Autor: Lauri Säde

Blogspot.com kui pahavara allikas

Viirustõrjefirma Sophos raporteeris, et 2008 aasta esimesel poolaastal leidsid firma andmeturbespetsialistid iga päev kuni 16 000 pahatahtlikku internetilehtekülge (mis teeb viis tükki sekundis).

Neid saite kasutavad pahatahtlikud tegelased on kas nende lehekülgede autorid või siis kuritarvitavad võõraid lehekülgi. Näiteks on nakatatud lehel HTML kood, millele  on paigaldatud 1×1 piksli suurune element. Lehekülge alla laadides konktateerub brauser serveriga mis jooksutab nakatunud skripte või koode.

Paljud nakatunud veebisaidid on täiesti seaduslikud, kuuludes näiteks mõnele 500-st mõjuvõimsaimast firmast või siis mõnele populaarsele sotsiaalsele võrgustikule nagu www.blogspot.com.

Blogijatele mõeldud internetileheküljed teevad viiruse levitamise lihtsaks, kuna lehe haldaja jääb  ananüümseks ning blogi on kerge ja odav valmistada.

Enim pahatahtlikke saite leiti Google’i hallatavast Bloggerist (www.blogspot.com), nentis Sophos. Üksnes see blogisait on koduks kahele protsendile pahavarast, mis ringleb internetis. Blogidesse ei saa riputada ainult pahavaraskripte: kriminaalsed ründajad saavad kommenteerides sisestada ka linke, mis viivad  pahatahtlikele lehtedele.

Google ütleb sellepeale, et nad võtavad seda asja väga tõsiselt ja töötavad visalt, et end ja omainternetilehti pahavara eest kaitsta. Kasutades Igasugune pahavara levitamine on Google’i saitide kasutustingimuste räige rikkumine. “Me töötame selle kallal, et meie võrgustikus olevad saidid oleksid pahavarast puhtad. Pahatahtlike lehtede leidmisel me kustutame need” ütles Google.

Seniks aga tasub odavaid laene ja muud kahtlast kraami pakkuvatest blogidest eemal hoida ning jälgida, et ka omaenda blogi kommentaarium püsiks rämpsust puhas.

Seadista Messenger viirusi skännima!

MSN Messenger on üks levinumaid kiirsuhtlusvahendeid. Lisaks tekstisõnumite vahetamisele on Messengeri sisse ehitatud ka mugav võimalus saata ühest arvutist teise pilte, dokumente ja muid faile. Kuid pahatihti on juhtunud, et sõbra poolt saadetud fail sisaldab pahavara (kusjuures sõber enamasti ei teagi sellest midagi). Seega on väga tähtis kontrollida MSNi kaudu vastuvõetud faile viiruste ja muu pahavara suhtes.

Õnneks on Messengeril võimalus seadistada viirusetõrje vastuvõetud faile kontrollima.

Tavaliselt on uuematel ja tegijamatel viirusetõrjujatel olemas selline moodul, mis kontrollib MSNi kaudu saadud faile. Paljudel tõrjujatel Messengeri otseskänn puudub, aga seda asendab ka residentne skänner, mis kontrollib kõiki uusi ja vanu faile, mida arvutikasutaja avab, sulgeb jne. Kui ka see võimalus puudub, tuleb viirustõrje “puukida” otse MSNi külge, sest nii saame kindlad olla, et viirusetõrje tõesti kaitseb arvutit MSNi kaudu tulevate failide võimaliku nakkuse eest.

Et MSNi vastuvõetud faile sinu antiviirusega automaatselt skännima panna, ava menüüst Tools-Options (või Tööriistad – Suvandid):

Järgnevalt vali vasakult menüüst File Transfer Browse (Failiedastus – Kasuta failide viirusekontrolliks)

Nüüd otsi C:\Program Files kaustas üles oma viirusetõrje kaust. Näiteks Aviral ongi Avira, Avast!il Alwil Software, AVG-l Grisoft

Otsi kaustast üles viirusetõrje ikooniga fail (Aviral on selleks avcenter.exe) ning olles selle faili selekteerinud, vajuta Open

Nüüd vajuta Apply ja OK

Nüüd, olles saanud vastu faili:

skännib Avira selle kohe üle:

Kui sul jookseb arvutis mõni muu viirustõrje, mis samuti vaikimisi Messengeriga allalaetavaid faile ei kontrolli, siis tuleks see samamoodi seadistada.

Kas sa kasutad värskeimat versiooni oma veebilehitsejast?

Turvaeksperdid ETH Zurichst, Google’ist ja IBM Internet Security Systemsist uurisid, kui paljud internetikasutajad on uuendanud oma brauserit. Analüüsides Google’i saite külastanud veebibrauserite versioone selgus, et 637 miljonit internetis surfajat ei kasuta oma brauseri viimast versiooni.

Kõige aldimad (92,2%) on oma brauserit uuendama Mozilla Firefoxi kasutajad. Seevastu Microsoft Internet Exploreri kasutatest kõigest pooled (52,5%) kasutavad viimast versioon (IE7), mis on palju turvalisem oma vanemast eelkäiast.

Brauserite vanemates versioonides esineb tihti olulisi turvaauke, samuti pole neil erinevalt uuematest versioonidest mitmeid sisseehitatud turvamehhanisme (näiteks automaatne õngitsemissaitide kontroll, cross-site scriptingu vastane kaitse ja palju muud).

Probleem on suuresti ka selles, et paljud kasutajad lihtsalt ei tea, kas nad kasutavad oma brauseri uusimat versiooni. Turvaeksperdid soovitavad paigutada veebisirvjale nähtav hoiatus, et väljas on tarkvara  uuem versioon:

Oma lemmikbrauseri uuendamiseks külastage selle kodulehekülge, laadige sealt alla värskeim versioon ning installeerige see arvutisse.

Kaspersky Lab hoiatab ohtliku krüptoviiruse eest

Kaspersky Lab-i turvalabor avastas üleeile uue versiooni Gpcode viirusest. See erineb eelmisest Gpcode versioonist selle poolest, et kasutatakse eelmisega võrreldes tunduvalt keerulisemat, 1024-bitist võtit.
Viimane, 660-bitine võti õnnestus enamikel tutud viirusetõrjetel lahti murda, aga 1024 bitine võti on juba kõvem pähkel.
See viirus levib peamiselt spämmiga ja krüpteerib arvutis leiduvad tähtsamad (DOC, TXT, PDF, XLS, JPG, PNG, CPP, EXE jms) failid, nii et tavakasutaja neid enam avada ei saa. Avamise jaoks on aga vaja lahtikrüpteerijat, mida saab osta ainult viiruse autorilt.

Loe ka siit, siit ja seda.

Lisan veel Kaspersky Lab´i Eesti esindaja pressiteate:

TÄHELEPANU! Väga ohtlik viirus!

Menelon OÜ, Kaspersky Lab´i ametlik esindaja, teatab väga ohtliku viiruse – Gpcode – avastamisest.

Uue viiruse Virus.Win32.Gpcode.ak signatuur lisati viirustõrjebaasidesse 4. juunil 2008. Praegu pole võimalik kahjustatud faile dekrüpteerida, kuna viirus kasutab krüptimiseks lahtimurdmiskindlat RSA-algoritmi, mille võtme pikkus on 1024 bitti. Viirus krüptib paljudes vormingutes (DOC, TXT, PDF, XLS, JPG, PNG, CPP, H jt) kasutajafaile. Peale seda ilmub ekraanile ingliskeelne teade: “Teie failid on krüptitud RSA-1024 algoritmiga. Failide dekrüpteerimiseks on vaja salajast võtit. Selle saab osta aadressil: xyz@yahoo.com».

Kahjuks pole veel kindlaks tehtud viiruse levitamisteed, seetõttu soovitame lülitada sisse kõik kahjurprogrammivastased kaitsevahendid, mis teil on.

TÄHELEPANU! Kui te näete oma arvutis sellist teadet:

cpcode.png

…siis on seda arvatavasti rünnanud Gpcode.ak. Sellisel juhul üritage SÜSTEEMI TAASKÄIVITAMATA JA VÄLJALÜLITAMATA võtta meiega ühendust, kasutades teist internetiühendusega arvutit.

Kirjutage meile e-posti aadressil stopgpcode@kaspersky.com ja teatage nakatumise täpne kuupäev ja kellaaeg, samuti, mida te tegite arvutis viimase 5 minuti jooksul enne selle nakatumist: milliseid programme käivitasite, millist veebilehte külastasite. Me üritame aidata teile tagastada Å¡ifreeritud andmed.

Vaatamata tekkinud olukorra keerukusele, analüüsivad meie analüütikud viirust edasi ja otsivad võimalusi deÅ¡ifreerida faile ilma salajase võtmeta.

RSA-algoritm põhineb Å¡ifreerimisvõtmete jaotusel salajasteks ja avalikeks. RSA-algoritmiga Å¡ifreerimise printsiip kõlab: teate Å¡ifreerimiseks piisab vaid ühest avatud võtmest. Sellist teadet saab aga deÅ¡ifreerida vaid salajast võtit omades.

Sellel printsiibil põhineb ka viirus Gpcode. Ta Å¡ifreerib kasutajafaile omaenese kehas asuva avatud võtmega. Faile deÅ¡ifreerida saab ainult salajase võtme omanik ehk kahjurprogrammi Gpcode autor.

See pole esimene selline viirus, veel kaks aastat tagasi õnnestus Kaspersky Lab´il dekrüpteerida Gpcode eelmine versioon, mis kasutas 660-bitist RSA-võtit. Kuid seekord õppis kurjategija oma eelmistest vigadest ja ei korranud neid enam.

Kõik edasised täpsustused kajastuvad veebilehel: http://www.kaspersky.ee

Kuidas botnetiga raha teenitakse

zombivork.pngBotnetid on tegutsenud juba pea 10 aastat. Eksperdid on nende pärast ammu muret tundnud, kuid paljud tavakasutajad peavad botnettide probleemi ikka veel kaugeks ja mitte neisse puutuvaks. Selline muretus kestab seni, kuni nende võrguteenuse pakkuja ühendab neid võrgust lahti, nende pangaarvetelt on raha varastatud või nende emaili või MSNi paroole on kuritarvitatud.

Mis on botnet?

Kui arvuti nakatub nn tagaukse troojalasega, saavad küberkurjategijad nakatunud arvutit suure vahemaa tagant kasutada nii, et selle tegelik omanik ei märkagi, et midagi kahtlast toimuks. Tavaliselt nakatatakse korraga suurem hulk arvuteid, küberkurjategijate poolt kontrollitavate arvutite kogumit nimetatakse aga botnetiks.

Botnetil on ääretult suur jõud. Neid kasutatakse kui võimsat küberrelva, millega teenitakse suuri summasid. Botneti valdaja saab kontrollida oma botnetis olevaid arvuteid üle kogu maailma, jäädes ise anonüümseks ja arvuti tegelikele omanikele märkamatuks.

Kasutaja, kelle arvuti on botneti üks lüli, ei pruugi tavaliselt arugi saada, et tema arvutit kasutavad ka küberkriminaalid. Selliseid eemalt kontrollitavaid arvuteid nimetatakse ka zombideks, botnetti aga vahel ka zombide võrgustikuks.

Kuidas botnetti kasutatakse?

Botnetti saab kontrollida nii kaudselt kui ka otse. Viimasel juhul loob botneti valdaja ühenduse nakatunud arvutiga ning kasutab käske, mis on ehitatud tagaukseprogrammi sisse. Zombiarvuti võib ka ühendada ennast kas kontrollkeskusesse või siis teistesse botneti masinatesse, saadab päringu ja teeb seda mida tal teha käsitakse.

Botnetti saab kasutada laiaulatuslikeks rünnakuteks, näiteks valitsuste võrkude vastu, või lihtsalt spämmi laialisaatmiseks. Botneti “iva” seisnebki selles, et võrgus olevaid arvuteid võib olla tuhandeid ja see on liiga suur kogus, et neid igaühte eraldi blokeerida.

Eksperdid on arvamusel, et 80% spämmist tuleb just zombiarvutitest. Sealjuures tuleks mainida, et spämmi autoriks ei ole enamasti botneti valdajad, nad lihtsalt pakuvad spämmisaatmisteenust. Tuhanded nakatunud arvutid lubavad spämmeritel saata miljoneid maile väga lühikese ajaga, nii et spämmifiltrite koostajad ei jõua sellele laviinile reageerida ega saatjate aadresse oma musta nimekirja lisada.

Ka DDoS-rünnakute puhul on botnet äraproovitud relv. Hulgaliselt mõttetuid päringuid erinevatelt IP-aadressidelt on raskesti tõrjutav, tulemuseks aga on serveri ülekoormus, mida nägime eelmine aasta pronksöö ajal paljude Eesti veebiserverite puhul.

Tavaliselt küsivad küberkurjategijad rünnaku lõpetamise eest raha, mida pahatihti ka makstakse. Tänapäeval töötavad paljud firmad suuresti interneti teel ja sellised rünnakud võivad põhjustada äri seiskumise, mis omakorda toob kaasa rahalisi kaotusi. Sellistel puhkudel leiavadd paljud firmad, et odavam on botneti haldajale maksta…

Botnetis olevaid arvuteid saab kasutada ka uute arvutite nakatamiseks või muudeks valgustkartvateks tegevusteks. Kui süüdlasi hakatakse otsima, viivad jäljed nakatunud arvutisse, küberkriminaal aga pääseb puhtalt.

Jälle üks MSNi parooliõngitseja

Mulle saadeti MSN-is hiljuti viide aadressile http://ph0t0s.info/login.php
Avanenud aknas on selgelt kirjas, et “piltide” nägemiseks tuleb oma MSN-i kasutajanimega sisse logida. Peale sisenemist aga ei juhtu midagi. Pealtnäha. Taustal aga logib bot ise teie MSN-i kontole sisse ning hakkab seda lehte kergemeelse kasutaja MSN-i kontaktidele spämmima. Kõik nii, nagu kasutustingimustes (kui keegi neid lugeda viitsib) lubatud:

By using our service/website you hereby fully authorize TST Management, Inc to send messages of a commercial nature via Instant Messages and E-Mails on behalf of third parties via the information you provide us.

Kui  olete sellele leheküljele sattunud ja oma MSNi kasutajaandmed sinna trükkinud, siis õnneks pole teie arvuti tegelikult viirusega nakatunud.
Nuhtlusest lahtisaamiseks tuleb vaid MSNi parool ära vahetada. Seda saate teha aadressil www.hotmail.com: logite sisse ning valite alt reast “Account”. Avanenud lehel on keskel password ja taga nupp Change.