Shadowserver Foundation, mis muuhulgas tegeleb zombivõrkude jälgimisega, teatab, et on viimase kolme kuu jooksul täheldanud nakatunud arvutite hulga kolmekordistumist nende jälgitavas võrgusegmendis.
Kui käesoleva aasta juunis oli Shadowserverile teada 100 000 zombistunud arvutit, siis augusti lõpus oli sama botnet kasvanud juba 450 000 arvutini. Põhiosas nakatuvad arvutid pahatahtliku koodiga veebilehe külastamisel, reeglina kasutatakse nakatamiseks turvaauke arvutikasutajate veebibrausereis. Piisab, kui lappimata brauser lubab käivitada jupi koodi, mis kontakteerub pahatahtliku serveriga, tirib alla pahavara ülejäänud komponendid ning võtab arvuti üle täieliku kontrolli.
Sellistest kontrolli all olevatest arvutitest moodustatud võrku ehk botnetti laenutavad kurjategijad kas täies mahus või jupikaupa kas spämmi saatmiseks, teiste võrkude ründamiseks või pahavara levitamiseks. Kõige sellega kaasnevad suured rahasummad.
Paljud on nakatunud tänu legaalsete veebilehtede halvale turvalisusele. Samuti riskeerivad need arvutikasutajad, kellel on liiga vana ja/või turvapaikamata tarkvara. Uuematel brauseritel on paljude rünnakute vastane kaitse juba sisse ehitatud, samuti on neil peaaegu automaatne uuendamissüsteem, mis aga siiski võib nõuda kasutaja sekkumist. Sellepärast olge valvsad ning pange alati tähele, mida teie brauser teie käest küsib 🙂
Windows tuleks eestis ära keelata, sest peab sellist jama lugema.
Osta Apple Mac http://www.mac.ee või paigalda Ubuntu.
Windowsis mitte olla administratiivsetes õigustes- see tähendab, et olla hoopis täispiiratud konto õigustes.
Start menüüst käivita e. run ja sinna trükid:
control userpasswords2
ja siis sisestada administraatori parooli s.t juhul kui sinu kontol ei ole admini õigusi-
sealt edasi tuleb sulle kõikide kasutajate nimed ette:
Saad panna uusi kasutajaid või kasutajate õigusi muuta.
Botnet ja malware info seisukohast on Arvutikaitse poolt pakutav kodukas http://www.shadowserver.org/wiki/ igati täiuslik link infoks ja lugemiseks.
Mul eneselgi on püsti üks botnet/malware honeypot.
Kui te näiteks minu käest küsiksite, et kus asub (12.10.08) hetke seisuga üks botnet/malware pesa, siis ma vastaksin järgnevalt.
Honeypot logide alert`idest lähtudes asub Eesti servereid ja arvuteid väisav pahalastepesa Rumeenias. See pahalastepesa on kõigest üks tuhandetest.
Detailsem info, näide.
Botnet/malware rünnaku aeg: [2008-10-12 11:45:10]
Rünnaku sooritaja: 193.33.22.207 (Bucharest, ISP Hertza Computers)
Ründaja detailsem info: avatud tcp pordid 139, 445, 1025, 5000, MAC Address = 00-50-FC-E4-09-78, NetBIOS Name = LUCRARI, User = WI, Sharetud kettad/folderid = LUCRARI, WIND94, WI, OS = Windows XP
Nimetatud IP on rünnet honeypot`ile teostanud juba alates 08.10.08. Kord on see pahalasest IP “nukkuvas” kord jälle “aktiivses” seisus.
Botnet/malware serverid/arvutid pakuvad tavaliselt pahavara MS Windows süsteemidele. Üritatakse rünnatavate serveritesse/arvutitesse sokutada sellist pahavara nagu teekids.exe, msblast.exe, mslaugh.exe jne.
Midnight RC kirjutab täiesti õiget juttu. Sõbrad, kasutage Linux või Mac OS-i. Puhtam ja turvalisem netis elada.
Kui linuxis ka sshd server, siis on seda parem kasutada koos denyhosts programmiga või tulemüürireeglitega määratleda need IP aadressid, kes sinu sshd serverisse ligi pääseda võivad. Kui kasutajaid rohkem kui üks, siis ikka koos denyhosts’iga..
Mina kasutan seda tulemüüri-reeglite võimalust, sest siis puudub mingisugune võimalus bott/kottida.
(ufw tulemüür ja gufw graafika ubuntule.)
Mind huvitaks, kuidas kontrollida oma arvutit zombilisuse suhtes. Palju on zombidest räägitud, aga ma ei ole märganud, et kuskil oleks mingit knowhow’d. See ju turvaprogrammi (mul F-Secure) tavaotsinguga välja ei tule?
userX, F-Secure ja teised turvatarkvarad eemaldavad nn zombisi.
Zombi viirus võib olla kõige tavalisem Vundo või trooja viirus.
Aitäh, nüüd targem!
To: userX oktoober 16th, 2008 1:08
Kuidas kontrollida oma arvutit zombistumise suhtes?
Windows arvutikasutaja XYZ-kontrollküsimustik:
Kas kasutatava arvuti antiviirus (näit. avgfree) on up-to-date?
Kas kasutatava arvuti antispyware (näit. ad-aware) on up-to-date?
Kas kasutatavas arvutis on P2P klient (näit. eMule, Bittornado) ja kas kasutatakse piraattarkvara?
Kas kasutatava arvuti omanik on oma profiilis administraatori õigustes?
Kui arvutikasutaja ei oska ülalmainitud küsimustele rahuldavalt vastata, siis on olemas suur võimaluste % et tema arvuti muudetakse varem või hiljem zombie arvutiks ning liidetakse ühel päeval pahalaste botnetiga.
Kuidas käitub zombie (botnet) arvuti?
1.) Kui arvutikasutaja ei oska XYZ-kontrollküsimustikule adekvaadselt vastata, siis nakatub tema arvuti varem või hiljem arvutiviirustega.
2.) Näiteks arvutiviirused W32.Blaster.C.Worm (teekids.exe), Blaster.E Worm (mslaugh.exe) ja Blaster.B Worm (msblast.exe) kasutavad tcp porti 135 (dcom rpc)ja udp porti 69 (tftp).
3.) Nakatunud zombie arvutis aktiveerub seega tcp port 135 ja udp port 69. Zombie arvuti muutub rämpsposti saatjaks, DoS ja DDoS rünnakute sooritajaks, pahavara ja porno levitajaks. Arvutikasutaja aga ei tea sellest illegaalsest tegevusest mitte muhvigi. AssaPauk kampaania laadne skeem reaalsuses.
Sisuliselt võib nakatunud zombie arvuti Internetis töötada suvaliste tcp ja udp portide peal, kõik sõltub arvutiviiruse spetsiifikast.
Zombie arvuti kahtluse kontroll ja selgitamine?
1.) Arvuti töövõime langeb oluliselt nii Internetis kui ka lokaalsete programmide käivitamisel.
2.) Vaata oma Windows arvuti tcp ja udp porte. Kas on midagi kahtlast. Kas on ka lahti palju aktiivseid ühendust andvaid ja võtvaid porte.
Netstat käsu kasutus:
Start > Run > sisestad Open käsureale: ‘cmd’ (ülakomadeta)> vajutad OK > sisestad käsureale: ‘netstat -a’ või ‘netstat -nao’ (ülakomadeta)
3.) ‘Windows Task Manageris’ võiks pilgu peale visata ‘Processes’ ja ‘Performance’ sektsioonile.
NB! Arvutiviirustega nakatunud Windows arvuti ongi juba ise Zombie staatuses. Nagu õudusfilmis, kus zombie on küll ohutult aeglane kuid seevastu ettearvamatu, salalik ja hävituslik.
Linux arvutitel on seevastu aga hoopis teised diagnostika võimalused.