Pahavara kaugeemaldus

Sain minust suhteliselt kaugel elavalt sõbralt abipalve: “Tee mu arvuti puhtaks!”. Tema arvuti operatsioonisüsteem ei tahtnud enam käivituda.

Telefoni teel juhendasin ta Safe Mode’i,  seepeale sai ta MSNi tulla. Kontakt olemas, otsustasin kasutada kaughaldustarkvara Teamviewerit, sest sellega on päris lihtne üle interneti teises arvutis kurjameid taga ajada. Mõeldud-tehtud. Tundsin end kergelt nagu botmaster, kes võõrast arvutit kontrollib 🙂

Esimese asjana panin MBAM’i kähku arvutit kontrollima.
MBAM start
Mõne sekundi möödudes oli pilt selline

Edasi asusin uurima HiJackThis logi ning sealtkaudu sain ka päris suure hulga pahalaste jälile.

MBAM oli vahepeal leidnud juba üle tosina uue ohu:
Veel ohte

Rohkem kui kuue minuti pärast küündis leitud pahalaste arv juba 130 ligi.

Veidral kombel ei teinud ükski pahalane süsteemile taaskäivitust, kui teda kontrolliti. Olen mitmeid selliseid masinaid näinud ning see on paras peavalu. Õnneks on mul sellisel puhul abiks Ultimate Boot CD for Windows päästeplaat.

Mida MBAM siis leidis?

Paar libatõrjet, mitmeid troojalasi ja ka ühe Confickeri “järeltulija”.

Kui MBAM küsis pärast pahavara eemaldamist süsteemile taaskäivitust, palusin seda ka teha. Peale seda läks arvuti ilusasti tööle ning ma ei uskunud, et see veel puhas võiks olla. Sellepärast vaatasin veel Combofixi logi:
Combofix
Pildil on näha, et Combofix eemaldas veel mitmeid pahalasejäänukeid ning peatas mitmeid draivereid ja teenuseid. Pärast Combofixi logi ülevaatamist tegin veel ühe HJT logi koos Prevx logiga. Kumbki ei leidnud arvutist enam midagi.

Pärast puhastamist sai peale pandud Avira Antivir tasuta tõrje koos Spyware Terminatoriga.

Selline näeb välja ühe kergesti nakatunud arvuti puhastamine. Kui tegu on mõne rootkiti või muu väga raske nakkusega, võib vaja minna UBCD4WIN ning see teeb eemaldamisele kuluva aja päris pikaks.

Kergem on hoida oma arvuti puhas. See säästab nii närve kui ka raha 🙂 Pealegi ei pea korraliku kaitse eest peaaegu et midagi maksma.

Libatõrje kasutab MalwareDomain listi

Malware Domain List (MDL) on populaarne sait nii turvaekspertidele kui ka teistele IT turvalisusega seonduvatele inimestele. Nimelt saab sealt viiruseid koguda ning neid uurida.

MDL sait
MDL näeb tavalisele internetikasutajale välja selline

Libatõrje näitab meile aga järgnevat pilti
Libatõrje hoiatus

Kui paar õigekirjaviga kõrvale jätta, sarnaneb see päris häst järgnevale (ehtsale) hoiatusaknale:

Firefoxi hoiatus

Libatõrje näidatud hoiatusaknas hakkab silma “Get Security Software”, mis viib edasi libatõrje veebisaidile, kus vägisi libatõrjet paigaldama sunnitakse.

Rohkem infot saab F-Secure turvablogist ja MDL foorumist

H1N1 pahavara

F-Secure turvablogi kirjutab pealtnäha lihtsast ning turvalisest lingifailist. Need failid on otseteed, et avada näiteks Arvutikaitse.ee lehekülg. Alltoodud link on hoopis kavalam.
Otsetee
Tavaline otsetee fail Internet Explorerile

Command prompt
Command promptis näib see 1987 baidine fail ohutu

Sisu
Kui aga sisu uurida, äratab see juba kahtlust

Otsetee atribuudid
Otsetee atribuute vaadates lingib see %ComSpec%

Notepadis
Kopeerides kogu rea Notepadi, avaneb meil hoopis teine vaatepilt. Ikkagi on segane, millega tegu

Mida see H1N1.lnk fail siiski teeb?
# Ühendub FTP-saidile www.g03z.com
# Logib sisse, kasutades kasutajanime aa33 ja parooli bb33
# Laeb alla skripti p.vbs
# Käivitab skripti

Hetkel on sellel saidil pesitsev kahjulik skript maas ning H1N1’te avades ei toimu midagi.
Pealtnäha kahjutud failid võivad mõnikord kujuneda “põrsas kotis”, millest ei tea, mida oodata.

Rohkem kui poole miljoni krediitkaardi andmed varastatud

Tundmatud kurjategijad varastasid rohkem kui 500,000 krediitkaardi andmed ettevõttelt Network Solutions, kes tegeleb hostingu ja registripidamisega. Küberkurjamid said süsteemi süstida spetsiaalse koodi, mis püüdis krediitkaartide andmeid hetkel, kui nendega tehinguid tehti. Pisike koodijupp istutati juba 12 märtsil ning seda ei avastatud enne kaheksandat juunit. Sealhulgas puuduvad andmed selle kohta, kuidas kräkkerid süsteemi tungisid.

Järeldus – enne, kui hakkate tundmatust netipoest midagi ostma, katsuge uurida poepidajate tausta, olge ettevaatlikud oma krediitkaardiandmete sisestamisel ning kui võimalik, kasutage krediitkaardikindlustust või virtuaalset, piiratud limiidi ja lühikese kehtivusajaga krediitkaarti.

Libatõje, mis keelab exe failide avamise

Trendlabs hoiatab uue libatõrje eest, mis muudab kõik .exe failid kasutamiskõlbmatuks.
Libatõrje
Nimelt ei lase “System Security” avada .exe faile ning pakub ravina välja antiviiruse ostmist.
Hoiatusteade

Tegelikult üritatakse muidugi arvutikasutajatelt hirmutamisega raha välja pressida.
On teada juhtumeid, kus libatõrjuja poolt allalaetavad skriptid krüpteerivad arvutikasutaja failid ning küsivad nende lahtimuukimiseks raha.

Ma pole ise  selle libatõrjega veel kokku puutunud, aga arvan, et kui läheneda Safe Mode‘s või erinavate viirustõrjete päästeplaatidega, saab sellest kurjamist jagu.

Pahavara kasv võrreldes eelmise aasta sama ajaga

Turvatarkvara tootja Mcafee teatab, et on 2009 esimese poolaasta jooksul leidnud ca 1.2 milljonit ühikut uut pahavara. See jääb ainult ca 500 tuhande ühikuga maha 2008 aastal kogu leitud pahavara numbrist.
Viiruste hulk läbi aastate
See number peegeldab tegelikult kõigest Mcafee kätte sattunud pahavara. Võib-olla on teistel turvatarkvara tootjatel need numbrid suuremadki. Mida see meile, kasutajatele, tähendab? Suuremat ohtu. Miks?
Seda sellepärast, et üha suurenev ja keerulisemaks kujunev pahavara hulk nõuab läbitöötlemiseks palju aega ja inimesi. Kui seda aga kehvasti teha, võib turvatarkvara viirust mitte ära tunda. See võib aga kujutada suurt ohtu sinu arvutile ja personaalsele infole.