kuulid põrkuvad tagasi Microsofti kaitsekilbi ja soomustega kaitstud firmasse.
Ning iga kuul raporteerib oma kolinaga Microsofti kuulde- ja logoprotokolle.
Härra Koll ise istub Microsofti stuudios ja itsitab ja ütleb:” divelopment,divelopment,divelopment,divelopment..”
Ja kogu ruum kajab” …ment.ment,ment,” mis läheb kuulidega ühtlasi tagasi Vista bumerangi..
Jne..
Midnight 2008