Tietokonevirukset

[OldTimeHockey]

Re: ZoneAlarmista

Viestin lähetti PKrJ
Onko konekohtaisen palomuurin käyttäminen tarpeellista, kun kone on muutenkin TOAS:n palomuurin takana?
Vai onko se hätävarjelun liioittelua?

Ei ole nykypäivänä liioittelua. Nuo rautapalomuurit kun eivät yleensä puutu ulospäin menevään liikenteeseen lainkaan, joten sinun koneeltasi, jonkun mahdollisen pöpön toimesta otettu yhteys menee iloisesti sen ohi. Softapalomuuri ainakin hihkaisee aina, kun joku uusi tai tiedoiltaan muuttunut ohjelma yrittää jotain lähettää verkkoon.

Lisähyötynä on se, että virusten ohella myös kaikenmaailman spywaret yms. turhakkeet jäävät helposti nalkkiin yrittäessään ottaa yhteyksiä ulkomaailmaan.

Mitä tietoturvaan tulee, niin hätävarjelun liioittelua ei taida näin päivinä olla enää olemassakaan.

 

[Sistis]

Viestin lähetti Sistis
Jaaha... ja taas pukkaa sähköpostia oudoista osoitteista enemmän kuin laki sallii. Pariin otteeseen olen tänään tarkastanut luukku.comini ja kummallakin kerralla olen poistanut 7 kappaletta tuntemattomista osoitteista tulevia "Re: That movie"-viestejä tms.

Eli virukset liikkeellä taas. Siksiköhän mulla on kuumeinen olo?

Ja vittu, nyt niitä perkeleitä oli jo 22 siellä. Tänään on siis tullut jo 36 virusviestiä.

 

[Tuen Vety]

Re: ZoneAlarmista

Viestin lähetti PKrJ
Onko konekohtaisen palomuurin käyttäminen tarpeellista, kun kone on muutenkin TOAS:n palomuurin takana?
Vai onko se hätävarjelun liioittelua?

TOAS:n palomuuri ei suojele sinua mahdollisilta talon sisältä tulevilta hyökkäyksiltä. Esim. jos hauska teekkarinaapurisi päättää levitellä viruksiaan Mikontalossa.

Vertaa: Tarvitseeko asuntoni ovea lukita, jos TOAS on asentanut kerrostalon alaovelle lukon??

 

[Bone]

Viimeiset pari viikkoa on saanut putsailla asiakkaiden tietokoneita, kun ovat saaneet jonkun noista monista viruksen muodoista koneelleen.
Lähes poikkeuksetta homma toimii tyyliin:
- Ad-aware sisään, päivitykset, virus löytyy.
- Symantecin sivuilta Fixblast ajamaan.
- Asennetaan Norton Internet Security ja viruspäivitykset sekä full system scan.
- Käyttiksen päivitys valmistajan sivujen kautta.

Ainuttakaan konetta ei ole tullut takaisin, että ei olisi onnistunut putsaus.
Asian huono puoli on se, että Nortonin ohjelma maksaa tuollaiset alk. 80 euroa. Siis sille joka ei ole rahaa paljoa, tai ei viitsi satsata virusskanneriin. Nortonin laitonta versiota on varmasti netissä liikkellä paljon.
Norton 2004-versio ilmestyi maanantaina. Kunnon versiota voitaneen odotella loppusyksystä.

Norton on varmasti markkinoiden paras virustutka, jossa on sisällä oma palomuurisofta. Omalle koneelleni tulee joka päivä yrityksiä päästä toiselta koneelta sisään. Norton blokkaa ne kaikki ja ilmoittelee. Ilmoitti tosin välillä, että mun ip:stä on yrittetty tunkeutua koneelleni :)
Tosin Norton kertoo, että myös vaarattomia yrityksiä saattaa tulla koneelle, jotka vain tunnistetaan uhaksi.

Moni luulee, että on itse turvassa. Silloin se pahiten iskeekin.

 

[LaTe_Show]

Feds arrest teen in 'Blaster' Web attack

"An 18-year-old man suspected of creating a version of the "Blaster" computer infection is in custody in Minnesota, U.S. government sources said Friday."

http://www.cnn.com/2003/TECH/internet/08/29/worm.arrest/index.html

 

[Jii]

Asiantuntevia toimittajia...

Törmäsin seuraavaan uutiseen:

http://www.mtv3.fi/uutiset/mediait/mediait.shtml?2003/08/183685

Siis hetkinen. Eivät siis maikkarilla tiedä että virus lähettelee posteja itsekseen. Eikä siinä mistään toisen identiteetin varastamisesta ole kyse, vaan osoitteet napataan lähetetyistä/saapuneista osoitteista/osoitekirjasta.

Pientä asioiden tarkistamista kiitos, ennenkuin niitä valtakunan verkkoon lähetetään.

Ei kai kukaan nyt niin idiootti voi olla että Paavo Väyrysen nimissä posteja lähettelisi. Kuka niitä muka lukisi?

 

[Jii]

Nyt romanialainen teekkari on pidätetty:

http://www.mtv3.fi/uutiset/mediait/mediait.shtml?2003/09/184334

 

[Jude]

verifierbug.class

Espoo Bluesin nettisivujen (www.blues.fi) webbikamerasta sain kahdeksan(!) otsikon mukaista troijalaista. Norton nappasi ne kiinni.

 

[theref]

Kaikki tarkkana!

Jälleen on löytynyt uusi haavoittuvuus, itse asiassa 3 kappaletta RPC-rajapinnasta!

Ei olisi mikään ihme jos samanlainen tilanne kuin msblastin kanssa ilmenisi!

Lisää Microsoftin sivuilta.

 

[Jii]

Swen myllertää tietoverkossa. Mullekin on tullut eilisen ja tämän päivän aikana noin 10 kertaa.

 

[Huerzo]

Kiitokset kaikille, jotka lähettävät varoituksia uusista viruksista, tietoturva-aukoista ynnä muista vihulaisista tähän ketjuun. Tätä palstaa tulee seurattua niin tiiviisti, että olen varmasti säästynyt tämän vuoden aikana monelta (ATK-)harmilta. Jatkakaa samaan malliin!

 

[Mike]

Mikähän tämä on..?

Tänä aamuna tullut sähköposti 'Microsoftilta'. Viesti on kyllä ihan aidon näköinen taustaa myöten. Mukana on liite, jonka pitäisi viestin mukaan olla tietoturvapäivitys, mutta f-secure sanoo jotta näin:

Vahingollinen koodi on löytynyt tiedostosta C:\DOCUMENTS AND SETTINGS\LOCAL SETTINGS\TEMPORARY INTERNET FILES\OLK5\PATCH6675.ZL9.
Virustartunta: W32/Swen.A@mm
Toiminto: Tiedosto on puhdistettu.

Mikähän jutska mahtaa olla kyseessä? Ja samalla tietty varoituksen sana tästä muillekin.

 

[Mike]

Viestin lähetti Jii
Swen myllertää tietoverkossa. Mullekin on tullut eilisen ja tämän päivän aikana noin 10 kertaa.

Joo.. Jospa olisi lukenut ketjun ennen viestin postaamista..

 

[Ted Raikas]

Viestin lähetti Iceman
Tiny Personal Firewall on yksi parhaista ilmaisista palomuureista. Kerio Personal Firewall toimii samalla enginellä, on vain hiotumpi.
Suosittelen lämpimästi.

No jopas on sekava ohjelma tuo Kerio? Ruudulle hyppii jatkuvalla syötöllä ilmoitusta ties mistä ja ei osaa yhtään valita että mikä on mitäkin. Kaikkien ilmoitusten kohdalla "deny" valinta ei edes toimi. Lisäksi internetsivustoista suurin osa ei suostu enää aukeamaan tuon ohjelman kanssa. On toki todennäköistä että olen täysi käsi kyseisen ohjelman suhteen, mutta näin äkkiseltään tuntuu liian vaikeakäyttöiseltä.
Onko muita (yksinkertaisempia ja selkeämpiä) palomuurivaihtoehtoja? ZoneAlarm osoittautui konetta jumittavaksi härpäkkeeksi, joten siihenkään en enää palaa.

 

[Vteich]

Viestin lähetti Ted Raikas
No jopas on sekava ohjelma tuo Kerio? Ruudulle hyppii jatkuvalla syötöllä ilmoitusta ties mistä ja ei osaa yhtään valita että mikä on mitäkin. Kaikkien ilmoitusten kohdalla "deny" valinta ei edes toimi.

Deny / permit ja raksi ruutuun "Create appropriate filter rule and don't ask me again", niin ei ruudulle hypi jatkuvalla syötöllä ilmoituksia. Kyllä se deny toimii kaikkien kohdalla.

www-sivujen tökkimisen kanssa ei Keriolla pitäisi olla mitään tekemistä. Ainakin itsellä toimii ihan normaaliasetuksin kaikki täysi ok Kerion kanssa.

 

[Mike]

Mikä tää on?

F-Secure heittää tarkistuksen jälkeen tämmöisen ilmoituksen:

C:\System Volume Information\_restore{xxxxx-xxxxx-xxxx-xxxx-xxxxxxxxxxx}\RP181\A0029292.exe
Virustartunta: is a security risk or a "backdoor" program

En ymmärrä millä helvetillä tuon saa poistettua ja mikä tuo voisi olla. Se Lovsan mulla oli tossa hiljattain ja on tainnut sen jälkeen olla pari muutakin, jotka tutka on havainnut jo tullessa - olisiko tämä jotain jäänteitä noista vai mikä lie?

C:\System Volume informationissa ei saa näkyviin yhtään alikansiota, enkä etsi-toiminnollakaan tuota mistään löydä, mutta semmoinen tuolla kaiketi näyttää olevan. Kertokaapa nyt expertit mikä tuo on ja millä sen saa helvettiin.


BTW. Tässä muutaman viime päivän aikana on koneelleni yrittänyt varmasti kymmenkunta virusta. Tuo 'Swen' sähköposti on tullut koneelleni about pari kertaa päivässa ja sen lisäksi on tullut jotain hämäriä returned mail -juttuja, vaikken ole käyttänyt koko outlookia. Liekö koneeni yrittänyt lähetellä jotain eteenpäin, vai olisiko noissakin jotain matoja. Netistäkin on f-prot löytänyt juttuja pari-kolme kertaa.
Luulisi perkele, että ainakin Elisan postipalvelimet estäisivät sentään jonkun kerran noita yrityksiä, mutta eivät näytä estävän. Palomuurina mulla on Zone Alarm, joka ei myöskään ole pihahtanut kertaakaan, mutta päivittäin päivittyvä f-prot sentään reagoi.

 

[masahiko]

Tänään oli Outlookissa tarjolla Microsoftin tärkeä ja kiireellinen päivitys.Onnekseni muistin varoituksen sanat,ettei sieltä tule ikinä mitään sähköpostin kautta,joten poistin sen välittömästi.
Eikai tuosta pitäis jäädä mitään "örkkejä" koneeseen?

 

[Mike]

Viestin lähetti masahiko
Tänään oli Outlookissa tarjolla Microsoftin tärkeä ja kiireellinen päivitys.Onnekseni muistin varoituksen sanat,ettei sieltä tule ikinä mitään sähköpostin kautta,joten poistin sen välittömästi.
Eikai tuosta pitäis jäädä mitään "örkkejä" koneeseen?

No juuri tuo on tullut itselleni pari kertaa päivässä. Sisältää tuon yllämainitun Swen-viruksen.

 

[masahiko]

Viestin lähetti masahiko
Tänään oli Outlookissa tarjolla Microsoftin tärkeä ja kiireellinen päivitys.Onnekseni muistin varoituksen sanat,ettei sieltä tule ikinä mitään sähköpostin kautta,joten poistin sen välittömästi.
Eikai tuosta pitäis jäädä mitään "örkkejä" koneeseen?

Juolahtipa mieleeni,että missä vaiheessa F-Securen virustorjunnan pitäisi ilmoittaa näistä,silloin,kun se (sp.) tulee koneelle vai silloin,jos yritän avata tällaista virusviestiä?
Kun ei ole aikaisemmin tullut yhtään hälytystä vastaan tässä vuoden aikana,jonka olen harjoitellut nettiseikkailua.
Palomuuri toki ilmoittaa lokissaan useistakin yrityksistä päivittäin.

 

[Vteich]

Viestin lähetti Mike
BTW. Tässä muutaman viime päivän aikana on koneelleni yrittänyt varmasti kymmenkunta virusta. Tuo 'Swen' sähköposti on tullut koneelleni about pari kertaa päivässa ja sen lisäksi on tullut jotain hämäriä returned mail -juttuja, vaikken ole käyttänyt koko outlookia. Liekö koneeni yrittänyt lähetellä jotain eteenpäin, vai olisiko noissakin jotain matoja.

Swenhän leviää mm. sähköpostin kautta noiden "Microsoftin" "päivitys"viestien ja "Returned mail" -viestin välityksellä. Eli et kai ole mennyt edes lukemaan noita returned mail -viestejä, koska sen enempää ei tarvita koneen saastuttamiseksi.

 

[Iceman]

Viestin lähetti Mike

C:\System Volume informationissa ei saa näkyviin yhtään alikansiota, enkä etsi-toiminnollakaan tuota mistään löydä, mutta semmoinen tuolla kaiketi näyttää olevan. Kertokaapa nyt expertit mikä tuo on ja millä sen saa helvettiin.

Windows XP :n (tai ME tai W2K) tekee noita restorepointteja jotka eivät näy normaalisti. Mene valitsemaan Folder Optioneihin välilehdelle View:
Täppä ruutuun: Show hidden files and folders
Täppä POIS: Hide protected operating system files (recommended)

Sitten klikkaat Apply to all Folder niin alkaa näkyä System Restore. Tsekkaa FSAVin raportista restorepointissa majailevan tiedoston numero ja tapa se. Toinen vaihtoehto on etsiä siitä restore point kansiosta .0xe -pääteistä tiedostoa ja tappaa se.

Nuo hämärät ilmoitukset siitä että "mailisi" ei ole mennyt perille johonkin hemmetin osoitteeseen johtuvat mitä todennäköisimmin siitä että osoitteesi on väärennetty ja vastaanottajan sp-järjetelmä palauttaa "lähettäjälle" virheilmoituksen ei-löytyvästä osoitteesta tai siitä että "lähetämässäsi" viestissä oli viruksen infektoima liitetiedosto.

Edit: Niin, osalla viruksista leviämistekniikkana on juuri tuollainen returned mail -ilmoitus, jonka liitteenä on sitten se varsinainen virus.

 

[Iceman]

Viestin lähetti masahiko
Juolahtipa mieleeni,että missä vaiheessa F-Securen virustorjunnan pitäisi ilmoittaa näistä,silloin,kun se (sp.) tulee koneelle vai silloin,jos yritän avata tällaista virusviestiä?
Kun ei ole aikaisemmin tullut yhtään hälytystä vastaan tässä vuoden aikana,jonka olen harjoitellut nettiseikkailua.
Palomuuri toki ilmoittaa lokissaan useistakin yrityksistä päivittäin.

FSAVissa on on-acces -tyyppinen realiaaikasuojaus eli siinä vaiheessa kun tiedostoa, joka on infektoitunut, koetetaan käsitellä. FSAVia ei saa kytkettyä suoraan e-mail clientiin niinkuin esim. Nortonin Antivirusta joka osaa skannata tulevan/lähtevän postin suoraan.

 

[Mike]

Kiitoksia vinkistä Icemanille. Oli aika pirulainen poistettavaksi tuon jälkeenkin, kun loi itsensä toiseen paikkaan pariinkin kertaan ennen kuin delete -tehosi. Teki ensin program files kansioon /khk/ck/dating.exe tjsp. tiedoston ja sitä poistettaessa taas system volume informationiin sen yllämainitun, mutta hävisipä lopulta.

Kiitoksia.

 

[Vteich]

IRC:ssä leviävä matonen

Kaikille IRC-käyttäjille tiedoksi, että siellä leviää ahkeraan mato.

"WARNING: There is a new worm spreading around. If you see a message with a URL that looks like: 'http://www.kromberg.at/<censored>=drunkchicks.jpg LOL' do NOT visit that link. If you have visited it already you have gotten infected, and you are advised to remove c:\browsercheck.exe"

En sitten tiedä tekeekö tuo muuta haittaa kuin lähettää tuota samaa urlia eteenpäin kaikille käyttäjän kanaville. Vittumaisia kuitenkin.

 

[stiflat]

Terve!
Hankinnassa on nyt laajakaista ja olisikin kiva tietää että mitä
kannattaa heti ensiksi asentaa koneelle (netistä) ennenkuin
alkaa varsinaisen surffauksen.

Itselläni ei ole juuri mitään hajuakaan mitä virustorjuntaohjelmaa
kannattaisi käyttää, joten kysynkin nyt teiltä jotka näistä asioista
tietävät, että mistä ja mitä kannattaa imuroida.

Onko nämä ohjelmat sellaisia että ovat käytännössä päällä
kokoajan kun surffailee, vai pitääkö ne ajaa tietyin väliajoin läpi?

Jotain F-securityä, Spybotia ym. olen kuullut, mutta sanokaapa te
mikä on kannattava. En siis halua mitään koko koneen
hidastavaa suojausta, vaan ihan perusihmisille tarkoitetun.