Viruksia Huhu-Areenassa!

[Edit]

Tässä yleinen varoitus kaikille:

Pari viikkoa sitten menin Huhu-areenan keskustelupalstalle, poistuessani sivulta, avautui naamani eteen Nortonin varoitus viruksesta (nimeä en muista).

Ajattelin, että tuo oli vain huonoa sattumaa ja päätin testin vuoksi kokeilla uudestaan samaa sivua ja taas sama homma. Tänään, kun olin formatoinnin jälkeen saanut koneen taas kukkumaan, päätin mennä pistäytymään sivulla uusimpien Nortonin päivityksien kanssa...kas kummaa uusi virus nimeltä "msslut.exe". Tuohon virukseen ei torjunnat toimi, eikä sitä voi normaali-teitse poistaa.

Kaikki, jotka käyttävät sivua, niin katsokaa koneestanne Windows -asennuskansiosta System32 -kansio, ettei siellä ole msslut.exe -tiedostoa. Mikäli tiedosto löytyy; käynnistä Windows vikasietotilassa, mene tuohon system32 -kansioon, mene tiedoston kohtaan ja klikkaa sitä sitä YKSI KERTA!...paina SHIFT pohjaan ja samaan aikaan DELETE ja hyväksy poisto.

msslut -virus eliminoi internetin toimivuuden ja etsii tietokoneelta kaikki mahdolliset käyttäjätunnukset ja salasanat ja lähettää ne eteenpäin. Ja mikäli aiotte tulevaisuudessa sivulla vierailla, niin hankkikaa automaattipäivittyvä scanneri.

-Sad But True-

 

[Sistis]

Epäilen suuresti tätä, tuo kyseinen foorumi kun on dk3.comin ilmaispalvelu, jota meistä kukaan ei pääse sörkkimään. Mikäli näin tosiaan on, että palvelimella on virus, tarvitsee sitten varoa kaikkia dk3.comin boardeja.

Kumma juttu muuten, minulla itselläni on myös Nortonin autoscan eikä se ole kertaakaan herjannut.

Epäilisin itse, että syy on tuon ilmaisen foorumin pop-up mainoksissa, jotka Norton mahdollisesti tulkitsee viruksiksi.


edit: Vai tarkoititko sitten tätä vanhaa foorumia?

edit2: Vai onko tämä nyt jotain helvetin huonoa pilaa? Tuon nimistä virusta kun ei löydy ollenkaan Googlella. Jotain tämänkaltaisia kusetuksia on ennenkin tehty ja tuo kyseinen exe-tiedosto on sellainen, mikä on tarpeen windowsia käyttäessä...

Siis hetkinen, virus estää internetin käytön ja lähettää silti kaikki salasanat eteenpäin... hetkinen... miten se on mahdollista??? Ja miten virus voi estää internet-yhteyden? Se on aika mahdotonta ainakin meikäläisen mieleen. Ei silti, en ole alan expertti.

 

[Edit]

Viestin lähetti Sistis


Epäilisin itse, että syy on tuon ilmaisen foorumin pop-up mainoksissa, jotka Norton mahdollisesti tulkitsee viruksiksi.

Pisti silmään tuo "tulkitsee viruksiksi". Jostain kumman syystä koneelle tuli msslut.exe, joka todellakin eliminoi netin toiminnan ja vakoilee/lähettää salasanoja, niin siinä ei tilkinnanvaraa ole.

Virus on voinut pop-upista tulla, mutta se on VIRUS, eikä ole ensimmäinen, eikä ole mikään "amatööri-virus".

VAROVAISUUTTA

 

[Sistis]

Kerro minulle joku sivu, millä kerrotaan lisää tällaisesta viruksesta. Jooko!

Areenan tiimi voi ainakin pestä kätensä koko jupakasta, mikäli virus todellakin on olemassa. Vika on silloin yksinomaan palveluntarjoajan, dk3.comin. Me kun emme ole upanneet mitään tiedostoja dk3.comin serverille, vaan ainoastaan rekisteröityneet ilmaiseen palveluun, ja tehneet normaalit asetukset netistä.

 

[Edit]

Viestin lähetti Sistis


edit: Vai tarkoititko sitten tätä vanhaa foorumia?

edit2: Vai onko tämä nyt jotain helvetin huonoa pilaa? Tuon nimistä virusta kun ei löydy ollenkaan Googlella. Jotain tämänkaltaisia kusetuksia on ennenkin tehty ja tuo kyseinen exe-tiedosto on sellainen, mikä on tarpeen windowsia käyttäessä...

Siis hetkinen, virus estää internetin käytön ja lähettää silti kaikki salasanat eteenpäin... hetkinen... miten se on mahdollista??? Ja miten virus voi estää internet-yhteyden? Se on aika mahdotonta ainakin meikäläisen mieleen. Ei silti, en ole alan expertti.

1. Yritän juuri paikallistaa viruksen lähdettä tarkalleen.

2. Tuossa jotakin tietoa Symantecin sivut

3. Virus eliminoi proxyt ja estää avaamasta sivuja, mutta se ei tarkoita sitä, että koneesi ei hae yhteyttä serveriin. (Virus on vaarallinen varsinkin laajakaistoille)

 

[Sistis]

Hmm... itselläni on Win98... eli siinä siis syy, miksi minulla ei mahdollisesti ole tuota ilmoitusta tullut. Tuo mato kun ei tunnu vaikuttavan tuohon käyttikseen.

 

[Edit]

Viestin lähetti Sistis
Hmm... itselläni on Win98... eli siinä siis syy, miksi minulla ei mahdollisesti ole tuota ilmoitusta tullut. Tuo mato kun ei tunnu vaikuttavan tuohon käyttikseen.

Siinähän se syy on :) Mutta nyt varmaan uskot, että en yritä kusettaa? Ja eipä mulla olis mitään syytä kusettaakkaan...

 

[Sistis]

Juu, kyllä uskon. Anteeksi että epäilin. Tosin mihinkään en ole enää uskaltanut luottaa sen jälkeen, kun eräs luennoitsijani lähetti sähköpostissa virus-varoituksen, joka paljastuikin sitten kusetukseksi. Tosin hän oli itsekin mennyt kusetukseen ja lähettänyt viestinsä vain eteenpäin.

Kaino pyyntö: Kun tunnut itse tietävän asiasta paremmin ja olet myös ainoa, joka on informoinut tästä viruksesta, niin voisitko laittaa kommenttia dk3.comin ylläpidolle? Saataisiin tuo ongelma pois päiväjärjestyksestä mahdollisimman pian.

 

[Edit]

Pistän mailia menemään sinne ylläpidolle heti, kun saan oman koneeni edes jotenkin toimimaan, kun piti formatoida valmiiksi tulevankauden videoita varten ;)

Tuossa vaan on yksi ongelma; luulisin, että virukset ovat tahallisia, koska ne ei tule säännöllisesti ja niitä on niin monenlaisia, mutta ei ikinä kahta samallakertaa. Sikäli voi olla hankalaa puuttua asiaan, mutta yritetään :)

 

[Sistis]

Tahallisia? Eli siinä tapauksessa syyllinen pitäisi löytyä DK3.comin suunnalta? Nimittäin kuten sanoin, tuo forum on selaimen kautta asennettava ja muokattava, eikä mihinkään palvelimeen olla yhteydessä FTP:n kautta - ainakaan palvelun käyttäjän puolesta.

Itse en ole asentanut tuota Areenan foorumia, koska en enää ole kyseisessä projektissa mukana muuta kuin moderaattorin ominaisuudessa, mutta siltikin tuo huolestuttaa. Itse olen kuitenkin asentanut omaa opiskelija-projektiani varten juuri jonkin aikaa sitten aivan samanlaisen foorumin samalta palveluntarjoajalta, joten tiedän miten tuo asennus tapahtui. En ainakaan keksi mitään keinoa, miten siinä voitaisiin tuollaista matoa levittää.

 

[JanJ]

SpyBot S&D:llä pystyy tekemään selaimen "immuuniksi", ja se yhdistettynä ZoneAlarmin palomuuriin ja AntiVirin virusscanneriin on kone suojattu ilmaiseksi niin hyvin kuin voi. Suosittelen tuollaista pakettia, niin ei tartu virukset mistään saitilta, eikä vaihdu kotisivu-asetukset. Ai niin, ja Explorerista vielä se Enable third party extensions tms pois päältä.

 

[Sistis]

Hmm... kertokaahan viisaammat, miten hyvin nuo mato-virukset pääsevät palomuurien läpi? Itselläni on TOAS-verkon palomuuri, mikä estää hyvin verkon ulkopuolelta tulevia hyökkäyksiä. Mutta vaikuttaako tämä mitenkään näihin selaimen kautta leviäviin mato-viruksiin?

 

[ISH]

Ilmaisohjelmista mainitaan (tai toistetaan)

STINGER: http://vil.nai.com/vil/stinger/

On ns. stand-alone-player eli ei vaadi sen kummempia asennuksia, imuroit vaan koneelleesi ja pistät pyörimään.

Uusin versio tunnistaa:

BackDoor-AQJ, Mumu.worm, IPCScan, NTServiceLoader, RemoteProcessLaunch Application, PCGhost Application, PWS-Sincom, W32/Bugbear@MM, W32/Elkern, W32/Fizzer@MM, W32/Funlove, W32/Klez, W32/Lirva, W32/Lovgate@M, W32/Nimda@MM, W32/Sircam@MM, W32/Sobig@MM, W32/SQLSlammer and W32/Yaha@MM

Erinomainen ohjelma jonka valmistajana on tunnettu ja tunnustettu viruksentorjunnan edelläkävijä McAfee.

 

[Edit]

Viestin lähetti Sniper

Alkuperäisen viestin lähettäjältä (Edit) pitää kysyä että onkohan sinulla juurikin tällainen heikko salasana ja muurista portti 445 auki? Jos oikein tulkitsin Symantecia niin huhu-areenalla ei ole homman kanssa mitään tekemistä, sillä mato arpoo uusia osoitteita kokeiltavaksi satunnaisesti ja sinulla on vain nalli napsahtanut.

EDIT: (heh..) Itse en ainakaan saa ilmoitusta aikaan eikä palomuuri sano juuta eikä jaata.

Ei Huhu-Areenalla olekaan mitään muuta tekemistä asian kanssa, muuta kun että ko.sivun foorumi on DK3.COM -palvelimella, josta tämä virus on lähtenyt liikkeelle. Eikä kyllä ollut ko.portti auki, ei todellakaan ;) Ja piti myöhemmin kokeilla oikein uudestaan, mutta eipä tullut enää mitään. Eli toisinsanottuna virus ei sielä jatkuvasti ole, vaan sitä jollakin tavalla hallitaan, koska aikaisemmin siellä oli jokin toinen mato.

 

[dal]

Osittain juuri tämäntyyppisten juttujen takia esitin jonkun aikaa sitten Huhu-Areenan tiimille sitä, että forum yritettäisiin siirtää (siirrettäisiin) Hockeyrevolutionin alaisuuteen. Asiaan ei kuitenkaan sillon reagoitu kuin olankohautuksella.
Tältäkin olisi siis vältytty lähes satavarmasti. Lisäksi tuo nykyinen forumin sijaintipaikka pukkaa pop-upia aivan älytöntä tahtia, en halua kuvitellakaan mikä olisi tulos sellaisessa selaimessa joka on asetuksiltaan täysin rajoittamaton (kaikki toiminnot sallitaan).

Itselläni oli jokin mato koneessa myös, mutta ei hirveän vakavalta vaikuttanut. Epäilen, että tämäkin mato on tullut samaa reittiä.

Valitettavaa, mutta totta.

HUOM! Huhu-Areenassa itsessään ei kuitenkaan viruksia ole, kuten sivuillammekin lukee.

 

[Sistis]

Tämän ilmenneen asian takia kannattaa nyt tosiaankin harkita tuota foorumin siirtoa omalle palvelimelleen, mutta epäilen että se ei onnistu tuhoamatta jo käynnissä olevaa keskustelua. Koska noita tiedostoja jne. ei saa millään FTP:llä siirrettyä tuolta dk3.comin palvelimelta. Asiasta pitää nyt keskustella.

Toivoisin, että jos jotkut muutkin ovat havainneet virusvaroituksia joko Areenan foorumilla tai muilla dk3.comin hostaamilla foorumeilla, ilmoittakaa nekin tähän ketjuun, niin saadaan parempaa kuvaa, minkälainen kriisitilanne oikeasti on.

 

[Sakallio]

Viestin lähetti Sniper
Se muuri suojaa hyvin ulkoa päin tulevilta hyökkäyksiltä, mutta mikäli koneesi saastuu viruksesta mikä sisältää ns. backdoor -ominaisuuden, niin sitten ollaan yleensä heikoilla jäillä. Koneesi avaa tällöin itse portin ulkomaailmaan ja ulkoiset rautapalomuurit yleensä sallivat tämän. Softapalomuuri kuten Zonealarm hoksaa että joku yrittää saada serverioikeuksia ulospäin ja estämällä sen ei vahinkoa pääse syntymään.

Virustorjunta on ainoa keino pysäyttää nuo kysymäsi selainmadot sillä palomuuri ei voi sulkea HTTP:n porttia 80 tai muuten lakkaisi kaikki www-liikenne.

Itseäni jäi askarruttamaan tämä vastaus.

Sain toissa päivänä ladatessani yhtä tiedostoa netistä juuri tällaisen backdoor-tyyppisen viruksen. Minulla on käytössä koneessani F-Securen Distributed firewall sekä saman yhtiön anti-virus ohjelmat. Ne herjasivat heti koneessani olleesta viruksesta. Lähes heti tämän jälkeen katkaisin yhteyden nettiin. Sen jälkeen poistin manuaalisesti saastuneen tiedoston. Tapahtumaan jälkeen skannailin konetta eri tavoin eikä mikään ohjelma löytänyt mitään poikkeavaa.

Kuitenkin minua jäi askarruttamaan, että onko mahdollista, virus on yhä koneessani vaikka poistin saastuneen tiedoston heti katkaistuani yhteyden. Eikä mikään ohjelma ole löytänyt enää mitään poikkeavaa. Mietin sitä onko virus voinut muokata jotenkin rekisteriäni, että se jättää esim. portteja auki, jotka eivät tavallisesti ole auki tai muuten aiheuttaa hallaa koneelleni.

Asia alkoi tosissaan mietityttämään nyt illalla, kun surffailin netissä ja yhtäkkiä selaimen kummatkin ikkunat sulkeutuivat vaikka en itse sitä tehnyt. Selaimena on Operan 7.03 suomenkielinen versio.

Kiitos.

 

[Sistis]

Laitanpa taasen aiheesta hieman tiedotetta. Eli Areena on nyt itsessään taas turvallinen - keskustelupalstalle vievä linkki on nyt muutettu sellaiseksi, että se vie ensin info-ikkunaan, missä kerrotaan tästä dk3.comin palvelimella piilevästä riskistä ja vasta tämän jälkeen tulee sellainen linkki, joka vie foorumille, mikäli käyttäjä vielä uskaltaa sinne mennä.

Ja aiheesta vielä kysymys. Olisiko mahdollista, että tuo mato iskisi jotenkin noiden pop-up-mainosten kautta?

 

[Edit]

Viestin lähetti Sistis


Ja aiheesta vielä kysymys. Olisiko mahdollista, että tuo mato iskisi jotenkin noiden pop-up-mainosten kautta?

Itse epäilen, että se/ne pop-uppien kautta leviää, ellei sitten dk3.com:n alaisuudessa työskentele todella vajaamielistä porukkaa ;)

Lähetin Dk3.com:lle infoa asiasta ja pyysin myös vastausta, että mistä moinen johtuu, mutta vielä ainakaan vastausta ei ole kuulunut. Enkä hirveästi voi päivystää, koska lähden aamunkoitteessa Lappiin viikoksi.

 

[Edit]

Vastausta DK3.com:lta ei ole viikon odottelusta riippumatta kuulunut. Ei näytä heitä asia kiinnostavan :(

 

[palle fontän]

Viestin lähetti Sniper
Alkuperäisen viestin lähettäjältä (Edit) pitää kysyä että onkohan sinulla juurikin tällainen heikko salasana ja muurista portti 445 auki? Jos oikein tulkitsin Symantecia niin huhu-areenalla ei ole homman kanssa mitään tekemistä, sillä mato arpoo uusia osoitteita kokeiltavaksi satunnaisesti ja sinulla on vain nalli napsahtanut.

Näin minäkin asian ymmärsin. Kyseinen virus ei leviä selainten haavoittuvuuksia käyttäen, vaan käyttää erittäin yksinkertaista leviämismekanismia (portin 455 kautta sisään muutamaa admin-salasanaa kokeilemalla). Harvinainen virus siis.