Nädal tagasi hoiatas tuntud Emsisoft tõrjetarkvara arendav firma Facebook´is üsna kiiresti levima hakanud troojast, mis lingile klõpsates installeerub märkamatult kasutaja arvutisse, muutes selle spämmi tootvaks ja seda edasi levitavaks masinaks.
Arvuti nakatamine toimub nii: Kasutaja Facebook kontole saadetakse järgmise sisuga teade – “Mul on sulle üllatus http://www.nyhely……….blogspot.com.”
Lingil klõpsates viib see ühele Blogspot kontole, mis omakorda suunab pahaaimamatu kasutaja edasi aadressile hxxp://facebook-surprise-kjeg.tk/. Ehkki see aadress viitab Facebook originaal lehele, ka välimus on sama, on see siiski vaid osavalt järgi tehtud võltsing.
Lehe võltsimisega originaalsaidi sarnaseks on püüdnud selle autor, kasutades sotsiaalse mõjutamise võtteid ehk siis inimestega manipuleerimist pettuse abil, uinutada kasutajate tähelepanu ja tekitada neis (võlts) turvatunde.
Sellel lehel hiirega klõpsides kuvatakse vaikimisi pildiikoon nimega “surprise.exe” (hxxp://facebook-surprise-kjeg.tk/surprise.exe).
Kui kasutaja sellel omakorda klõpsab, kuvatakse täiesti tavaline pilt kingitusepakiga.
Kuid samal ajal, ilma et keegi sellest aru saaks, nakatatakse kasutaja arvuti troojaga, mis lisaks kõigele muule (häired arvutitöös jne.) muudab selle ka spämmi tootvaks- ja seda edasi levitavaks masinaks.
Lisaks veel sellele, kui fail „surprise.exe“ on kord juba avatud, siis ta hakkab jälgima arvutikasutaja kõiki tegemisi arvutis, süstides oma kuritahtliku koodi ka veebibrauseritesse nagu näiteks Internet Explorer või Mozilla Firefox. Kui aga kasutaja püüab oma Facebooki kontole sisse logida, siis pahavara salvestab ta kasutajanime ja salasõna, et nende abil siis saata spämme igale arvutikasutaja kontol olevale sõbrale edasi.
Siin on pahatahtlike saitide nimekiri, mis varjatult nakatavad kasutajate arvuteid troojasse (palun ärge püüdke neid avada, sest mõned lingid võivad olla veel aktiivsed).
* hxxp://ebyqerapinylyrato.blogspot.com * hxxp://udenaqylinabig.blogspot.com * hxxp://kuopyqupisee.blogspot.com * hxxp://sebafelumunynuly.blogspot.com * hxxp://sypupolufoigirisyc.blogspot.com * hxxp://ogyohanofaeqis.blogspot.com * hxxp://juyeliadileqaq.blogspot.com * hxxp://gyseuodysecu.blogspot.com * hxxp://pucoriiukiylyfo.blogspot.com * hxxp://yycugecuisehe.blogspot.com * hxxp://nyhelyofedoerej.blogspot.com * hxxp://teejoubiimanuh.blogspot.com * hxxp://timeteobyqufousy.blogspot.com * hxxp://ooapetyuqatoda.blogspot.com * hxxp://okojylimukikap.blogspot.com * hxxp://milurudutyfebusab.blogspot.com
Emisoft on tuvastanud selle pahavara nimega Trojan-Downloader.Win32.FraudLoad!IK ja hoiatab üleüldiselt: Olge alati tähelepanelikud ja ettevaatlikud selles suhtes, mida te oma arvutisse vastu võtate.
Suurt tähelepanu tuleb pöörata ka Emsisoft blogipostituse Warning: Surprise spam trojan on Facebook esimesele mõtlemapanevale lõigule, mis tõlkes kõlab sellisena: „Kas olete kunagi saanud oma Facebook’i sõpradelt teateid, mis kutsuvad teid külastama ja vaatama mingit saiti ja millele on lisatud põnevusttekitav lause nagu näiteks:“Hei, vaata seda, see on nii lahe“? Enamikel juhtudel teate saaja teebki seda , eriti veel kui teate saatis üks teie parimatest sõpradest, keda te täielikult usaldate….“
Mida teha, kui kasutaja on pahaaimamatult viibinud taolistel võlts-lehtedel?
Tänaseks on enamustel viirusetõrjetel sellele troojale vastukood andmebaasides olemas – skanneerige oma arvuti kindlasti kohe üle!
Samuti, enamuse viirusetõrjete veebis surfamise reaalajakaitsed (kui need on viirusetõrjes esindatud nagu AVAST! Antivirus 5 Free-l) tuvastavad pahatahtlikud saidid.
Samuti tuvastavad kuritegelike kavatsustega veebilehed brauserite turvapluginad. Mõnedest neist on juttu artiklis Kuidas turvaliselt e-posti lugeda.
Kindlasti muutke ära oma Facebook konto sisselogimise andmed, sest need on nii või teisiti küberkurjategijatel juba olemas. Muide, soovitav on ilma selletagi aega-ajalt oma kontode paroole ja kasutajanimesid muuta.
Kui antud trooja levik saab takistatud, siis ega see küberkurjategijaid heiduta. Tavaliselt on nii, et varsti luuakse kas sellel samal troojal põhinev modikatsioon või koostatakse täiesti uus trooja, mis hakkab uuesti samamoodi kasutajaid kimbutama. Kuna esimestel päevadel pole viirusetõrjetel nende vastu kaitset, siis kindlasti keegi jälle satub nende ohvriks. Olge tähelepanelik kõigi linkide suhtes, mida teile saadetakse!
PS. Hiljuti teatas Erika Kõik-ühes meedia player filmide ja muusika esitamiseks arvutis – DAPlayer Free kommetaarides, et ta arvuti on hakanud restarte tegema. Erika tiris playeri arvutisse 20. jaanuar ja vaid mõned päevad varem nähti esimesi märke eelnimetatud troojast. Samuti, varsti pärast seda püüdis mu blogi spämmifilter Erika kommentaari spämmifiltrisse kinni, justkui oleks see rämpspost, mida see aga ei olnud. Kuid see näitab, et spämmifilter Akismet võis ikkagi kahtlustada tema arvutist spämmi saatmist. Erikal on konto Facebook´is.
Kuid kõige sellega ei taha ma sugugi süüdistada Erikat ega ütelda, et just nii oligi. See on vaid minu arvamus, kuidas võis olla. Kõik see võis olla tegelikult vaid kokkusattumus, kui mõlemad asjad juhtusid korraga toimuma valel ajal ja vales kohas. 🙂 Kusjuures on ka tõenäoline, et Erika arvutisse lihtsalt see player ei sobinud – Milline on parim programm.
Tuleb vaid meelde jätta, et varjatud troojatesse ei või arvuti nakatuda ainult Facebook´i saadetud linkidel klõpsates vaid ka e-posti teel saadetud linkidele vajutades või niisama internetis surfates kas välismaistel või ka eestimaistel lehtedel kolades, millesse on kräkkerite poolt süstitud pahatahtlik kood.
PPS: Suured tänud inglise filoloog Kersti Aasmäe´le, kes aitas mul Emsisoft hoiatavat blogipostitust tõlkida! 🙂