Troojahäire – Windows 7 ja FIFA karikas 2010

NB! Originaalartikli olen kirjutanud 8.juunil 2009 Arvutikaitsesse, seega ei pruugi allolev hoiatus enam väga tõsine olla…  või siiski …

1.trooja-viirusKui kirjutasin artiklit conficker´ist lisasin kirjatükki järgmised read:

„Loomulikult ei maksa unustada, et Confickeri võib pahaaimamatult ise arvutisse tõmmata piraatsaitidelt nagu Rapidshare või P2P programmidega mingi teise faili sisse peidetult. Välissaitide foorumites surfates on silma jäänud, et Confickerit on kaasavarana peidetud Windowsi piraatversioonidesse, mida lahkelt allatirimiseks pakutakse.”

Nüüd siis ka tarkvaraarendaja PC Tools saatis mu postkasti hoiatuskirja, mille sisu on lühidalt  järgmine:

PC Tools on kindlaks teinud, et küberkurjategijad otsivad jätkuvalt võimalusi arvutite nakatamiseks suurürituste abil, milleks võib lugeda nii Windows 7 prooviversiooni  väljalaskmist kui ka 2010. aastal algavaid jalgpalli maailmameistrivõistlusi.

P2P programmidega  ja torrentitest allalaadimiseks pakutavad erinevad Windows 7 installitõmmised sisaldavad  pahatahtlikku troojalast, mille eesmärgiks on varastada arvutikasutaja isiklikke andmeid, põhjustades nii rahalist kahju kui ka identititeedivargusi, samuti võib trooja tekitada arvutisüsteemi  rikkeid.

Samuti on PC Tools kindlaks teinud õngitsemisrünnakud (pishing attacks), mis on seotud 2010. aasta FIFA jalgapalli maailmameistrivõistluste alagrupiturniiridega ning eeldavad, et taolised rünnakud kasvavad tõusvas tempos kuni põhiturniirideni välja. Näiteks eelmised maailmameistrivõistlused tõstsid õngitsemisjuhtumite arvu 40% võrra.

PC Tools soovitab:

  • Tirida operatsioonisüsteeme (samuti ka teisi vajalikke programme) vaid ohututelt saitidelt nagu programmitootjate kodulehed või volitatud edasimüüjate saidid. Windows 7 ametlik koduleht, kust saab soovi korral ka prooviversiooni arvutisse laadida (Get the Release Candidate) asub siin.

  • Kui arvutisse tõmmatakse erinevaid programme (eriti just Windows 7 versioone) torrentitest ja P2P programmidega, siis tuleb need kindlasti enne installeerimist viirusetõrje- ja nuhkvaratõrje programmidega pahavara leidmiseks läbi skänneerida.

Õngitsemisrünnakutest

2.trojan alert

Õngitsemisrünnakute kasvust hoiatas ka turvahiid Symantec Corporation oma 12.mai pressiteates. Põhiliselt saadetakse kasutajate e-mailidele põnevaid sõnumeid, mis veennavad neid klikkima kirjas toodud linkidel, misjärel suunatakse nad edasi ebaseaduslikele veebisaitidele, kus küberkurjategijatel on lihtne varastada nende isklikke andmeid. Veel lihtsamaks teeb pettuse asjaolu, et pakutakse väga soodsalt (vale)pileteid turniiridele või mängudega seotud suveniire (särke, mütse, sümboolikat jne.) ning kasutaja ise toksib oma lihtsameelsuses ja saamahimus pangaparoolid ja -koodid vastavatesse lahtritesse.  Nii võibki juhtuda, et loodetava odava lõbu asemel  võib elu muutuda kallimaks kui eales arvatud.

Veelkord  meeldetuletuseks:

  • Kui kasutate arvutisisest meiliprogrammi, näiteks Microsoft Outlook, Mozilla Thunderbird jne, seadistage viirusetõrje neid skanneerima ja /või kasuta spämmifiltreid.
  • Kui kasutate arvutiväliseid meiliteenuseid, näiteks Gmaili, Live Hot suhtluskeskkonda jne, paigaldage veebilehitsejale turvalaiendused nagu McAfee SiteAdvisor , Wot , Netcraft vms, mis hoiatavad pahatahtlikele saitidele sattumise eest. Nimetatud brauserilisad toetavad nii Interner Explorerit kui ka Mozilla Firefoxi. Ülaltoodud pildil on näha, et oma Gmaili postkasti avades lisab plugin Wot iga kirjas oleva lingi lõppu veebilehe reitingu, ehk siis antud juhul rohelised rõngagkesed, mis teavitavad ohututest linkidest. Oleks rõngad punased, peaksin olema väga ettevaatlik neile klikkamisega.
  • Isegi kui veebilehitsejatele on paigaldatud turvalaiendused, mis teavitavad veebilehtede ohtlikkusest, siis ikkagi ärge klikake igal pakutaval lingil, kuna paraku ka pishing-võltslehed luuakse alati varem, kui nad avastatakse ja andmebaasi lisatakse.
  • Ärge avage tundmatute inimeste poolt saadetud e-posti manuseid, kaasaarvatud ka sõprade-ja tuttavate poolt saadetud manuseid, kui nende saatmisest pole varasemalt kokku lepitud või kirjas endas sellest ei teatata – botneti liikmena võidakse rämpskirju õngitsemislinkidega ja troojamanustega saata ka ilma nende teadmata. Iga e-kirjaga saadetud fail kontrollige alati enne selle avamist viiruse-ja nuhkvaratõrjega üle.
  • Suurima ettevaatusega suhtuge kõikvõimalikesse kirjadesse, kus küsitakse teie isikuandmeid – aadressi, telefoninumbreid, pangaparoole ja -koode jne. Tõsi ta ju on, et paljud firmad korraldavad e-maili teel mitmeid auhindadega pärjatud reklaamkampaaniaid, et iial ei või teada, kas just äkki mitte seesama justkui turvaline veebileht pole osavalt järgi tehtud võltsing….

Windows 7 troojast

Ettevaatlikud peaksid olema ka kõik need, kes on läbi erinevate torrentite, P2P programmide või piraatfaile jagavate veebilehtede (Rapidshare, Easy Share jne.) tirinud omale  Windows 7 piraatversioone või kavatsevad seda teha. Need, kes on jõudnud opisüsteemi juba arvutisse paigaldada, ise seda võibolla ei teagi, aga tõenäoliselt on nende süsteem nakatunud troojalasega, mis kasutaja teadmata otsib läbi internetiavaruste uusi ohvreid, keda kahjustada. Tundub, et küberkurjategijate seas on moeasjaks saamas botnet-võrgustike loomine, sest just selle liikmeks saamist  antud trooja toetabki.

Üks asi on omale Windows 7 alla laadida ja viirusetõrje programmiga läbi skänneerida. Heal juhul on troojavastane andmebaas juba olemas ja faili saab eos surmata. Teine asi on aga see, kui pole tuldudki selle peale,  et Microsofti tootest viirust otsida vaid see on automaatselt plaadile kõrvetatud ja arvutisse installeeritud. Või siis on pahavaraline kood niivõrd uus, et viirusetõrjujate andmebaasides seda hetkel veel polegi. Näiteks just tänase kuupäevaga pakutakse täiesti värsket versiooni Windows 7-st ühel piraatfaile pakkuval veebilehel.

3.win7 trooja

Arvatavasti on  ka selle versiooni puhul pahavaraline kood niivõrd uus kirjutatud, et viirusetõrjed ei suuda seda koheselt avastada. Arvutisse paigaldades aga kujutab see opisüsteem ohtu mitte ainult kasutajale endale vaid eelkõige ka kõigile tema tuttavatele ja sõpradele, kellega ta vahetult läbi interneti suhtleb.

Muide, täiesti selgelt võib välja lugeda, et fail on saadaval allalaadimiseks läbi BitTorrent võrgu, mille teel jagati ka eelmist troojasse nakatatud versiooni. Ja veel – ka tookord teatati versiooni “lekkimisest” enne Microsofti ametliku versiooni väljalaset. Et Microsoft  vahetevahel  “lekib”, on ammu teada tõsiasi, aga et nii mitu korda järjest ühe ja sama reha otsa asutakse – see peaks küll kahtlustama panema.

Pahatahtik kood oli peidetud opisüsteemi paigaldamisfaili setup.exe sisse,  misjärel peale installeerimist muudeti arvuti niinimetatud zombiks, botnet-võrgustiku üheks liikmetest. Nakatumist  on väga raske märgata, kuna trooja jääb peidetuks traditsiooniliste viirusetõrjete eest, seda enam, et veel vähesed  tõrjeprogrammid sobituvad Windows 7-ga.  Edasine kontroll arvuti üle on aga täielikult botmasteritel , kes vastavalt oma soovile või teiste kurjategijate tellimustele  korraldavad  selle abil küberrünnakuid mis tahes maa või serveri vastu, kasutavad arvutiomaniku mailiaadresse rämpsposti saatmiseks, kaasaarvatud õngitsemislehtede levitamiseks, paigaldavad arvutisse kuritahtlikke programme, või salvestavad kasutajate privaatseid andmeid, pangaparoole jne.

Täiendavaks  lugemiseks:

http://news.zdnet.co.uk/security/0,1000000189,39651457,00.htm

http://news.softpedia.com/news/Pirated-Trojan-Infested-Windows-7-RC-Builds-Botnet-111445.shtml

http://www.damballa.com/mediacenter/news.php

at.lineOK

Lisa kommentaar

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Muuda )

Twitter picture

You are commenting using your Twitter account. Log Out / Muuda )

Facebook photo

You are commenting using your Facebook account. Log Out / Muuda )

Google+ photo

You are commenting using your Google+ account. Log Out / Muuda )

Connecting to %s

%d bloggers like this: