Android nutitelefoni ja tahvelarvuti viirused, muu pahavara ja kaitse

Android virus symptoms and protectionEsimene android süsteemile SMS trooja Android/FakePlayer avastati augustis 2010. aastal. Tegemist oli pahavaraga, mille kasutaja ise paigaldas teadmatusest nutitelefoni, mis seejärel hakkas saatma sõnumeid tasulistele telefoninumbritele. Juba siis ennustati turvaspetsialistide poolt pahavara leviku mõningat tõusu android nutisedmetes, kuid kui lugeda turvafirma ESET 2012. aasta lõpus avaldatud rapordit viiruste leviku kohta, siis tõdetakse, et sellist mobiilse pahavara kiiret kasvu nii lühikese aja jooksul peetakse uskumatuks ja isegi harukordseks nähtuseks.

Kuigi arvutiviirused pole kuhugi kadunud, siis ESET Eesti juhi Allan Kinsigo sõnul võib kindlalt väita, et juba eelmise aasta pahavara leviku ühisnimetusena võib öelda, et ” Malware Goes Mobile”.  Ehk siis küberkurjategijad jälgisid hoolsalt trende ja rahalise kasusaamise eesmärgil hakkasid genereerima rohkem pahavara just mobiilsetele seadmetele, mis käesoleval 2013. aastal on omakorda hüppeliselt kasvanud.

Pahavara kiire kasv Android süsteemile

Selle aasta trendina võib nimetada, et mobiilne pahavara eriti just android opsüsteemidele, kuna AndroidOS turuosa on kõige suurem, on muutunud keerukamaks ja raskemini avastatavaks, samuti on laiendanud kurjategijad oma pahatahtlikku tegevust. Mobiilsest pahavarast umbes 97% on loodud just Android platvormile. Kui 2010 lõpus ja 2011 aasta alguses olid levinud peamiselt SMS pettused ja ka käesoleval ajal on SMS troojad kõige levinum pahavara liik Android seadmetes, siis nüüd haaratakse kinni igast võimalusest, kuidas mobiilseadme pahavaraga nakatamisest kasu võib saada. Üha rohkem püütakse ligi pääseda kasutaja kontaktidele aadressiraamatus, et leida uusi ohvreid. Pole ime, et kui teile saadetakse kiri lingiga, mille avate mobiilseadmes, ja seejärel nakatatakse nutiseade pahatahtliku koodiga, mis varastab nii teie kontaktide nimekirja või ka muud andmed.

Android telefonid ja nende nakatumine viirustesse

Samuti, kuna nutitelefoni või väiksest tahvelaarvutit on mugav kaasas kanda, salvestavad inimesed üha rohkem neisse oma isiklikke ja tööalaseid ettevõtte andmeid või salajast infot, ka mobiilse internetipanga paroole või mõnda serverisse sisslelogimisandmeid, et seda mitte näiteks ühiskasutatavas arvutis jagada, kus see oleks kõigile näha. Üha rohkem kasutatakse nutitelefone fotoaparaadina või videokaamerana ning kui ka kasvõi lõbusa meeleolu hetkeajendil teete mõnel saunapeol või kodus salaja üksteisest siivutuid pilte või videosid, on need kõik aga kurjategijatele magus saak. Igasugused paroolid ja tundlik info näiteks ettevõtte kohta jäetakse loomulikult enda teada kuritegude toimepanemiseks, aga fotod ja videod võivad internetti lekkida või siis saadakse nende abil mobiilseadme omanikke šantažeerida ehk kompromiteerida ähvardustega ning raha välja pressida, et neid ei levitataks.

Android telefoni andmed, mida varastatakse viiruste abil

Mobiilset internetti kasutades võidakse teid aga viia kuritahtliku vahendaja veebiserverisse, mis nakatab teie nutiseadme. Näiteks trooja hobune Android.Fakeflash installib teie Android nutiseadmesse võlts Flash Player rakenduse, et suunata teid nakatunud veebilehele.

Android seadmetele pahavara võib esialgu jagada peamiselt  kolme klassi:

  1. Info vargus nuhkvara abil (spyware)
  2. SMS troojad, mis saadavad sõnumeid tasulistele numbritele
  3. Troojad, mis muudavad teie nutiseadme zombieks ehk kurjategijad saavad haarata kogu võimu nutitelefoni üle enda kätte ja siis vastavalt oma soovidele kasutada seda milleks iganes, mis neile raha sisse võib toob – paigaldada eemalt teisi pahatahtlikke koode, kasutada telefoni SMS saatmisteks tasulistele numbritele, varastada infot nagu kontaktide nimekirja, sõnumeid, pilte, videoid või muud olulist infot, paigaldada tagauksi (Backdoor) või väga kiiresti luua suur mobiilne botnet ning muuta nutiseadme konfigutatsiooni seadeid.

Android nutitelefoni nakatumine viirustesse, troojasse, nuhkvarasse

Levinumad pahavara variandid Android süsteemidele

Ehkki järjest enam kirjutatakse androidile täiesti uusi pahavaralisi koode, siis kurjategijatel on lihtsam kasutatada juba olemasoleva pahavara koodide modifikatsioone, et vältida android platvormile loodud viirusetõrjete eest kiiret avastamist. Näiteks kui Android/TrojanSMS.Agent pahavara perre, mille liikmed küll erinevad üksteisest, kuid mille kõigi eesmärgiks on tellida nakatunud nutitelefonist tasulisi sõnumiside teenuseid, loodi 2011. aastal 31 uut varianti, siis järgmisel aastal tõusis uute variantide arv juba 153-ni. Või kui näiteks troojat Android/TrojanSMS.Boxer oli 2011. aastal vaid 5 varianti, siis 2012 aastal leiti uusi modifikatsioone 36 korral. Sama on ka tundlikku isiklikku- või ettevõttealast infot varastava troojaga Android/DroidKungFu – 10 varianti oli 2011. aastal, kuid järgmisel aastal leiti neist juba 33 muudetud varianti. Kui aga arvestada TrojanSMS.Agent või TrojanSMS.Boxeriga android süsteemide nakatumisi võrreldes varasemate aastatega protsentuaalselt, siis see on olnud peadpööritav ehk tõusnud rohkem kui 700%.

Android nutitelefoni turvalisus, kaitsemeetmed viiruste vastu

Kuna käesolev aasta on poole peal, siis nende sõjakate võitluskunstide nimedega troojate uute variantide kasvu ei oska hetkel öelda, kuid neid on kindlasti tulnud märgatavalt rohkem juurde, kui varasematel aastatel.

Tugevalt on kanda kinnitanud troojad Android/Spy.Zitmo ja Android/Spy.Spitmo. Mõlemad on pangandustroojad android süsteemile ja oma nime on nad saanud kurikuulsatelt tavaarvuti teel levivatelt troojatelt Zeus ja SpyEye:  Zeus – Zitmo ja SpyEye – Spitmo. Kuidas need troojad täpsemalt android süsteemis infot varastavad, sellest saab lugeda turvafirma McAfee blogist.

Suurt hoogu kogub ka trooja hobune Trojan:AndroidOS/Plankton, mis võib muuta nutiseadme konfiguratsiooni ehk sätteid või varastada salvestatud teavet. Trojan:Android/GinMaster, mida levitatakse peamiselt seksikate piltide, mängude või mobiilihelinate sisse peidetuna ning millele nüüdseks on juba üle 6000 erineva pahavara variandi loodud, loob nutiseadmesse installeerides mobiilse tagaukse, saavutades kontrolli seadme üle.

Kummaline ülesanne on aga troojal Android/Stampeg, mis justkui ise mingit kasu ei otsigi, kuid selle-eest teeb hävitustööd palju – nimelt otsib ta nutifonist .jpg lõpuga fotosid või pilte kaustadest /sdcard/DCIM/Camera/ ja kirjutab kõik leitu üle oma failidega. Need on vaid mõned loetletud pahavara vormid, android süsteemile pahategijaid on teisigi palju, näiteks pahavara, mis blokeerib tarkvarauuendusi, et juba nutitelefonis olev pahalane ei hävineks. Veel mõnest android süsteemile mõeldud pahavarast saab lugeda ka turvafirma McAfee lehelt.

Android viiruste levik nutitelefonides ja android tahvelaarvutites

Kuidas nutitelefon nakatub ja kuidas selle vastu kaitsta

Kõige esimesena peab nutiseadme kasutaja süüdistama iseennast, sest enamik nakatumisi toimuvad seeläbi, et seadme omanik laadib sellesse rakendusi või mänge ebaturvalistelt kolmanda osapoole rakenduste lehtedelt, mitte Google Play lehelt. Kuid tuleb arvestada, et ka Google lehelt äppe laadides võib juhtuda, et kurjategijate poolt on üles laetud pahavaralise koodiga rakendusi, mida veel avastatud pole. Näiteks SMS troojat Android/TrojanSMS.Boxer avastati 2012. aastal lausa 22 Google Play rakendusest. Olgugi, et kurjategijad on kavalad ja kiiremad, kui Google Play rakenduste ülevaatajad, siis ikkagi kasutage rakenduste allalaadimiseks ainult seda lehte, sest reeglina avastatakse sealt nakatatud rakendused kiirelt, mis eemaldatakse koheselt. Rakendusi installeerides ärge valige alles saidile üles laetud värskeid  äppe vaid oodake paar nädalat ja otsige infot rakenduse tegija kohta põhjalikumalt.

Teiseks ohuks on see, et kasutaja suunatakse läbi mobiilse interneti võlts-leheküljele, millest eelnevalt kirjutasin. Samuti võidakse levitada pahatahtlikku koodi läbi e-posti või sotsiaalsete võrgustike, seega ei ole just soovitav läbi mobiilse seadme avada igat linki nii internetis, Skypes, Facebookis kui ka postkastis, isegi kui selle saadab sõber. Mõningatel juhtudel võib sõber ise olla enese teadmata vahendajaks pahavara levitamisel.

Viirusetõrjed android nutitelefonidele ja tahvealarvutitele

Viimasel ajal on suureks trendiks hoida oma nutiseadmetesse salvestatud andmeid (olgu selleks pildid, videod või dokumendid) andmepilvedes. Kuid nagu igasugused arvutisüsteemid nii ka pilved ei ole vabad ohtudest ja võivad põhjustada teabe leket. Näiteks Q-CERT meeskond on turvahaavatavusi leidnud ka populaarsest pilvehoidlast Dropbox ja mõningatel andmetel on suudetud mõnesse kontosse ka sisse murda. Praeguseks on küll turvavead parandatud, kuni kräkkerid uued avastavad. On tõenäoline, et mida rohkem hakatakse kasutama pilvetehnoloogiat, seda suurem huvi on kurikaeltel neid teenuseid ära kasutada, otsides neist turvavigu sisenemiseks, et loomulikult ise kasu saada.

Suureks ohuks on ka Android OS ja rakenduste enda turvavead. Näiteks 2012 aastal oli turvaviga android OS süsteemis, mis võimaldas kräkkeril siseneda nutiseadmesse, taastada tehaseseaded ja seeläbi kustutada kõik kasutaja andmed. Seega, väga oluline on alati uuendada nii operatsioonisüsteemi kui ka rakendusi esimesel võimalusel, kui nutiseadmes värskendusi pakutakse.

Ja mis kõige peamine! Nutiseadmete kasutajad ei kasuta tavaliselt viirusetõrjeid, sest näiteks nutitelefoni omanikud loevad selle lihtsalt telefoniks, nagu vanasti,  unustades, et nutiseadmed on siiski n-ö miniarvutid. Ja ega enne targemaks ei saadagi, kui häda on käes ja nutiseade mistahes pahavarasse nakatunud – see juhtub väga järsku, ootamatult ja võibolla juba täna!

Kaitse android nutitelefonidele, tahvealarvutitele viirusetõrje näol

Viirusetõrjetest android operatsioonisüsteemile, mis kuuluvad paremate sekka või mida eriti ei soovita, neist teeme edaspidi põhjalikumaid ülevaateid. Seni võib igaüks ise endale sobiva Google Play lehelt leida. Kes soovib teada, millise mobiilse viirusetõrje, nii tasuta kui tasulise, viiruste avastamise protsent android süsteemile on parem, võib külastada av-test.org lehte.

Artikli kirjutamisel on kasutatud ESET Eesti esindusest saadud materjale pahavara leviku kohta mobiilseadmetele.

arvutiturve.wordpress.com

Advertisements

Reaalajakaitsega tasuta tõrjeprogramm enamiku pahavara vastu – Smart Defender Free

Tasuta Anvisoft Anvi Smart Defender pakub head kaitset pahatahtliku tarkvara vastu nagu tuntumad viirused, troojad, nuhkvara, reklaamvara, klahvinuhid (keylogger), arvutiussid, veebilehitsejate kaaperdajad jne. Samuti on see kõik-ühes pahavaratõrjeprogramm küllaldaseks kaitseks tänapäeva ohtlikemate kurivaraliikide vastu nagu rootkit´id ja pahatahtlikud tarkvararobotid (bot).

Lisaks sellele on programmi lisatud funktsioonid, mis aitavad arvutit puhastada  prahist ning optimeerida aeglast arvutisüsteemi kiiremini tööle.

Tasuta pahavaratõrje koos viiruse kaitsega

Pahavara otsimismeetodeid on kolm :

Quick Scan ehk kiire skanneerimine, kui pahavara otsitakse arvuti kõige kriitilisematest kohtadest.

Full Scan, kui arvuti kammitakse põhjalikult üle kogu süsteemist.

Custom Scan, kui arvutikasutaja saab ise valida kaustad ja kettad, kus pahavara otsimine teostatakse.

Kaitse troojate, viiruste, nuhkvara, keyloggerite vastu

Programmis on esindatud ka pilvepõhine otsing Cloud Scan, kui tuvastatakse enim kahtlust tekitavad või tundmatud failid, mida on siis võimalik saata otse läbi interneti tõrjeprogrammi andmebaasi serverisse, kus siis need omakorda üle kontrollitakse, et kas tegu on kuritahtliku või hea failiga. Kahtlust tekitavaid faile või kaustu on kasutajal võimalik ka hiirenoolega kinni hoides tõsta otse Cloud Security aknasse.

Viiruste, troojate, nuhkvara otsimine ja eemaldamine

Pahavaratõrje paigaldamisel lülitatakse automaatselt sisse viis reaalajakaitse mootorit, mis turvavad kasutaja arvutit internetis surfamisel, vestlusprogrammide teel suhtlemisel jne.

Privasy Guard kaitseb arvutit kahtlaste tegevuste eest ja volitamata juurdepääsu eest arvutisse.

Startup Guard peatab ebaturvalised pahatahtlikud tegevused, mis koos alglaadimisega käivituvad.

Process Guard tuvastab ja peatab kahtlustäratavad pahavaralised toimingud, mis võivad kasutada ka operatiivmälu (RAM).

Behavior Guard tuvastab ja blokeerib kuritahtlikud tegevused, mis nende käitumist analüüsides võiksid kuuluda pahavarale.

Files Guard monitoorib pidevalt reaalajas taustal ja püüab leida ning peatada teatud-tuntuid kuritahtlikke faile.

Tasuta reaalajakaitsega pahavaratõrje troojate, viiruste jne vastu

Funktsiooni Optimize eesmärgiks on kasutajatel tõsta oma arvuti töökiirust:

Arvutui kiiruse tõstmine, prahist puhastamine

System Optimize abil saab määrata linnukestega moodulid, mis aitavad arvutit puhastada sinna kogunenud rämpsust nagu ajutised ja hiljutised failid, vigased või ebavajalikud registrikirjed, internetis surfamise jäljed jne, kuid ka tõsta mälu kiirust ning defragmentida ketast või kettaid.

Arvutisüsteemi optimeerimine, kiirendamine

Programmi uuendatakse automaatselt värskete pahavaravastaste andmebaasidega, kuid seda saab teha ka käsitsi, kui valitakse sakk Update. Samuti saab ajatada pahavara otsimist kasutajale sobivale ajale (Scheduled Scan).

Tõrjeprogramm ühildub hästi kõigi viirusetõrjetega, kuigi just hiljuti oli sel raskusi koos ülipopulaarse ja väga hea Avast viirusetõrjega töötamisel. Praeguseks on väidetavalt need raskused ületatud.

Anvi Smart Defender review - Freeware anti-malware

Tänase päeva seisuga on Softpedia´s pahavaratõrjeprogrammi ja selle tööd hinnanud pea 5600 kasutajat ja keskmiseks tulemuseks on saadud Excellent ehk suurepärane, väga hea ja perfektne.

Kuigi Anvisoft Anvi Smart Defender kodulehel on palju ülistavaid sõnu tõrjeprogrammi kohta, kusjuures ka mainitakse, et ta on heaks alternatiiviks viirusetõrjele, ja ka Softpedia lehel liigitatakse see tõrjuja kategooria alla antivirus ehk viirusetõrje, siis ikkagi ei maksa arvata, et arvuti kaitseks piisab ainult antud programmist – spetsiaalne viirusetõrje olgu ikka kindlasti samuti arvutis olemas!

Freeware anti-virus, anti-trojan, anti-rootkit, anti-bot - all-in-one

Sellegipoolest peab arvestama, et igasse arvutisse ei pruugi see tõrje mingil põhjusel sobida. Heaks näiteks on minu enda kogemused selle programmiga töötamisel, kui tõenäoliselt sisselülitatud reaalajakaitsed muutsid mu arvuti väga aeglaseks. Kuid mul on rohkelt ka teisi tõrjeprogramme, millega ta ei pruukinud sobida ja mis hakkasid teineteist segama.

Hea on siiski see, kui enne programmi paigaldamist tehakse süsteemitaaste punkt , et võimalike probleemide korral saaks arvutisüsteemi taastada varasemase aega. Kuid süsteemiga mittesobivuse korral peaks piisama ka lihtsalt programmi eemaldamine (maha installeerimine) arvutist, nagu mina seda tegin.

Tõrjeprogramm sobib süsteemidele Windows XP / Vista / XP X64 / Vista64 /Windows  7 /Windows  7 x64

Ülevaatlik tutvustus programmist ja sellega töötamisest on alljärgnevas videos:

arvutiturve.wordpress.com

Mis on Bot ehk Interneti robot. Kuritahtlikud bot´id ja head tarkvararobotid.

Interneti robotidInterneti roboteid (internet bots) tuntakse ka nime all veebi robotid (web robots), WWW robotid või lühidalt nimetatult lihtsalt bots ehk robotid. Bot on tuletatud sõnast robot.

Bot on tarkvaraline rakendus, mis automatiseeritud protsessina toimib ja töötab vastavalt talle antud ülesannetele läbi võrguteenuste internetis. Bot eesmärgiks on simuleerida inimtegevust, pakkudes vahendajana teenuseid või teavet boti loonud autori(te)le. Bot täidab märksa keerukamaid ja aeganõudvamaid, kuid samas struktuurilt lihtsaid ning korduvaid ülesandeid, mida inimene üksinda ei suudaks teha.

Botte ehk roboteid saab kasutada nii headel kui halbadel eesmärkidel.

Internetis on kõige rohkem kasutust leidnud nn indekseerimiserobotid, mida IT žargoonis kutsutakse ka ämblikeks (spiders) või internetis roomajateks (crawlers). Nende ülesandeks on koguda automaatselt infot näiteks otsimootorite jaoks, monitoorides URL-e (veebilehe aadresse), kodulehti, blogisid, foorumeid, uudisteportaale jne, indekseerides nende sisu nagu pealkirju, teateid, pildinimetusi, tekstiosa – lauseid, lausepaare, märksõnu lausetes jne. Automatiseeritud skriptid leiavad, analüüsivad ja esitavad saadud informatsiooni interneti veebiserveritest mitmeid korda kiiremini kui inimene seda jõuaks teha. Üheks tuntuimaks otsingumootori jaoks info indekseerijaks on Googlebot.

Bot ja botnet, nakatumine botneti ehk robotvõrgustikku Pahatahtlik bot seevastu on automaatselt leviv õelvaraline robot, mis otsib internetist monitoorimise teel haavatavaid ja kaitsmata arvuteid või paigaldatakse turvavigadega veebilehtedele trooja, uss jne, millel viibides samuti nakatatakse arvutid märkamatult pahavarasse, saates sellest kohe automaatselt teate kuritegeliku bot´i loonud inimesele. Nakatatud arvuti abil saab küberkurjategija (botmaster) haarata kaugjuhtimise teel kogu kontrolli kasutaja arvuti üle ja vastavalt eesmärgile salvestada klahvivajutusi, koguda paroole või finantsteavet, teostada identiteedivargust, käivitada DDoS rünnakuid, saata rämpsposti või levitada kontrolli all olevast arvutist teistele kasutajatele edasi arvutiusse, viiruseid, troojaid jm pahavara.

Samuti püütakse nakatada nn zombie-arvuti abil servereid ja internetivõrku ühendatud teisi arvuteid, luues sellise rünnaku abil botnet-võrgustik.

Bot on tänapäeval üks kõige keerulisemaid ja raskemini avastatavaid kurivara liike.

Tuntuimateks botnet-võrgustikeks on Zeus, Conficker, Kneber ja hiljuti Apple Mac OS ohustanud Flashback trooja poolt loodud robot-võrgustik.

Loe ka lisaks Mis on Botnet ehk robotvõrgustik.

Peamised infoallikad:

http://en.wikipedia.org/wiki/Internet_bothttp://us.norton.com/cybercrime/bots.jsphttp://www.cisco.com/web/about/security/intelligence/virus-worm-diffs.html jpt.

arvutiturve.wordpress.com

Apple Mac arvutid on ohus – turvameetmed Apple MAC OS X arvutitele

Apple MAC OS X logo ja turvalisusAastaid on Apple omanikud arvanud, et Mac arvutid ei nakatu viirustesse, kuid see pole tõsi. Kui varasematel aastatel kasutati Mac arvutite nakatamiseks pahavarasse kavalaid nippe, näiteks meelitati kasutajat arvutisse laadima mingit põnevat programmi, mis sisaldas viirust, siis käesoleval aastal on hakatud ära kasutatama operatsioonisüsteemi turvaauke nagu ka Windows puhul. Sellistel puhkudel ei pruugi Apple Mac omanik arugi saada, kui arvuti on juba nakatunud pahavarasse.

Suuresti on selles süüdi kasutaja ise, kes petlikult arvab, et Apple Mac puhul ei pea kasutama viirusetõrjeid või teisi turvameetmeid, kuid oma süü on selles ka Apple Mac OS X arendajatel. Aastaid on Apple arendajad ise uhkusega kinnitanud, et nende opisüsteem on väga turvaline ja seetõttu on nad võimalikele ohtudele liialt vähe tähelepanu pööranud. Kuid paraku selline liigne enesekindlus võib juba praegu valusalt kätte maksta ja võib muuta Mac arvutid pahavara rünnakutele isegi kergemini haavatavateks kui teistele platvormidele.

Nüüd nende süü seisnebki selles, et nad on unarusse jätnud turvariskide analüüsi ja hooletult suhtunud ka Mac turvapaikade väljastamisse, ja seda isegi juhul, kui küberkurjategijate poolt on haavatuvused ründamiseks juba avastatud ning pahelisteks tegudeks kasutusse võetud.

Näiteks, kui juba kaks kuud tagasi avastati Flash trooja (Flashback trojan), mis nakatas märkamatult Java kaudu Mac arvuteid, siis turvapaik sai sellele valmis alles nüüd, 3.aprillil. Kuid selle aja jooksul on Flashback trooja nakatanud üle maalima kokku juba 600 000 Mac arvuti, kusjuures paar päeva tagasi leiti Venemaa turvafirma analüütiku Sorokin Ivan poolt uus variant Flashback troojast. 56,6 protsenti nakatunud Mac arvutitest asuvad USA-s,  19,8 protsenti  Kanadas ja 12,8 protsenti Ühendkuningriigis ja arvutite nakatumine jätkub suure hooga. Väidetavalt Eestis Apple Mac arvutid pole veel troojasse nakatunud, kuid sellegipoolest pidas Riigi infosüsteemi Amet (RIA) vajalikuks hoiatada kaasmaalasi Macidele suunatud Flashbacki-nimelisest viirusest.

Apple MAC OS X arvutite viirused ja kaitse

Kui aga kasutajate vigade juurde tagasi tulla, siis peamiseks arvutite ja operatsioonisüsteemide nakatumiste põhjuseks Apple MAC OS X ja ka Windows opisüsteemi puhul ongi just see põhjus, et umbes 90% kasutajatest lihtsalt ei viitsi tegeleda selliste tüütute asjadega nagu programmide ja rakenduste uuendamine – nii palju ju muud huvitavat saab selle asemel arvutis või internetis teha, et vaevata oma pead ja raisata oma aega mingitele „suvalistele“ turvavärskendustele. Kuid paraku neid turvapaiku pakutakse just selleks, et pahavara analüütikute poolt on turvaviga avastatud ja seda kasutatakse juba eelkaitsena pahavara vastu võitlemiseks ja sissetungi tõkestamiseks arvutisse.

Praktiliselt kõik turvaspetsialistid üle maailma kinnitavad, et terve MAC kogukond, kaasaaravatud Apple arendajad, on kinni oma kujutelmast Apple arvutite kindlusest viirustesse nakatumise vastu ja on halvasti ette valmistatud pahavara rünnakute vastu, mille heaks näiteks (tegelikult halvaks) oligi just viimane rünnak Apple vastu Java turvaviga kasutades. Turvaspetsialistid prognoosivad, et juba väga varsti tuleb valmis olla, kui Apple MAC OS nakatumisi viiakse läbi kas Adobe Flash Playerite, Adobe Reader– või miks ka mitte Skype turvavigade kaudu, kuna Apple arendajad pole selleks veel valmis ja mingeid ettevalmistusi teinud. Miks aga tänapäeval pööratakse suuremat rõhku ka Apple arvutite ründamisteks küberkurjategijate poolt, tuleneb sellest, et Apple arvuteid ostetakse aina rohkem ja on saamas arvestatavaks jõuks neile viiruste, troojate ja nuhkvara loomiseks, mille peamiseks eesmärgiks ongi just informatsiooni vargus pahavarasse nakatatud arvutitest.

Apple MAC OS X arvutite nakatumine toimub märkamatult, kui kasutaja, kelle arvutis on paikamata Java, külastab mõnda pahatahtlikku veebilehte. Nakatatud arvutist võidakse varastada kasutaja paroolid, kasutajanimed, kaaperdada pangakontosid, jälgida võrguliiklust, botnet abil kasutada arvutit rämpsposti levitamiseks jne. Troojalane võib haarata kogu kontrolli kasutaja arvuti üle, saab anda käske arvutile, faile arvutisse või arvutist välja laadida, programme käivitada jne.

Praegune Mac botnet ohustab Apple arvuteid paikamata Java turvavea kaudu ja kui viirus on arvutis koha leidnud, siis saadab ta viirusest koopiaid edasi teistele Mac arvutitele läbi serverite. Ohustatud on kõik Mac OS X arvutid kuni viimase väljalaskeni Lion (OS X 10.7). Vanemad Apple MAC arvutid on eriti haavatavad.

Apple MAC OS ja viirused

Apple Mac turvalisemaks muutmine

Java turvapaigad Apple MAC-ile võib leida siit Java for Mac OS X 10.5 Update 6, Java for Mac OS X 10.6 Update 7 and Java for OS X Lion 2012-001. Paraku allesavastatud Flashback uue variandi troojale turvapaika veel pole, aga ehk suur tähelepanu kogu maailmas Apple haavatuvusele kiirustab Apple meeskonda seekord kiiremini turvapaika leidma.

Turvakompanii F-Secure on esitanud nõuanded, kuidas diagnoosida ja lahendada probleemi, kui arvuti on juba nakatunud viirusesse, kuid hoiatab, et see võib tavakasutaja jaoks olla veidi keeruline.

Nõuandeid, kuidas MAC arvuteid saab turvalisemaks muuta, leiab Apple kodulehelt.

Flashback trooja eemaldamise vahend – Flashback Removal Tool.

RIA soovitab uue variandi viiruse puhuks, kuni sellele pole veel turvapaika välja pakutud, Java välja lülitada.

Apple arvutil Java välja lülitamine

Tasuta ja tasulised viirusetõrjed Apple Mac OS X arvutitele – erakasutuseks ja ettevõtetele leiab sellest artiklist.

Kasutatud allikad:

New Mac malware epidemic exploits weaknesses in Apple ecosystem, Over 600,000 Macs infected with Flashback Trojan, Half of 600,000 infected Macs are in the U.S., Flashback trojan reportedly controls half a million Macs and counting

arvutiturve.wordpress.com

Tasuta viirusetõrje, tulemüür ja spämmifilter kõik ühes – Outpost Security Suite

Outpost security suite freewareOutpost Security Suite Fee on tasuta erakasutuseks kõik-ühes tõrjevahendite komplekt, mis kätkeb endas viiruse- ja nuhkvaratõrjet, spämmifiltrit, ennetavat kaitset kurivara vastu ja eelkõige tulemüüri, mis on kuulsust saavutanud üle maa. Tulemüüri arendamisega alustati juba 10 aastat tagasi ja suurte kogemuste tõttu peeti seda siis ja peetakse ka paregu üheks parimaks tulemüüriks maailmas. Väidetavalt konkurentsi suudab neile antud hetkel pakkuda vaid Comodo tulemüür, ehkki ei saa ka sõnada, et mõni teine tulemüür neist palju halvem oleks.

Paigaldusfaili arvutisse saab tirida Outpost kodulehelt või alternatiivina Softpediast. Võrdluse tasulise versiooniga leiab siit.

Kolme päeva jooksul tuleb programm registreerida, et saada rakendusele vajalikke uuendusi pahavaravastaste signatuuride näol ja et programm saaks aktiveeritud terveks aastaks tasuta kasutamiseks. Seeriavõti saadetakse kasutaja e-mailile, kui täidetakse vajalikud lahtrid sellel lehel. (Registreerimine ja tutvustav ülevaade kõik-ühes tõrjeprogrammist on näidatud ka allolevas videos).

Tasuta tõrjeprogramm arvutile

Outpost security suite registreerimineSamas, kui programm peale taaskäivitust avaneb, võib taodelda tasuta litsentsi ka nii, kui vajutatakse lahtrile Register. Kui aga seeriakood on juba varem olemas, siis saab programmi registreerida vajutades lahtrile Enter key. Internet Security Suite sobib operatsioonisüsteemidele Windows 7, Vista, XP (multi-core, 32 bit ja 64 bit, valige õige paigaldusfail). Paigaldamisel tuleb arvestada, et programm ei sobi kokku teiste arvutisolevate viirusetõrjetega ega tulemüüriga, seega peaks need eelnevalt maha installeerima.

Tulemüür ja viirusetõrjeProgrammis on vaikimisi sedaded on hästi paika seatud, muutma eriti midagi ei pea. Kui siis alguses mõne rakenduse puhul küsitakse luba, kas see läbi lubada või mitte. Põhimõtteliselt toimib hästi Auto-Learn ehk programmi iseõppimise meetod, mis näitab vaid hoiatusi mõne programmi aktiivse tegevuse kohta.

Tasuta programmi puhul tuleb arvestada, et värskendusi programmile tõrje-signatuuride näol saab vaid üks kord päevas. Käsitsi uuendamiseks valige programmi peaaknast kas Update või Malware database real Fix it now…

Mõned iseloomustused tõrjuja kohta:

  • Firewall ehk kahesuunaline tulemüür kontrollib sissetulevat ja väljaminevat liiklust, peatab kräkkerite sissetungikatsed ja volitamata juurdepääsu võrgule.

Viirusetõrje ja nuhkvaratõrje ja tulemüür

  • Anti-Virus (viirusetõrje ja nuhkvaratõrje) avastab, blokeerib ja eemaldab kõikvõimaliku kurivara alates viirustest kuni väiksemate närvidelekäivatele pahatahtlike tegelasteni nagu reklaamvara jne.
  • Anti-Leak jälgib arvutis olevate programmide käitumist, kaitstes ennetavalt nende võimalikku lubamatut tegevust – blokeerib troojate, nuhkvara või teiste pahatahtlike protsesside poolt süsteemi ohustamist või andmete vargust ja lekkimist arvutist internetti, mis tõenäoliselt saadetaks otse küberkurjategijatele.
  • Reaalajas taustal töötav pahavaraskänner tuvastab ja eemaldab letud viirused, troojad, nuhkvara ja muu pahatahtliku tarkvara automaatselt, lisades need koheselt karantiini. Taustaskannerimine kasutab SmartScan tehnoloogiat, mis jätab meelde juba läbikammitud failid ja järgmisel korral samade failideni jõudes kontrollib, et nende struktuur poleks muutunud ehk siis pahavaraline protsess poleks neid muutnud.
  • Programmi saab ka manuaalselt lülitada arvutist pahavara otsima, kui valitakse Scan for Malware ja Start system scan. Valida on kiire meetodi (Quick system scan), põhjaliku- (Full system scan) ja valikulise meetodi (Custom scan), kui kasutaja ise valib kettad, kaustad või failid, mida lasta üle kontrollida kurivara suhtes.

Free anti-spyware, anti-vieus, anti-spam

  • Anti-spam ehk rämpsposti kaitse aitab postkasti puhtana hoida soovimatutust spämmikirjadest.

Tõrjeprogramm kasutab tugevat enesekaitse tehnoloogiat, mis ei luba pahavaral seda välja lülitada või mingil muul moel haavata, et arvuti jääks kaitseta.

Tasuta kõik-ühes tõrjeprogrammi tutvustav video:

Nagu videost näha, peavad Softpedia´sse oma arvamuse postitanud kasutajad seda kõik-ühes tõrjeprogrammi väga heaks. Kui mina seda oma arvutis katsetasin, jäin samuti selle tööga rahule – ei võtnud palju ressursse, arvutitöö oli sujuv ja kiire, ning arvatavalt oli ka avutil võimas kaitsekilp reaalajas toimimas. Siiski on mul vanast harjumusest edasi peal tasuta viirusetõrje AVAST! Antivirus Free, tasuta tulemüür Comodo Firewall ja tasuta nuhkvaratõrje Spybot – Search & Destroy.

arvutiturve.wordpress.com

Botnet-võrgustike avastajad

botnet vatu kaitseBotnettide ohtlikkusest olen kirjutanud juba mitmes artiklis: Küberkuritegevuse tippklass – botnet Zeus, Kneber – kuritegelik botnet-võrgustik ja Nuhtlus nimega Conficker. Paraku aga kõigis nendes artiklites olen maininud, et botnete on väga raske avastada nii kasutajal endal kui ka viirusetõrjetel. Olgugi, et viirusteanalüüsijad teevad nende avastamiseks tublit tööd, kulub neil siiski sageli mitu kuud, kuni nad suudavad salajase ja hästi peidetud võrgustiku avastada, et selle vastu signatuur tõrjeprogrammide andmebaasidesse lisada.

Arvuteid, mis on üle maailma kasutaja teadmata liidetud, botnet-võrgustikku arvatakse olevat kümneid miljoneid. Ka Eestis on korduvalt avastatud erinevaid botnet-troojate versioone, kinnitab CERT Eesti infoturbe ekspert Anto Veldre, ent õnneks on nakatumisprotsent küllaltki väikseks jäänud. Ent kuna mitte kunagi ei liideta kasutajate arvuteid botneti liikmeks suure kisa ja käraga, vaid täiesti vaikselt ja märkamatult väiksematki kahtlust äratamata, siis lisaks tavalistele tõrjevahenditele võiks alati käepärast olla ka spetsiaalsed tööriistad, mis püüavad ennetavalt hoida süsteeme nakatumiste eest.

RUBotted

RUBotted on tasuta tööriist, mis töötab reaalajas taustal jälgides arvutisüsteemis toimuvaid kahtlaseid tegevusi ja püüab tuvastada protsesse, mis võivad viidata botnet olemasolule. See kontrollib ka ineternetiliiklust ning püüab avastada käske, mis võidakse saata kaugemal asuvast botnet juhtimis-ja kontrollkeskusest nakatunud arvutile täitmiseks. Kui RUBotted avastab tõenäolise infektsiooni, annab ta sellest märku tegumireal oleva ikooni abil ning soovitab koheselt arvuti üle skanneerida erinevate tõrjeprogrammidega.

Installeerimine on väga lihtne, tuleb vaid nõustuda tingimustega ja Next abil edasi minna, kuni programm on paigaldatud. Sobib süsteemidele: Windows 2000, XP Pro ja Home, Windows 2003 Server, Vista 32-bit versioon.

botnet avastaja

ZRemover

Zeus Trojan Remover on spetsiaalne vahend tuvastamaks ja eemaldamaks süsteemist kõiki senituntuid variante maailma ohtlikkumast troojalasest Zeus. Kui utiliit avastab mingist failist nakkuse, eemaldatakse see püsivalt kõvakettalt. Kuna  tavaliselt muudab nakkus \Winlogon\Userinit võtmeid, siis  eemaldamisel taastatakse nende võtme vaikeväärtused.

Kodulehelt tiritud arhiivifail tuleb avada eraldi kausta ja seejärel klikata failil Zremover.exe. Skanneerimine möödub imekiirelt ja kui nakkust ei avastata, siis sellest märku ei anta vaid kuvatakse lihtsalt kiri Done scanning.

Utiliit sobib kõikidele 32-bitistele Windows süsteemidele ja tegu on portatiivse- ehk kaasaskantava tõrjevahendiga.

zeus botnet trooja eemaldaja

Avaldan siin ka kommentaarid Arvutikaitse.ee postitustest, kus olen juba varem selle loo avaldanud:

G. Küsib:

Kuidas on lood 64-bitise Windows 7-ga?
Kas 64-bitise Windows 7-ga ei ole vaja neid programme kasutada? Need ei sobi 64-bit Win7-le? On vaja mõnda teist programmi?

Ma ei saa nüüd aru, et kas see on hea või halb, et siin 64-bitist Win 7 ei mainita. Mõtteise tekivad kaks varianti: a) 64-bit Win 7 jaoks ei olegi kaitset; b) 64-bit Win 7 on juba piiavalt turvaline ja botneti pärast muretseda pole vaja.

Priit Aasmäe vastab:

Kui rääkida 64-bitistest opisüsteemidest, siis tõepoolest sobitatakse nende süsteemidega tööle tunduvalt vähem programme kui 32-bitiste masinatega.

Kuna uusim versioon Zeus troojast võib valimatult nakatada kõiki Win versioone, kaasaarvatud ka Win 7-t, siis loomulikult on ka sellele kaitset vaja.

BotHunter – http://www.bothunter.net/download.htmlsobib ka Win 7 64-bitisele süsteemile. Ja mitte ainult, kopeerin siia kõik sobilikud süsteemid:

Linux: tested on Fedora, Red Hat Enterprise Linux, Debian, Ubuntu, CentOS, and SuSE distributions

FreeBSD: tested on Product Release 7.2

Mac OS X: tested on Panther, Tiger, Leopard, and Snow Leopard (Mac OS 10.3-10.6)

Windows: tested on Windows 7 / Vista / XP / 2003 Server (32-bit and 64-bit)

Programmi saamiseks tuleb registreeruda, misjärel saadetakse e-mailile allalaadimislink.

kas arvuti ei ole botneti liigeInstalleerimisjuhised asuvad siin http://www.bothunter.net/docs.html

kuidas avastada botnet

Tekkinud küsimustele saab vastuse siithttp://www.bothunter.net/faq.html

Kasutamisjuhend asub siin – http://www.bothunter.net/OnlinePDF.html või rohkemate piltidega siin – http://www.bothunter.net/doc/gui.html

botnet hävitaja


Küberkuritegevuse tippsklass maailmas – botnet Zeus

botnet zeusNB! Artikli olen juba varem avaldanud Arvutikaitse.ee-s, juurde on vaid lisatud videoklipp kurivara tööriistast Zeus konstruktorist.

Kui Conficker välja arvata, siis viimasel paaril aastal on enim kõneainet pakkunud kurivara, mida kutsutakse botnettide kuningaks Zeus. Hetkel peetakse seda maailma ohtlikkumaks troojalaseks, mille uute variantide vastu on võimetud isegi viirusetõrjevahendid. Kaks aastat järjest on see kohutanud finantsmaailma ja pangandust, varastades kümneid miljoneid dollareid arvutikasutajate raha.

Trusteer.com turvaspetsialist Amit Klein on teatanud, et Zeus viimane täiustatud variant kasutab iseenda peitmis- ja teisendamistüüpe, samuti kernel tasandi rootkit-tehnoloogiat, mis teeb ta veelgi raskemini avastatavaks misiganes tõrjevahenditele. Tema sõnul on ohustatud kõik Windows opisüsteemid ja peamiselt just need arvutikasutajad, kes teevad oma online rahaülekandeid veebilehitsejate Mozilla Firefox ja Internet Explorer vahendusel. Turvafirma spetsialistid on tähenldanud, et hetkel kasvab arvutite pahavarasse nakatumine kiiremini kui kunagi varem.

Ajalugu

Trooja Zeus, mida tuntakse ka paljude teiste erinevate nimede all Zbot, PRG, NTOS, Wsnpoem, Gorhax – on olnud aktiivne juba aastast 2007, kui esimestest avastatud rünnakutest teatasid  Reuters ja SecureWorks. Esimene tõrjespetsialistide poolt tuvastatud rünnak toimus juulis 2007, mil püüti varastada privaatseid andmeid mitmetest tuntud Ameerika Ühendriikide suurfirmadest (näiteks Hewlett- Packard Co), kusjuures ohvriks langes isegi USA Transpordiministeerium. Juba septembris –detsembris 2007 avastati uus tõrjevahendite eest peitu jäänud pangandustroojal Zeus põhinev botnet-võrgustik, mis ohustas paljusid juhtivaid suurpanku USA-s, Suurbritannias, Hispaanias ja Itaalias.

Aastal 2008 pakuti paketti juba müügiks või rentimiseks nn kõik-ühes-serveriteenusega koos sisseehitatud administraatori paneeliga ja ründetööriistadega, mis võimaldas rentijal luua iseenda isiklik botnetvõrgustik kuridegude kordasaatmiseks.

Juunis 2009 näitasid kräkkerid üles erilist jultumust, kui turvafirma Prevx  andmetel ohustas Zeus 74 000 FTP kontodele sisselogimisandmeid, näiteks Disney.com, Bloomberg.com, BusinessWeek.com, Discovery.com, Amazon.com kontosid  ja suhteliselt traagilises mõttes ka selliseid kontoomanikke, mis  ei tohiks sellesse nimekirja  iialgi sattuda  – NASA.com, BankofAmerica.com, Oracle.com, Symantec.com, McAfee.com, Cisco.com ja  Kaspersky.com.

2009 aasta oktoobris-novembris toimusid rünnakud sotsiaalvõrgustike Facebook ja MySpace kasutajate vastu, kutsudes neid klikkima linkidel, mille läbi nakatati arvuti botnetti.

kuidas eemaldada botnet võrgustikku zeus

Aruanded

Trusteer 2009 septembri aruande järgi oli ainuüksi USA-s nakatanud 3,6 miljonit arvutit, kuid uurimustöö põhjal arvatakse, et tegelikku nakatumiste arvu võib pidada paljudes kordades suuremaks. Irooniline on veel see, et analüüsi järgi olid tervelt 55% protsenti botnetti nakatunud arvutitest viirusetõrjetega kaitstud, kusjuures need olid uuendatud ka viimaste tõrjesignatuuridega.

Ka turvafirma Prevx möönab, et botnetti nakatunud arvutite hulka ei oska keegi  täpselt prognoosida, võidakse ainult tõdeda, et see ulatub miljonitesse arvutitesse üle maailma.  Kui firma jälgis kuue nädala jooksul infektsioonide levikut, siis jõudis see nakatada 20 000 uut arvutit päevas. Tõrjespetsialistidele on selgeks saanud ka  Zeus trooja looja(te) kavalus – selleks ajaks, kui turvaanalüütikud jõuavad selle identifitseerida ja luua vastumeetmeid kurivara kahjustamiseks, on kräkkeri(te) poolt valmistatud juba uusim versioon pahavarast, mis jätkab edasist takistamatut tegevust.

Zeus on pangandus-trooja, mis eeldatavasti pärineb Venemaalt või vähemalt vene keelt kõnelevatest Ida-Euroopa riikidest.  Symantec.com andmetel on paketis mitmed failid, kaasaarvatud Help-abifailid, kirjutatud just vene keeles. Viimase aasta jooksul on paketti pidevalt uuendatud ja täiustatud selle looja või loojate poolt. Siiamaani ei teata kindlalt, kas selle ohtliku, samuti ülimalt professionaalse ja unikaalse tööriisakomplekti loojaks on üksikisik või kuritegelik rühmitus, kuigi viimaste andmete põhjal arvatakse selleks siiski olevat üksikisik. Zeus pahavarapakett on tänaseks saanud küberkurjategijate seas ülimalt populaarseks ning seda kasutatakse enim finantskuritegude kordasaatmisel.

Zeus paketti, mis kannab nime Zeus Builder (ehitaja -konstruktor), müüakse erinevates häkkerite kogunemislehtedel, -foorumites- ja jututubades olenevalt versioonist hinnaga 700 – 4000 dollarit tükk. Zeus Builder on lihtsalt üks väikesemahuline tööriistakomplekt, mille abil on erinevad küberkurjategijad loonud erinevaid botnette, nii väiksemaid kui suuremaid. Näiteks ka Kneber botnet, millest olen  kirjutanud artiklis Kneber– kuritegelik botnet-võrgustik, on loodud tegelikult  troojalase Zeus baasil.

hacking tools

Zeus viimaseid versioone ei pakuta ainult ühese paketina vaid juurde on võimalik osta ka lisamooduleid. Näiteks Windows 7/Vista toetuse puhul tuleb küberkurjategijatel lisaks letile laduda 2000 dollarit, aga kui nad aga soovivad osta lisamoodulina ka täielikult toimiva virtuaalühenduse (VNC-  Virtual Network Computing moodul), mille abil saavad nad võtta kogu kontrolli nakatunud arvuti üle, maksab see lisatasuna “kõigest” 10 000 dollarit veel.

Muuseas, viimase versiooni puhul on turvaspetsialistid täheldanud esmakordselt maailmas ainulaadset kuritegeliku tööriista  kaitsmise meetodit – autor kaitseb oma “suurteost” Zeus Builder´it riistvaralise litsenseerimise süsteemiga, mis tähendab, et paketti saab jooksutada vaid ainult ühes süsteemis kindla võtme olemasolul. See näitab väga selgelt, kui kõrgelt hindab pahavara looja oma tööd. Selle tööriista järjepidev täiustamine aga annab aimu, et nõudlus selle järele kurjategijate seas on suur ja oht Zeusi nakatuda tulevikus võib muutuda veelgi aktuaalsemaks kui praegu. Täpsemalt kõigest sellest kui ka Zeus Builder uusimast versioonist, millesse on lisatud veelgi surmavamaid funktsioone, saab lugeda Secureworks artiklist või Networkworld loost.

Nakatumise põhimõtted

Zeus on loodud varastama kasutajate kõikvõimalikke privaatseid andmeid finantspettuste kordasaatmiseks. Sellisteks andmeteks ei pruugi alati esmajärjekorras olla ainult pankade ja e-poodide kasutajatunnused ja paroolid vaid ka kõikvõimalike sotsiaalsete võrgustike (Facebook, MySpace jne) kontoandmed ja FTP ning e-mailide logimisandmed, mille abil saadakse hiljem, kui kasutaja arvuti on liidetud botnet-võrku, niikuinii ligipääs pangakontodele. Loomulikult võimaldab see ka saadud kontode abil nakatada uusi kasutajaid botnet võrgustikku, saates kontoomaniku nimel tema nimekirjas olevatele tuttavatele ja sõpradele justkui süütuid linke neile klikkimiseks.

Peamiselt levitataksegi troojat e-mailidega, millesse on manustatud fail avamiseks või lisatud link sellele klikkimiseks. Näiteks teatakse, et keegi hea inimene on saatnud imeilusailusa tervituskaardi, mida saab imetleda lingile klikates. Või teatatakse justkui mõne sotsiaalse võrgustiku poolt või isegi Microsofti poolt, et näiteks Facebook kasutajaandmeid tuleb kirja manustatud ankeedil uuendada või on Microsoftil pakkuda mõni kriitiline turvavärskendus, mis tuleb lingi abil kohe arvutisse installeerida. Lingile klikates aga suunatakse õgnitsemissaidile, mis nakatab märkamatult arvuti. Paraku ka hiljem ei suuda kasutaja aru saada, et arvuti on juba botneti liikmeks määratud.

Samamoodi võib seda arvutisse laadida drive-by allaladimiste teel veebilehtedel, mis tähendab , et kasutaja kaudselt justkui kinnitab oma nõusolekut millegi allalaadimiseks, kuid ei saa aru tagajärgedest ja allalaadimine toimub tema teadmata. Näiteks kasutaja püüab veebilehel sulgeda häirivat hüpikakent, aga seoses sellega paigaldatakse kasutaja teadmata arvutisse pahavara. Sageli on see seotud võlts-programmide pakkumistega veebilehtedel  või mõne põneva reklaamkirjaga, mis viitab sellele klikkama.

Trooja suudab kräkkeri kaasabil süstida veebilehtedele ka uusi väljasid ja lahtreid, mis nõuavad kasutajatelt rohkemate privaatsete andmete sisestamist kui tavaliselt ja mis loomulikult saadetakse reaalajas just kurjategijale.

salasõnade varastamine

Kui arvuti on saanud botneti kliikmeks, siis luuakse tagauks ehk backdoor, mille kaudu edastatakse häkkerile veebilehel tehtavaid toiminguid – klahvinuhi abil salvestatud kasutajanimed ja paroolid või ekraamipildid sisestatud koodidest. Zeus trooja nakatumise puhul ei ole oluline, kas kasutaja on arvutis administraatori õigustes või mitte.

Veel mõned huvitavad aspektid

Huvitavaks teeb Zeus paketi puhul asjaolu, et häkker, kes seda kasutab, saab vajadusel lisakäskude abil kas ühte botneti liiget või tervet botnetti juhtida kontrollserverist oma tahtmise järgi. Näiteks huvitavamateks käskudeks on arvuti sulgemine või taaskäivitusele saatmine, muuta veebilehitseja kodulehte, laadida arvutisse faile, kaustu ja pahavaralisi programme, varastada digisertifikaate, muuta ja modifitseerida  arvutis olevaid faile ja regirtivõtmeid (%systemroot%\system32\drivers\etc\hosts).

Aga veelgi põnevam käsk, mis on pahavara analüüsijad  sügavalt mõtlema pannud, et milleks seda vaja on– on enesehävitamise käsk KOS (kill operating system). See võimaldab kräkkeril kaugjuhtimise teel kustutada olulisi süsteemifaile, mille tulemusel ei laadi opisüsteem enam üles ja sageli peale seda tuleb kasutajal  uus süsteem asemele installeerida. Mõningad arvamused siiski on – võimaliku vahelejäämise kartuses püütakse peita kõik jäljed, et edasine analüüs muutuks raskemaks. Samuti võib tegu olla kavalusega – arvuti rikkumisega püüab kräkker aega võita, et teostada kuritegelikke rahaülekandeid, ilma, et kasutajal oleks pääsu internetti, et kahtlaseid tehinguid juhuslikult märgata. Näiteks aprillis 2009 hakkas  abuse.ch analüütik Roman Hüssy jälgima ühte Zeus kontrollserverit, mille botnetvõrgustikku oli ühendatud 100 000 nakatunud süsteemi, kui ta üllatusega märkas, et kontrollserver andis käsu KOS – 100 000 arvutisüsteemi surmati peaaegu üheaegselt.

Kuidas arvutit kaitsta

Ehkki https://zeustracker.abuse.ch/ andmetel on viirusetõrjetel botnettide avastamise määr kõigest 47,11% (1.mai 2010 andmetel ) ja uusima Zeus Builder tööriistad teevad avastamise veelgi raskemaks, siis ikkagi tuleb järjepidevalt värskendada viiruse-ja nuhkvaratõrjeid viimaste signatuuridega. Kindlasti tuleb uuendada ka operatsioonisüsteemi viimaste turvapaikadega ning ka arvutisolevat tarkvara tuleb uuendada viimaste versioonide vastu.

Kindlasti ei tohi avada kahtlaseid e-maili manuseid ega klikkida igal lingil, mis nendes pakutakse. Sotsiaalsetes suhtlusvõrgustikes nagu Facebookis jne ning veebilehtedel surfates ei ole vaja klikkida igale reklaamaknakesele ega laadida arvutisse kahtlaseid faile.

Töökohtades online pangatehinguid sooritades püüa seda teha alati arvutis, mis ei ole üldkasutuses. Mõned pessimistlikumad turvaspetsialistid soovitavad firmadel kaaluda isegi alternatiivsete opisüsteemide kasutuselevõttu just nimelt ja ainult pangatehingute tegemiseks ning eriti tähtsa info hoidmiseks, ent minu arvates on see liiast, ehkki tuleb tunnistada, et nutikas pakkumine. Seda enam, et väidetavalt suudab Zeus troojalane vahetult enne krüpteerimist teha andmetest koopiad, kuni need saadetakse läbi turvalise SSL-ühenduse teele.

PS. Päris huvitav video kurivara tööriistast Zeus konstruktorist:

%d bloggers like this: