[Tanel]

link :: RIA


15. juulil avastati Windowsi operatsioonisüsteemis oluline turvaauk, mida kasutades saab arvuti märkamatult pahavaraga nakatada. Sel nädalal avastati esimesed .LNK turvaaugu kaudu nakatunud arvutid ka Eestist. Olukord on ohtlik, kuna turvaauk, mida erinevad viirused arvutitesse pääsemiseks kasutavad, ei ole hetkel lihtsalt sulgetav. Samuti ei märka kasutaja viirusesse nakatumist ega selle tegevust.

CERT Eesti (Computer Emergency Response Team) infoturbe ekspert Anto Veldre: „Ühiskonna arvutiseerituse taseme tõusuga suureneb ka kahju, mida arvutiviirused inimestele ja ühiskonnale põhjustavad. Viirusi ja pahavara ei saa pidada loodusnähtusteks nagu tormi või põuda, see on e-kriminaalide teadlik tegevus. Eesmärk on nakatada üha rohkem arvuteid, et nende kaudu levitada oma pahavara, rünnata veebisaite ning välja saata rämpsposti - nii suureneb illegaalne sissetulek.“

„Hetkel on Eestis teada mõned süsteemid, kus seda turvaauku on nakatamiseks kasutatud. Samas, kui me arvestame, et seda auku saavad kasutada paljud viirused ja hetkel ei ole selle sulgemiseks häid võimalusi, siis saame järeldada, et turvaauku hakatakse lähitulevikus aktiivselt kasutama“, selgitab Veldre.

Soovitused kasutajatele, et vältida .LNK turvaaugu kaudu viirustesse nakatumist:
1.Seni, kuni Microsoft ei ole avaldanud toote parandusi, laadige endale programm, mis ei luba viirustel .LNK turvaauku arvutisse pääsemiseks kasutada. Hetkel ainukese tasuta saadaoleva programmi leiab siit -> http://www.sophos.com/security/topic/shortcut.html
2.Turvaauku kasutav pahavara levitab ennast irdmeedia kaudu – mälupulgad, fotoaparaadid, digitaalsed pildiraamid, telefonid, mälukaardid, CD-plaadid jne. Kuni Microsoft ei ole viga ära parandanud, püüdke irdmeediat mitte kasutada.
3.Pahavara levib ka kirjade ja MSNi teel. Kui teile tuleb kiri, millega on kaasas tundmatu manus, ärge avage seda! Kui teile saadetakse MSNis dokument, mida te ei oota, küsige saatjalt üle, millega on tegu?
4.Oluline on arvutit mitte kasutada administraatori õigustes, vaid teha endale kasutaja. Sellisel juhul on ka viirustel oluliselt väiksemad võimalused arvutis tegutseda.
5.Eestis enamlevinud viirusetõrjeprogrammid leiavad vähemalt osa .LNK viga kasutavatest pahalastest üles. Palun uuendage enda viirusetõrje programme! Oluline on teada, et kui viirus jõudis arvutisse enne viirusetõrje uuendamist, on viirusetõrje juba kahjutuks tehtud. Sellisel juhul tuleb spetsialisti poole pöörduda.
6.Kui te kahtlustate, et teie arvuti on nakatunud, pöörduge kohe IT-spetsialisti poole.

Taustainfo - operatsioonisüsteemis võib olla turvaauk, näiteks hetkel Windowsi operatsioonisüsteemis leiduv .LNK failidega seotud auk. Turvaauk ise ei tee operatsioonisüsteemile ega kasutajale halba. Turvaauk on võimalus, mida kasutades saavad kurjategijad saata arvutisse või serverisse erinevaid viiruseid. Piltlikult võib turvaauku võrrelda majaukse lahti jätmisega. Kõik saavad lahtist ust kasutada ja kurjategijad ise valivad - kes viib ära kodutehnika, kes joonistab seinale graffiti, kes kasutab maja varastatud kraami laona.

Info IT-spetsialistidele ja süsteemiadministraatoritele, mis ei ole kindlasti ammendav, aga teeb elu kergemaks:

Microsoft avaldas 16. juulil probleemi kirjelduse.
On teada et viirus üritab ennast levitada ka Office'i dokumentide kaudu.
Teatud määral aitab kasutajatelt lokaalse administraatori õiguste ära võtmine.
Filtreeri välja e-kirjad zip/exe/lnk/pif manustega.
Hoia viirusetõrjujad aktiivsetena ja keela WebDAV.
Saada kasutajatele ülaltoodud käitumissoovitused edasi.

[Tanel]

Ka Microsofti lehel pakutakse mingit (ajutist) workaroundi -> http://support.microsoft.com/kb/2286198

[Marie]

Parim lahendus mida välja pakuti

[äss]

Tanel, Tegin selle ajutise värgi ära

[Dogbert]

Kuidas selgitada välja, milline jumal on sobiv antud juhul? Kui kogemata vale jumala poole palvetan, võib ju hoopis jamaks minna

[WAUZZZ]

[Marie]

[laurx]

see MS i veebil olev "fix" on SMS iga kenasti kolhoosis peale saadetav.

[salatoimik]

panin juba http://wubi-installer.org/ tirima, käin mõnda aega sealt kaudu pangas parem (ma loodan et on mõtet ikka )

[Lord Ami]

Antud pahavara võib arvutisse installeeruda peljalt ikooni vaatamisest. Seega levib ta "kõikjal".
Isegi Internetis lehti sirvides võid nakkuse osaliseks saada (spets lehed ainult)

32 biti kasutajad saavad Hitman Pro'ga (ei, ma ei promo seda toodet nagu mõni võib arvata) asja korda teha:
http://www.wilderssecurity.com/showpost.php?p=1719630&postcount=1928
Antud fix ei luba DDLi laadida Execute käsuga, vaid muudab nad ainult loetavaks (Read-only)
Ikoonid jäävad alles ja suurt midagi ei muutu
Video:
http://www.youtube.com/watch?v=1gbJ1m2ac1E
DL:
http://dl.surfright.nl/HitmanPro35beta.exe

[smurfar]

[salatoimik]

oot installin selle ära ja kõik? Midagi rohkem kuskilt vaja näppida pole?
http://www.sophos.com/security/topic/shortcut.html

[Lord Ami]

[salatoimik]

[tahanteada]

Väikse ääremärkusena - see on juba 15-20 aastat teada-tuntud probleem, et viirused oskavad ennast kõikvõimalike Meediakanalite kaudu levitada - kaasa arvatud välikettad, cd-d jms... nii, et üle paanitseda pole ka mõtet.

Lisaks veel see, et selliseid nakatunud faile suudavad levitada ka suvalised muud masinad, nagu MAC-id, Linuxid jms - ainult selle vahega, et nad ise on tundetud selle nakatunud Meedia suhtes.

Samas - kui Lin / Mac-i omanik kopib selle faili endale arvutisse, siis on tal see viirusega nakatanud fail ka Passiivis masinas täiesti olemas...
Reaalne näide - kopisin millalgi Mac-i kettalt MP3 faile PC-le ringi ja siis viirusetõrje karjus, et "need-need MP3-d on tegelikult viirusega nakatatud failid"....

[Lord Ami]

[Nokia]

Ja ta logib nagu panga andmeid vms? ET põhimõtteliselt 4GB usb jublakas võtta linx peale lasta ja saab pangas ikka edukalt edasi käia?

[Lord Ami]

[tahanteada]

Veel väike ääremärkus - et ei tasu segi ajada kahte asja:
- Üks asi on turvaauk
- Teine asi aga on spy-d või viirused, mis on võimelised sedasama turvaauku kasutama.

Ja see, mis pangakoode taga üritab ajada, ongi üks viirus mis suudab ka seda konkreetset turvaauku kasutada.
Samas oskab see viirus ka teisi nõrku kohti enda huvides ära kasutada.
----------------------------------------------
Seega - kui suudetakse viirused juba eos eemal hoida, siis ei pääse ka seesama viirus miskitpidi arvutile ligi. Ja kui lubada 3 miljonit nimetust viiruseid või Spy-sid arvuti ligi, siis selles virnas on sadu või tuhandeid selliseid pahalasi, mis suudavad arvuti üle kontrolli omada.

Siit moraal - pole mõtet olla ühe pahalase pärast paanikas ja ülejäänud miljonid pahalased ära unustada.

[Lord Ami]

[tahanteada]

Kui internetis natuke ringi kolada, siis on näha, et LNK-viirused on juba oma 3 aastat tagasi avastatud.

Ning kui lugeda Pressis olevat teemat, siis selles tekstis on olemas lõik:
"5. Eestis enamlevinud viirusetõrjeprogrammid leiavad vähemalt osa .LNK viga kasutavatest pahalastest üles. Palun uuendage enda viirusetõrje programme! Oluline on teada, et kui viirus jõudis arvutisse enne viirusetõrje uuendamist, on viirusetõrje juba kahjutuks tehtud. Sellisel juhul tuleb spetsialisti poole pöörduda."
http://www.epl.ee/artikkel/580966
-----------------------------------------------------------
Ja paneme siia nüüd F-Secure loo: "LNK Vulnerability: Chymine, Vobfus, Sality and Zeus", siis on ilusti näha, et tuleb tegeleda sellega, et kasutatav viirusetõrje tunneks juba rünnaku hetkel taolised viirused / või nende mutatsioonid ära ning teeks neile blokeeringu.

http://www.f-secure.com/weblog/archives/00001996.html

[juku1987]

[Goon]

Fix your S#it damn microsoft.

[activeone]

[äss]

Ja palju selle kuu ajaga jõudakse arveid tühjaks teha?

[activeone]

[Betamax]

Mingi mõttetu paanika jälle. Taolisi turvaauke ja neid ära kasutavaid viiruseid-troojalasi on ennegi olnud. Ei viitsi isegi sebida selle jama pärast. Varsti tuleb Microsoft Update'i kaudu patch ja "probleem" lahendatud ning CERT Eesti sai jälle paar päeva meediakajastust.

[tahanteada]

Niipalju lisaks, et ThreatFire pani selle Zeus-i oma andmebaasi juba maikuu alguses, seega võib üsna kindel olla, et praktiliselt kõikide türjeprogrammide uuemates andmebaasides on Zeus-i kirje sees olemas. Sellega suudetakse Zeus juba ründehetkel avastada.

Kui siia kõrvale panna kuum suvi, puhkused, siis on hoopis tõenäolisem see, et inimesed unustasid oma viirusetõrjeprogrammide uuendamised sootuks ära ja nüüd siis mängivad viirused arvutites igasugu huvitavaid peitemänge. Ning sel juhul pole vahet, milline viirus millega jalgpalli mängib - kas sooritab mõnd BOT-rünnakut või kopeerib vajalikke andmeid vms. - vahet pole...

[Tanel]

Uudis aprillist - Kontosid tühjendada võimaldav arvutiviirus levib ka Eestis

[Betamax]

See selleks, aga tahaks näha numbreid tühjendatud pangaarvete ja pätsatud raha kohta. See, et viirus kusagil arvutis passib ja siis avastatakse ning selle peale paanikat tehakse, ei anna iseenesest midagi. Oluline on see, kas viirus on efektiivne või mitte.

[Maldur]

Zeus võidi ju mai alguses panna kuhugi listi, kuid meil siin oli möll juba märtsis... ei ole väga adekvaatne kiirus reageerimisel siis. Kui kevadel avastati ca 45% zeusi variantidest, siis tänaseks pole ilmselt statistikat enam olemaski kuidas seda viiruselegot avastatakse.
Ei mina usu et ükski pank võtaks julguse ja teataks kui palju neil sellega probleeme on. Pealkirju lugev klient jookseb kohe minema, öeldagu taolises artiklis tegelikult mida tahes.

[tahanteada]

Igatahes p2evase nterneti uurimise peale v6ib küll vabalt o"elda, et tegemist on "kodukootud paanikaga" ja mujal küll sellist paanitemist n2ha pole, on uus turvaauk ja on uuema aja viirused ja kogu lugu
Ja nii on see juba pikki aastaid olnud, et aeg-ajalt yht-teist enneolematut leitakse ja siis tuleb v2lja, et asi ammuteada...

H2mmastav, et Veldre sellele ise ei tule, et liigne paanitsemine toob rohkem kahju kui kainelt m6tlemine.

V6i on siis turvaspetsid ilma to"o"ta ja loodavad nii lisato"o"d ja tegevust leida..

Postitatud mobile device

[dx626]

tahanteada, kuidas macis saaks kontrollida, et seda viirust passiivsel kujul arvutis ei ole
Sest pidevalt ühendan USB pulkasid Win ja OSX masinate vahel..

[kellu]

Praegu on lihtsalt selline periood et kurgid juba purgis aga seened veel metsas. Ja siis tulebki ajakirjanikul järjekordse palgapäeva eel ülemusele mingi vana uudis uuesti üle anda, noh et statistika paigas oleks ja portaalis inetut valget auku nuppude vahele ei jääks.

[xecroy]

[tahanteada]

Niipalju väikseks lisaks, et Windows 7-l on teada oma "a sadakond" turvaaauku ning Microsoft neid ükshaaval ei lapi, vaid need pannakse kõik korraga, paranduspaketi SP1 abil kinni.

Ja veel - kes mäletab varasemaid, Win95-98-Me, Win XP ajastuid, need mäletavad ka seda, kuidas iga turvaaugu avastamist on alati saatnud samasugune, ülearu mõttetu paanitsemine. Ning nende paanitsemiste tulemus oli väga tihti palju "hullem", kui asi tegelikult väärt oli. Küll kustutasid omanikud vajalikke tööfaile, mille tulemusena tuli Windowsit uuesti installida või siis formaaditi ketast paaniliselt...
-----------------------------------------------------------
Nii, et ainus asi, mida teha tasub, on hoida pea kaine ning omada masinas sellist viirusetõrjeprogrammi, mis:
- omab ka Spy-püüdjat / avastajat
- skännib halastamatult On-lines läbi 100% kõik failid, kuna Troojad oskavad ennast maskeerida suvaliseks failiks.

- Ja tasub ära unustada igasugu mõttetud, ülereklaamitud, ülehaibitud "Kiir-skännijad", kuna need skännivad mõnd üksikut faili, jättes suurema enamuse läbi skännimata.

[lehm2]

Tegin ka fixi oma desktop arvutile, kolisin sellega ka linuxile üle

[Jaan]

[sukelduja]

Ma kardan, et eestis on pangakontot väga raske tühjendada, paroolikaardiga( korduvkasutusega paroolidega ei saa praktiliselt mingit erilist raha kätte meie pankadest) Id-kaardi, paroolikalkulaatori ja ühekordsete paroolide vastu ei suuda viirus midagi teha.

[vull]

hull paanika ikka
lähen vaatan nüüd ega terroriste voodi all pole

[Marie]

[Maldur]

[Duckhead]

kas IDkaardi kasutamine on ka ohtlik?

[meybo]

[Marie]

[meybo]

[Maldur]

Keskmine kasutaja ei jälgi protsessori kasutust, pealegi võib arvata et ressursinõudlus on sellistal asjadel võibolla ka tahtlikult madalal, sellist kulu ei pruugi võimsama prose korral kuskilt märgata, keskmiselt vaadates.
See on ilmselt paraku tõsi et Mac ja Linux võivad olla pahaaimamatult osalised viiruste transiidis, selle vastu on rohuks just viirusetõrjete kasutamine - kuigi see meenutab ilmselt kunagist Seti maavälise elu otsimist, arvutil tööd on, voolu läheb kuid tulemust netu...

[mikk36]

Koormus arvutile võib olla ka piisavalt väike et sa seda ei märka niisama. Viiruse nakatumise võib edukaks lugeda kui ta suutis su süsteemi sisse tulla, vaikselt istuda seal ja esimese käsu peale näiteks mingi veebilehe kusagil maha tõmmata. Avastad sa tolle viiruse aga alles peale seda kui ta juba oma töö on ära teinud.
Või saadab näiteks rahuliku tempoga spämm-emaile välja.

[Marie]

[Lord Ami]

Hitman Pro väljastas kaitse ka 64bit OS'le.

http://www.surfright.nl/en/support/fix-2286198




32-bit: http://dl.surfright.nl/HitmanPro35beta.exe
64-bit: http://dl.surfright.nl/HitmanPro35beta_x64.exe