Lisaks jäänukprotsessidele, on pahavara ja puudulike desinstallimisprogrammide tagajärjena ketas täis faile, mida kunagi enam vaja ei lähe. Teine suur kettaruumi raiskaja on rakendused, mis laevad võrgust alla materjale, säilitavad need kettal vahemälus ega eemalda või piira vahemälu suurust. Vaba kettaruumi vähesus (nt. alla 15% ketta mahust), põhjustab süsteemi ebastabiilsust, sest tekkida võivad probleemid näiteks saalefaili laiendamisel või kettaoperatsioonide aegluse tõttu. Seega tuleks lisaks rakenduste eemaldamisele ka ketas puhtaks teha. Loe edasi: Kettapuhastus
Küberkurjamite lemmiklehitsejad
Kolme kuu vältel uuris Purewire teadur Paul Royal küberkurjategijate harjumusi veebilehitsejate kasutamise osas ja jõudis järeldusele, et häkkerite lemmikbrauseriteks on Mozilla Firefox ja  Opera.
Vastavalt uuringutele kasutavad neist Firefoxi 46% ja üllataval kombel Operat 26%, ehkki viimasel on kõigest kaheprotsendiline turuosa.  Trend Micro turvaspetsialist Rik Ferguson möönab irooniliselt, et häkkerid kasutavad väiksema turuosaga brausereid sellepärast, et mitte ise nakatuda viirustesse. Loe edasi: Küberkurjamite lemmiklehitsejad
Eesti tüdrukud Türgis jätkuvalt kuumad
Tõeline džigitt armastab oma ratsut, ostab talle parimad rauad ja kirevaima sadula ning lööb looma karva hoolega läikima. Siis hüppab džigitt oma uhke ratsu selga ning kihutab püssi põmmutades, kinžalliga vehkides ning vaheldumisi Allahit ja oma esivanemaid abiks kutsudes otsima kaunitari, kelle silmad on sügavad nagu mägijärvede veed.
Uuema aja džigitt kimab mõistagi ringi ülesputitatud Murat 124-ga (siinkandis tuntud kui null-üks) ning tÅ¡ikke landib MSN-i kaudu. Kaasdžigittidega vahetatakse nii kogemusi kui tüdrukute MSN-i aadresse spetsiaalses foorumis, kus lisaks türgi iludustele figureerib ka mitusada ilmselt eesti nimega aadressi.
Ma muidugi ei tea, paljud selles nimekirjas olijaist ka tegelikult kuumade türgi poistega suhelda tahavad. Kuid kui avastate sealt enda aadressi, ei tasu vist edaspidi pead murda, miks türgi poisid teile pidevalt MSN-is sõbraks trügivad. Loodetavasti ei ole kellelgi enam nii vana Messengeri klienti, mis kontaktisoovid automaatselt aktsepteeris ning neid blokeerida ei lubanud?
Tarkvara suurpuhastus arvutis
Igapäevase arvuti kasutamise tulemusena jääb arvutisse hulganisti tarkvara, mis on kas kasutaja teadmata end arvutisse paigaldanud või ei ole ennast eemaldamisprogrammiga korralikult eemaldanud. Suur osa sellisest tarkvarast ei ole pahatahtlik, kuid nende programmikeste suur hulk võib arvuti muuta aeglaseks või panna veidralt käituma. Seega tuleks vähemalt kord aastas oma arvuti üle käia ja sealt kõik ebavajalikud programmijupid eemaldada või välja lülitada. Parim aeg sellise suurpuhastuse tegemist on enne tiheda kooli- ja tööperioodi algust.
Pahavara kaugeemaldus
Sain minust suhteliselt kaugel elavalt sõbralt abipalve: “Tee mu arvuti puhtaks!”. Tema arvuti operatsioonisüsteem ei tahtnud enam käivituda.
Telefoni teel juhendasin ta Safe Mode’i, seepeale sai ta MSNi tulla. Kontakt olemas, otsustasin kasutada kaughaldustarkvara Teamviewerit, sest sellega on päris lihtne üle interneti teises arvutis kurjameid taga ajada. Mõeldud-tehtud. Tundsin end kergelt nagu botmaster, kes võõrast arvutit kontrollib 🙂
Esimese asjana panin MBAM’i kähku arvutit kontrollima.
Mõne sekundi möödudes oli pilt selline
Edasi asusin uurima HiJackThis logi ning sealtkaudu sain ka päris suure hulga pahalaste jälile.
MBAM oli vahepeal leidnud juba üle tosina uue ohu:
Rohkem kui kuue minuti pärast küündis leitud pahalaste arv juba 130 ligi.
Veidral kombel ei teinud ükski pahalane süsteemile taaskäivitust, kui teda kontrolliti. Olen mitmeid selliseid masinaid näinud ning see on paras peavalu. Õnneks on mul sellisel puhul abiks Ultimate Boot CD for Windows päästeplaat.
Mida MBAM siis leidis?
Paar libatõrjet, mitmeid troojalasi ja ka ühe Confickeri “järeltulija”.
Kui MBAM küsis pärast pahavara eemaldamist süsteemile taaskäivitust, palusin seda ka teha. Peale seda läks arvuti ilusasti tööle ning ma ei uskunud, et see veel puhas võiks olla. Sellepärast vaatasin veel Combofixi logi:
Pildil on näha, et Combofix eemaldas veel mitmeid pahalasejäänukeid ning peatas mitmeid draivereid ja teenuseid. Pärast Combofixi logi ülevaatamist tegin veel ühe HJT logi koos Prevx logiga. Kumbki ei leidnud arvutist enam midagi.
Pärast puhastamist sai peale pandud Avira Antivir tasuta tõrje koos Spyware Terminatoriga.
Selline näeb välja ühe kergesti nakatunud arvuti puhastamine. Kui tegu on mõne rootkiti või muu väga raske nakkusega, võib vaja minna UBCD4WIN ning see teeb eemaldamisele kuluva aja päris pikaks.
Kergem on hoida oma arvuti puhas. See säästab nii närve kui ka raha 🙂 Pealegi ei pea korraliku kaitse eest peaaegu et midagi maksma.
Ebatavaline viirus W32.Induc.A
Viimasel ajal on paljudes kodudes kui töökohtades arvuteid valvavad viirusetõrjed löönud häirekella. Loomulikult niisugused tõrjed, mis on sätitud automaatselt uuendama pahavaravastaseid andmebaase või on neid värskendatud käsitsi. Kindlasti on paljud kasutajad üllatunud, kuna omateada pole otseselt põhjust antud, et arvuti võiks olla nakatunud – pole käidud pahelistel netilehtedel, pole midagi arvutisse tiritud, pole käivitatud kahtlasi faile.
Samasugune üllatus tabas ka mind. Tehes arvutis tavapäraseid toimetusi, viskas mu viirusetõrje ootamatult lahti hoiatusakna ja hakkas paaniliselt teatama viiruse leidmisest. Just nimelt paaniliselt, kuna kurjamit edukalt karantiini suunates leidis ta selle üha uuesti ja uuesti. Loomulikult asusin kohe uurima, mis viirusega tegu.
Esmapilgul tundus tegemist olema anomaaliaga, võib ka öelda valehäirega, kuna viirusekandjaks nimetati programm, mida mu arvutis polnud olemaski. Kui siis ehk katsetasin seda programmi vast umbes kuu või paar tagasi, aga ebasobivusel kustutasin  koos registrivõtmete ja –väärtustega. Ent asja edasi uurides selgus, et selle viiruse puhul polnudki tegu valehäirega (false positive). Viirus oli suutnud  kohe peale programmi nakatamist teha sellest tagavarakoopia ja peita selle nutikalt ära.
Viirus avastati alles paar päeva tagasi Sophos Labs viirusteanalüütiku Richard Cohen poolt. Õelvara nakatab rakendusi, mis on kirjutatud programmeerimiskeeles Delphi (üks versioon programmeerimiskeele Pascal edasiarendusest).  Lihtsa ja mugava kirjutamiskeele tõttu kasutatakse seda  paljudes Windows keskkonna programmides, näiteks andmebaase abistavates rakendustes. Viirus otsib nakatunud arvutist Delphit kasutavad programmid, sisestab neisse pahatahtlikku koodi ning seejärel koostab iseendale uue täitmiskoodi (.exe).
Väljavõtteid viiruse kohta erinevatelt tõrjelehtedelt:
- Arvatakse, et viirus on takistamatult tegutsenud juba pikemat aega, kuna tagasisidena on saadud väga suur hulk nakatunud faile. Kuid needki andmed on saadud kõigest esimese paari päeva kohta. Näiteks peale seda, kui viirusetõrje Avast! lisas signatuuri viirusevastasesse  andmebaasi, leiti esimese 12 tunniga umbes 200 000 nakatunut faili.
- Viirus levib väga kiiresti iseenda paljundamise teel ja seetõttu nimetavad mõned tõrjespetsialistid seda ka epideemiaks. Spetsialistide sõnul kasutatakse paljunemiseks uuenduslikku ja haruldast tehnoloogiat.
- Kuigi viirust ei peeta hetkel eriti ohtlikuks, siis tegelikult veel ei teata, mis otstarbel see kirjutati ja mis on selle eesmärgid. Põhimõttelist kahju see otseselt ei tee, ent viiruse uurimine ja analüüsimine alles jätkub. Igal juhul kinnitatakse, et veel pole maailmast avastatud sellist viirust, mis oleks kasutajatele täiesti ohutu.
- Nakatunud faile kustutades jääb siiski mõningane võimalus, et mõne programmi töö saab häiritud. Nagu öeldud, viirus võib nakatada kõiki ehtsaid ja häid programme, mis kasutavad Delphit. Delphi programmeerimiskeelt kasutatakse palju ka näiteks pankade- ja teiste suurettevõtete andmebaaside rakendustes, mis nõuavad suurel hulgal andmete töötlemist.
- Arvatakse, et viirusetõrje tootjad saavad kasutajatelt lähiajal hulga teateid valepositiivsetest failidest, mida nende tõrjevahendid on avastanud. See tekitab paju nördimust ka originaal-tarkvara müüjates, kuna nende tooteid kompromiteeritakse, justkui oleks need viirusekandjaid. Halvemaks aga tuleb pidada olukorda, mil ehtsast programmist viirust leides arvatakse kohe, et tegu on valehäirega ning välistatakse see viirusetõrje edasisest kontrollist. Sellega antakse viirusele võimalus edasi paljuneda.
- Nakatumise sümptomid sõltuvad vastavalt nakatatava programmi ülesannetest. Eemaldamine võib olla suhteliselt kerge, ent kui viirus töötab mäluprotsessides, siis tuleb rakendada täiendavaid abinõusid selle kustutamiseks.
- Iroonilisel kombel nakatab viirus ka teisi kuritahtlikke programmijuppe, näiteks pangandusliinis levivaid troojaid, mis on kirjutatud Delphit kasutades.
- Nakaunud võivad olla süsteemid , milles kasutatakse programme, mis on kirjutatud Delphi koostamisversioonides 4-7Â (Delphi Compiler).
Tulles tagasi minu arvutitest leitud viiruste juurde, Â siis ühes neist töötas viirus mäluprotsessides, aktiveerudes kohe peale arvuti alglaadimist. Viirusetõrje küll avastas selle, kuid suutis kustutada vaid pärast arvuti taaskäivitamist. Teises arvutis oli aga viirus peitnud ennast ka süsteemidraivi kausta (System Volume Information), mida kasutatakse süsteemisätete taastamiseks varasemasse aega. Â Mõlemal juhul pidin viiruse eemaldamiseks süsteemitaaste välja lülitama.
Viiruse eemaldamine
- Lülita välja System Restore. Vali Start – Settings – Control Panel – System – System restore , märgi linnukesega ruuduke Turn off System Restore on all drives, vajuta Apply ja OK.
- Uuenda viirusetõrje või teiste tõrjeprogrammide andmebaase.
- Otsi viirusetõrjega läbi kogu arvuti kasutades käsitsi skänneerimisvõimalust.
- Vajadusel, kui viirust ei suudeta eemaldada, sisene Safe Mode (õpetus siin) ja korda eelnevat tegevust.
- Kui kurivara on eemaldatud, taaskäivita arvuti ja kontrolli mõttes skänneeri arvuti teistkordselt üle.
Täiendavat lugemist:
http://www.sophos.com/blogs/gc/g/2009/08/19/w32induca-spread-delphi-software-houses/
http://www.sophos.com/security/analyses/viruses-and-spyware/w32induca.html