Tietokonevirukset

[Iceman]

Viestin lähetti stiflat
Terve!
Hankinnassa on nyt laajakaista ja olisikin kiva tietää että mitä
kannattaa heti ensiksi asentaa koneelle (netistä) ennenkuin
alkaa varsinaisen surffauksen.

Tässä eräs melko turvallinen cocktail koneen asennukseen.

Suosittelen Nortonin Anti-Virusta ja Kerion palomuuria. Spy-/Malwaren poistoon Spybot - Search and Destroy.

Palomuuri luonnollisesti aina päällä ja virustorjunta siten, että automaattisesti haetaan uudet päivitykset ja reaaliaikainen skannaus päällä.

Spybottia voi ajella silloin tällöin.

 

[Iceman]

IRC -leviäminen yleistymässä viruksissa

Yleisön pyynnöstä laitan varoituksen sanan #jatkoaikalaisille ja muillekin IRCcaajille;

Swen ja monet muut RPC135 tietoturva-aukkoa hyödyntävät madot/virukset ovat alkaneet levitä hyväksimkäyttämällä IRC clientteja, varsinkin mIRCia.

Tiedostojen vastaanotosta kannattaa laittaa filtteröinti päälle ja autoget pois päältä, lisäksi kannattaa funtsia meneekö joka linkkiä klikkaamaan, Kromber on hyvä esimerkki linkkejä kanavalle postaavasta viruksesta.

Tiedote päättyy. ;)

 

[Bauer]

Vihdoinkin koneeni sai maistaa ensimmäisen kerran viruksen voimaa. Virustyyppiä ei saatu selville, mutta kyllähän siinä Windows meni uusiksi. Vituttaa kyllä nuo virukset.
Nyt niitä vasta alkaa kunnolla vihata, kun itse sai.

 

[Jude]

Virus?

Sain äsken epäilyttävän sähköpostin. Lähettäjän osoite on john@pp.htv.fi, posti on luokiteltu tärkeäksi (punainen huutomerkki) ja otsikko on Don't be late! Amsacooc". Jos kuulostaa tutulta, niin kerro ihmeessä lisää. Voiko Outlook Expressistä poistaa posteja ilman, että ne aukeaa? Miten?

 

[theref]

Re: Virus?

Viestin lähetti Jude
Voiko Outlook Expressistä poistaa posteja ilman, että ne aukeaa? Miten?

Ota preview-pane pois käytöstä, niin et vahingossakaan avaa mitään mailia/liitettä. Viestin saa poistettua kokonaan shift+delete näppäinyhdistelmällä.

 

[Iceman]

Re: Virus?

Viestin lähetti Jude
Sain äsken epäilyttävän sähköpostin. Lähettäjän osoite on john@pp.htv.fi, posti on luokiteltu tärkeäksi (punainen huutomerkki) ja otsikko on Don't be late! Amsacooc".

Mimail.H lähettelee postia tekaistusta osoitteesta john@oman-domainisi-nimi.

EDIT: korjattu viruksen variantti

 

[Roman Vopat#38]

Miten pois?

On ollu jo vähän pidemmän aikaa ongelma meidän tietokoneessa. Käynnistettyä koneen se toimii pari minuuttia hyvin kunnes tule joko svchost on aiheuttanut virheen tai lovesan.32 on aiheuttanut virheen. Sen jälkeen ei oikeen mikään tahdo toimia. Linkit ei aukea eikä ohjelmat. On F securen virustorjunta jota on päivitetty plus palomuuri sekä latasin juuri Ad- aware ohjelman mutta sekään ei poista ongelmaa.Mtä pitäisi tehdä? Apua todellakin kaivataan ja kiitos jo etukäteen!

 

[Kiisa]

Re: Miten pois?

Viestin lähetti Roman Vopat#38
Mtä pitäisi tehdä? Apua todellakin kaivataan ja kiitos jo etukäteen!

Haeppas täältä Lovesanin poistosofta http://us.mcafee.com/virusInfo/default.asp?id=stinger

 

[Mike]

Re: Virus?

Viestin lähetti Jude
Voiko Outlook Expressistä poistaa posteja ilman, että ne aukeaa? Miten?

Outlookilla ainakin onnistuu siten, että voit määritellä ryhmän ja asettaa ehdoksi esim. että Outlook tarkistaa onko nimesi vastaanottaja kentässä, mikäli ei ole, niin voit asettaa siten, että ohjelma poistaa viestin lennosta jo siinä ladatessa.

Itse olen viime ajat tuskaillut tuon kanssa ja ratkaissut ongelman ylläkuvatulla tavalla, kun ovista ja ikkunoista tulvii noita "Microsoft" päivityksiä, jotka sisältävät Swen -viruksen.
Pahimmillaan niitä tulee päivässä kai joku kymmenkunta tjsp. Tuota taas ei ilmeisesti pysty estämään millään, vaan ei auta kun odottaa vain, että joku kaunis päivä niiden tulo lakkaa?

 

[Roman Vopat#38]

Re: Re: Miten pois?

Viestin lähetti Kiisa
Haeppas täältä Lovesanin poistosofta http://us.mcafee.com/virusInfo/default.asp?id=stinger

Imuroin ohjelman ja kyllähän se pirulainen lähti! Kiitos "Kiisa" avusta!

 

[Iceman]

Bagle.F

Aika nostaa ketjua ylöspäin johtuen otsikossa mainitun madon ominaisuudesta: saapuvan sähköpostin liitetiedosto on pakattu salasanalla allekirjoitettuun zip -tiedostoon ja salasana tiedostoon on itse virusmailissa.

Monissa isommissa yrityksissä on ollut yleinen tapa että että ajettavat tiedostot ja arkistotiedostot blokataan automaattisesti poislukien salasanalla allekirjoitetut arkistotiedostot; tällöin on voitu olla melkolailla varmoja että vastaanottaja odottaa tämäntyyppistä tiedostoa ja se on OK kun kerran tietää salasanan. Niinpä sähköpostinskannauksissa on jätetty tämmöiset paketit skannaamatta.

"Olen menettänyt toivoni koulutukseen, ei se auta, ihmiset eivät koskaan opi, he tulevat jatkossakin kaksoisklikkaamaan kaikkia tiedostoja. " -Mikko Hyppönen, F-Secure

Tilanne on melkein sama tämän kyseisen viruksen kanssa, vaikket tunne lähettäjää niin tottakai ihmiset avaavat paketin saamallaan salasanalla.


F-Securen kuvaus

Let's be careful out there.

 

[dana77]

Re: Bagle.F

Viestin lähetti Iceman
"Olen menettänyt toivoni koulutukseen, ei se auta, ihmiset eivät koskaan opi, he tulevat jatkossakin kaksoisklikkaamaan kaikkia tiedostoja. " -Mikko Hyppönen, F-Secure

Hyppösen ylimielinen asenne on aivan oikeutettua, sillä he ovat itse virheettömiä ja siten kaikien arvostelun yläpuolella:

http://www.digitoday.fi/showPage.php?page_id=14&news_id=28741

 

[Iceman]

Re: Re: Bagle.F

Viestin lähetti dana77
Hyppösen ylimielinen asenne on aivan oikeutettua, sillä he ovat itse virheettömiä ja siten kaikien arvostelun yläpuolella:

http://www.digitoday.fi/showPage.php?page_id=14&news_id=28741

Ei ole ensimmäinen eikä viimeinen kerta kun virustorjuntayhtiölle sattuu paha virhe. Paha moka mutta Hyppönen ON oikeassa kommentissaan, sen verran hyvältä näköalapaikalta olen päässyt/joutunut tilannetta seuraamaan.

En puhu F-Securen tai Hyppösen puolesta, kokeilin vain saada asialle laajempaa näkyvyyttä, hyvä että huomasit viestistäni olennaisen asian.

 

[dana77]

Tottakai Hyppönen on periaatteessa oikeassa tuossa lauseessaan, mutta silti hänen tapansa syyttää tavallisia käyttäjiä siitä että he eivät tietoturvaa ymmärrä ei vaikuta tippaakaan ammattimaiselta.

Koska aina on olemassa tavallisia typeriä käyttäjille jotka kaksoisklikkaavat liitteitä, niin siksi virukset pitäisi pystyä torjumaan ENNEN kuin ne tulevat niille tavallisille typerille käyttäjille ja siinä F-Secure tai sen kilpailijat eivät ole onnistuneet.

 

[repe_joke]

Viestin lähetti dana77

Koska aina on olemassa tavallisia typeriä käyttäjille jotka kaksoisklikkaavat liitteitä, niin siksi virukset pitäisi pystyä torjumaan ENNEN kuin ne tulevat niille tavallisille typerille käyttäjille ja siinä F-Secure tai sen kilpailijat eivät ole onnistuneet.

Minun käsittääkseni tuo meinaisi käytännössä sähköpostin syynäämistä ennen kuin se pääsee käyttäjältä A käyttäjälle B. Ja vaikka kuinka sanotaa, että tämä kaikki tehdään teidän omaksi parhaaksi, niin kuka sanoo missä kohti mennään pitkälle.
Ja vois olla pienet viiveet liitteellisten sähköpostien perille menossa.
Se on kyllä ikävä fakta, että jokainen käyttäjä on itse vastuussaan tietokoneensa käytöstä. Teki sitä sitten oikein tai väärin. Ja atk-kursseja on varmasti tarpeeks tarjolla, että ei niitä perusteita tekis pahaa käydä opettelemassa, jos siltä tuntuu.
Tai sitten voisi pitää niin pitkän mainoskampanjan noista eri vaaroista, että tyhmemmätkin tajuaa, että ihan mitä vaan liitteitä ei kannata avata.
Käyttäjillä se vastuu on kuitenkin eikä viruksentorjunta yhtiöillä.

 

[Iceman]

Viestin lähetti dana77
Tottakai Hyppönen on periaatteessa oikeassa tuossa lauseessaan, mutta silti hänen tapansa syyttää tavallisia käyttäjiä siitä että he eivät tietoturvaa ymmärrä ei vaikuta tippaakaan ammattimaiselta.

Koska aina on olemassa tavallisia typeriä käyttäjille jotka kaksoisklikkaavat liitteitä, niin siksi virukset pitäisi pystyä torjumaan ENNEN kuin ne tulevat niille tavallisille typerille käyttäjille ja siinä F-Secure tai sen kilpailijat eivät ole onnistuneet.

Ensimmäiseen kohtaan; olen samaa mieltä, viestin sävy on aika arveluttava mutta olisiko niin että se on tarkoituksella valittu tavoitteena haastaa loppukäyttäjät ottamaan selvää ja sitä kautta huolehtimaan tietoturvastaan? Paha sanoa, ainakin näyttää siltä että asiassa ei ole onnistuttu.

Toinen kohta, kylllä kyllä. Konditionaalissa. Tämä ala on vain sellainen että aina tullaan hiukan myöhässä, heuristiikalla ei päästä tarpeeksi pitkälle (vaarantamatta käytettävyyttä) joten jossain täytyy tapahtua että voidaan vastalääke rakentaa. Kieltämättä tuottoisa business.

Mielestäni vastuu ei pidä olla pelkästään virustorjuntatuotteiden valmistajilla, eivät he voi customoida tuotettaan jokaiseen softaan sopivaksi vaan tietoturva pitää rakentaa jokaiseen softaan jota tehdään ja markkinoidaan.

Nyt - sattuneesta syystä - on hiukan hoppu, palaan aiheeseen paremmalla ajalla.

 

[dana77]

Minun oma internet-operaattorini Image World Network eli IWN tarjoaa kaikille asiakkailleen palvelun, joka tarkastaa jo palvelimen päässä kaiken sähköpostiliikenteen eli mulle tulee joka päivä n. 5 viestiä, joiden otsikko on "olet saanut viestin joka sisältää viruksen" (mun osoite on olosuhteiden pakosta paikoissa, jonka takia näitä viestejä tulee niin paljon). Mitään viivettä tämä ei aiheuta.

Jos operaattorit olisivat vastuussa toimittamistaan posteista, niin eiköhän scannaus tapahtuisi jo verkon solmukohdissa, reitittimissä tai muissa vastaavissa paikoissa (mahdollisesti jo rauta-tasolla). Samalla he voisivat blokata spämminkin.

atk-kursseja ei todellakaan ole tarpeeksi, että jokainen pihtiputaan mummo ja 12-vuotta juuri täyttänyt olisi koko aika ajantasalla.

 

[Iceman]

Viestin lähetti dana77
Jos operaattorit olisivat vastuussa toimittamistaan posteista, niin eiköhän scannaus tapahtuisi jo verkon solmukohdissa, reitittimissä tai muissa vastaavissa paikoissa (mahdollisesti jo rauta-tasolla). Samalla he voisivat blokata spämminkin.

Kyllä. Taustalla on kuitenkin raha. Laitetaanko operaattorit ja sitä kautta asiakkaat maksamaan tietoturvasta jota he eivät itse riko tai tiedä rikkovansa?

Mainitsemasi rautatason datan käsittely on jo monissa firmoissa alkaen palomuureista arkipäivää mutta internetissä vasta lapsen kengissä. Lisäksi julkisissa verkoissa liikkuvalle datalle ei saa kovin kummoisia tehdä - edes puhtain tarkoitusperin - ilman että tietosuojan koskemattomuus vaarantuu.

On kuitenkin muistettava että tietyntyyppistä pakettisuodatusta ja skannausta voidaan tehdä mutta siihenkin tarvitaan joustavat säännöt ja virustorjuntafirmoilta jatkuvaa tunnisteiden toimittamista - virukset muuttuvat kokoajan ja menevät yhä monimutkaisemmiksi. Osa jo nykyisistä viruksista on täysin polymorfisia ja osaavat kryptata itsensä.

Tuo mainitsemasi spämmin blokkaus ei ole aivan helppo homma sekään. On olemassa spämmifilttereitä ja spämmifilttereitä - näissäkin tullaan rahakysymyksen äärelle. Kovalla rahalla saadaan kohtuullisen toimiva spämmisuoja vaarantamatta yhtä keskeistä tietoturvan periaatetta - käytettävyyttä.

Yrityksissä tämä tietenkin ratkaistaan sopimalla hyväksyttävä palvelutaso ja sen kustannukset. Tällaisen asian sopiminen palveluntarjoajan ja asiakkaiden välillä saattaa olla hiukan mutkikkaampi juttu. Tokihan ISP voi sanoa että saatte 95% turvallisuutta, kaikki asiakkaamme OTTAVAT palvelun ja maksavat siitä xxxxx € . Mahdollisuus on, että asiakkaat katsovat että hyvä homma, tästä voidaankin maksaa kun yhteys on melko hyvin turvattu. Tai sitten vaihdetaan halvempaan ISP :n.

Tässä suhteessa ollaan murroskohdassa, toivottavasti olemme matkalla kohti turvallisempia verkkoja.

Menipäs oftopicciin rajusti, sanotaan aiheesta vielä sen verran että Baglesta ja Netskysta sikiää kokoajan uusia variantteja, spämmiongelma ei ole ainakaan vähentymässä ihan heti.

EDIT: sinne jäi typo mutta tulin kirjainsokeaksi....

 

[Huerzo]

Re: Bagle.F

Viestin lähetti Iceman
"Olen menettänyt toivoni koulutukseen, ei se auta, ihmiset eivät koskaan opi, he tulevat jatkossakin kaksoisklikkaamaan kaikkia tiedostoja. " -Mikko Hyppönen, F-Secure

Tilanne on melkein sama tämän kyseisen viruksen kanssa, vaikket tunne lähettäjää niin tottakai ihmiset avaavat paketin saamallaan salasanalla.

Probleema taitaa olla siinä, että käyttäjä ei näe, mitä koneelle tapahtuu. Kun he käyttävät kivoja ikonikäyttöisiä ohjelmia, he olettavat että jos jotain "pahaa" tapahtuu, toimivat myös nämä ohjelmat näkyvissä. On siis olemassa tietokoneiden näkyvä ja pimeä maailma, joita tavallinen hyppönen ei osaa yhdistää. Poissa näkyvissä, poissa mielistä. Kun mitään konkreettista ei näytä ruudulla tapahtuvan (palaute puuttuu), jatkaa tavallinen hyppönen toimintaansa kuten ennenkin. Tavallaan se kohta, jolloin turma tapahtuu, jää näkemättä. Siten syy-seuraus-suhde jää hämäräksi. Ja virusten nykyisellä leviämistahdilla tulee jäämäänkin.

En lähtisi syyllistämään käyttäjiä. He tekevät monesti omia töitään, ei heillä _tulisi_ olla syytä miettiä näitä asioita. Kokemusta tietokonemaailmasta tarvitaan melko paljon, ennen kuin kykenee itse tekemään arviota esimerkiksi oudosta sähköpostiliikenteestä. Inside-kaverin on helppo sanoa että "noi on tyhmiä", mutta kyllä perimmäinen vika on sähköpostisysteemissä. Sama kuin syyttäisi kuljettajaa siitä, että valmistusvian vuoksi auton renkaat puhkeavat vähän väliä. Ja vianhan välttää, kun ei aja asfalttitietä tiistaisin ja muistaa tarkistaa ilmanpaineet joka päivä...

Hyppönen hoitaa tässä tapauksessa sairauden oiretta, ei itse sairautta, joten turhautuminen samaan ongelmaan kerta toisensa jälkeen on ymmärrettävää. Mutta mitä muuta nykyinen sähköpostisysteemi saa aikaan? Itse olen ihmetellyt, että minkälainen katastrofi tarvitaan liike-elämän keskuudessa, ennen kuin suunnitelmat paremman ja turvallisemman sähköpostiliikenteen hoidosta saavat vauhtia. Nämä nimbyt ynnä muut tulevat todella kalliiksi...

EDIT: Sikäli jännä juttu, että tällä kertaa tuon virustilanteen huonontumisen huomasi, kun normaalisti nopea verkkoyhteys kävi tukkoiseksi. Sitten vaan odotti tietoa, että mikähän on kyseessä ja kuinka laajalti on tullut tuhoja. Jopa Suomessa, jossa normaalisti on vältytty suuremmilta ongelmilta. Jotenkin on aavistus, että "you have seen nothing yet"...

 

[Cucamonga]

Virukset ei juma...

Tää nyt ei tähän pahemmin liity, mutta luulis että ihmiset pystyis käyttään aikaansa jotenkin "vähän paremmin" kuin tehdä jotain virusta. Jos osaa jonkun tehdä jonkun viruksen niin luulis että voisi osata tehdä jotakin hyödyllistä. Esim. jonkun ohjelman. Jolla ehkä voisi tehdä rahaakin. Mutta ei kun nörtit vaan hekottaa kotona kun katsovat kuinka virus leviää. Ja sitten jää kiinni ja saavat "helvetillisen" laskun.

Kyllähän tuo tietysti on työllistävä juttu. kun toiset tekevät viruksia, ja toiset viruksen torjunta ohjelmia. Saahan sillä tietysti lisää työpaikkoja. Kokoajan saa hommata jotain päivityksiä, kun joku taas on tehnyt entistä "miellyttävämmän" viruksen.

Itsellä oli just vähän aikaa sitten joku randexgen, tai joku semmoinen. Updeittasin viruspäivityksen, mutta sekään ei kuin osaannut kuin laittaa viruksen guarentineen. Jos poisti niin kolmesekka ja oli takas. Veljeni on töissä nokialla tekee "softaa" tai jotain sinnepäin. Niin sekin taisteli koneen kanssa tunteja. (Ja kyllä kaikki kirosanat tuli käytyä läpi. Muutamaan kertaan.) Mutta sai "hommattua homman kotiin"

Mielestä virusten tekeminen on vain näiden "Fiksujen" hommaa. Turhaa. Aivan turhaa.

 

[Iceman]

Re: Re: Bagle.F

Viestin lähetti Huerzo
Inside-kaverin on helppo sanoa että "noi on tyhmiä", mutta kyllä perimmäinen vika on sähköpostisysteemissä.

................................................................
EDIT: Sikäli jännä juttu, että tällä kertaa tuon virustilanteen huonontumisen huomasi, kun normaalisti nopea verkkoyhteys kävi tukkoiseksi. Sitten vaan odotti tietoa, että mikähän on kyseessä ja kuinka laajalti on tullut tuhoja. Jopa Suomessa, jossa normaalisti on vältytty suuremmilta ongelmilta. Jotenkin on aavistus, että "you have seen nothing yet"...

Hyvä kirjoitus aiheesta. Lainasin vain nämä kohdat koska ensimmäisestä kappaleesta olen pitkälti samaa mieltä kanssasi, sähköpostisysteemeissä on vikaa. Mutta taustalla on ne ihmiset jotka viruksen tekevät.

Fanfaarin kirjoituksessa mainitut nörtit eivät ole enää suurin uhka vaan virusten kirjoittaminen on mennyt nykyään tilaustyöksi ja virusten kehittäminen ja testaaminen vaatii resursseja ja rahaa. Itse arvioisin että Nimda oli oikeastaan ensimmäinen teollisesti kehitetty virus, sen leviämistekniikat ja sen payload olivat senkaltaisia että kysymys ei ollut enää nörttien pilanteosta vaan melko lailla puhtaasti teollisuuvakoilusta.

Tänä päivänä taloudellista hyötyä tavoitellaan spammin kautta. Monet virukset keräävät laajoja osoitelistoja ja pystyttävät spamproxyja käyttäjien koneelle; kerrassaan hienosti valjastettu netissä olevat koneet mainostamistarkoitukseen. Itselleni ei tosin ole vielä valjennut miksi kukaan ostaisi spammeissa tarjottuja tuotteita.

Blasterin ja Welchin tapauksissa viranomaiset ovat saaneet viruksenkehittäjiä kiinni. Näihin mielestäni pitäisi iskeä rankasti, tehdä viruksen kirjoittamisesta niin kovasti rankaistavaa että harrastelijapohjalta ei enää uskallettaisi viruksia tehdä.
Tietenkin sitä sopii miettiä että kannattaako 16 vuotiaalle nörtille antaa 20 vuotta ehdotonta viruskokeiluista.... mutta jos lähdetään siitä olettamusksesta että ammattirikollisuus virusten takana jäisi ainoaksi uhkakuvaksi niin virkavallan panosta ja oikeusistuimien päätökset voisivat kohdistua tarkoituksenmukaisemmin.

Verkkoliikenne on todellakin hidastunut melkoisesti, nyt varmaan ei olla ihan siinä 20-25% minkä Mydoom hidasti verkkoliikennettä mutta ei olla enää kaukana. Mydoomin jättämien takaporttien vaikutuksista Internet kärsii vielä vuosia. Joissakin visioissa on mietitty Internetin jättämistä tällaiseksi tietoturvauhkien viidakoksi ja rinnakkaisen, turvallisemman verkoston perustamista. Itse pidän tuota ajatusta mahdottomana; takana taas raha.

 

[Carlos]

Sekä työ että privaatti-osoitteeni ovat olleet jo pitkän aikaa lähes tyhjiä turhista posteista. Tänään on molempiin tippunut urakalla posteja, joissa on onelainerin lisäksi *.pif -muodossa joku liite jonka kaikki e-mail administraattorit blokkaavat automaattisesti. Onko jollain tietoa tästä, tuntuu olevan aika "levinnyt" virus..?

 

[Gags]

Viestin lähetti Carlos
Tänään on molempiin tippunut urakalla posteja, joissa on onelainerin lisäksi *.pif -muodossa joku liite jonka kaikki e-mail administraattorit blokkaavat automaattisesti. Onko jollain tietoa tästä, tuntuu olevan aika "levinnyt" virus..?

Taitaa ainakin tuon Netsky-viruksen yksi käyttämistä "tiedostonimi"-päätteistä olla tuo .pif ja muita ovat ainakin:
.exe
.scr
.com

tarkemmat määritelmät tästä.

 

[SherwoodinHartsa]

Tänään maailma rajusti valloittanut viirus on NetskyD- niminen.
Yksi sen leviämismuoto on Re alkuiset viestit, joissa on .pif liite.

Itselleni on tullut firmamme serverin putsaamia viestejä noin kaksikymmentä tänään.

Jollakulla on kone ns sekaisin ja virus lähettelee sähköposteja oikein urakalla.

Lisää aihesta oheisela sivulla

http://www.europe.f-secure.com/v-descs/netsky_d.shtml

 

[Gellner]

Viestin lähetti SherwoodinHartsa
Tänään maailma rajusti valloittanut viirus on NetskyD- niminen.
Yksi sen leviämismuoto on Re alkuiset viestit, joissa on .pif liite.

http://www.europe.f-secure.com/v-descs/netsky_d.shtml

Olen tietoliikennefirmassa duunissa, joten eihän täällä tietenkään tietoturva toimi :) Duunimeiliin tuli 14 virusmeiliä ja Hotmailiin yksi meili. Liitetiedostoja en avannut, mutta niin vain virus pääsi livahtamaan koneelle, eikä se suostu poiskaan lähtemään. Höh.