Rubriik: Pahalased

Shadowserver Foundation, mis muuhulgas tegeleb zombivõrkude jälgimisega, teatab, et on viimase kolme kuu jooksul täheldanud nakatunud arvutite hulga kolmekordistumist nende jälgitavas võrgusegmendis.

Kui käesoleva aasta juunis oli Shadowserverile teada 100 000 zombistunud arvutit, siis augusti lõpus oli sama botnet kasvanud juba 450 000 arvutini. Põhiosas nakatuvad arvutid pahatahtliku koodiga veebilehe külastamisel, reeglina kasutatakse nakatamiseks turvaauke arvutikasutajate veebibrausereis. Piisab, kui lappimata brauser lubab käivitada jupi koodi, mis kontakteerub pahatahtliku serveriga, tirib alla pahavara ülejäänud komponendid ning võtab arvuti üle täieliku kontrolli.

Sellistest kontrolli all olevatest arvutitest moodustatud võrku ehk botnetti laenutavad kurjategijad kas täies mahus või jupikaupa kas spämmi saatmiseks, teiste võrkude ründamiseks või pahavara levitamiseks. Kõige sellega kaasnevad suured rahasummad.

Paljud on nakatunud tänu legaalsete veebilehtede halvale turvalisusele. Samuti riskeerivad need arvutikasutajad, kellel on liiga vana ja/või turvapaikamata tarkvara. Uuematel brauseritel on paljude rünnakute vastane kaitse juba sisse ehitatud, samuti on neil peaaegu automaatne uuendamissüsteem, mis aga siiski võib nõuda kasutaja sekkumist. Sellepärast olge valvsad ning pange alati tähele, mida teie brauser teie käest küsib 🙂

Mõningate uuemate pahavara variantidega võib kaasa tulla Firefoxi pahatahtlik lisapakett FirestarterFox. See kaaperdab kõik Google’i, Yahoo ning Windows Live’i otsingukeskuste kaudu tehtud päringud ning suunab need vene päritolu thebestwebsearch.net’i. Kus siis näidatakse näidatakse reklaame ning pahavara autor teenib sellega raha.

Õnneks ei installeeru see pahavara märkamatult – Firefox annab alati teada, et uus lisapakett on installeeritud.
Halvemal juhul tuleb selle pahalase eemaldamiseks kogu süsteem uuesti paigaldada. Kuna tegemist on mitte opsüsteemi, vaid Firefoxi-põhise lisapaketiga, siis teoreetiliselt suudab see töötada ka Linuxi ja MacOS-i all.

TrendMicro pahavarablogi hoiatab, et Põhja-Ameerika kandis on jälle liikvel võltsviirustõrjed. Ehk siis kasutajaid ehmatatakse teatega, et tema arvutis on viirus, ning selle hävitamiseks pakutakse allalaadimiseks “viirustõrjet”. Viimase allasikutamise ja käivitamise järel raporteeritakse küll edukast “viiruste” kustutamisest, kuid arvuti on nüüd nakatunud uute, sedakorda tõeliste pahalastega.

Praeguse libatõrjujate laine puhul on iseloomulik see, et kasutajad juhatatakse veebilehekülgedele, millel on tõepoolest pahavara. Viimane käitub ka nii, nagu ühelt pahavaralt oodatakse: avab hüpikaknaid, muudab arvuti taustapilti ning üritab kasutajat kõikvõimalikel viisidel veenda, et tema arvuti on nakatunud. Pakutav tõrjuja üksnes kontrollib süsteemi, “viirusest” lahtisaamiseks tuleb viirustõrje täisversiooni eest maksta teatud rahasumma.

Kui tavalliselt saadetakse libatõrjujaid sisaldav pahavara või lingid sellele laiali spämmi abil, siis praeguse laine puhul kasutavad libatõrjujate levitajad otsimootoreid, tekitades vastavate skriptide abil oma pahavara sisaldavatele saitidele teenimatult kõrgeid reitinguid (mille tulemusena näidatakse neid otsitulemustes eespool).
Näiteks kui sisestada otsingufraas “changes on the river amazon”, kuvatakse meile teiste seas

Kuvatav sait on küll puhas, kuid mitmesuguste ümbersuunamistega viiakse kasutaja pahavara levitavale leheküljele, mis kuvab seesuguse teate:

Pop-upid soovitavad kasutajal, kes muidugi tahab nendest “viirustest” lahti saada, tõmmata liba-viirusetõrje Antivirus 2009.

Klikkides OK nõustub kasutaja “tasuta skänniga”. Kui tähele panete, siis pop-up isegi väidab, et allalaetav fail ei sisalda pahavara(viiruseid, nuhkvara jms). Tore ju 🙂

Kasutajal soovitatakse alla laadida kas AV2009Install_880488.exe või setup_100722_3.exe, peale nende installeerimist peab ostma “täisversiooni”, et “viirusi” eemaldada. Pärast mida on teie krediitkaardi andmed muidugi libatõrjuja autori kätes, kes saab sellega teha, mis pähe tuleb.

Libatõrjujatest pikemalt siit. Antud programmiga saab neid ka eemaldada.

Veel üks libatõrjujate eemaldaja on SAS.

Pahatahtlikud veebisaidid eristuvad otsingumootorites tavaliselt karjuvate pealkirjadega “CLICK HERE! ALL INFORMATION!” või “CLICK HERE! WANT TO KNOW MORE ABOUT?” Parem on sellistele linkidele mitte klikkida.

Google’i korporatiivkilentide blogis kirjutatakse, et käesoleva aasta juulis mitmekordistus viirust sisaldavate kirjade pealevool – Google’i korporatiivklientide e-kirju haldava Postini serverid püüdsid 24. juulil kinni ligi 10 miljonit viiruslisandiga e-kirja. Suure osa sellest viirusvoost moodustasid kullerifirma UPS saadetise jälgimise linki sisaldanud kirjad, mida klikkides laaditi arvutisse pahavara. Spämmijad saatsid laiali ka võltsidtud CNN-i uudiskirju, milles mõnede uudiste lingid olid täiesti toimivad, osad aga viisid jällegi pahavara allalaadimise juurde. Ära pole kadunud ka meilimanuses sisalduvad viirused: augusti algul saadeti laiali krüpteeritud RAR-manusega kirju.

Google kiidab muidugi eelkõige oma firma teenuseid pahavara tabamisel, kuid nende statistika põhjal võib arvata, milline pahavaravool ka teisi postiservereid tabada võis.

Viirustõrjefirma Sophos raporteeris, et 2008 aasta esimesel poolaastal leidsid firma andmeturbespetsialistid iga päev kuni 16 000 pahatahtlikku internetilehtekülge (mis teeb viis tükki sekundis).

Neid saite kasutavad pahatahtlikud tegelased on kas nende lehekülgede autorid või siis kuritarvitavad võõraid lehekülgi. Näiteks on nakatatud lehel HTML kood, millele  on paigaldatud 1×1 piksli suurune element. Lehekülge alla laadides konktateerub brauser serveriga mis jooksutab nakatunud skripte või koode.

Paljud nakatunud veebisaidid on täiesti seaduslikud, kuuludes näiteks mõnele 500-st mõjuvõimsaimast firmast või siis mõnele populaarsele sotsiaalsele võrgustikule nagu www.blogspot.com.

Blogijatele mõeldud internetileheküljed teevad viiruse levitamise lihtsaks, kuna lehe haldaja jääb  ananüümseks ning blogi on kerge ja odav valmistada.

Enim pahatahtlikke saite leiti Google’i hallatavast Bloggerist (www.blogspot.com), nentis Sophos. Üksnes see blogisait on koduks kahele protsendile pahavarast, mis ringleb internetis. Blogidesse ei saa riputada ainult pahavaraskripte: kriminaalsed ründajad saavad kommenteerides sisestada ka linke, mis viivad  pahatahtlikele lehtedele.

Google ütleb sellepeale, et nad võtavad seda asja väga tõsiselt ja töötavad visalt, et end ja omainternetilehti pahavara eest kaitsta. Kasutades Igasugune pahavara levitamine on Google’i saitide kasutustingimuste räige rikkumine. “Me töötame selle kallal, et meie võrgustikus olevad saidid oleksid pahavarast puhtad. Pahatahtlike lehtede leidmisel me kustutame need” ütles Google.

Seniks aga tasub odavaid laene ja muud kahtlast kraami pakkuvatest blogidest eemal hoida ning jälgida, et ka omaenda blogi kommentaarium püsiks rämpsust puhas.