Facebook´is levib (rämpsposti) trooja nimega Üllatus

Nädal tagasi hoiatas tuntud Emsisoft tõrjetarkvara arendav firma Facebook´is üsna kiiresti levima hakanud troojast, mis lingile klõpsates installeerub märkamatult kasutaja arvutisse, muutes selle spämmi tootvaks ja seda edasi levitavaks masinaks.

Arvuti nakatamine toimub nii: Kasutaja Facebook kontole saadetakse järgmise sisuga teade – “Mul on sulle üllatus http://www.nyhely……….blogspot.com.”

Lingil klõpsates viib see ühele Blogspot kontole, mis omakorda suunab pahaaimamatu kasutaja edasi aadressile hxxp://facebook-surprise-kjeg.tk/. Ehkki see aadress viitab Facebook originaal lehele, ka välimus on sama, on see siiski vaid osavalt järgi tehtud võltsing.

Lehe võltsimisega originaalsaidi sarnaseks on püüdnud selle autor, kasutades sotsiaalse mõjutamise võtteid ehk siis inimestega manipuleerimist pettuse abil, uinutada kasutajate tähelepanu ja tekitada neis (võlts) turvatunde.

Sellel lehel hiirega klõpsides kuvatakse vaikimisi pildiikoon nimega “surprise.exe” (hxxp://facebook-surprise-kjeg.tk/surprise.exe).

Kui kasutaja sellel omakorda klõpsab, kuvatakse täiesti tavaline pilt kingitusepakiga.

Kuid samal ajal, ilma et keegi sellest aru saaks, nakatatakse kasutaja arvuti troojaga, mis lisaks kõigele muule (häired arvutitöös jne.) muudab selle ka spämmi tootvaks- ja seda edasi levitavaks masinaks.

Lisaks veel sellele, kui fail  „surprise.exe“ on kord juba avatud, siis ta hakkab jälgima arvutikasutaja kõiki tegemisi arvutis,  süstides oma kuritahtliku koodi ka veebibrauseritesse nagu näiteks Internet Explorer või Mozilla Firefox. Kui aga kasutaja püüab oma Facebooki kontole sisse logida, siis pahavara salvestab ta kasutajanime ja salasõna, et nende abil siis saata spämme igale arvutikasutaja kontol olevale sõbrale edasi.

Siin on pahatahtlike saitide nimekiri, mis varjatult nakatavad kasutajate arvuteid troojasse (palun ärge püüdke neid avada, sest mõned lingid võivad olla veel aktiivsed).

* hxxp://ebyqerapinylyrato.blogspot.com  * hxxp://udenaqylinabig.blogspot.com  * hxxp://kuopyqupisee.blogspot.com  * hxxp://sebafelumunynuly.blogspot.com  * hxxp://sypupolufoigirisyc.blogspot.com  * hxxp://ogyohanofaeqis.blogspot.com  * hxxp://juyeliadileqaq.blogspot.com  * hxxp://gyseuodysecu.blogspot.com  * hxxp://pucoriiukiylyfo.blogspot.com  * hxxp://yycugecuisehe.blogspot.com  * hxxp://nyhelyofedoerej.blogspot.com  * hxxp://teejoubiimanuh.blogspot.com  * hxxp://timeteobyqufousy.blogspot.com  * hxxp://ooapetyuqatoda.blogspot.com  * hxxp://okojylimukikap.blogspot.com * hxxp://milurudutyfebusab.blogspot.com

Emisoft on tuvastanud selle pahavara nimega Trojan-Downloader.Win32.FraudLoad!IK ja hoiatab üleüldiselt: Olge alati tähelepanelikud ja ettevaatlikud selles suhtes, mida te oma arvutisse vastu võtate.

Suurt tähelepanu tuleb pöörata ka Emsisoft blogipostituse Warning: Surprise spam trojan on Facebook esimesele mõtlemapanevale lõigule, mis tõlkes kõlab sellisena: „Kas olete kunagi saanud oma Facebook’i sõpradelt teateid, mis kutsuvad teid külastama ja vaatama mingit saiti ja millele on lisatud põnevusttekitav lause nagu näiteks:“Hei, vaata seda, see on nii lahe“? Enamikel juhtudel teate saaja teebki seda , eriti veel kui teate saatis üks teie parimatest sõpradest, keda te täielikult usaldate….“

Mida teha, kui kasutaja on pahaaimamatult viibinud taolistel võlts-lehtedel?

Tänaseks on enamustel viirusetõrjetel sellele troojale vastukood andmebaasides olemas – skanneerige oma arvuti kindlasti kohe üle!

Samuti, enamuse viirusetõrjete veebis surfamise  reaalajakaitsed (kui need on viirusetõrjes esindatud nagu AVAST! Antivirus 5 Free-l) tuvastavad pahatahtlikud saidid.

Samuti tuvastavad kuritegelike kavatsustega veebilehed brauserite turvapluginad. Mõnedest neist on juttu artiklis Kuidas turvaliselt e-posti lugeda.

Kindlasti muutke ära oma Facebook konto sisselogimise andmed, sest need on nii või teisiti küberkurjategijatel juba olemas. Muide, soovitav on ilma selletagi aega-ajalt oma kontode paroole ja kasutajanimesid muuta.

Kui antud trooja levik saab takistatud, siis ega see küberkurjategijaid heiduta. Tavaliselt on nii, et varsti luuakse kas sellel samal troojal põhinev modikatsioon või koostatakse täiesti uus trooja, mis hakkab uuesti samamoodi kasutajaid kimbutama. Kuna esimestel päevadel pole viirusetõrjetel nende vastu kaitset, siis kindlasti keegi jälle satub nende ohvriks. Olge tähelepanelik kõigi linkide suhtes, mida teile saadetakse!

PS. Hiljuti teatas Erika Kõik-ühes meedia player filmide ja muusika esitamiseks arvutis – DAPlayer Free kommetaarides, et ta arvuti on hakanud restarte tegema. Erika tiris playeri arvutisse 20. jaanuar ja vaid mõned päevad varem nähti esimesi märke eelnimetatud troojast. Samuti, varsti pärast seda püüdis mu blogi spämmifilter Erika kommentaari spämmifiltrisse kinni,  justkui oleks see rämpspost, mida see aga ei olnud. Kuid see näitab, et spämmifilter Akismet võis ikkagi kahtlustada tema arvutist spämmi saatmist. Erikal on konto Facebook´is.

Kuid kõige sellega ei taha ma sugugi süüdistada Erikat ega ütelda, et just nii oligi. See on vaid minu arvamus, kuidas võis olla. Kõik see võis olla tegelikult vaid kokkusattumus, kui mõlemad asjad juhtusid korraga toimuma valel ajal ja vales kohas. 🙂 Kusjuures on ka tõenäoline, et Erika arvutisse lihtsalt see player ei sobinud – Milline on parim programm.

Tuleb vaid meelde jätta, et varjatud troojatesse ei või arvuti nakatuda ainult Facebook´i saadetud linkidel klõpsates vaid ka e-posti teel saadetud linkidele vajutades või niisama internetis surfates kas välismaistel või ka eestimaistel lehtedel kolades, millesse on kräkkerite poolt süstitud pahatahtlik kood.

PPS: Suured tänud inglise filoloog Kersti Aasmäe´le, kes aitas mul Emsisoft hoiatavat blogipostitust tõlkida! 🙂

Mis on Võlts-turvaprogrammid ehk Rogue Security Software

Petis-, kelm-  või võlts-tõrjeprogrammid ehk Rogue Security Software on tarkvaralised rakendused, mis turvalisuse seisukohast näivad olevat kasulikud, kuid tegelikult vaid simuleerivad pahavara eemaldamist ning ei paku üldse kaitset. Need kuvavad ekslikke hoiatusi ja teateid, millega hirmutatakse kasutajaid, et nende arvuti on nakatunud ohtlikusse pahavarasse ning sellega püütakse meelitada antud programmi ostma. Vahetevahel nimetatakse taolisi võlts-tõrjeprogramme ka paanikatarkvarakas ehk scareware´ks.

Võlts-turvaprogrammide nimed sarnanevad sageli tuntud tõrjeprogrammide nimedega, püüdes sellega eksitada kasutajaid programmi arvutisse paigaldama. Sisusuliselt on nende puhul siiski tegu pahavaraga, mille eesmärgiks on varastada kasutajate raha ja privaatset infot või paigaldada selle abil süsteemi teisi kuritahtlikke rakendusi, mis kahjustavad ja aeglustavad arvutitööd või avavad isegi varjatud tagauksi (backdoor) uuteks kuritahtlikeks tegevusteks.  Samuti võivad nad keelata Windows Update värskenduste saamise, rikkuda Windows rakendusi, sulgeda ehtsate tõrjeprogrammide töö või takistada ligipääsu mõnele aktuaalsele veebisaidile nagu näiteks tõrjeprogrammide kodulehtedele.

Kui veebibrauserid on turvaliseks seadmata ja ei kasutata turvapluginaid nagu WOT – Your Safer Web, McAfee SiteAdvisor, Finjan SecureBrowsing, Prevx SafeOnline, Netcraft Anti Phishing Toolbar jne, võidakse pahatahtlikel veebiehtedel sageli kuvada hoatavaid hüpikaknaid, mis teatavad, et arvutisüsteem on ohustatud ja vajab kiiret puhastamist. Tavaliselt on nii, et kui sellisel hüpikakna reklaamil klikata ükskõik millisele nupule, näiteks soovitakse seda ristist kinni panna, alustab see siiski koheselt pahalaste arvutisse allalaadimist.

Samuti võidakse e-kirjades pakkuda linke „suurepärase“ tõrjeprogrammi tirimiseks või pakutakse neid kirjamanustena avamiseks. Võlts-programmid võivad arvuti nakatada troojate või nuhkvaraga pahatahtlikelt saitidelt justkui süütut multimeedia koodekit-, ekraanisäästjat-(screensaver) või isegi tavalist pilti alla laadides, tihti võib neid saada ka peer-to-peer (P2P) failijagamisprogrammide vahendusel.

Väga tihti satub pahavaraline võlts-turvaprogramm kasutaja arvutisse kasutaja enda teadmatusest, kui ta tuttavatelt ja sõpradelt nõu küsimata otsib internetiotsingute kaudu omale väärt tõrjeprogramme ja laadib need pahaaimamatult arvutisse täiesti suvaliselt lehelt, kontrollimata nii lehte ennast kui ka programmi. Kuna ka programmil on kõlavalt ilus nimi ja selle reklaamtekst lubab arvutis lausa imesid korda saata, või sarnaneb see programmi nimi juba teada/tuntud tõrjeprogrammi nimega, nakatabki nii kogenematu kasutaja oma arvuti teadmatult.

Enne kui laaditakse kasutajale veel tundmatu, ent meelitavalt hea nimega turvaprogramm arvutisse, tasub otsida selle programmi kohta infot netist ja kindlasti kontrollida alljärgnevatelt lehtedelt, kas seda pole seal pahatahtlikena juba nimetatud:

http://www.lavasoft.com/mylavasoft/rogues/latest – üks paremaid ja informatiivsemaid lehti petturprogrammide tuvastamiseks.

http://en.wikipedia.org/wiki/Rogue_security_software – kerides veidi allapoole leiab nimekirja võltsprogrammidest (Partial list of rogue security software)

http://roguedatabase.net/RogueDL.php# – võltsprogrammide nimekiri, mida pidevalt uuendatakse

http://www.freepcsecurity.co.uk/2009/01/16/list-of-known-malicious-sites-rogue-software/ – lisaks pahatahtlike programmide nimekirjale leiab siit ka veebilehtede nimed, mida tuleks vältida.

http://rogueantispyware.blogspot.com/ –  Sunbelt Rogue  Antispyware blog – kõige parem on otsida võimalikke võlts- tõrjeprogramme, kui leida blogi paremast reast Archive ja vajutada vastavatele kuupäevadele.

PS. Paljud välismaised saidid soovitavad järjekindlalt siiamaani otsida pahavaraprogramme veebilehelt nimega Spywarewarrior.com. Mina seda ei soovita või vähemalt ei soovita uskuda kõike seda, mis seal kirjas on. Spywarewarrior lehte on viimati uuendatud 4.mail 2007, seega pole seal kõik enam kuld, mis hiilgab.

Viimati toimetatud 9. mai 2010.a.

Mis on Paanikatarkvara ehk Scareware

Scareware ehk Paanikatarkvara (mõnikord nimetatakse ka hirmutamistarkvara, hirmutamisvara, hirmuvara) on pahavara liik, mille paigaldamisel arvutisse hakkab see hirmutavalt kasutajat hoiatama, et arvutis on midagi väga korrast ära. Võlts-registripuhastusprogrammid võivad hirmutada, et süsteemifailid on rikutud ja arvuti ei laadi enam üles või leitakse sellest tuhandete ühikuteni leiduvaid vigasid.

Võlts-nuhkvara või –viirusetõrjed seevastu teatavad, et arvutis on äärmiselt ohtlik viirus(ed), mis kas hävitab kõik arvutisolevad failid, lubab häkkeritel tagaukse kaudu (Backdoor) koheselt sissepääsu leida jne.

Mõlemal juhul teatatakse sellisest hirmutavast uudisest kas programmis endas pärast skanneerimist või pillutakse lahti hüpikaknaid, mis oma hoiatustega peavad kasutajates tekitama  paanikat, šokki või ärevust. Kõikide vigade parandamiseks või viiruste eemaldamiseks soovitatakse kohest programmi ostmist ja soovitavalt krediitkaardiga maksmist.

Kui kasutajad langevad taolise kelmuse ohvriks, tasuvad nad raha täiesti kasutu programmi eest, kuna tegelikult arvutis probleeme ei ole (vähemalt sellise programmi poolt leitavaid probleeme). Samahästi taolised petisprogrammid on ise tavaliselt pahavaralised, sisaldades kas  nuhkvara, reklaamvara või veel õelamaid pahalasi, mis võivad arvutitööd tunduvalt häirida või muuta selle kasutuskõlbmatuks.

Paanikatarkvara pakutakse sageli pahatahtlikel veebisaitidel reklaambänneritena või hüpikakendena, mis võivad sisaldada ehmatavat teksti, näiteks: “Your computer may be infected with harmful spyware programs. Immediate removal may be required. To scan, click ‘Yes’ below.” (“Sinu arvuti võib olla nakatunud kahjulikku nuhkvarasse. Vajalik on selle viivitamatu eemaldamine. Skaneerimiseks vajuta nuppu” Jah”.) Kui kasutaja klikilb sellel (või teistel puhastamisele viitavatel linkidel Scan, Clean, Check jne), püüab akent sulgeda vajutades lingile Cancel (tühista) või sulgemisristile X, alustatakse paanikatarkvara või ka muu pahavara allalaadimist arvutisse.

Allikas: Wikipedia jt.

Loe lisaks Mis on Võlts-turvaprogrammid ehk Rogue Security Software

Mis on Uss ehk Worm

Arvutiuss ehk Worm kuulub viiruste alamliiki, mis suudab iseendast koopiaid teha, muteeruda, paljuneda ja levida iseseisvalt arvutis ning levitada nakkust teistesse arvutitesse, ent ta pole võimeline haakima ennast mõne arvutisoleva  programmifaili külge. Ussid suudavad levida väga kiiresti ja massiliselt läbi võrgustike- või süsteemide turvaaukude, ummistades nii kasutaja kui ka kõigi uute nakatatud arvutikasutajate võrguliikluse, mis tunduvalt aeglustab internetikasutamist.

Ussid käivituvad arvutis automaatselt, kasutades selleks ära arvuti enda rakendusi, mis toetavad andmete ja failide transporti.  Nad võivad muuta registrivõtmeid ja lisada end alglaadimiskataloogi, et süsteemi käivitamisel rakenduks nad koheselt mäluprotsessides.

Mõned ussid, nagu näiteks MyDoom , on võimelised nakatunud süsteemis avama tagaukse (backdoor) ning kasutada arvutit kellelgi teisel (näiteks kräkkeril) kaugjuhtimise teel  kasvõi veebilehtede ründamiseks (DDoS rünnak).

Üldjuhul on aga usse kerge süsteemist eemaldada, kuna nad pole suutelise nakatama faile. Sageli aitab selleks tavaline süsteemitaaste.

Tavaliselt levitatakse usse suhtlusvahendite teel saadetud linkidega või enamlevinumal viisil e-posti manustega. Kui kasutaja neile linkidele või manustele ettevaatamatult klikib ja avab, käivitub uss kõigepealt ohvri arvutis, ent pärast seda võib ta saata iseendast koopiaid kõigile aadressidele, mis ta tuvastab kas e-posti aadressiraamatust või suhtlusvahendite adressaatide hulgast. Samamoodi võib ta levida peer-to-peer (P2P) programmide kaudu, lisades endast koopiaid nende rakenduste jagatud kaustadesse.

Loe ka Messengeri viiruste eemaldajatest ja Kuidas turvaliselt e-posti lugeda.

Mis on Backdoor ehk Tagauks?

Backdoor (vahetevahel lahtikirjutatult Back Door) ehk nn tagauks on häkkimise vahend, mis võimaldab arvutisüsteemi luua turvamata sissepääsu, mis tagab teatud isikul, näiteks kräkkeril, salajase kaugjuurdepääsu arvutisse igal ajal, andes talle täieliku kontrolli kogu arvutisüsteemi üle. Tagauks püüab jääda alati võimalikult varjatuks, püüdes jääda avastamata ka traditsiooniliste tõrjevahendite eest.

Tagauks võib olla paigaldatud mõne programmi sisse, samamoodi võib ta muuta mõnda teist arvutis olevat programmi, saades selle abil sissepääsutee. Alatuks võtteks peetakse ka seda, kui programmeerijad ise jätavad oma programmidesse tagaukse, mille läbi nad saavad alati siseneda võõrastesse arvutisüsteemidesse isegi sellisel juhul, kui süsteem on väga korralikult turvatud. Administraatori salasõnade vahetamine, kõvakettale ligipääsuõiguste muutmine või viimaste turvapaikade installeerimine arvutisse ei pruugi alati aidata tagaukse pääsuteede sulgemisel.

Tavaliselt nakatub arvuti kõigepealt viirusese-, trooja-, ussi- või nuhkvara läbi, misjärel saab nakkusallikas omakorda installeerida tagaukse.

Mõned näited, mida tagaukse abil võib korda saata:

• Saata läbi interneti arvutiomaniku e-postkasti teel teistele arvutikasutajatele üle maailma rämpsposti (spämm)
• Varastada kasutajate pangaparoole- ja salasõnu, krediitkaardi andmeid ja veebilehtedele sisselogimisparoole ning nende abil korda saata identiteedivargusi või rahalisi pettusi. Samuti võidakse varastada kõike muud privaatset ja salajast infot, mis on salvestatud arvutisse.
• Tõimetada arvutisüsteemis oma (kräkkeri) äranägemise järgi – modifitseerida süsteemifaile, sulgeda tõrjeprogrammide töö, kustutada faile, muuta süsteemisätteid, muuta administaraatori või kasutajate paroole jne.
• Kasutada arvutit DDoS rünnakute korraldamises ettevõtete- ja riikide serverite vastu või võrguliiklust toetavate ruuterite ja veebilehtede vastu.
• Salvestada logifaili kasutaja arvutikasutamisaktiivsust, surfamisharjumusi; vaadata ja alla laadida erineva sisuga dokumente, pilte, videosid ja muid kasutaja isiklikke faile.
• Tagaukse abil paigaldada arvutisse muud kahjulikku pahavara – klahvinuhke, troojaid, nuhkvara jne.
• Avada suletud- või tulemüüri poolt kaitstud porte, mis võimaldab sissepääsu ka teistele ründajatele. Näitena võib tuua Backdoor:Win32/BackOrifice.8192.

Põhimõtteliselt, kui arvutisse on paigaldatud varjatud tagauks, mida kräkkerid ka kasutavad kuritegelikul eesmärgil, siis pole neil mingeid piiranguid, mida nad võiks arvuti sees või läbi selle korda saata. Siiski paljud viirusetõrjed ja nuhkvaraskannerid suudavad tagauksi avastada ja eemaldada.