Nuhtlus nimega Conficker

Juba 2008 aasta novembrist on kogu maakera internetikasutajaid kimbutanud uss nimega Conflicker. Kuna tegu on maailma ühe suurima, 1gusano1kurikuulsaima ja enim kõneainet pakkunud  botnet-võrgustikuga, siis on elementaarne, et sellest ollakse vähemalt poole kõrvaga kuuldudki.

Aga kuidas kusagil.  Olin 12 liikmelises seltskonnas, kus pahaaimamatult arvutiteemadele laskudes alustasin juttu Confickerist (alias Downadup,  Downup või Kido). Mulle vaadati otsa nagu võõrkeelt rääkivale kodanikule ja palju ei puudunud, et oleks küsitud – millega seda confickerit süüakse, kas pulkade või kahvliga?  Väga võimalik, et nüüd oled ka sina, hea lugeja, oma seltskonnast ainuke, kes sellest ohtlikust elajast on kuulnud…

Kokkuvõtvalt uss-viirus Confickeri kohta

Conficker on viirus, mis loob nakatunud arvutitest üle maailma salajase infrastruktuuri, ühtse löögirusika, mida kontrollivad küberkurjategijad.  Arvatakse, et kurjategijaid on mitu, ent kindlalt ei teata. Eeldatakse, et üksikisik niivõrd kõrgetasemelise ja levikualalt mastaapse ussi loomisega ning selle kontrolli all hoidmisega hakkama ei saaks.

Kes on ussi loojad ja kust seda juhitakse, ei teata. Väidetavalt sarnanevad mõned vähesed tükikesed Confickeri koodist varasema ussiga, mida kasutas rühmitus Russian Business Network ja kuritegelikud rühmad Ukrainast, ent Trend Micro viirusteuurija  Paul Ferguson möönab selles artiklis, et see arvamus päritolumaa kohta on siiski vaid spekulatsioon. Turvaspetsialistidel on raske midagi täpsemat arvata, kuna häkkerid on oma töö kaitsmiseks rakendanud äärmuslikke abinõusid, näiteks praktiliselt murdmatut kaitsekrüpteeringut. Ferguson tõdeb eelpoolnimetatud artiklis, et nii tervikliku ja samas keerulise botneti kavandamist, selle pidevat kasvatamist ja täiendamist ning ka tegutsemistaktikat pole varem maailmas nähtud.

Mis on kurjategijate motivatsioon ja eesmärgid antud ussi loomisel – ei teata. Võibolla on see lihtsalt soov Microsoftile, kõikide riikide viirusespetsialistidele ja ka maailma parimaid jälitusseadmeid ning -tehnikat omavale FBI-le koha kätte näitamiseks, ehk siis kõigest mäng ja lollitamine. Ent eeldatakse, et mis muu meie materialistlikus maailmas saab tähtasam olla rahast ja selle hõlpteenimisest.  Ja kuna tõenäoliselt on ka viiruse autorid kõigest luust ja lihast olevused, siis arvatavasti oodatakse hetke, mil tuleb parim pakkumine…..  kasvõi näiteks  küberrünnakuks mistahes maa või kindla serveri vastu.

Hetkel pole viirus aktiivne, kui nii võib öelda. Kuid vaikselt, kasutajate teadmata,  nakatatakse nende arvuteid ussiga ja lisatakse globaalsesse botnetvõrgustikku. Millal ja mis otstarbel võidakse viirus aktiveerida, ei oska ükski viirustõrjespetsialist öelda, kuna see oleneb ainult häkkerite tahtmisest, piltlikult öeldes  – nende poolt punasele nupule vajutamisest. See võib juhtuda igal ajal.  Ehkki eeldati  suure pommi plahvatamist  1.aprillil sellel aastal, jäi pauk seekord tulemata.

Põhimõtteliselt on kurjamitel nakatunud arvutite üle täielik kontroll ning nad võivad oma kontrollitavaid arvuteid panna tegema mida tahes.  Eeldatakse,  et  võrku võidakse kasutatada DDos-rünnakute läbiviimiseks, spämmi ehk rämpsposti levitamiseks, arvutikasutajate isklike andmete või  paroolide varastamiseks, krediitkaardi andmete varastamiseks jne. Võimalik, et arvutisse installeeritakse kõikvõimalikku kurivara  –  klahvinuhke, troojaid, nuhkvara, reklaamvara.

Viimane häkkerite poolt täiustatud ussi versioon, mis avastati 7.aprillil, istutas seemne P2P võrgustikku, muutes riskatseks ka nende kasutajate olukorra, kes on harjunud failivahetusprogrammidest (Limewire, Shareaza, BitTorrent jne) tirima arvutisse igasugust staffi. Väga võimalik, et kui kasutaja avastab ootamatult oma programmide seast imeilusa nimega tõrjeprogrammi SpywareProtector 2009, mis hoiatab ohtlikke viiruste eest ja lubab need kohe eemaldada, kui ostetakse programmi litsents, siis  paraku seesama SpywareProtector on kurjategijate truu käsilane.

PS! Kui juhtute kohtama sama nimedega  tõrjeprogramme, mis on kirjas sellel lehel, siis hoidke neist võimalikult kaugele.

Hetkel on ussi liikvel 5 tüüpi.  Iga vanem versioon on “värskendanud “end uuema versiooni vastu ning seni iga uuem uuem versioon on  olnud eelmisest agressiivsem ja suuremate võimalustega pahategudeks.  Kuna praktiliselt kõik viirusetõrjed suudavad signatuuride järgi neid tuvastada ja kahjustada, siis tõenäoliselt üsna pea paisatakse võrku jällegi uus modifitseeritud variant Confickerist, mis mitte ainult ei suuda mõneks ajaks  tõrjete eest varju jääda, vaid ka nende töö lõpetada. Seda seniks, kuni viirustekütid selle jälle avastavad ja vastumürgi andmebaasi kirjutavad.

2009. a. jaanuari-veebruari seisuga oli nakatunuid arvuteid üle maailma 9 miljonit, hinnanguliselt aga 15-20 miljonit ning ussi ülikiire levimise tõttu  prognoositakse tõenäoliselt nakatuvat kuni 300 – 350 miljonit arvutit. Turvaspetsialistid ei välista ka epideemia mõõtmeid, kuna eeldatav nakatumiste arv päevas võib olla 2,2 miljonit arvutit.

Microsoft pakub informatsiooni eest kurjategijate tabamiseks  250 000 dollarit.

2conficker_europe_map

====================================================

Küsimused-vastused  F-secure blogist,  26.märtsist.

Väga huvitav simulatsioon Symantec töötaja John Park sulest.

Malware Research Group testide  põhjal said conficker c-vormiga suurepäraselt hakkama enamus testitavatest tõrjeprogrammidest, välja arvatud ClamWin;  B-vormi ei suutnud tuvastada  ClamWin ja Comodo Internet Security.

Kaspersky Lab info uss-viiruse kohta.

Veel mõned viiteid:

http://www.confickerworkinggroup.org/wiki/pmwiki.php/Main/HomePage

http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

http://www.microsoft.com/protect/computer/viruses/worms/conficker.mspx

==========================================================

Nakatumine

Põhiliselt nakatuvad viirusesse arvutid, mis on värskendamata Windows opisüsteemi turvapaikadega (Microsoft update). Üks kolmest, kas ollakse uuenduste laadimisel laisad; ei teata, kuidas seda teha;  või teadlikult  ei taheta arvutit uuendada paikadega. Viimasel juhul on tegemist piraat-operatsioonisüsteemiga ja teatakse ette, et uuendusi paigaldades Microsoft avastab selle ja autentimiskelluke (genuine) hakkab kasutajale piisavalt närvidele käima. Omaette teema on korporatiivarvutid, mis vajavad uuenduste allalaadimiseks süsteemiadministraatori luba.

Seejärel on oht nakatuda arvutitel, mis ei kasuta tulemüüri ja  viirusetõrjeprogramme või on need värskendamata uuemate signatuuridega. Samuti võivad nakatuda  viirusesse arvutid, mille administraatori salasõna on nõrk ning mille conflicker nii-öelda toore jõuga (‘brute force’) ära arvab ja seeläbi takistamatult arvutisse tegutsema pääseb. Ka arvutikaitses on korduvalt toonitatud, et tugev administraatori parool on arvuti kaitsel päris tõhus.

Samuti võidakse uss arvutisse paigaldada väliste USB seadmete abil, kui need on ise viirusesse nakatunud, ja seadme ühendamisel autorun faili abil avatakse irdketas. Eriti sage on seesugune nakatumine just töökohtades, kus väliste kõvaketaste või mälupulkadega transporditakse andmeid ühest arvutist teise. Nakatumise korral kopeerib viirus end jagatud kaustadesse (shared folders) ja sealt pääseb ta juba imelihtsalt teistesse võrku ühendatud masinatesse.

3flash-drive

Loomulikult ei maksa unustada, et Confickeri võib pahaaimamatult ise arvutisse tõmmata piraatsaitidelt nagu Rapidshare või P2P programmidega mingi teise faili sisse peidetult. Välissaitide foorumites surfates on silma jäänud, et Confickerit on kaasavarana peidetud Windowsi piraatversioonidesse, mida lahkelt allatirimiseks pakutakse.

Samuti otsib Conficker turvaauke mitmetest populaarsetest programmidest nagu näiteks Adobe ja erinevatest suhtlusprogrammidest, ning vigade leidmisel ei halasta. E-mailidele saadetud erinevaid linke ei maksa ka alati avada.

Toime

Peamised sümptomid:

• Töö arvutiga muutub aeglaseks

• Tõrjeprogrammide töö võib olla takistatud, näiteks ei suuda viirusetõrje end uuendada värskete pahavaravastaste andmebaasidega.

• Ei pruugi pääseda Microsofti ja viirusetõrjetootjate kodulehekülgedele.

• Võib sulgeda mitmed Windows süsteemi tööjaamad nagu Error Reporting Service, Windows Security Center, Automatic Update Service

• Kustutab süsteemitaaste punktid , mistõttu pole võimalik taastada arvutit varajasemasse seisu.

• Modifitseerib võrgusätteid, registrifaile, services.exe, explorerit jne

• Moodustab tagaukse (backdoor), mille abil tirib kurjamite veebisaidilt arvutisse teisi pahatahtlikke faile.

• Botnet võrgu liikmena hakkab nüüd arvuti ostima võimalusi teiste arvutite nakatamiseks , kuni saabub aeg, mil tema tõelised peremehed, botmasterid, sunnivad teda tegutsema palju kurjemates situatsioonides.

Kaitse

Üks pisike turvalapike võib päästa kõige hullemast – valige siit Microsoft lehelt teie arvuti opisüsteemi järgi õige paik ja tirige alla – eeldatavalt see valideerimist ei nõua.

Jälgige, et Windows saaks automaatselt vajalikke turvapaikasid alla laadida. Avage Start – Settings – Control Panel, leidke Automatic Updates, avage see, ja märkige punktikesega Automatic (Recommended).

4automatic-updates

Muutke administraatori salasõna raskesti äraarvatavaks. Unustage jäädavat taolised imelihtsad paroolid.

Kasutage tulemüüri ja  viirusetõrjeid,  kindlasti uuendage neid igapäevaselt värskeimate andmebaasidega.

Kasutage erinevaid nuhkvaratõrjujaid.

Keelake arvutis autorun. Microsoft on juba asja ohtlikkusest aru saanud ning turvapaikade allalaadimisel  suletakse see automaatsel. Kuna aga Microsofti sulgemine  ei pruugi päris tõhus olla, siis US-CERT.GOV  õpetab, kuidas seda paremini teha. Ise kasutan  tasuta Panda USB Vaccine utiliiti ja tulemus on samuti väga hea.

Kasutage artikli allosas märgitud Uss-viiruse avastamise ja eemaldamise vahendeid. Kui mõni neist utiliitidest avastab viiruse, aga ei suuda kustutada, samuti kui kasutajale jääb väikegi kahtlus, et arvutis võib ikkagi pesitseda uss, mida ei suudetud täielikult eemaldada, siis kasutage uuesti neid vahendeid, kuid eelnevalt:

  • Eemaldage arvuti küljest internetikaabel (või lülitage WiFi välja).
  • Lülitage välja süsteemitaaste (Start – Settings – Control Panel – System – System Restore, märkige linnukesega Turn off System Restore on all Drives).
  • Logige sisse kaitstud reziimi administraatorina (Safe Mode), kuidas sinna saab, juhendi leiab siit.
  • Kasutage uss-viiruse eemaldamise vahendeid ja hävitage pahalased. Pole paha, kui juba korraga igaks juhuks skänneerida arvuti läbi ka teiste viirus- või nuhkvaratõrje programmidega.
  • Naaske tagasi Windows tavareziimi, lülitage süsteemitaaste taas sisse, võttes linnukese eest Turn off System Restore on all Drives ning ühendage interneti juhe uuesti võrku.
  • Kui varem oli blokeeritud ligipääs Windows Update lehele, siis nüüd võib uuendada arvuti kõigi värskemate turvapaikadega ( ava Start – Windows Update või Microsoft Update).

Uss-viiruse avastamise vahendid

McAfee Conficker Detection Tool

Retina Network Security Scanner-Conficker Worm5-remtols

Conficker Online Check

Uss-viiruse avastamise ja eemaldamise vahendid

Microsoft Malicious Software Removal Tool

Kaspersky KidoKiller (KK)

Trend Micro SysClean WORM DOWNAD

Symantec W32 Downadup Removal Tool

Eset EConfickerRemover

Sunbelt Conficker SSClean

Sophos Conficker clean-up tool

F-secure F-Downadup Removal Tool

BitDefender Remove Downadup

McAfee Stinger for W32/Conficker

Protectorplus CleanConficker

Enigma conficker removal tool

Fortiguard conficker removal

Botneti eest kaitsjad

Trend Micro’s RUBotted (katsetamisjärgus)

F-secure Exploit Shield (katsetamisjärgus)

Conficker ja Eesti

 

Eestis ei ole nakatumine uss-viirus Confickerisse seni veel  märkimisväärne, ent pööre võib toimuda iga hetk.

Muide, Networkworld on pannud kokku  slaidishow kümnest kõige karmimast  ja ohtikumast rünnakust interneti ajaloos ning ka meie väikene Eesti on seal üheksanda kohaga äramärkimist leidnud. Oleks meid tookord hävitatud, poleks see enam hea reklaam, ent nüüd võime uhkusega maailmale teatada, et oleme tugevad.

6 thoughts on “Nuhtlus nimega Conficker”

  1. Küsiks kohe,kas sarnane nakatumine(mälupulga,välise kõvaketta jm.) võiks toimuda ka näiteks fotokast piltide tõmbamisel erinevatesse arvutitesse?

  2. Kuna fotokas on tavaline m2lukaart on nakatumine sealt kaudu t2iesti v6imalik. Ehk oleks turvalisem neti sihitult kolamiseks kasutada m6nda linuxit, kus u99% viirustest ei t66ta.

  3. Selge siis selle fotokavärgiga.
    Paraku ei saa aeg-ajalt ka sihitult netis kolamiseta läbi. Võin öelda,et viirusetõrje ja tulemüür on alati töös ja viirusetõrje värskendusi ei sega ega takista mingil moel.

  4. Siin oli adobe readerist juttu,ag kuidas on muude adobe pluginatega?

  5. ClamWin on ainukene tõeliselt vaba viirustõrje. Selle andmebaas on kenasti ja tasuta kasutatav ka Linuxis. See on tõeline tragöödia, et ta ei suuda pakkuda veel tõsisemat konkurentsi teistele toodetele, aga Linuxi suurem levimine ning sellega kaasnev Linuxi viiruste suurem levimine aitab ilmselt ajapikku ka ClamWinil kosuda.
    Lisaks veel, et keegi F-Secure’i analüütik Mikko leidis ka Windows 7’st vea, mis on seni olnud omane kõigile Windows’idele. Vea, mida ikka veel nõuavad algajad kasutajad. Nimelt vaikimisi Windows Explorer ei näita failide nimelaiendeid. Pildifailid on üldjuhul alati ohutud, kuid kui Windows on varjanud nime laiendi ning programmifail kasutab pildi ikooni, siis võib selle programmi kergesti kogemata käivitada. Kõik kasutajad peaks alati aktiveerima failinime laiendite näitamise ning kõike .EXE, .COM ja mitmete teiste laienditega faile peaks alati kahtlustama. Samas pildid JPG, TIF või PNG on üsna ohutud vormingud. DOC ja PDF on keskmise ohtlikusega, näiteks RTF on ohutum (kui ta ei ole just RTF’iks nimetatud DOC).

  6. “Pildifailid on üldjuhul alati ohutud” on väide, mida ma öelda ei saa. Esimese hooga tuleb meelde jpg külge haakunud viirus, samuti tuleb meelde üsna mitmeid erinevate pildivormingute puhvri ületäitumisega seotud turvavigu.

Kommenteerimine on suletud.