Rubriik: Messenger

Ando kirjutab meile:

Saadan teile ühe kena näite, mille avastasin kuu või paar tagasi.

Kasutan MSN-i üsna harva  ja kui viimati sinna logisin, oli tekkinud uus kontakt – keegi amaliapels14@hotmail.com. Kuna nimi oli pisut eestipärane – nagu apelsin vms – siis alustasin mõningasele kahtlusele vaatamata vestlust. Peale paari repliiki tundus mulle, et räägin robotiga.

Usun, et ei pea lisama, et allolev link ei ole avamiseks turvaline.

17:45:08: juu
17:45:19: hey
17:45:32: kellega ma räägin?
17:45:43: i’m 21/f your a male right?
17:45:59: nop
17:46:10: nice, I just got off work and finally got some time to relax which site did i msg you from again?
17:46:27: 111
17:46:39: I know a way we can chat and have a better time.. do you cam?
17:46:54: no
17:47:05: Well i don’t do yahoo cam or any other cam because i have been recorded before… But i do know one site you can watch me on cam, that assures me no one records…
17:48:43: ei no tore robot
17:48:54: I mean… Do you want to see me on my cam?
17:49:15: absoluutselt ei ole huvi
17:49:26: Ok go to http://urlot.com/zeiidk accept the invite on the page baby
17:49:40: see on ju mingi spämm
17:49:51: sweet, fill out the info ur info.. i can not wait for you to see me baby let me find something nice to wear
17:50:32: unista edasi
17:50:43: its the sites policy to ensure no minors get access to the site, so they might ask for CC to verify your age babe.
17:51:48: et siis krediitkaarti ka veel vaja spämmiga suhtlemiseks – loogiline
17:51:59: What color Panties do you think i should wear? i might have you favorite color here somewhere…
17:53:39: mõtetu
17:53:50: Your such a good boy, i’m gonna show you what good boys deserve.. you can tell me to do anything you want me too!
17:54:21: kuidas oleks korratabeliga
17:54:32: Ok let me know when you get in so I can invite you directly to my cam.
17:54:57: ilmselt lähed rikki ennem
17:55:08: u have to enter a cc, atm, or debit card so they can tell your of age, thats the ony way to see me sweety 🙁
17:56:18: mhmh, kindlasti
17:56:29: k you in yet babe??
17:56:38: jaja
17:56:49: k
17:56:54: ü
17:57:06: hey
17:57:08: ü
17:57:19: i’m 21/f your a male right?
17:57:45: ring sai täis või kiilus sul aju kinni?
17:57:56: nice, I just got off work and finally got some time to relax which site did i msg you from again?
17:58:33: ja nii see edasi lähebki, järjekordset idiooti otsima…

Siit moraal: ärge  lisage võõraid endale kontaktilisti/sõbraks, aga kui seda teete, blokeerige nad kohe ja ilma igasuguse valehäbita, kui teile hakatakse veidrat juttu ajama.

RIA tegi “uuest” messengeri ussist juttu juba novembri esimesel nädalal. Järgnevalt kirjeldan natuke, kuidas uss levib ning kuidas seda eemaldada.

Messengeri uss levib kõige lihtsamal viisil – Messengeri kasutajale saadetakse link, mis näib olevat tuntud piltide üleslaadimiseks kasutatava Imageshack.com lingina.
Tegelikult on tegu hoopis .biz lõpulise saidiga (olen näinud ka .cn lõpulist)

Pildil näib, et avatava lingi failiformaat on .jpg, mis on piltide puhul tavaline. Linki avades suunatakse meid aga natuke teistsugusele leheküljele kust laetakse alla pic993.pif fail. Seda käivitades luuakse kaks faili.

Kiirelt VirusTotali ja CIMA raporteid vaadates näib tegu olevat uue variandiga.

Kuidas seda kurjamit eemaldada?

Kõige lihtsam viis on kasutada Malwarebytes’ Anti-Malwaret.
Andmebaas uuendatud, piisab Kiirkontrollist.

Mida mina selle ussiga tegin?

Peale allalaadimist tegin temast parooliga kaitstud .rar faili ning saatsin selle erinevatele turbetarkvarade tootjatele laiali.

RIA hoiatab, et elle nädala alguses sai CERT vihje Eesti netiavarustes aktiivselt ringiroomavast Messengeri “ussist”. Pahavara teeb raskesti leitavaks asjaolu, et viiruse levitamiseks kasutatav veebilink torgatakse Messengeri tavavestluse sekka.

“Inimesed on juba piisavalt teadlikud, et mitte klikkida linke, mis tulevad ingliskeelse sõnumiga “Hey, look at my pictures …”. Emakeelse välksõnumivahetuse sekka pakutav link tundub klikkimiseks oluliselt ohutum,” selgitab CERT Eesti infoturbe ekspert Tarmo Randel.

Linki klikkinud said suure tõenäosesega enda arvutisse pahalase, mis korjab paroole, krediitkaardiandmeid ja muud personaalset infot, mida “mustal turul” saaks rahaks teha. Samuti saab kurikael nakatatunud arvutit kasutada “hüppelauana”, mille kaudu kuritegusid sooritada.

Kuna turvaprogrammid jäävad selle pahavara tuvastamisega veel jänni, siis peaks lingile klikkinud inimene pöörduma tuttava “patsiga poisi” või IT professionaali poole ning paluma arvuti üle kontrollida. Oskuste ja tahtmise korral võib ta seda loomulikult teha ka ise. Juhised, mis on kõlbulikud järgimiseks nii proffidele kui ka asjaarmastajatele, leiab aadressilt: http://www.ria.ee/turvamelu.

CERT Eesti (Computer Emeregency Response Team) tegeleb Eesti arvutivõrkudes toimuvate turvaintsidentide käsitlemisega ja kasutajate turvateadlikkuse tõstmisega.

Üks uss on jälle maa seest välja tulnud ja ründab MSNi kasutajaid.
Nakatunud Messenger hakkab saatma sellist linki:  http://www.thugbattles.com/images/****?=sinu msni aadress
Pärast lingi klõpsimist tahetakse alla laadida selline fail:

Oletatavalt on tegu  troojalasega, mis muudab teie arvuti botneti osaks.
Jällegi  tuleb korrata vanu tarkusi:

• Ära ava suvalisi linke ega võta vastu faile, mis tunduvad kahtlased.
• Kahtluse korral küsi enne avamist sõbralt üle, mida ta sulle saatis.
• Hoia oma viirustõrje ja tulemüür korras.
• Kui sinu viirustõrje MSN-iga saadetavaid faile automaatselt ei kontrolli, siis sunni teda!