Tai politsei veebileht rünnaku all

Trendmicro kirjutab oma blogis, kuidas Tai politsei ning muid kõrgeid veebilehti muudeti küberkurjamite poolt nii, et neid külastades viiakse külastaja hoopis teisele lehele. See teine leht sisaldab endas pahavara (põhiliselt libatõrjeid), mis asuvad vahvasti arvutikasutajat viiruste eest kaitsma. Nagu libatõrjete puhul tavaline, küsitakse selle eest  raha ning spämmitakse arvutikasutaja oimetuks teadetega “Virus found! Get full protection” ja muud seesugust.

Libatõrje
Tüüpiline libatõrjuja

Zemana AntiLoggeri ülevaade

Zemana AntiLoggeri peamiseks eesmärgiks on arvutikasutaja paroole jms klahvinuhkide eest kaitsta. Tegemist on programmiga, mis ei koorma arvutit, kuid samas pakub mitmekihilist kaitset. Näiteks klahvinuhkide, ekraanitõmmiste jms nuhkide vastu.

Moodul nimega Süsteemikaitse jälgib programmide käitumist ning vajadusel küsib arvutikasutaja käest, kas antud toimingut lubada (Näiteks kui programm antispyware2009pro.exe loob kausta Program Files uue kausta/faili).
Nimetatud kaitsemoodul on tegelikult väga hea ning pakub tõhusat kaitset mõnede pahavaraliikide vastu.
Järgnevalt tutvumegi AntiLoggeriga lähemalt. Loe edasi: Zemana AntiLoggeri ülevaade

Microsoft Security Essentials homme väljas


Polegi palju möödunud ajast, mil Arvutikaitse.ee’st võis lugeda, et Microsoft Security Essentials ehk MSE (koodinimega Morro) tuleb mõne nädala pärast välja. Kuluski natuke üle nädala, kui juba teatatakse, et MSE näeb “ilmavalgust” homme, 29. septembril!

AV-Test on MSE’d testinud 3200 uue ning “täiesti tavalise” viiruse vastu. Test näitas tõsiasja, et MSE tuvastas kõik viirused ning eemaldas need veatult. Testimise ajal polnud MSE aga lõppversioonina saadaval ning võib arvata, et tol ajal esinenud vead, rikked jms on nüüdseks parandatud ning programm tõotab tulla veelgi parem 🙂

Security Essentials varsti väljas

Microsoft lubab lähinädalatel ilmutada Microsoft Security Essentialsi (varem tuntud ka kui Morro) lõppversiooni. Alates selle aasta juunist on MSE olnud testimisel, et lõppversioon oleks vigadeta ning töötaks kõigil toetavatel operatsioonisüsteemidel veatult.

Priit Aasmäe on MSE’st pikemalt juttu teinud ka varem.

Tegemist on turvatarkvaraga, mis eemaldab kõiksugu pahavara (troojad, nuhkvara jne). Erinevates testides on programm seda väga hästi teinud ning jääb loota, et lõppversioon on mugav ning lihtsasti käsitletav tarkvara, mis kaitseb selle kasutajaid ka tänapäeva internetiohtude vastu.

Internet – 40!

kuubikudJah, täna on üks neist väidetavatest Interneti sünnipäevadest – 2. septembril 1969 saadeti UCLA-s esimene infopakett läbi kahe arvuti vahelise kaabli.

Tõele au andes on võimalikke sünnipäevi palju rohkem – näiteks 7. aprill 1969, mil valmis RFC (Request for Comments) protokoll, või 29. oktoober, mil hakkas tööle esimene ARPANET-i link UCLA ja Stanfordi Uurumisinstituudi vahel, või 21. oktoober, kui see ühendus muutus pidevaks, või 1. jaanuar 1983, mil vana NPC võrguprotokoll asendati TCP/IP-ga. Pool aastat pärast viimati nimetatud sündmust eraldus ARPANET-ist MILNET ning allesjäänud ARPANET-i osa tunnemegi tänapäevase Internetina.

Olgu selle sünnipäevaga kuidas on, kuid 40 aasta jooksul on Internet muutunud sedavõrd meie igapäevaelu osaks, et selleta on meie majanduse ja ametiasutuste toimimist ning igapäevast meelelahutust raske ette kujutada. Mõistagi on kasvanud ka ohud – esimene eksperimentaalviirus, Creeper, kirjutati juba 1971. aastal, võrku pääses esimene viirus 1983. aastal. Praeguseks on teada üle kahe miljoni ühiku pahavara ning see hulk kasvab eksponentsiaalselt.

On raske ettegi kujutada, milline saab olema üleilmne arvutivõrk järgmise 40 aasta pärast, kuid igal juhul soovin juubilarile (millal ta sünnipäev iganes ka pole) palju bitte, jämedaid kaableid ning tarku süsadminne!

Ebatavaline viirus W32.Induc.A

delphi-virus3_a

Viimasel ajal on paljudes  kodudes kui töökohtades arvuteid valvavad viirusetõrjed löönud häirekella. Loomulikult niisugused tõrjed, mis on sätitud automaatselt  uuendama pahavaravastaseid andmebaase või on neid värskendatud  käsitsi.  Kindlasti on paljud kasutajad üllatunud, kuna omateada pole otseselt põhjust antud, et arvuti võiks olla nakatunud – pole käidud pahelistel netilehtedel, pole midagi arvutisse tiritud, pole käivitatud kahtlasi faile.

Samasugune üllatus tabas ka mind. Tehes arvutis tavapäraseid toimetusi, viskas mu viirusetõrje ootamatult lahti hoiatusakna ja hakkas paaniliselt teatama viiruse leidmisest. Just nimelt paaniliselt, kuna kurjamit edukalt karantiini suunates leidis ta selle üha uuesti ja uuesti.  Loomulikult asusin kohe uurima, mis viirusega tegu.

Esmapilgul tundus tegemist olema anomaaliaga, võib ka öelda valehäirega, kuna viirusekandjaks nimetati programm, mida mu arvutis polnud olemaski. Kui siis ehk katsetasin seda programmi vast umbes kuu või paar tagasi, aga ebasobivusel kustutasin  koos registrivõtmete ja –väärtustega. Ent asja edasi uurides selgus, et selle viiruse puhul polnudki tegu valehäirega (false positive). Viirus oli suutnud  kohe peale programmi nakatamist teha sellest tagavarakoopia ja peita selle nutikalt ära.

2.w32.induc.a

Viirus avastati alles paar päeva tagasi Sophos Labs viirusteanalüütiku Richard Cohen poolt. Õelvara nakatab rakendusi, mis on kirjutatud programmeerimiskeeles Delphi (üks versioon programmeerimiskeele Pascal edasiarendusest).  Lihtsa ja mugava kirjutamiskeele tõttu kasutatakse seda  paljudes Windows keskkonna programmides, näiteks andmebaase abistavates rakendustes. Viirus otsib nakatunud arvutist  Delphit kasutavad programmid, sisestab neisse pahatahtlikku koodi ning seejärel koostab iseendale uue täitmiskoodi (.exe).

3.induc.a6

Väljavõtteid viiruse kohta erinevatelt tõrjelehtedelt:

  • Arvatakse, et viirus on takistamatult tegutsenud juba pikemat aega, kuna tagasisidena on saadud väga suur hulk nakatunud faile. Kuid needki andmed on saadud kõigest esimese paari päeva kohta. Näiteks peale seda, kui viirusetõrje Avast! lisas signatuuri viirusevastasesse  andmebaasi, leiti esimese 12 tunniga umbes 200 000 nakatunut faili.
  • Viirus levib väga kiiresti iseenda paljundamise teel ja seetõttu nimetavad mõned tõrjespetsialistid  seda ka epideemiaks. Spetsialistide sõnul  kasutatakse  paljunemiseks uuenduslikku ja haruldast tehnoloogiat.

scheme_delphi_forWeb_EN

  • Kuigi viirust ei peeta hetkel eriti ohtlikuks, siis tegelikult veel ei teata, mis otstarbel see kirjutati ja mis on selle eesmärgid. Põhimõttelist kahju see otseselt ei tee, ent viiruse uurimine ja analüüsimine alles jätkub.  Igal juhul kinnitatakse, et veel pole maailmast avastatud sellist viirust, mis oleks kasutajatele täiesti ohutu.
  • Nakatunud faile kustutades jääb siiski mõningane võimalus, et mõne programmi töö saab häiritud.  Nagu öeldud, viirus võib nakatada kõiki ehtsaid ja häid programme, mis kasutavad Delphit. Delphi programmeerimiskeelt kasutatakse palju ka näiteks pankade- ja teiste suurettevõtete andmebaaside rakendustes, mis nõuavad suurel hulgal andmete töötlemist.
  • Arvatakse, et viirusetõrje tootjad saavad kasutajatelt lähiajal hulga teateid valepositiivsetest failidest, mida nende tõrjevahendid on avastanud. See tekitab paju nördimust ka originaal-tarkvara müüjates, kuna nende tooteid kompromiteeritakse,  justkui oleks need viirusekandjaid. Halvemaks aga tuleb pidada olukorda, mil ehtsast programmist viirust leides arvatakse kohe, et tegu on valehäirega  ning välistatakse see viirusetõrje edasisest kontrollist. Sellega antakse viirusele võimalus edasi paljuneda.
  • Nakatumise sümptomid sõltuvad vastavalt nakatatava programmi ülesannetest. Eemaldamine võib olla suhteliselt kerge, ent kui viirus  töötab mäluprotsessides, siis tuleb rakendada täiendavaid abinõusid selle kustutamiseks.
  • Iroonilisel kombel nakatab viirus ka teisi kuritahtlikke programmijuppe, näiteks pangandusliinis levivaid troojaid, mis on kirjutatud Delphit kasutades.