F-secure hoiatab, et nädalavahetusel hakkas levima uus MSN-i uss. See saadab teile MSN-is viite, näiteks sellise:
youtube.opendns.be/watchv=6QWxxxx8.youtube.com (võib muutuda). Kui seda klikkida ja pakutav programm alla tirida, nakatub ka teie arvuti ja hakkab seda linki saatma edasi kõikidele teie MSN-i kontaktidele.
Allalaetava pahavara variante on erinevaid, üks nendest, Trojan.Win32.Agent.dwd saadab linke, mille sisu võib olla nakedfamily või naked4friends ja näitab peale nakatumist näidatakse sellist pilti.
Soovitan teil tungivalt uuendada oma viirusetõrjebaase ja jälgida ka seda, kuhu te MSNis klikite ning mida avate.
Rubriik: Pahalased
Tormised jõulud…
Jõululaupäeval hakkas jälle levima “Storm Worm“, mis on juba üsna vana viirus, aga seda on pidevalt modifitseeritud.
Näiteks saidilt merrychristmasdude.com saab oma arvutisse laadida faili stripshow.exe, kui stripimaias kasutaja vajutab linki “Download For Free Now”.
Seesugust omapärast jõulutervitust sisaldava saidi link levib eelkõige e-maili kaudu, mille sisu võib olla selline:
This Christmas, we want to show you something you will really enjoy.
This might not be fun for the whole family, but I bet you’ll like it come one take 2 min and check it out.
{Siia lisatakse link}
Faili alla tõmmanud ja käivitanud kasutaja arvutis kopeeritakse Windowsi süsteemikausta programm disnisa.exe, registrisse lisatakse ka registrivõti, nii et viirus käivitatakse koos arvuti käivitamisega. See pahalane kasutab oma looja (te)ga suhtlemiseks peer-to-peer protokolli.
Olge tähelepanelikud kõikide internetilehekülgedega, milles palutakse teil midagi “huvitavat”alla laadida.
Aga muidu häid pühi! 🙂
Mikko Tallinnas
Mõned F-Secure’i turvapealiku Mikko Hypponeni mõtted tema tänasest ettekandest Estonia talveaias.
F-Secure’i turvalaborisse tuleb 17 000 pahavarakahtlusega koodinäidist päevas, tegelikku pahavara on sellest 300-500 ühikut. Mida on sellegipoolest palju 🙁 Hetkel on teada 250 000 ühikut pahavara, Mikko ennustab selle kahekordistumist aasta jooksul.
10 aastat tagasi tuli muretseda kurjategijate pärast, kes tegutsesid sinuga samas linnas. Nüüd tuleb muretseda arvutikurjategijate pärast, kes tegutsevad näiteks Brasiilias. Hullem veel – kurjategijat ei huvitagi, kes te olete või kus te asute – teda huvitab ainult see, kuidas teilt teie raha ära võtta.
Mikko jutustas ka Tariq al-Daour’ist, kes mängis varastatud krediitkaardinumbritega pokkerit ning ostis nende kaudu kaotatud summade (kokku 2 mln eurot) varustust Iraagi mässulistele.
Tõenäoliselt vene päritolu Storm Worm’i grupi rünnak algas 18.01.2007, kõigepealt lihtsalt exe-failidest manustega. Kuna enamus tulemüüre pidasid selle spämmi kinni, hakati saatma võltslinke youtube’i, mis nõudis videoklipi näitamiseks “plugina” allalaadimiseks. Jätkati pühadekaartidega. Kokku saadi ligi miljonist arvutist koosnev p2p-põhine botnet, millel polnud keskserverit, mida maha võtta. Ehk siis superarvuti, mida ei kontrolli mitte valitsus või suurkorporatsioon, vaid kurjategijad. Lisaks sellele oli botnetil ka viirustõrjujavastane hoiatussüsteem, mis ründas kogu oma võimsusega neid, kes üritasid seda uurida.
Tekkinud superarvutit kasutatakse seesuguse spämmi renderdamiseks, mida tavalistel spämmitõrjetööriistadel raske töödelda. Kui saata välja miljon ühikut spämmi päevas ning sellele reageerib ka 0,0001 protsenti saajatest, teenitakse ikkagi tuhandeid.
Mikko arvates kasutaja harimine ei tööta kunagi – nagunii klikivad ja topivad igale poole oma krediitkaardinumbreid. Kavalamad troojalased, näiteks Torpig, viskavad popup-akna ette siis, kui logite oma pärispanka, küsides lisaautentimist krediitkaardinumbriga. Samuti kasutatakse pärisülekannete tegemisel pisiparanduste tegemist, suunates ülekande näiteks kurjategija arvele. Selliste nõksude vastu kasutajate harimine ei aita.
10-15 aasta pärast on põhiosa internetikasutajaid Aasias (hetkel on seal internetikattuvus vaid 10%). Kes neid kõiki harida jõuab? on Mikko lootusetu. Samas on tema hinnangul tavaliste kurjategijate kõrval kasvamas täppisinfot otsivate spioonide osakaal.
Suurem osa rünnakuid tuleb Ida-Euroopast (eriti Moskva ja Peterburi ümbrusest), Brasiiliast, Ida-Aasiast ja USA-st.
Häkkerifoorumitest saab osta varastatud krediitkaardinumbreid ja turvakleepse, pahavara ja spetsiaalselt teie konkurentide vastu suunatud rünnakuid. Suur osa kevadistest rünnakutest Eesti vastu tuli üüritud botnettidelt. Rahapesuks värvatakse tankiste (soovitavalt kriminaalkorras karistamata :)). Eelmisel aastal kasutati Rootsis ligi tuhandet tankisti ligi 9 miljoni Rootsi pankadel arvetelt varastatud Rootsi krooni väljavõtmiseks…
“Lisanditega” jõulukaardid
Jõulud on ukse ees ning seoses sellega on kombeks saata õnnitlusi nii kirja kui e-posti teel.
Juba praegu on mitmeid teateid e-postkaartidest, mis sisaldasid pahavara, kirjutab meile F-Secure edasimüügi juht Eestis Raido Orumets. Eelkõige tasuks jälgida postkaardi saatjat: kui tegemist on saajale tundmatu isiku või ettevõttega, siis ohutuse mõttes on soovitatav postkaart parem kustutada.
Samuti tuleks jälgida, et kõik viimased viirustõrje uuendused oleksid arvutisse paigaldatud ja Windows turvapaigad installeeritud.
Eile saabunud esimene pahavaraline e-postkaart nägi välja alljärgnev:
Nagu ikka, palutakse postkaardi nägemiseks külastada veebilehekülge.
Pilt on ilus, kuid selle tulemusena laetakse kasutaja arvutisse pahavara, mis annab kurjategijatele tagaukse kaudu ligipääsu kasutaja arvutile. Mikko ütleb, et täpsemalt on tegemist mIRC-põhise Zapchastiga.
FBI operatsioon Bot Roast
FBI tegi kokkuvõtte arvutizombistajate vastu suunatud operatsiooni Bot Roast teisest faasist, mille käigus
- tehti kahjutuks Philadelfia piirkonna ülikoole DDoS-iga pommitanud botnet,
- mõisteti süüdi kaks botnetipidajat, kellest üks oli küberallilmas laialt tuntud kalifornialane,
- karistati veel kolme botnetipidajat, kellest kaks suutsid Kesk-Lääne pankade vastu suunatud õngitsemisskeemiga riisuda miljoneid dollareid,
- koostöös Uus-Meremaa politseiga tabati ülemaailmset botnetti juhtinud 18-aastane noor arvutigeenius hüüdnimega AKILL.
Kokku olid FBI tabatud kurjamid suutnud tekitada 20 miljoni $ ulatuses kahju, näiteks ühel konkreetsel juhul kaotas üks DDoS-rünnaku ohver 20 000 $.
Täpsemat jäid vahele:
21-aastane Ryan Brett Goldstein Pennsylvaniast, kes ründas botnetiga oma kodukandi ülikoole,
27-aastane Adam Sweaney Tacomast, kes lõi spämmkirjade vahendusel levitatud troojalaste abil botneti ja üüris seda soovijaile,
Robert Matthew Floridast, kes proges botnettide loomiseks tarvilikku reklaam- ja muud pahavara,
38-aastane Aleksandr DimitrievitÅ¡ Paskalov, kes sai 42 kuud vanglat õngitsemisskeemide loomise eest,
21-aastane floridalane Azizbek Tahiri poeg Mamadjanov – saadeti kaheks aastaks istuma koostöö eest Paskaloviga nendesamade õngitssemisskeemide kasutamise eest,
26-aastane John Schiefer Los Angelesest – väidetavalt esimene, kes mõisteti süüdi uue föderaalseaduse alusel paroolide ja kasutajanimede salvestamise ja nende väärkasutamise eest,
21-aastane kalifornialane Gregory King nelja arvutisse sissemurdmise eest. Kingi on varem karistatud DDoS-rünnakute eest, millest üks oli näiteks suunatud õngitsemise ja pahavaraga võitleva firma vastu.
24-aastane Jason Michael Downey Kentuckyst – sai aasta türmi peamiselt IRC serverite vastu suunatud rünnakute eest, kusjuures tegelikult kannatasid ka samades serverites käitatavad muud teenused.
Lisaks, nagu öeldud, võeti sel nädalal rajalt maha ka kodanik AKILL (kelle pärisnime tema alaealisuse tõttu ei avaldata) ja tema juhtud 1,3 miljonist zombiarvutist koosnev botnet. AKILL-i ähvardab kuni 10-aastane vanglakaristus.
Bot Roast’i esimeses faasis vabastati botipidajate haardest miljon zombiarvutit.
Clicktoforyou möllab MSN-is
Viimasel ajal on väga paljudel MSNi kasutajatel hakanud oma kontaktlisti liikmetelt tulema teateid, kus palutakse avada www.clicktoforyou.com, mis suunab lehele www.blockdelete.com:
Avatud leheküljel palutakse sisestada oma MSN-i kasutajanimi ja parool. Peale seda siseneb teenus sinu MSN-i kasutajakontosse ja asub iseenaast levitama.
Selle vastu aitab vaid see, kui vahetada oma MSN-i parool ära. Viirusega just tegu pole, küll aga väikese vargusega.
Lähemalt saab lugeda Microsofti foorumist (ingliskeelne).