Cert-fi: Pankkirosvon piilon voi löytää tietokoneelta
Kuva: Niko Jylhä
4.12.2009 08:46 Kansallinen tietoturvaviranomainen Cert-fi antaa ohjeita, miten viime aikoina suomalaisia kiusanneen Zlob-haittaohjelman voi saada pois tietokoneelta. Mutta käyttäjän pitää olla varovainen.
Tuhansia suomalaiskoneita sotkenut Zlob (tunnetaan myös nimillä Alureon tai DNSChanger) on yleensä käyttäjän löydettävissä ja poistettavissa, vaikka se yrittääkin kätkeytyä niin sanotun rootkitin avulla.
Käyttäjän tulee etsiä ja tuhota haittaohjelman käyttämä binääritiedosto ja rekisteriavaimet. Cert-fi antaa tähän tarkemmat ohjeet tiedotteessaan. Lisäksi nimipalvelinasetukset tulee palauttaa suositusten mukaisiksi. Muuten tietokone yrittää jälleen ottaa yhteyttä verkon vaarallisiin paikkoihin.
Poistomenetelmä ei kuitenkaan välttämättä päde kaikkiin haittaohjelman versioihin eikä se poista koneessa mahdollisesti olevia muita haittaohjelmia. Lisäksi väärän tiedoston tai rekisteriavaimen poistaminen voi tehdä käyttöjärjestelmästä käyttökelvottoman. Siksi Cert-fi ehdottaakin varmimpana keinona käyttöjärjestelmän asentamista uudelleen.
Älä asenna
koodekkia
Tietokoneen verkkoliikenteen uudelleen ohjaava Zlob-haittaohjelma on syy, miksi suomalaiset operaattorit ovat ryhtyneet poikkeuksellisiin estotoimenpiteisiin pimentäen lukuisia nettiyhteyksiä käyttäjiltä.
Cert-fi kertoo haittaohjelmaa levitetyn uskottelemalla käyttäjälle, että www-sivuilla on tarjolla multimediakoodekki, joka käyttäjän tulisi itse asentaa sisällön näkemiseksi. Zlobin avulla on yritetty huijata suomalaisilta verkkopankkitietoja. Haittaohjelmatyyppi on kuitenkin ollut Cert-fi:lle tuttu jo vuosia.
Torjumista on vaikeuttanut ohjelman jatkuva muuntautuminen. Zlob käyttää myös monimutkaista pakkausta, mikä vaikeuttaa ohjelman havaitsemista ja toiminnan tutkimista.
Muutetut
nimipalvelinasetukset
Zlob muuttaa työaseman nimipalveluasetuksia niin, että nimenselvitys tapahtuu epäluotettavilta nimipalvelimilta, joiden antamat vastaukset ohjaavat käyttäjän www-yhteydet mahdollisesti haitallisille sivustoille.
Nimipalvelumuutokset näkyvät Windows-käyttöjärjestelmän rekisterissä seuraavan kaltaisina avaimina:
HKLMSYSTEMCurrentControlSetServicesTcpipParameters,nameserver
=85.255.115.46,85.255.112.124
HKLMSYSTEMCurrentControlSetServicesTcpipParametersInterfaces{interfaceGUID},nameserver=85.255.115.46,85.255.112.124
Tutkitun haittaohjelman käyttämien nimipalvelinten ip-osoitteet voivat vaihdella välillä 85.255.112.0 - 85.255.127.255.
Nimipalvelinasetukset voi tarkistaa myös käyttöjärjestelmän komennolla IPCONFIG /ALL.
Tuomas Linnake
tuomas.linnake@digitoday.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 9.2. AllThingsD asettaa uuden iPadin maaliskuun alkuun
- 9.2. Siri opiskelee kiinaa ja venäjää
- 9.2. Peliskene poimi presidentin palkinnon
- 9.2. Google: Näytä surfailusi, saat rahaa
- 9.2. Skimmaajat teettivät erikoislaitteita Suomen oloihin
- 9.2. Samsungilta ei julkistuksia Barcelonassa
- 9.2. Ciscon tulos parani reippaasti
- 9.2. Angry Birds laskeutui Helsinki-Vantaalle
- 9.2. Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- 9.2. Apple myy vihdoin iPhone 4S:ää Kiinassa
- 9.2. Sadan tonnin sakot kuluttajien harhauttamisesta
- 9.2. Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 9.2. Windows 8:n testiversio ilmestyy karkauspäivänä
- 8.2. Kaksi minuuttia Iron Skyta – Elokuva "täynnä vastoinkäymisiä"
- 8.2. Applen televisio voi saada liikeohjauksen
- 8.2. Brittilehti sekaantui sähköpostien vakoiluun
- 8.2. Tieto etsii Nokialle korvaajaa Android-töistä
- 8.2. Xbox nousi vuoden ostetuimmaksi
- 8.2. @450-verkko vaihtaa tekniikkaa
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 8.2. Kaksi minuuttia Iron Skyta – Elokuva "täynnä vastoinkäymisiä"
- 7.2. Belle-päivitys tuli viimein Symbianiin
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- 9.2. Sadan tonnin sakot kuluttajien harhauttamisesta
- 8.2. Applen televisio voi saada liikeohjauksen
- 8.2. Yllätys: Nokia on ylivoimainen web-johtaja
- 7.2. Googlen Terminator-lasit täydentävät todellisuutta
- 7.2. Microsoft poistaa start-napin
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- 7.2. Äidit käyvät imettämällä Facebookia vastaan
- 7.2. Intia perui toimiluvat, Telenor uhkaa lähteä
- 7.2. Nokia kertoo miten käy Salon tehtaan
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 9.2. Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 8.2. Applen televisio voi saada liikeohjauksen
- 9.2. Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 7.2. Nokia kertoo miten käy Salon tehtaan
- 7.2. Microsoft poistaa start-napin
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- 8.2. Yllätys: Nokia on ylivoimainen web-johtaja
- 7.2. Belle-päivitys tuli viimein Symbianiin
- Kommentoiduimmat
Uutispäivä
Vuorokauden kaikki uutiset yhdellä sivulla.
Kevyt ja nopea
Oletko jo tutustunut m.digitoday.fi-mobiilisivustoon?
Uusimmat uutiset
- Skimmaajat teettivät erikoislaitteita Suomen oloihin 14:16
- Brittilehti sekaantui sähköpostien vakoiluun 15:46
- Suomalaiset taitavat tietoturvan hopean arvoisesti 21:47
- Tietoturvayhtiöltä yritettiin kiristää lunnasrahoja 13:15
- Äidit käyvät imettämällä Facebookia vastaan 09:21
- Suosittu piraattisivusto antautui 13:02
- Hakkerit veivät tietoa VeriSignin palvelimilta 10:08
- Google palkkasi portsarin Android Markettiin 09:09
- Lisää
Digiyesterday
Viisi vuotta sitten
Turvaekspertti keplotteli kyberpuolustusrahat itselleen
10.02.2007 Yhdysvaltain kansallisen turvallisuusviraston NSA:n (National Security Agency) entinen työntekijä on jäänyt kiinni valtion kyberpuolustukseen tarkoitettujen varojen ohjaamisesta laittomasti omalle yritykselleen.
Kolme vuotta sitten
Verkkokauppa.com aloittaa omien kännyköiden myynnin
10.02.2009 Elektroniikkaketju tunkee edullisimpien matkapuhelinten markkinoille omalla Nu:fone-merkillään. Alle satasen puhelimia löytyy myös perinteisiltä valmistajilta.
Taloussanomat
- Vihdoinkin, Kreikka: Sopu säästöistä syntyi 16:50
- "Finnair hakee kumppania suuresta joukosta yhtiöitä" 14:43
- Tänne tulevat uudet Prismat 14:48
- Lopullista Kreikka-päätöstä tuskin saadaan tänään 19:18
- Lentoyhtiön konkurssi uhkaa suistaa Unkarin budjetin raiteiltaan 20:42
- Draghi: Epävarmassa taloudessa yhä riskinsä 17:15
- Tätäkö keskusta pelkää – turhaan vai? 15:47
- Hautala Ylelle: Valtio voi luopua enemmistöstä Finnairissa 17:11
- Italia ratsaa luksusautoilijoita – Ferrarin suosio romahti 21:17
- Pirate Bay uhmaa estoja – kutisti itsensä taskukokoon 20:18
- » Taloussanomat.fi
-
172 e
Lenovo ThinkCentre M81 TW (Core I5-2400, 2 GB, 320 GB, Windows 7 Professional), keskusyksikkö
-
56 e
Lenovo ThinkStation S20 (Xeon W3550, 4 GB, 500 GB, Win 7 Professional), keskusyksikkö
-
31 e
HP Workstation Z210 SFF (Xeon E3-1225, 4 GB, 500 GB, Win 7 Home Premium), keskusyksikkö
-
20 e
HP Compaq 8200 Elite SFF (Core i5-2500, 4 GB, 500 GB, Win 7 Professional), keskusyksikkö
-
20 e
Lenovo ThinkStation D20 (Xeon E5640, 8 GB, 500 GB, Windows 7 Professional), keskusyksikkö
-
-295 e
HP Z400 (Xeon W3565, 6 GB, 1 TB, Win 7 Professional), keskusyksikkö
-
-216 e
HP Z600 (Xeon E5620, 8 GB, 1 TB, Win 7 Professional), keskusyksikkö
-
-108 e
HP Z600 (Xeon E5645, 6 GB, 1 TB, Win 7 Professional), keskusyksikkö
-
-87 e
HP Z400 (Xeon W3550, 6 GB, 1 TB, Win 7 Professional), keskusyksikkö
-
-76 e
Apple Mac Pro (Xeon 2.8 GHz, 8 GB, 2 TB, OS X), keskusyksikkö
Kommentit (7)
Ko. ongelmilta on myös erittäin hyvin suojassa jos on erillinen NAT-/palomuuri-purkki ADSL-modeemin ja kotiverkon välissä tekemällä palomuurin asetuksen joka sallii UDP-portti 53:sta lähtevät dns-kyselyt vain palveluntarjoajan dns-palvelimien IP-osoitteisiin.
Noh, minä autan: 208.67.222.222
Huom: en pidä k.o. palvelusta sen (mainoksellisen) toiminnan takia, mutta se on pikkasen parempi kuin ei mitään tai etenkin nuo huiputtajien.
Vasta artikkelin viimeisessä lauseessa kerrottiin helppo tapa jolla asian voi tarkistaa, eikä senkään suhteen annettu yksityiskohtaista ohjetta tyyliin:
1.klikkaa ruudun vasemman alakulman start-ikonia
2. valitse Run
3. kirjoita CMD
4. Kirjoita ipconfig /all
5. Katso onko rivillä DNS Servers IP-osoitteita välillä 85.255.112.0 - 85.255.127.255
1.klikkaa ruudun vasemman alakulman start-ikonia
2. valitse Run
3. kirjoita CMD
4. Kirjoita ipconfig /all
5. Katso onko rivillä DNS Servers IP-osoitteita välillä 85.255.112.0 - 85.255.127.255
1. käynnistä tietokone
2.klikkaa ruudun vasemman alakulman start-ikonia
3. valitse Run
4. kirjoita CMD
5. paina Enter
6. Kirjoita ipconfig /all
7. paina enter
8. Katso onko rivillä DNS Servers IP-osoitteita välillä 85.255.112.0 - 85.255.127.255
Parasta olisi käyttää oman palveluntarjoajan nimipalvelinta (DNS server). Tämä on ylivoimaisesti nopein, erityisesti www-sivujen selailussa. Käytän joskus toisen palveluntarjoajan nimipalvelinta toissijaisena varapalvelimena, koska näyttää olevan yleistä hyökätä niitä vastaan ja kaataa nimipalvelin.
Kyseessä on OpenDNS:n serveri.
OpenDNS:n perustajan näkemyksiä Google DNS:stä:
http://blog.opendns.com/2009/12/03/opendns-google-dns/