Libatõrje kasutab MalwareDomain listi

Malware Domain List (MDL) on populaarne sait nii turvaekspertidele kui ka teistele IT turvalisusega seonduvatele inimestele. Nimelt saab sealt viiruseid koguda ning neid uurida.

MDL sait
MDL näeb tavalisele internetikasutajale välja selline

Libatõrje näitab meile aga järgnevat pilti
Libatõrje hoiatus

Kui paar õigekirjaviga kõrvale jätta, sarnaneb see päris häst järgnevale (ehtsale) hoiatusaknale:

Firefoxi hoiatus

Libatõrje näidatud hoiatusaknas hakkab silma “Get Security Software”, mis viib edasi libatõrje veebisaidile, kus vägisi libatõrjet paigaldama sunnitakse.

Rohkem infot saab F-Secure turvablogist ja MDL foorumist

Rohkem kui poole miljoni krediitkaardi andmed varastatud

Tundmatud kurjategijad varastasid rohkem kui 500,000 krediitkaardi andmed ettevõttelt Network Solutions, kes tegeleb hostingu ja registripidamisega. Küberkurjamid said süsteemi süstida spetsiaalse koodi, mis püüdis krediitkaartide andmeid hetkel, kui nendega tehinguid tehti. Pisike koodijupp istutati juba 12 märtsil ning seda ei avastatud enne kaheksandat juunit. Sealhulgas puuduvad andmed selle kohta, kuidas kräkkerid süsteemi tungisid.

Järeldus – enne, kui hakkate tundmatust netipoest midagi ostma, katsuge uurida poepidajate tausta, olge ettevaatlikud oma krediitkaardiandmete sisestamisel ning kui võimalik, kasutage krediitkaardikindlustust või virtuaalset, piiratud limiidi ja lühikese kehtivusajaga krediitkaarti.

Pahavara kasv võrreldes eelmise aasta sama ajaga

Turvatarkvara tootja Mcafee teatab, et on 2009 esimese poolaasta jooksul leidnud ca 1.2 milljonit ühikut uut pahavara. See jääb ainult ca 500 tuhande ühikuga maha 2008 aastal kogu leitud pahavara numbrist.
Viiruste hulk läbi aastate
See number peegeldab tegelikult kõigest Mcafee kätte sattunud pahavara. Võib-olla on teistel turvatarkvara tootjatel need numbrid suuremadki. Mida see meile, kasutajatele, tähendab? Suuremat ohtu. Miks?
Seda sellepärast, et üha suurenev ja keerulisemaks kujunev pahavara hulk nõuab läbitöötlemiseks palju aega ja inimesi. Kui seda aga kehvasti teha, võib turvatarkvara viirust mitte ära tunda. See võib aga kujutada suurt ohtu sinu arvutile ja personaalsele infole.

Conficker on nakatanud 6 miljonit arvutit

Turvatarkvara tootja Kaspersky Labs hindab, et Confickeri-nimeline uss on nakatunud üle maailma juba 6 miljonit arvutit. Ainuüksi Hiinas on umbes 2.7 miljonit Confickeriga nakatunud arvutit.

Ussi esialgne ja veel üsna toores variant hakkas levima 2008 aasta lõpus. Nüüdseks on see tarkvarajupp teinud väga suure arengu. Confickerit saab käsu peale panna “DDoS-ima”  kasvõi Arvutikaitse.ee veebisaiti.

Rohkem Confickerist https://www.arvutikaitse.ee/?p=1881

Top 12 haavatavat rakendust Windows platvormil aastal 2008

Eelmise aasta lõpus väljastas Bit9 nimekirja 12 kõige haavatavama ja levinuma Windows platvormil kasutatava rakendusega. Nimelt vaadeldi, kui palju on populaarsetel rakendustel kriitilisi turvaprobleeme ning leiti neist suurima mõjuga rakendused. Kokkuvõtvalt on esitosin järgmine:

  1. Mozilla Firefox – 10 haavatavust
  2. Adobe Flash ja Adobe Acrobat – 5 ja 9 haavatavust
  3. EMC VMware Player, Workstation jt. – 10 haavatavust
  4. Sun Java Runtime Engine (JRE) – 10 haavatavust
  5. Apple Quicktime, Safari ja iTunes – 9, 3 ja 1 haavatavust
  6. Symantec Norton – 1 haavatavus
  7. Trend Micro OfficeScan – 4 haavatavust
  8. Citrix tooted – 4 haavatavust
  9. Augrima, Lycos (Uploader) – 3 haavatavust
  10. Skype – 3 haavatavust
  11. Yahoo! Assistant – 1 haavatavus
  12. Microsoft Windows Live Messenger – 1 haavatavus

Nimekirja ei kuulu tarkvara, mis suudab end ise ilma kasutaja sekkumiseta uuendada (nt. Windows Update vahendusel) või on administratiivsete vahenditega uuendatav/paigatav (nt. SMS või WSUS vahendusel). Nimekirja eesmärk on tõsta esile rakendused, mille suhtes administraatorid peaksid olema eriti valvel, et veenduda, et ettevõttes on kasutusel vaid viimased (lapitud) versioonid tarkvarast.

Samas peaks see nimekiri meenutama ka kodukasutajale, et tarkvara tuleb uuendada/paigata ja kindlasti tuleks veenduda, et nimekirjas olevad rakendused oleksid kindlasti värsked ja paigatud. Samuti tuleks üle kontrollida, et Automatic Updates (Windows Updates) regulaarselt Windows-i ja teiste Microsoft toodete paiku paigaldab.

Lähemalt võib aruande kohta lugeda siit. Aruandele pööras tähelepanu zdnet artikkel.

Pushdo/Cutwail ja Bobax/Kraken botnetvõrgustikud

Praeguseks on Internetist maha võetud botnetvõrgustikud Srizbi ja Rustock. Mõlemad spämmivad botnetid kuulusid USA veebihostingufirma McColo võrku. Internetis on aktiivsed veel üksikud mahukad botnetvõrgustikud – Pushdo/Cutwail (nt. Troj/Pushdo-Gen/, Troj/Exchan-Gen jt) ja Bobax/Kraken (nt. W32/Bobax jt).

Marshal TRACE teenuse analüüsidest võib järeldada, et endiseid Srizbi ja Rustocki botnette asendab nüüd Pushdo. Viimane klassifitseerub allalaadivaks troojalaseks. Näiteks levib see arvutitroojalane Windowsi operatsioonisüsteemi kasutavates arvutites kas e-posti (nt. e-kaardid) teel või nakatutakse pahatahtlikke kodulehekülgi külastades.

Cutwail (nt. Win32/Cutwail) on aga troojalane, mis nakatunud Windowsiga arvutis käivitab spämmiboti. Arvuti ise võtab perioodiliselt ühendust Pushdo/Cutwail botneti kontrollserveritega. Cutwail-botnetis on 125 000 arvutit, mis suudavad päevas väljastada kuni 16 miljardit ühikut spämmi.

Pushdo/Cutwail botneti tsentraalhaldus on tarkvaraliselt töökindel ja arukalt modifitseeritud.

Pushdo troojalasega nakatatud arvutist saadetakse Pushdo kontrollserverile nakatatud arvuti andmed: Internet Exploreri versioon, IP aadress, kasutaja profiiliõigused, arvuti kõvaketta seerianumber, failisüsteemi tüüp (NTFS, FAT32), Pushdo troojalase enda käivituste arv ja Windowsi operatsioonisüsteemi versioon (Windows98/Windows2000/WindowsXP/WindowsVista).

Pushdo/Cutwail botneti kontrollservereid saab hallata läbi veebipõhise administratiivliidese ning sisestada sealtkaudu ka käske: ‘STAT’ (serveri staatus), ‘TRCK’ (statistikalogi dump), ‘CARG’ (pahavara andmebaasi uuendus),  ‘FLTR’ (whitelist/blacklist filtri andmebaasi uuendus), ‘FINA’ (sessiooni lõpetamine).

Pushdo/Cutwail botneti kontrollserverid kasutavad ka GeoIP geolokatsiooni andmebaase, et kaardistada nakatatud arvutite paiknemist asukohamaade kaupa. Selline funktsioon annab näiteks botneti haldajale võimaluse teostada pahavara- ja spämmi rünnakuid konkreetsete riikide ning mandrite piires. Secureworks’i andmetel on Pushdo troojalase tundmatu looja oma programmeerimise algkoodis ja -käsustikus rohkem “kodus” Unixi süsteemis kui Windowsi platvormil. Pushdo kohta võib detailsemalt lugeda siit.

Bobax/Kraken botneti pahavara aga leiab oma tee Windows arvutikasutajani läbi JPEG ja PNG pildiformaatide. Algselt paistab selline fotofail Internetis või e-postkastis täiesti tavalisena, kuid tegelikult on selle failinimes sees varjatud laiend (nt. .exe jt), mis käivitabki arvutis pahavara.

Nakatatud arvutis toimub andmevahetus Bobax/Kraken botnetiga läbi tcp pordi 447. Paljud ISP-d, asutused ja firmad blokeerivad oma tulemüürides ära võrguliikluse tcp pordile 447. Võrguadministraatoritel on tavaks ütelda, et 447 tcp pordilt ei liigu andmete näol arvutikasutajateni mitte midagi “head” ega “tervislikku”.

Bobax/Krakeni spämmibotnetti kuulub hinnanguliselt üle 400 000 nakatunud arvuti (zombi), mis suudavad päevas välja saata 9 miljardit ühikut spämmi. Krakeni botneti kohta saab põhjalikumalt lugeda siit.

Surfame oma arvutitega Internetis ja laeme alla piiramatus koguses tundmatut tarkvara. Kui me seda kõike tehes ei kasuta ettevaatusabinõusid, näiteks korralikult paigatud operatsioonisüsteemi ja viirusetõrjet, siis  varem või hiljem komistame Internetis pahavara otsa. Mis omakorda võib meid teha botneti liikmeks.

Kas sina oleksid nõus, et võhivõõras pätt sinu isiklikku arvutit kasutades tasuta sellega raha teenib? 🙂