Lue uutinen mobiilisivustolla

Gozi-troijalainen iskee pdf-tiedoston loisena

Gozi-vakoilija hyökkää venäläisiltä palvelimilta.
Kuva: Matias Mäki

27.10.2007 07:03 Vaarallinen Gozi-troijalainen on valjastettu uuteen hyökkäykseen - nyt pdf-tiedostoihin kytkettynä. Hyökkääjien tavoitteena on varastaa ssl-suojatuille sivuille kuten pankkisivuille syötettyjä tietoja.

Troijalainen latautuu ja asentuu, jos viestin vastaanottaja avaa saamansa pdf-tiedoston. Sen jälkeen Gozi alkaa napsia ssl-suojatuille sivuille kirjoitettuja tietoja, kertoo uutissivusto eWeek tietoturvayhtiö SecureWorksin tietojen pohjalta.

Gozi latautuu venäläisen, rikollisten toiminnan tukemisestakin epäillyn Russian Business Network -yhtiön palvelimilta. Yhtiö on jo joutunut poistamaan kaksi palvelinta käytöstä niiden ruuhkauduttua Gozi-liikenteen vuoksi.

Hyökkäyksen takana ovat SecureWorksin mukaan samat venäläiset, jotka juonivat aiemmatkin Gozi-iskut.

Gozi hyödyntää Adobe Acrobatin haavoittuvuutta, johon Adobe julkaisi korjauksen viikko sitten. Haavoittuvuus on Adobe Acrobatin ja Readerin tiettyjen versioiden Windows XP- ja Windows 2003 -versioissa.

Gozi-tiedoston niminä on nähty esimerkiksi BILL.pdf ja INVOICE.pdf, mutta SecureWorksin mukaan nimet voivat vaihdella. Joskus tiedostonimen sijasta voi näkyä vain pdf-tiedostoa edustava kuvake. Lähettäjän nimenä on ollut Gilbert ja viestin otsikkona "STATEMET indigene".

SecureWorks suosittelee käyttäjiä päivittämään virustorjuntatiedostot ja estämään yhteydet Russian Business Networkin palvelimille sekä ftp-osoitteeseen 81.95.146.130 ja http-osoitteeseen 81.95.147.107. 

Markku Reiss toimitus@digitoday.fi

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kirjoita kommentti

Kommentit (15)

0

0

Vaarallinen Gozi-troijalainen on valjastettu uuteen hyökkäykseen - nyt pdf-tiedostoihin kytkettynä. Hyökkääjien tavoitteena on varastaa ssl-suojatuille sivuille kuten pankkisivuille syötettyjä tietoja.

Digitoday

Lainaa Ilmoita asiaton viesti

# 27.10.2007 12:35

1

0

Iskee mihin iskee...eli redmond käyttiksiin ainostaan

deadmond

Lainaa Ilmoita asiaton viesti

# 27.10.2007 12:35

1

0

No, norsun kokoiseen maaliin on kenen tahansa helppo osua. Mä$än peitto kun on ylivoimaisen suuri muihin verrattuna = paljon pankkitransaktioita siepattavaksi.

Urpo

Lainaa Ilmoita asiaton viesti

# 27.10.2007 16:55

1

0

Siis vain ja ainoastaan Windows -nimiseen tekeleeseen. Voisiko toimittaja mainita erikseen että uutinen ei koske mac ja linux-ympäristöjä - riippumatta eri järjestelmien yleisyydestä - please

Vain windowsiin

Lainaa Ilmoita asiaton viesti

# 27.10.2007 19:52

1

0

Pitääkö avata saastunut pdf-tiedosto?

jude

Lainaa Ilmoita asiaton viesti

# 28.10.2007 8:09

1

0

Siis vain ja ainoastaan Windows -nimiseen tekeleeseen. Voisiko toimittaja mainita erikseen että uutinen ei koske mac ja linux-ympäristöjä - riippumatta eri järjestelmien yleisyydestä - please

Niin siis eihän tuo koske jokaista windowsiakaan. Tuossahan lukee että XP ja 2003 versioissa, eli esimerkiksi vistaan tuo ei tartu... Eikös asian pitäny näin ollakkin ? Ei tuossa ole erikseen mainittu myöskään että "ei koske vistaa"... On selkeästi helpompi luetella ne kaksi versiota joita ne KOSKEE kuin ne neljäkymmentä käyttistä joita se EI koske... Logiikkaa DAA!

Hatunnosto microsoftille siitä ett se viimeinkin sai käyttöjärjestelmän aikaiseksi johon ei jokaikinen loinen tartu. Ja mitä tulee XP:n "tietoturvaan" niin XP julkaistiin juuri ennen kuin suomeen yleensäkkään tuli ensimmäinen laajakaista. Mistä helvetistä kukaan osasi sillon arvata miten maailma tulee ympäriltä muuttumaan? Sellasta sherlockia ole olemassakaan...

Mitä taas tulee virustehtailuihin sun muihin bottiverkkoihin, on täysin tarpeetonta arvostella järjestelmän rakentajaa kun niitä varsinaisia RIKOLLISIA, eli virustehtailijoita pitäisi arvostella. Sama kuin suomisitte pankkia pankkiryöstön jälkeen siitä, että pitää päivisin oviaan auki, vaikka pitäisi paheksua itse ryöstäjiä. Outoa touhua.

Markus

Lainaa Ilmoita asiaton viesti

# 28.10.2007 10:13

1

0

Sitäpaitsi vielä siitä miten "turvallista" open source on, niin eipä se "turvallisuus" estänyt salasanalistan julkaisemista. Siinäkin nimenomaan oli kohteena PHP/mysql viritykset, eivät missään tapauksessa C#/ASP.NET ympäristöt. Jos open source/linux ympäristö olisi turvallinen ympäristö sivustoille, niin sillon 80 000 suomalaisen salasanat EIVÄT leväisi pitkin maailmaa tällä hetkellä vain sen takia kun RIKOLLISET saa kaivettua ne passut esille selaimen osoitekentä tai input formien avulla! ... Miettikääpä kuules sitä...

Eikä kyse ole huonosta koodauksesta missään tapauksessa vaan siitä että koko ympäristö on täysi susi... Ei kukaan osannut arvata etukäteen että tosta vain kirjottelemalla koodia formeihin, voi ohjata koko fakin tietokantaa kiitos siitä SQL injectionille... Eli vakavalle haavoittuvuudelle open source ympäristössä...

Että tämä siis vain osoittaa sen että mikä tahansa ympäristö on "vaarallinen" jos se vain hyökkäyksen kohteeksi joutuu. Useimmat "haavoittuvuudet/viat" eivät edes ole suoranaisia ohjelmointivirheitä vaan ihan käyttöjärjestelmän ominaisuuksia/helppokäyttöisyyteen liittyviä ominaisuuksia.

Markus

Lainaa Ilmoita asiaton viesti

# 28.10.2007 10:18

1

0

on täysin tarpeetonta arvostella järjestelmän rakentajaa kun niitä varsinaisia RIKOLLISIA, eli virustehtailijoita pitäisi arvostella.

Niin, valmistajaahan ei saa syyttää, he ovat syyttömiä! Eli esimerkiksi niitä kiinalaisia "bensaräjähdyksellä" palavia joulukuusenkynttilöitä ja tuulettimia ei pitäisikään vetää markkinoilta valheellisen CE-merkin vuoksi -- eikä varsinkaan varoittaa kuluttajia ostamasta niitä!

Eiku ...

Javapiins Enttöprais

Lainaa Ilmoita asiaton viesti

# 28.10.2007 12:45

1

0

on siinä PDF formaatissa muitakin haavoittuvuuksia, mutta jos kertoisin niistä tässä niin syyte tulisi.

ville

Lainaa Ilmoita asiaton viesti

# 28.10.2007 16:55

1

0

Jep, itse olen noita PHPBB2- ja muita kötöstyksiä joutunut asentelemaan, virittelemään ja päivittelemään jo vissiin yli viiden vuoden ajan ja koko ajan on hiukan kylmä rinki tietyssä paikassa kun ei muista onko jo POISTANUT milloin minkäkin tietoturva-aukon kaikista paikoista, joihin sen on erehtynyt joskus laittamaan. Viimeisin villitys on ollut tuo Joomla, josta olen sanonut jo suoraan, että ei, ei ja vielä kerran ei. Unohtakaa koko juttu, jos ette halua ongelmia.

Nyt on parin asiakkaan hakemistoissa näköjään ihan heidän itsensä asentelemia muita OpenSource-Mambo- ja muita ihmeitä, joiden koodia tutkittuani olen vain osannut hämmästellä, mitä kaikkea "palkitaan" erilaisilla tunnustuksilla. Mambo on hauraampi kuin näkkileipä ja sen koodauksen taso alittaa kaikki ymmärtämäni normit. Siellä näkyi ainakin vielä eilen "luokkia", joissa oli yksi ainoa funktio eli olioparadigma on lapsilaumalla täysin hakusessaan.

Näiden OpenSource-vouhkaajien olisi joskus syytä hiukan katsoa, mitä kaikkea kyseisen liikkeen nimissä kehutaan, ylistetään ja palkitaan.

Open Sourceko turvallisempaa?

Lainaa Ilmoita asiaton viesti

# 29.10.2007 1:44

Sivut: 1 2 Edellinen Seuraava

Uutiset

Poliisi: Ajatus ampumisesta tuli vain hieman ennen veritekoa

• IL: Hyvinkään epäilty ampuja keskeytti armeijan hiljattain
• Asiantuntija: Punkkipaniikki on jo ylimitoitettua
• Pohjois-Korean Kim kävi huvipuistossa ja herkistyi
• Hyvinkään ampumisissa haavoittuneet leikattu – naispoliisi yhä kriittisessä tilassa