Cert-fi: Pankkirosvon piilon voi löytää tietokoneelta
Kuva: Niko Jylhä
4.12.2009 08:46 Kansallinen tietoturvaviranomainen Cert-fi antaa ohjeita, miten viime aikoina suomalaisia kiusanneen Zlob-haittaohjelman voi saada pois tietokoneelta. Mutta käyttäjän pitää olla varovainen.
Tuhansia suomalaiskoneita sotkenut Zlob (tunnetaan myös nimillä Alureon tai DNSChanger) on yleensä käyttäjän löydettävissä ja poistettavissa, vaikka se yrittääkin kätkeytyä niin sanotun rootkitin avulla.
Käyttäjän tulee etsiä ja tuhota haittaohjelman käyttämä binääritiedosto ja rekisteriavaimet. Cert-fi antaa tähän tarkemmat ohjeet tiedotteessaan. Lisäksi nimipalvelinasetukset tulee palauttaa suositusten mukaisiksi. Muuten tietokone yrittää jälleen ottaa yhteyttä verkon vaarallisiin paikkoihin.
Poistomenetelmä ei kuitenkaan välttämättä päde kaikkiin haittaohjelman versioihin eikä se poista koneessa mahdollisesti olevia muita haittaohjelmia. Lisäksi väärän tiedoston tai rekisteriavaimen poistaminen voi tehdä käyttöjärjestelmästä käyttökelvottoman. Siksi Cert-fi ehdottaakin varmimpana keinona käyttöjärjestelmän asentamista uudelleen.
Älä asenna
koodekkia
Tietokoneen verkkoliikenteen uudelleen ohjaava Zlob-haittaohjelma on syy, miksi suomalaiset operaattorit ovat ryhtyneet poikkeuksellisiin estotoimenpiteisiin pimentäen lukuisia nettiyhteyksiä käyttäjiltä.
Cert-fi kertoo haittaohjelmaa levitetyn uskottelemalla käyttäjälle, että www-sivuilla on tarjolla multimediakoodekki, joka käyttäjän tulisi itse asentaa sisällön näkemiseksi. Zlobin avulla on yritetty huijata suomalaisilta verkkopankkitietoja. Haittaohjelmatyyppi on kuitenkin ollut Cert-fi:lle tuttu jo vuosia.
Torjumista on vaikeuttanut ohjelman jatkuva muuntautuminen. Zlob käyttää myös monimutkaista pakkausta, mikä vaikeuttaa ohjelman havaitsemista ja toiminnan tutkimista.
Muutetut
nimipalvelinasetukset
Zlob muuttaa työaseman nimipalveluasetuksia niin, että nimenselvitys tapahtuu epäluotettavilta nimipalvelimilta, joiden antamat vastaukset ohjaavat käyttäjän www-yhteydet mahdollisesti haitallisille sivustoille.
Nimipalvelumuutokset näkyvät Windows-käyttöjärjestelmän rekisterissä seuraavan kaltaisina avaimina:
HKLMSYSTEMCurrentControlSetServicesTcpipParameters,nameserver
=85.255.115.46,85.255.112.124
HKLMSYSTEMCurrentControlSetServicesTcpipParametersInterfaces{interfaceGUID},nameserver=85.255.115.46,85.255.112.124
Tutkitun haittaohjelman käyttämien nimipalvelinten ip-osoitteet voivat vaihdella välillä 85.255.112.0 - 85.255.127.255.
Nimipalvelinasetukset voi tarkistaa myös käyttöjärjestelmän komennolla IPCONFIG /ALL.
Tuomas Linnake
tuomas.linnake@digitoday.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 10.3. Lehti: Google kehittää Android-digiboksia
- 10.3. Pc:n isä pokkasi "tietotekniikan Nobelin"
- 10.3. Hyökkäys hallitsi Microsoftin korjaustiistaita
- 10.3. Applen oikeusjutut voivat poikia Windows-puhelimia
- 10.3. Vodafonen kännykästä löytyi viruksia esiasennettuna
- 10.3. Sony tuo 3d-televisionsa kauppoihin kesäkuussa
- 10.3. Harri Johannesdahl: Menen vankilaan
- 10.3. Pornon xxx-verkkotunnus heräsi henkiin
- 10.3. Vodafone sulkee kauppoja ja call centereitä
- 10.3. Analyytikko: PS3 pesee kaikki
- 10.3. Kierrätä kännykkä, saat rahaa
- 9.3. Ericsson saneeraa Suomessa
- 9.3. Testausyrityksen naiskaksikko nouti tunnustuksen
- 9.3. Kauppias löysi väärennettyjä Intel-suorittimia
- 9.3. IPhone-kehittäjien salainen sopimus paljastui
- 9.3. Apache-ohjelmisto suojattiin hyökkäyskoodilta
- 9.3. Peli katkesi palvelinhyökkäykseen
- 9.3. Soneran televisio ottaa yhteen Elisa Viihteen kanssa
- 9.3. Paristovalmistaja levitti virusta
- 9.3. Fujitsu joutuu rapsuihin Kilon tehtaan sulkemisesta
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 9.3. IPhone-kehittäjien salainen sopimus paljastui
- 8.3. Nokian patentoima keksintö lataa kännykkää liikkeestä
- 10.3. Analyytikko: PS3 pesee kaikki
- 8.3. Nokian Esa luovutti Twitter-osoitteensa ESAlle
- 9.3. Soneran televisio ottaa yhteen Elisa Viihteen kanssa
- 9.3. Maailman himotuin nettiosoite myydään eniten tarjoavalle
- 10.3. Pornon xxx-verkkotunnus heräsi henkiin
- 10.3. Sony tuo 3d-televisionsa kauppoihin kesäkuussa
- 10.3. Harri Johannesdahl: Menen vankilaan
- 9.3. Kauppias löysi väärennettyjä Intel-suorittimia
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- 9.3. IPhone-kehittäjien salainen sopimus paljastui
- 8.3. Uusi mobiili-Windows ei siedä vanhoja sovelluksia
- 9.3. Paristovalmistaja levitti virusta
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 9.3. IPhone-kehittäjien salainen sopimus paljastui
- 8.3. Nokian patentoima keksintö lataa kännykkää liikkeestä
- 10.3. Analyytikko: PS3 pesee kaikki
- 9.3. Soneran televisio ottaa yhteen Elisa Viihteen kanssa
- 8.3. DNA:n asiakaspalvelu kärsii edelleen ruuhkista
- 10.3. Sony tuo 3d-televisionsa kauppoihin kesäkuussa
- 9.3. Peli katkesi palvelinhyökkäykseen
- 10.3. Kierrätä kännykkä, saat rahaa
- 9.3. Varo operaattorien lumehinnoittelua
- 10.3. Harri Johannesdahl: Menen vankilaan
- Kommentoiduimmat
Kevyt ja nopea
Oletko jo tutustunut m.digitoday.fi-mobiilisivustoon?
Uutispäivä
Vuorokauden kaikki uutiset yhdellä sivulla.
Uusimmat uutiset
- Hyökkäys hallitsi Microsoftin korjaustiistaita 15:02
- Vodafonen kännykästä löytyi viruksia esiasennettuna 14:46
- Apache-ohjelmisto suojattiin hyökkäyskoodilta 13:17
- Peli katkesi palvelinhyökkäykseen 13:10
- Paristovalmistaja levitti virusta 11:06
- Phishing uhkaa kaikkia brändejä 22:26
- Saksalaisministeri: It-jätit voivat haitata työn saamista 17:04
- Microsoft ottaa rennosti korjaustiistaina 13:01
- Lisää
-
89 e
Acer Veriton L670G (Core 2 Duo E8500, 4 Gt, 320 Gt, Win 7 Professional), keskusyksikkö
-
86 e
HP Z600 (Xeon E5520, 3 Gt, 320 Gt, Win Vista Business ja WinXP), keskusyksikkö
-
58 e
HP Z400 (Xeon W3550, 3 Gt, 500 Gt, Win Vista Business ja WinXP), keskusyksikkö
-
56 e
Acer Veriton X480G (Core 2 Duo E8500, 4 Gt, 320 Gt, Win 7 Professional), keskusyksikkö
-
47 e
Acer Aspire G7750 (Core i7-920, 12 Gt, 2 Tt, Win 7 Home Premium), keskusyksikkö
-
-193 e
-
-108 e
HP 6545B (Turion II Ultra Dual Core M620, 2 Gt, 15,6", Win 7 Professional), kannettava tietokone
-
-101 e
Dell E6400 (Core 2 Duo P8700, 4 Gt, 14,1", Win Vista Business ja WinXP), kannettava tietokone
-
-100 e
Acer Aspire 5739G (Core 2 Duo P8700, 4 Gt, 15,6", Win Vista Home Premium), kannettava tietokone
-
-99 e
Acer Aspire 8735ZG (Pentium Dual Core T4400, 6 Gt, 18,4", Linux), kannettava tietokone
Kommentit (7)
Ko. ongelmilta on myös erittäin hyvin suojassa jos on erillinen NAT-/palomuuri-purkki ADSL-modeemin ja kotiverkon välissä tekemällä palomuurin asetuksen joka sallii UDP-portti 53:sta lähtevät dns-kyselyt vain palveluntarjoajan dns-palvelimien IP-osoitteisiin.
Noh, minä autan: 208.67.222.222
Huom: en pidä k.o. palvelusta sen (mainoksellisen) toiminnan takia, mutta se on pikkasen parempi kuin ei mitään tai etenkin nuo huiputtajien.
Vasta artikkelin viimeisessä lauseessa kerrottiin helppo tapa jolla asian voi tarkistaa, eikä senkään suhteen annettu yksityiskohtaista ohjetta tyyliin:
1.klikkaa ruudun vasemman alakulman start-ikonia
2. valitse Run
3. kirjoita CMD
4. Kirjoita ipconfig /all
5. Katso onko rivillä DNS Servers IP-osoitteita välillä 85.255.112.0 - 85.255.127.255
1.klikkaa ruudun vasemman alakulman start-ikonia
2. valitse Run
3. kirjoita CMD
4. Kirjoita ipconfig /all
5. Katso onko rivillä DNS Servers IP-osoitteita välillä 85.255.112.0 - 85.255.127.255
1. käynnistä tietokone
2.klikkaa ruudun vasemman alakulman start-ikonia
3. valitse Run
4. kirjoita CMD
5. paina Enter
6. Kirjoita ipconfig /all
7. paina enter
8. Katso onko rivillä DNS Servers IP-osoitteita välillä 85.255.112.0 - 85.255.127.255
Parasta olisi käyttää oman palveluntarjoajan nimipalvelinta (DNS server). Tämä on ylivoimaisesti nopein, erityisesti www-sivujen selailussa. Käytän joskus toisen palveluntarjoajan nimipalvelinta toissijaisena varapalvelimena, koska näyttää olevan yleistä hyökätä niitä vastaan ja kaataa nimipalvelin.
Kyseessä on OpenDNS:n serveri.
OpenDNS:n perustajan näkemyksiä Google DNS:stä:
http://blog.opendns.com/2009/12/03/opendns-google-dns/