Microsoftilt 2009. aasta võrguohtude ülevaade

Microsoft on uurinud oma pahavaravastaste tööriistade logisid ning koostanud nende põhjal ülevaate 2009. aasta esimeses pooles kinnipüütud pahavarast.

Täiesti ootuspäraselt jõuavad uurijad järeldusele, et mida uuem ja lapitum tarkvara, seda väiksem on tõenäosus, et mõni pahalane end sellest läbi murrab.

Levinuim pahavaraliik on jätkuvalt troojalased, kuid võimsa tagasituleku teinud ussid on tõusnud auhinnalisele teisele kohale. Jätkuvalt tõusuteel on nuhkvara, eriti selline, mis varastab elektronpanganduse ja onlain-mängude ligipääsuandmeid.

Eesti kohta kirjutatakse, et võrreldes 2008. aastaga on nakatunud arvutite arv veidi vähenenud – kui 2008. aasta II poolaastal eemaldati pahavara 0,53%-st Eestis asunud arvutitest, siis 2009. aasta I poolel 0,43%-st (Soomes vastavalt 0,26% ja 0,19%, Lätis 0,62% ja 0,58%, Venemaal 2,11% ja 1,5%).

Pahavara või õngitsemisskeeme sisaldavaid veebilehekülgi leiti Eestis olevat 0,034 ühikut 1000 internetti ühendatud arvuti kohta (Soomes 0,007, Lätis 0,086, Venemaal 0,934, Bangladeshis 23,861).

Ülevaate koostamisel kasutati Microsofti viirus- ja spämmitõrjetööriistade, otsimootori Bing ja Exchange’i tõrjesüsteemide andmeid.

Tai politsei veebileht rünnaku all

Trendmicro kirjutab oma blogis, kuidas Tai politsei ning muid kõrgeid veebilehti muudeti küberkurjamite poolt nii, et neid külastades viiakse külastaja hoopis teisele lehele. See teine leht sisaldab endas pahavara (põhiliselt libatõrjeid), mis asuvad vahvasti arvutikasutajat viiruste eest kaitsma. Nagu libatõrjete puhul tavaline, küsitakse selle eest  raha ning spämmitakse arvutikasutaja oimetuks teadetega “Virus found! Get full protection” ja muud seesugust.

Libatõrje
Tüüpiline libatõrjuja

Viirusega tööpakkumised

CERT.EE hoiatab viiruse eest, mis poeb arvutitesse tööd pakkuvate e-kirjade kattevarju all.

Eile hakkas levima e-kiri, mis näib paljude tuntud firmade nimel tööd pakkuvat. Kirjas palutakse inimestel lingile klikata, seda tehes saab inimese aga oma arvutisse viiruse. Selge on see, et ükski nendest firmadest sellisel kujul tööd ei paku, veel vähem saadavad nad viirusega nakatunud linke.

CERT Eesti infoturbe ekspert Tarmo Randel räägib: „Masu-aeg sunnib pahavara levitajaid kiirelt võõrkeeli omandama. Alates eilsest täheldati pangakoode ja muud isiklikku infot varastava troojalase Zeus rünnet Eesti elanikele. Nimelt saadeti e-postiaadressidele eestikeelne positiivses noodis kiri, milles pakuti töökoha kaotanutele tasuta võimalust leida töökoht või tõsta kvalifikatsiooni. Kirjas olev veebilink viib võimaliku ohvri spetsiaalselt ette valmistatud veebileheni, millelt kostitatakse külastaja brauserit nakatamise “kokteiliga””.

Randel lisab: „Üks võimalus nakkumist ära tunda on see, et arvuti taaskäivitab end paarikümne sekundi jooksul. Antiviirused pahalast arvutisse paigutavat koodi kahjuks kergesti ära ei tunne – kindlaim viis nakatumist vältida on mitte klikkida kahtlaste e-kirjadega kaasa tulnud linke“.

Kirja tekst ütleb: Ärge kaotage lootust. Tasuta aitame Teil uue tookoha leida. Samuti pakume kvalifikatsiooni tõstmise kursusi. Meie tööandjad: EMT, ELISA, TELE2, MICROSOFT, SYMANTEC ja palju… (järgneb link).

Arvutikaitse lisab, et ettevaatlikult tasub suhtuda kõigisse pakkumistesse, mis tunduvad liiga head, et olla tõsi – tavaliselt pole need ei see ega teine.

Rove Digital – kas lõplikult läinud?

Tartus registreeritud Rove Digital OÜ loodi 2002. aastal, põhikapitaliks 10 000 000 EEK-i. Firma tegevusalaks on tarkvaraarendus, omanikuks  Vladimir TÅ¡aÅ¡tÅ¡in. Äripäev kuulutas Rove Digitali 2007. aastal Eesti edukaimaks IT-firmaks.

Kuid kahjuks on Rove Digitali sära aastate jooksul inetumaks muutunud, päevavalgele on hulpinud palju taunitavat ja hämarat. Vladimir TÅ¡aÅ¡tÅ¡in on Eestis süüdi mõistetud ebaseaduslikus äris, dokumentide võltsimistes, pangapettustes ja arvutikelmustes. Loe edasi: Rove Digital – kas lõplikult läinud?

Pahavara kaugeemaldus

Sain minust suhteliselt kaugel elavalt sõbralt abipalve: “Tee mu arvuti puhtaks!”. Tema arvuti operatsioonisüsteem ei tahtnud enam käivituda.

Telefoni teel juhendasin ta Safe Mode’i,  seepeale sai ta MSNi tulla. Kontakt olemas, otsustasin kasutada kaughaldustarkvara Teamviewerit, sest sellega on päris lihtne üle interneti teises arvutis kurjameid taga ajada. Mõeldud-tehtud. Tundsin end kergelt nagu botmaster, kes võõrast arvutit kontrollib 🙂

Esimese asjana panin MBAM’i kähku arvutit kontrollima.
MBAM start
Mõne sekundi möödudes oli pilt selline

Edasi asusin uurima HiJackThis logi ning sealtkaudu sain ka päris suure hulga pahalaste jälile.

MBAM oli vahepeal leidnud juba üle tosina uue ohu:
Veel ohte

Rohkem kui kuue minuti pärast küündis leitud pahalaste arv juba 130 ligi.

Veidral kombel ei teinud ükski pahalane süsteemile taaskäivitust, kui teda kontrolliti. Olen mitmeid selliseid masinaid näinud ning see on paras peavalu. Õnneks on mul sellisel puhul abiks Ultimate Boot CD for Windows päästeplaat.

Mida MBAM siis leidis?

Paar libatõrjet, mitmeid troojalasi ja ka ühe Confickeri “järeltulija”.

Kui MBAM küsis pärast pahavara eemaldamist süsteemile taaskäivitust, palusin seda ka teha. Peale seda läks arvuti ilusasti tööle ning ma ei uskunud, et see veel puhas võiks olla. Sellepärast vaatasin veel Combofixi logi:
Combofix
Pildil on näha, et Combofix eemaldas veel mitmeid pahalasejäänukeid ning peatas mitmeid draivereid ja teenuseid. Pärast Combofixi logi ülevaatamist tegin veel ühe HJT logi koos Prevx logiga. Kumbki ei leidnud arvutist enam midagi.

Pärast puhastamist sai peale pandud Avira Antivir tasuta tõrje koos Spyware Terminatoriga.

Selline näeb välja ühe kergesti nakatunud arvuti puhastamine. Kui tegu on mõne rootkiti või muu väga raske nakkusega, võib vaja minna UBCD4WIN ning see teeb eemaldamisele kuluva aja päris pikaks.

Kergem on hoida oma arvuti puhas. See säästab nii närve kui ka raha 🙂 Pealegi ei pea korraliku kaitse eest peaaegu et midagi maksma.

Ebatavaline viirus W32.Induc.A

delphi-virus3_a

Viimasel ajal on paljudes  kodudes kui töökohtades arvuteid valvavad viirusetõrjed löönud häirekella. Loomulikult niisugused tõrjed, mis on sätitud automaatselt  uuendama pahavaravastaseid andmebaase või on neid värskendatud  käsitsi.  Kindlasti on paljud kasutajad üllatunud, kuna omateada pole otseselt põhjust antud, et arvuti võiks olla nakatunud – pole käidud pahelistel netilehtedel, pole midagi arvutisse tiritud, pole käivitatud kahtlasi faile.

Samasugune üllatus tabas ka mind. Tehes arvutis tavapäraseid toimetusi, viskas mu viirusetõrje ootamatult lahti hoiatusakna ja hakkas paaniliselt teatama viiruse leidmisest. Just nimelt paaniliselt, kuna kurjamit edukalt karantiini suunates leidis ta selle üha uuesti ja uuesti.  Loomulikult asusin kohe uurima, mis viirusega tegu.

Esmapilgul tundus tegemist olema anomaaliaga, võib ka öelda valehäirega, kuna viirusekandjaks nimetati programm, mida mu arvutis polnud olemaski. Kui siis ehk katsetasin seda programmi vast umbes kuu või paar tagasi, aga ebasobivusel kustutasin  koos registrivõtmete ja –väärtustega. Ent asja edasi uurides selgus, et selle viiruse puhul polnudki tegu valehäirega (false positive). Viirus oli suutnud  kohe peale programmi nakatamist teha sellest tagavarakoopia ja peita selle nutikalt ära.

2.w32.induc.a

Viirus avastati alles paar päeva tagasi Sophos Labs viirusteanalüütiku Richard Cohen poolt. Õelvara nakatab rakendusi, mis on kirjutatud programmeerimiskeeles Delphi (üks versioon programmeerimiskeele Pascal edasiarendusest).  Lihtsa ja mugava kirjutamiskeele tõttu kasutatakse seda  paljudes Windows keskkonna programmides, näiteks andmebaase abistavates rakendustes. Viirus otsib nakatunud arvutist  Delphit kasutavad programmid, sisestab neisse pahatahtlikku koodi ning seejärel koostab iseendale uue täitmiskoodi (.exe).

3.induc.a6

Väljavõtteid viiruse kohta erinevatelt tõrjelehtedelt:

  • Arvatakse, et viirus on takistamatult tegutsenud juba pikemat aega, kuna tagasisidena on saadud väga suur hulk nakatunud faile. Kuid needki andmed on saadud kõigest esimese paari päeva kohta. Näiteks peale seda, kui viirusetõrje Avast! lisas signatuuri viirusevastasesse  andmebaasi, leiti esimese 12 tunniga umbes 200 000 nakatunut faili.
  • Viirus levib väga kiiresti iseenda paljundamise teel ja seetõttu nimetavad mõned tõrjespetsialistid  seda ka epideemiaks. Spetsialistide sõnul  kasutatakse  paljunemiseks uuenduslikku ja haruldast tehnoloogiat.

scheme_delphi_forWeb_EN

  • Kuigi viirust ei peeta hetkel eriti ohtlikuks, siis tegelikult veel ei teata, mis otstarbel see kirjutati ja mis on selle eesmärgid. Põhimõttelist kahju see otseselt ei tee, ent viiruse uurimine ja analüüsimine alles jätkub.  Igal juhul kinnitatakse, et veel pole maailmast avastatud sellist viirust, mis oleks kasutajatele täiesti ohutu.
  • Nakatunud faile kustutades jääb siiski mõningane võimalus, et mõne programmi töö saab häiritud.  Nagu öeldud, viirus võib nakatada kõiki ehtsaid ja häid programme, mis kasutavad Delphit. Delphi programmeerimiskeelt kasutatakse palju ka näiteks pankade- ja teiste suurettevõtete andmebaaside rakendustes, mis nõuavad suurel hulgal andmete töötlemist.
  • Arvatakse, et viirusetõrje tootjad saavad kasutajatelt lähiajal hulga teateid valepositiivsetest failidest, mida nende tõrjevahendid on avastanud. See tekitab paju nördimust ka originaal-tarkvara müüjates, kuna nende tooteid kompromiteeritakse,  justkui oleks need viirusekandjaid. Halvemaks aga tuleb pidada olukorda, mil ehtsast programmist viirust leides arvatakse kohe, et tegu on valehäirega  ning välistatakse see viirusetõrje edasisest kontrollist. Sellega antakse viirusele võimalus edasi paljuneda.
  • Nakatumise sümptomid sõltuvad vastavalt nakatatava programmi ülesannetest. Eemaldamine võib olla suhteliselt kerge, ent kui viirus  töötab mäluprotsessides, siis tuleb rakendada täiendavaid abinõusid selle kustutamiseks.
  • Iroonilisel kombel nakatab viirus ka teisi kuritahtlikke programmijuppe, näiteks pangandusliinis levivaid troojaid, mis on kirjutatud Delphit kasutades.