[Tanel]

Ei, sedapuhku ei tule jutuks hirmsad mälestused matemaatikatundidest ja rangetest õpetajatest, vaid hoopis mitmendat kuud kestev postkastide pommitamine arvutiviiruse e-kirjadega, mis on viimastel päevadel veelgi aktiivsemaks muutunud. Pahavara levitamisse on kaasatud zombie-arvutid ning sisuhaldustarkvara turvaaukude kaudu ülevõetud veebilehed. CERT-EEle teadaolevalt on Eestis “pihta saanud” juba mitmed ettevõtted.

Pahavaraga nakatumine saab alguse e-kirjast, mis võib välja näha umbes nii:



Võltskirja tuvastamine on tehtud keeruliseks sellega, et kirjas kasutatakse reeglina saaja nime, seetõttu näeb kiri üsnagi adekvaatne välja (eriti raamatupidajatele, kes saavad postkasti kümneid kirju arvetega).

Rechnung viitele (sinine tekst) klikkides laetakse arvutisse ZIP fail. Topeltklõps allalaetud failil avab selle ning siis saab juba päris “arve” lahti teha. Failil võib olla näiteks selline nimi:

ihre_telekom_mobilfunk_november_2014_00002930200_1_3_5_021090_82137_002_008_0004.exe

AGA! – faili nimi muutub pidevalt, samuti muutub ka e-kirja tekst ning kirjas olev viide. Avatud fail nakatab arvuti suure tõenäosusega võimeka troojalasega. aga avamine annab ka võimaluse tuvastada pahavara, sest klikkides ei juhtu tegelikult midagi – lubatud arvet ei avata. See on võimaliku nakatumise indikaator nr 1.

Loe edasi: https://kyberkirjutised.ria.ee/rechnung-ja-tema-kurjad-sobrad/

[Max Powers]

Viimasel ajal on seda üsna palju tulnud tõesti

[mahno]

Vahetaks mõtteid sel teemal, et kas kellelgi on õnnestunud sedalaadi saasta vastu võitlemisel ka edu saada?

Üks, mis kindlasti mingi piirini aitab, on kasutajate süstemaatiline harimine.
Aga tehnilised vahendid, lisaks viirusetõrje värskena hoidmisele? Kas keegi SURBL (http://www.surbl.org/) implementeerida on proovinud?

[Dogbert]

Võiks ka seda mainida, et zipitud exe failidega pahalaste saatmine on toimunud kaugelt üle kümne aasta, see ei ole iseenesest mingi uudis. Hoiatama peab loomulikult endiselt edasi, sest kümne aasta jooksul on 90% inimestest need hoiatused ühest kõrvast sisse ja teisest välja rännanud vahepeal peatust tegemata - iga saadud zip tuleb ikka avada ja exe käima tõmmata, et õige rechnung kätte saada.

[mahno]

Just sellepärast mind tehniline blokkimine huvitabki, et koolitamise tulemuslikkus on madal. Tänagi helistas murelik inimene, kes polnud küll saksamaal käinud ja sealse telekomi teenuseid tarbinud, aga siiski oli hädasti vaja rechnung lahti saada, sest äkki ikka on mingi kohustus ja siis viivis hakkab jooksma.

[Dogbert]

mahno, jah, loomulikult - aga serveris. Meiliklientide kohta ei oska öelda, kuidas seal oleks võimalik neid rakendada. Spamassassini konfis on SURBL reeglid vist lausa vaikimisi sisse lülitatud (aga hetkel ei mäleta enam täpselt - võib-olla tuli ka käsitsi aktiveerida).
Aga ka SURBL ei anna 100% tulemust, esimesed kirjad enne allika blacklisti sattumist tulevad ikka läbi ja vaikimisi ei ole SURBL reegli skoor Spamassassinis ka väga kõrge. Seda võib muidugi käsitsi suuremaks panna.

[tahanteada]

Sellised pahalaste "EXE ja COM läbipääsemised" näitavad selgelt veel ühte ja juba paar aastat tuttavat probleemi - nimel seda, et arvutikasutajad ei kasuta järjest uuemaid, paremaid ning efektiivsemaid viirusetõrjujaid ja Malware-püüdjaid.
Olukord on enam-vähem selline, et sisuliselt paar korda aastas tuleks juba uurida, et kas olemasolev on piisav või tuleb välja vahetada veel uuema ja efektiivsema vastu.
"Pahategijad" teavad seda väga hästi, et kasutatakse vananenud kaitseprogramme ja siis seda ka osavalt ära kasutatakse, et "pahalased" viirusetõrjest mööda juhtida.
------------------------
Viimatine AV-Test näitab näiteks selgelt kuidas tõrjetulemused on erinevad isegi32-bitise ja 64-bitise op.süsteemi korral. Ning väheusustav, et arvutikasutaja oskab oma viirusetõrjet kasvõi selle järgi valida, et millist op.süsteemi ta kasutab.

AV-Testi tabel siis kus on eraldi 32-bit ja 64-bit tulemused ja nagu näha siis vägagi erinevad:

http://www.av-test.org/en/news/news-single-view/self-protection-for-antivirus-software/

[Tanel]

Nonii, tuli ka esimene läbi

[mahno]

Ega minagi mõtle tööjaamas blokkimist (vähemalt mitte primaarse meetmena). Ma näen hetkel tegelikult kahte kohta - esiteks blokkida sisenevat sodi mailiserveris, aga teiseks saaks blokkida kasutajate ebaõnnestunud klikke veebiproxy peal. Viimane aitaks ka siis, kui kasutaja saab oma sodi mõne era-emaili konto pealt kätte.

[taf131]

Rechnungi kurjad sõbrad hakkavad siis alles exe käivitamisel tegutsema? Et lihtsalt lingi klikkimisel veel midagi hullu ei juhtu?

[Tanel]

taf131, nii on RIA kirjelduse järgi.

[mahno]

taf, pmst nii on hetkel, aga sa ei tea iial, mida rechnung2 üritab.

[Tanel]

Viirustest rääkides, siis natuke nalja kah

Spoiler

[SurfData]

nägin eile spämm kaustas ka seda rechnungit. Läks otse kustutamisele koos muu jamaga.