Autorid: Äripäev, Редакция специальных проектов Äripäev • 4. detsember 2014
Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.

RIA hoiatab uue arvutiviiruse leviku eest

Mitmendat kuud on liikvel järjekordne saksakeelne e-kiri, kus palutakse saatjal avada talle saadetud arve, mis aga sisaldab viirust, kirjutab Riigi Infosüsteemi Amet oma blogis.

Pahavara levitamisse on kaasatud zombie-arvutid ning sisuhaldustarkvara turvaaukude kaudu ülevõetud veebilehed. CERT-EEle teadaolevalt on Eestis “pihta saanud” juba mitmed organisatsioonid.

Näide e-kirjast, millega saadetakse viirus.

 

 

 

 

Võltskirja tuvastamine on tehtud keeruliseks sellega, et kirjas kasutatakse reeglina saaja nime, seetõttu näeb kiri üsnagi adekvaatne välja, eriti raamatupidajatele, kes saavad postkasti kümneid kirju arvetega.

Rechnung viitele (sinine tekst) klikkides laetakse arvutisse ZIP fail. Topeltklõps allalaetud failil avab selle ning siis saab juba päris “arve” lahti teha.

Faili nimi muutub pidevalt, samuti muutub ka e-kirja tekst ning kirjas olev viide. Avatud fail nakatab arvuti suure tõenäosusega võimeka troojalasega. Avamine annab ka võimaluse tuvastada pahavara, sest klikkides ei juhtu tegelikult midagi – lubatud arvet ei avata. See on võimaliku nakatumise indikaator nr 1.

Pahalane on nakatunud arvutis vaikne. Tavaliselt ootab ta vähemalt pool tundi, enne kui hakkab edasi toimetama. Pärast vegeteerumisperioodi proovib ta ühendust saada mõne sissekodeeritud aadressiga.

RIAni jõudnud pahavara näidistel on teadaolevalt võimekus:

* asuda ise nakatavaid spämmkirju välja saatma

* teha DoS ründeid* varastada arvutist andmeid* kuulata pealt arvuti võrguliiklust* varastada kasutaja raha kui ta külastab netipanka.

Kuna turvatarkvarad on praegu veel üsnagi “nõrgad” pahavaraga nakatumise takistamisel, siis tavakasutajal on raske nakkumist tuvastada.

Amet tõi välja teadaolevad meetodid, mida saavad kasutada nii spetsialistid kui tavakasutajad:

1. Esmalt tasub meenutada, kas postkasti on tulnud saksakeelseid arveid, mis on ZIP failiga alla laetud ning mille käivitamine ei avanud arvet. Arvuti tuleb viia täiendavasse kontrolli, seda eriti sellisel puhul, kui tegemist on raha liigutava inimese tööarvutiga. Kui oled saadud kirja edasi saatnud kollegile/sõbrale/tuttavale, et too aitaks seda lahti teha, siis teavita teda kindlasti võimalikust ohust.

2. Kontrolli ja jälgimise alla tuleb võtta kohtvõrgu TCP pordi 8080 liiklus, sest seda liini pidi see pahavara praegu suhtleb.

3. Nimekiri IP aadressidest, mille poole pahavara võib pöörduda:

108.161.128.103

109.123.78.10129.187.254.237130.133.3.7133.242.19.182133.242.54.221148.251.11.107158.255.238.163162.144.79.192178.248.200.118188.93.174.136193.171.152.53195.154.243.237195.210.29.237198.1.66.98205.186.139.105206.210.70.175212.129.13.110213.208.154.11046.105.236.185.159.57.1955.35.249.4666.228.61.24866.54.51.17272.10.49.11772.18.204.1779.110.90.20780.237.133.7788.80.187.13991.198.174.192

4. Kui küberhügieen on arvutis saavutatud, tuleks muuta kõik salasõnad, mida nakatunud arvutisse sisse toksiti: panganett, suhtlustportaalid jms. Samuti võib hoiatada tutvusringkonda, et kui tuleb arvutikasutaja nime alt kahtlaseid e-kirju, siis tuleks üle küsida, kas autor on need ikka ise saatnud. Kui pahavara juba arvutis pikemalt toimetada sai, siis õnnestus tal ilmselt pihta panna ka kohalikud aadressiraaamatud ning halvemal juhul ka olulisi andmeid postkastist.

Allikas: RIA küberkirjutiste blogi .

Autor: Äripäev .

Liitu ITuudiste uudiskirjaga!
Liitumisega nõustud, et Äripäev AS kasutab sinu e-posti aadressi sulle uudiskirja saatmiseks. Saad nõusoleku tagasi võtta uudiskirjas oleva lingi kaudu. Loe oma õiguste kohta lähemalt privaatsustingimustest
Indrek KaldITuudised.ee toimetajaTel: 511 1112
Anne WellsReklaami projektijuhtTel: 5880 7755