Tietokonevirukset

[wilco]

Viestin lähetti Vth
Ei ne virukset nettiä surffailemalla koneelle yhtäkkiä pöllähdä, lähinnä olemalla tyhmä.

Vaan kylläpä tulevat. Kokemuksia ihan parin viikon sisältä. Äläkä kysy viruksen nimeä, on jo jäänyt unholaan setviessä postipalvelimella näitä paria viimeisintä. Mutta tulipahan ihan ns. luotettavalta sivulta virus, mutta samaa tahtia virustorjunnan toimiessa viuhahti bittien helvettiin...

Että silleen...

 

[varjo]

Fireblade:

Ainakin itse suhtaudun kaikkiin tiedostoihin jotka sisältävät sana "dialer" erittäin vihamielisesti, vaikkeivat ne enää laajakaistakäyttäjää sinäänsä haittaakaan.

Sanoisin että koska Spybot ne löytää niin kyseessä on spywarea jonka tarkoitus mahdollisesti olisi ottaa mm. luvattomia yhteyksiä puhelinlinjoja pitkin, jos siis sinulla sattuu olemaan isdn/modeemi.
Dialereitakin tosin on vaarattomia ja haitallisia mutta yleisesti ottaen niitten poistamisessa ei menetä mitään, etenkin jos ko. ohjelmat löytyvät Spybotilla joka jättää huomioimatta "oikeat" dial-up-softat.

Eli Kill 'Em All

 

[Fireblade]

Viestin lähetti varjo
Fireblade:

Ainakin itse suhtaudun kaikkiin tiedostoihin jotka sisältävät sana "dialer" erittäin vihamielisesti, vaikkeivat ne enää laajakaistakäyttäjää sinäänsä haittaakaan.

Sanoisin että koska Spybot ne löytää niin kyseessä on spywarea jonka tarkoitus mahdollisesti olisi ottaa mm. luvattomia yhteyksiä puhelinlinjoja pitkin, jos siis sinulla sattuu olemaan isdn/modeemi.
Dialereitakin tosin on vaarattomia ja haitallisia mutta yleisesti ottaen niitten poistamisessa ei menetä mitään, etenkin jos ko. ohjelmat löytyvät Spybotilla joka jättää huomioimatta "oikeat" dial-up-softat.

Eli Kill 'Em All

Poistin kaikki ActiveX & Dialer nimiä sisältävät tiedostot pois. Kuitenkaan en vielä ole rohjennut poistaa viittä DSO Exploit-tiedostoa ja kolmea Windows Media Player-tiedostoa, koska niiden osoitteet viittasivat Microsoftiin. Kannattaako nuokin poistaa koneelta, vai jätänkö ne rauhaan?

Minulla on muuten tuo mainitsemasi laajakaista yhteys, joten noista dialer-tiedostoista ei kai suurempaa vaaraa olisi ollut?

 

[Hamraan]

Ei liity niinkään viruksiin, mutta kun täällä on spybotista keskusteltu. Kun spybot löytää jotain ja sinulla ei ole tietoa mikä se mahtaa olla niin kannattaa googlettaa sen tiedoston nimellä. Silloin yleensä tulee linkkejä sivuille joissa kerrotaan kyseisestä tiedostosta ja sen ominaisuuksista ja haitallisuuksista.

 

[Jude]

Viestin lähetti Hamraan
Ei liity niinkään viruksiin, mutta kun täällä on spybotista keskusteltu. Kun spybot löytää jotain ja sinulla ei ole tietoa mikä se mahtaa olla niin kannattaa googlettaa sen tiedoston nimellä. Silloin yleensä tulee linkkejä sivuille joissa kerrotaan kyseisestä tiedostosta ja sen ominaisuuksista ja haitallisuuksista.

Myös klikkaamalla Spybotin löytämän tiedoston kohdalla, siihen ilmestyy usein ikkuna, joka kertoo tiedoston ominaisuuksista. Ikkunassa on usein myös linkki sivuille, jotka kertovat enemmän. Itse ajan Spybotin läpi joka ilta ennen koneen sulkemista ja käytännössä joka kerta kovalevyltä löytyy jotain sinne kuulumatonta.

 

[Iceman]

Viestin lähetti Hamraan
Ei liity niinkään viruksiin, mutta kun täällä on spybotista keskusteltu. Kun spybot löytää jotain ja sinulla ei ole tietoa mikä se mahtaa olla niin kannattaa googlettaa sen tiedoston nimellä. Silloin yleensä tulee linkkejä sivuille joissa kerrotaan kyseisestä tiedostosta ja sen ominaisuuksista ja haitallisuuksista.

Jeah ja täältä löytyy melkein kaikki tarvittava tieto malwaresta, varsinkin keskustelusta etsimällä.

EDIT: Spybottia suosittelen itsekin ottaa tarkemmin haitalliset tiedostot pois kuin Ad-Aware

 

[OldTimeHockey]

Viestin lähetti Jude
Itse ajan Spybotin läpi joka ilta ennen koneen sulkemista ja käytännössä joka kerta kovalevyltä löytyy jotain sinne kuulumatonta.

No huh huh.

Mikäli et näillä päivittäisillä löydöksillä viittaa tavallisiin cookie-tiedostoihin, kannattaa koneen turva-asetukset ruuvata pikapikaa kuntoon. Vaikka ylimääräiset turhakkeet saakin Spybotilla jälkikäteen pois, ei konetta tule missään nimessä noin avoimena pitää, että joka päivä pääsee joku läpi. Joku kerta voi vahinko olla jo tapahtunut siinä vaiheessa, kun ajat spyware-skannauksen.

Itse asensin Spybotin kotiin ja töihin jokunen kuukausi sitten. Ensimmäisen skannauksen ja siivouksen jälkeen ei ole kertaakaan löytynyt yhtikäs mitään.

 

[Huerzo]

Tulipa sitten itsekin saatua moinen loinen. Ensimmäinen kerta noin 6-7 vuoteen, muuten. Mutta onneksi oli suojaus päällä (kortsu verkkokortin ympärillä :) ), niin ei päässyt paha tarttumaan. Virus tuli Kazaan kautta, joten jos harrastelette suojaamatonta "vaihtelua" ja lentelette koneesta koneeseen niin muistakaa huolehtia suojauksesta - kuten allekirjoittanut.

Vaikka menisikin mainostuksen puolelle, niin kyllä tuo ilmainen virustutkakin (AntiVirus, www.free-av.com) pärjää vaikka asiaa jonkin verran epäilin (kun ei mitään ollut löytynyt...).

Paholaisen nimi oli virustutkan mukaan TR/Pac, mutta kun yritin viruksesta tarkempaa tietoa löytää, ei tuolla nimellä löytynyt juuri mitään. Onko kenelläkään heittää linkkiä tai tietoa siitä millainen pöpö on kyseessä?

 

[Jude]

VAROITUS!

Tulin juuri kotiin ja avasin koneen sekä sähköpostin. Norton kaappasi sähköpostin, jonka lähettäjänä oli Mainostoimisto EXX ja otsikkona "Mainokset pelipaidoissa". Nortonin Activity log kertoo seuraavaa: "The email attachment 15 v presentaatio.ppt.scr is infected with the W32.Bugbear.B@mm virus."

 

[Gags]

Viestin lähetti Iceman
EDIT: Spybottia suosittelen itsekin ottaa tarkemmin haitalliset tiedostot pois kuin Ad-Aware

Voiko Spybottia ja Ad Awarea käyttää rinnakkain ? Anyone ?

 

[varjo]

"Voiko Spybottia ja Ad Awarea käyttää rinnakkain ? Anyone ?"

voi

 

[OldTimeHockey]

Spybot ja Ad-Aware toimivat ihan kiltisti rinnakkain. Joissakin tilanteissa saattavat kuulemma herjata toistensa "eristämistä" (quarantine) tiedostoista, mutta niistä ei kannata huolestua.

 

[MadMan]

Viestin lähetti Huerzo
Paholaisen nimi oli virustutkan mukaan TR/Pac, mutta kun yritin viruksesta tarkempaa tietoa löytää, ei tuolla nimellä löytynyt juuri mitään. Onko kenelläkään heittää linkkiä tai tietoa siitä millainen pöpö on kyseessä?

F-Securen kotisivuilta löytyi infoa Kazaassa liikkuvasta "madosta" nimeltä Pac. Se ainakin sopisi kuvaan. Lisää tietoa viruksesta osoitteesta <URL:http://www.f-secure.com/v-descs/trojpac.shtml>.

 

[teemu]

Hacker.ag niminen dialer oli päässyt toiselle koneelleni (eli ei tälle, josta nyt kirjoitan), SpyBot selasi tiedostoja muutaman sekunnin ja antoi tämän näköisen ilmoituksen:

http://koti.mbnet.fi/lord_pns/SPYBOTTT.JPG

Enkä ole viime aikoina edes surffaillut millään aikuisviihde-sivuilla. :-)

Ongelma on siinä, että nyt kun ajan Spybotin tai virusscannerin, kone kaatuu n. 1-2 minuutin etsimisen jälkeen, enkä saa tuota dialeria pois.

 

[Iceman]

Viestin lähetti teemu

Ongelma on siinä, että nyt kun ajan Spybotin tai virusscannerin, kone kaatuu n. 1-2 minuutin etsimisen jälkeen, enkä saa tuota dialeria pois.

No nyt on jotain muutakin vikaa koneessa kuin tuo dialeri jos et pysty ajamaan scanneja läpi. Ei muuta kuin uudelleenasennus, päivitys ja scannaus. SpyBotin pitäisi pystyä hoitamaan tuo Hacker.ag , se on turvallinen tapa tehdä poisto.

Voisit tietenkin searchilla etsiä tiedostoja:
\\coder.log
\\coder.ini
\\system32\h@tkeysh@@k.dll
ja tappaa ne. (en ota vastuuta v*tuiksi menneestä käyttiksestä)

Sitten vielä rekisteristä etsit avaimia hacker.ag :llä ja tapat ne.

Tämähän on siis dialeri joka soittaa servereiden kautta huokeaan 99$/min hintaan...

 

[teemu]

Joopa joo. Asensin päivällä käyttiksen (WinXP) uudelleen, ja nyt näyttää siltä, ettei siellä suinkaan ollut mitään dialeria, vaan "muutamaan" muuhunkin koneeseen äskettäin levinnyt Lovsan/MSBlaster-mato. Ei ihme kun kone muuttui yht'äkkiä ihan vitun epävakaaksi. Imuttelin juuri f-securen sivuilta ohjelman, jolla se pitäisi saada poistettua, saa nähdä miten käy.

 

[suuris]

Suosittelen lukemaan...

Uusi mato iskee Windowsin päivitykseen


KALEVI NIKULAINEN
Julkaistu: 12.08.2003 08:20 - Helsinki


F-Secure varoittaa uudesta RPC-turvareikää hyödyntävästä madosta, joka tunnetaan nimillä Lovsan, Blaster tai Msblast. Se leviää Windows-työasemien ja -palvelimien kautta MSBLAST.EXE -nimisenä tiedostona ja sisältää tuhorutiinin joka hyökkää windowsupdate.com -palvelua vastaan 16. elokuuta.

- Tietoturva-alalla on pelätty tällaista matoa siitä lähtien kun RPC/DOM -tietoturvareikä havaittiin heinäkuussa, toteaa F-Securen virustentorjuntayksikön tutkimusjohtaja Mikko Hyppönen.

F-Securen virustentorjuntayksikkö sai ensimmäisen näytteen Lovsan-madosta maanantaina kello 22.22 Suomen aikaa. Se leviää 6176-tavun suuruisena MSBLAST.EXE -nimisenä tiedostona Windows 2000 ja Windows XP -käyttöjärjestelmissä ellei käyttöjärjestelmän turvapäivityksiä ole asennettu.

Tartutusta verkon yli

Mato etsii internetistä suojaamattomia koneita ja tartuttaa ne verkon yli. Mato jatkaa leviämistä jokaisesta saastuttamastaan koneesta. Tartunta toteutuu niin, että koneen käyttäjä ei huomaa mitään tavallisuudesta poikkeavaa.

Lovesan-madon sisällä on piilotettu viesti I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!

- Madolla näyttää olevan selvä hyökkäysrutiini. Lauantaina 16.8. mato aloittaa hajautetun palvelunestohyökkäyksen windowsupdate.com -palvelua vastaan. Jos mato jatkaa nopeaa leviämistään, hyökkäys saattaa kaataa koko palvelun, Hyppönen huomauttaa.

Lähde: http://tapani.digitoday.fi/tietoturva/showpage.php?id=1896

--

Tuo mato tosiaan on levinnyt aika rankasti. kolmella kaverillani oli jo kuulemma. Seuraavien pakettien avulla pitäisi asia saada tarkistettua. Itselläni en löytänyt matoa - toistaiseksi.

ftp://ftp.f-secure.com/anti-virus/tools/f-lovsan.zip

http://securityresponse.symantec.com/avcenter/FixBlast.exe

"Worms make the dirt and the dirt makes the earth" -The Aquabats

 

[Iceman]

Viestin lähetti teemu
Lovsan/MSBlaster-mato. Ei ihme kun kone muuttui yht'äkkiä ihan vitun epävakaaksi.

Juuh, ei voi tarpeeksi korostaa palomuurin ja toimivan, ajantasaisen virustorjunnan merkitystä. Palomuuri on muuten oivallinen apuväline epätavallisen verkkoliikenteen bongaamiseen joka puolestaan kielii siitä että koneessa saattaa olla jotain outoa jos kone lähettelee paketteja / skannailee verkkoa turhankin aktiivisesti.

Oma "neurootikon" asennusresepti (winkkarit):

0) Varmistu, että asennuspaketit ovat puhtaita

1) Käyttiksen asennus + SP :t ja patchit niin hyvin on saatavilla (muista viilata winkkarin pahimmat aukot umpeen samantien)

2) Virustorjunta (reaaliaikainen skannaus päälle ja integrointi e-mail clientiin)

3) Palomuurin asennus (default = kaikki kiellettyä)

4) Kytkeytyminen nettiin (palomuurisäännöt huolella!)

5) Jo asennettujen kamojen päivittäminen viimeiseen tasoon netistä

6) Muun softan asentaminen ja päivittäminen

7) Virusskannaus + malware skannaus

Tästä eteenpäin pitäisi terveellä järjellä varovaisuudella pärjätä.

Tästä saisi kyllä kirjoitettua novellikokoelman mutta eipä tämä taida olla oikea foorumi siihen.

T. nimim. "kantapään kautta opittua" :)

Edit: typometsällä

 

[Vteich]

Joop, tämä msblast on tosiaan aiheuttanut suht paljon ongelmia ihmisille ja levinnyt helvetin nopeasti.

Eli siis, kaikille Wintoosa-käyttäjille suositeltavaa olisi hakea se tarvittava päivitys www.windowsupdate.com :ista. Tai jos ei, niin palomuurilla sulkea portit 135, 139, 445 ja 593 (kannattaa varmaan sulkea siltikin), sekä sulkea tuo DCOM manuaalisesti. Eli ainakin WinXP:ssä tapahtuu näin: Start --> Run --> dcomcnfg (klikkaa OK) --> tuplaklikkaa Component Services --> tuplaklikkaa Computers --> klikkaa hiiren oikealla napilla My Computer ja valitse Properties --> valitse välilehti Default Properties ja ota ruksi pois kohdasta "Enable Distributed COM on this computer". Luultavasti (melko) samalla lailla muillakin Windowseilla.

 

[Jii]

Olenko ymmärtänyt väärin, mutta iskeekö Luvsan ainoastaan uudempiin windowseihin, eli NT, XP, 2000?

98:ni olisi siis turvassa.

 

[palle fontän]

Viestin lähetti Jii
Olenko ymmärtänyt väärin, mutta iskeekö Luvsan ainoastaan uudempiin windowseihin, eli NT, XP, 2000?

98:ni olisi siis turvassa.

Kyseinen virus ei taida toimia kuin XP:ssä ja 2000:ssa (2003:sta en ole varma). Itse haavoittovuus, jota virus käyttää, löytyy myös NT:stä, joten lienee ajan kysymys, koska NT on vaarassa. 98 on tältä turvassa.

 

[Korak]

Iceman....Itselläni Xp Pro, ja Nortonia, ja tein juuri eilen virus updaten, ja tänään scannasin Nortonin virusohjelmalla koneeni, yhtään virusta ei löytynyt. Pitääkö tämä paikkaansa tähän kyseiseen matoon?

 

[Iceman]

Viestin lähetti Korak
Iceman....Itselläni Xp Pro, ja Nortonia, ja tein juuri eilen virus updaten, ja tänään scannasin Nortonin virusohjelmalla koneeni, yhtään virusta ei löytynyt. Pitääkö tämä paikkaansa tähän kyseiseen matoon?

Tällä hetkellä olet turvassa tuon madon leviämiseltä (olettaen että reaaliaikainen skannaus on päällä) mutta et sen hyödyntämältä aukolta jolla voidaan tehdä koneellesi erinäisiä temppuja. Tänään tai viimeistään viikon loppuun mennessä tulee uusi variantti tästä madosta tai kokonaan uusi mato, joka hyödyntää tätä samaa RPC 135 haavoittuvuutta.

Eli kaikki NT :n, W2K :n, XP :n ja 2003 :n omistajat: PATCHATKAA KONEENNE !

Edit: käyttislistaa laajennettu (muisti tekee tepposet)

 

[finnishninja]

Harvinaisen vittumainen virus tämä Luvsan. Se iski tyttöystäväni koneeseen eilen. Suurin ongelma oli hakea tietoa ja työkaluja, sillä kone sammuttaa ja käynnistää itse itsensä koko ajan.
Norton oli päivitetty ja löysi scannaamalla viruksen, mutta ei saanut sitä poistettua. Lääke löytyi jo ylempänä mainituista linkeistä.

 

[V-man]

No Luvsanihan se meidänkin firman koneita sekoitti. Ei ollut ilmeisesti päässyt sisään asti, mutta jo pelkkä yritys sekoitti koneiden toimintaa. Nyt on päivitykset kunnossa ja "työnteko" saa jatkua. Olisi minun puolestani saanut vaikka tuhota koko koneen.