Tapparan epäviralliset jälkipelit
Yleinen keskustelu => Yleinen keskustelu => Aiheen aloitti: Jarzo - Tammikuu 21, 2010, 19:29:48
-
Moi kaikille, olisin kysynyt, onko muille palstalaisille ilmaantunut varoituksia viruksista kun avaatte nämä Tapparan epäviralliset sivut ? Minulle on käynyt näin jo kolme kertaa neljän päivän sisään. Kerran firman läppärillä ja kaksi kertaa omalla. Olen suorittanut sen jälkeen molemmilla koneilla täydellisen virus- skannauksen, mutta mitään ei ole kuitenkaan löytynyt. En ole todellakaan mikään ATK- ammattilainen, mutta ihmetyttää, että muilla sivustoilla ongelmaa ei ilmene ? Molemmissa läppäreissä on käytössä itesestään päivittyvä McAfeen virustorjuntaohjelma. ??? ???
-
On ilmaantunut ilmoitus ja tarjonnut jotain scannausta jne. Ei meninannu millään uskoa ruksia painamalla, että EI KIITOS!
-
On ilmaantunut ilmoitus ja tarjonnut jotain scannausta jne. Ei meninannu millään uskoa ruksia painamalla, että EI KIITOS!
Just sama juttu minullakin, ei mitenkään meinannut päästä pois siitä vaikka ruksia painoi monta kertaa.
-
En muista oliko SMF 1.1.10:n ja 1.1.11:n välillä mitään hirveän kriittistä tietoturvaongelmaa korvattu, mutta versiota 1.1.10 ennen SMF-foorumeita ilmeisesti pystyi tartuttamaan jollain "virusskanneriviruksella" varsin helposti. Omalle foorumillenikin (silloin versio ikivanha) tuli kyseinen ongelma, päivitys versioon 1.1.10 korjasi sen. Suosittelen päivittämään foorumin uusimpaan versioon varmuuden vuoksi ja varmistamaan, että kaikki foorumin tiedostot on oikeasti päivittyneet uusimpiin versioihin.
-
http://www.cert.fi/haavoittuvuudet/2009/haavoittuvuus-2009-121.html (http://www.cert.fi/haavoittuvuudet/2009/haavoittuvuus-2009-121.html)
-
Joo näemmä se sitten noin oli, että 1.1.10 korjasi osan ongelmista ja 1.1.11 sitten loput tuohon liittyvät. Tuo oli juurikin se reikä minkä itsekin löysin.
-
Onko jollain mahdollisuus saada kuvankaappausta aiheesta? Olen vilkuillut palstaa kahdella Windows koneella, joissa toisessa COMODO ja toisessa Symantec eikä kummallakaan ole toistaiseksi tullu mitään ilmoituksia.
Tuleeko ilmoitus varmasti käyttämästäsi anti-virus ohjelmasta?
Historia tuntee tapauksia että mainosverkkoihin on joku onnistunut laittamaan "epäeettistä" mainosta, jotka voivat tuottaa tällaisia ilmoituksia käyttäjälle
-
Onko jollain mahdollisuus saada kuvankaappausta aiheesta? Olen vilkuillut palstaa kahdella Windows koneella, joissa toisessa COMODO ja toisessa Symantec eikä kummallakaan ole toistaiseksi tullu mitään ilmoituksia.
Tuleeko ilmoitus varmasti käyttämästäsi anti-virus ohjelmasta?
Historia tuntee tapauksia että mainosverkkoihin on joku onnistunut laittamaan "epäeettistä" mainosta, jotka voivat tuottaa tällaisia ilmoituksia käyttäjälle
Kyllä se oli joku Antivir-ohjelman "mainos", ei oman koneen virusohjelman ilmoitus. Joskus aiemmin on tullut sellainen joka pomputtelee minuutin välein koko ajan esiin ilmoitusta viruksista koneella ja tarjoaa poisto-ohjelmaa. Ja ainoa "virus" koneella on silloin se sen firman itse sinne asentama paskamainos. Jostain luin että tekevät sillä ohjelmalla 60000 dollaria viikossa, kun ihmiset menevät hämyyn ja ostavat heidän ohjelmansa joka sitten "poistaa viruksen".
Olin jo kaivamassa esiin Malwarebytesin (ilmaista) ohjelmaa, jolla tuosta pääsee eroon, mutta tämä palstan kautta tullut versio olikin kiltimpi ja tyytyi siihen että sulki sivut ja avasi uudelleen.
-
Jos joku saisi tuosta ruudunkaappauksen, niin hyvä - pitää raportoida se eteenpäin. Temppu menee siis niin että joku ostaa mainosverkolta mainostilaa, mutta onnistuu ujuttamaan haittakoodia mainoselementtiinsä (kunnes jää kiinni).
EDIT: Mainittakkoon ettei tämä "virus" välttämättä edes tule tältä sivulta / tai käyttämistämme mainosverkoista, vaan koodi voidaan ajaa viivästetysti ja olla peräisin joltain muulta sivulta.
-
Ajoimme virustutkaimet ja tutkimme serverin, ja lopputulos on että palvelimen pää on puhdas.
Itse anti-virus ongelmaa on vaikea diagnosoida koska itse en sitä saa näkymään, mutta (kunnes saadaan screenshot) oletan että kyse taitaa olla tällä hetkellä aika yleisestä "fake anti virus 2010" epidemiasta, joka ei taida kuitenkaan liittyä suoranaisesti tähän palstaan.
Tarinaa asiasta ja poisto-ohjeita:
http://www.geckoandfly.com/2010/01/09/how-to-remove-fake-antivirus-live-software/
Muutama yleispätevä tietoturvaohje Windows käyttäjille:
1) Asenna asiallinen anti-virus ohjelma + palomuuri. Itsellä on hyviä kokemuksia COMODO:sta, joka on ilmainen ja tekee molemmat temput. Avast! on hyvä ilmainen pelkkä anti-virus
2) Älä käytä Internet Exploreria
- Asenna Firefox tai Google Chrome selaimeksi.
- Tätä ohjetta ei voi liikaa korostaa
-
Ajoimme virustutkaimet ja tutkimme serverin, ja lopputulos on että palvelimen pää on puhdas.
Itse anti-virus ongelmaa on vaikea diagnosoida koska itse en sitä saa näkymään, mutta (kunnes saadaan screenshot) oletan että kyse taitaa olla tällä hetkellä aika yleisestä "fake anti virus 2010" epidemiasta, joka ei taida kuitenkaan liittyä suoranaisesti tähän palstaan.
Tarinaa asiasta ja poisto-ohjeita:
http://www.geckoandfly.com/2010/01/09/how-to-remove-fake-antivirus-live-software/
Muutama yleispätevä tietoturvaohje Windows käyttäjille:
1) Asenna asiallinen anti-virus ohjelma + palomuuri. Itsellä on hyviä kokemuksia COMODO:sta, joka on ilmainen ja tekee molemmat temput. Avast! on hyvä ilmainen pelkkä anti-virus
2) Älä käytä Internet Exploreria
- Asenna Firefox tai Google Chrome selaimeksi.
- Tätä ohjetta ei voi liikaa korostaa
Tein kyseiset toiminnot, Anyway Tappara On Terästä !
-
ATK- asiantuntija kaverini lähti hetki sitten ( alalla 15 vuotta ) ja totesi asian olleen juuri niin kuten Ljjp ja Axe mainitsikin, eli joku virun mainoshomma kyseessä.
-
Itsekin sain kyseisen "viruksen" eilisiltana tappara.infoa käyttäessäni. Mainoshyökkäys käynnistyi samalla sekunnilla kun klikkasin äänen yhden keskustelulangan yhteydessä olevassa äänestyksessä.
Ja sitten olikin näyttö täynnä uskottavan näköistä virusvaroitusta, kuinka koneessa muka on satoja troijalaisia, ja asiasta pääsee eroon maksamalla AV-antivirusohjelman käyttöoikeuden. Kaksi tuntia meni taistellessa ohjelmaa pois koneelta, kun sen voi tuhota vain katkaisemalla ensin ohjelman aktiivisuuden tehtävienhallinnasta.
Sotkusta on vielä jäljellä lisätöitä, sillä ohjelman mainosvaroitus ilmestyy Explorerissa lähes mille tahansa nettisivulle pyrittäessä, eikä tilanne poistunut edes IE8:n uudelleenasennuksella, toisin sanoen jossakin muualla kuin itse IE:ssä on vielä tämän hyökkäyksen jämiä jäljellä. (IE:stä ei ole tarkoitus luopua, koska vastaavia hyökkäyksiä tapahtuu muissakin selaimissa, ja Explorer on ollut luotettava selain.)
-
Jos kyseessä on Win32/InternetAntivirus tai vastaava, niin todennäköisimmin olet saanut sen jostain aivan muualta, mutta se vain aktívoitui tuolla hetkellä.
Ja noita hyökkäyksiä tulee kaikille selaimille, mutta jostain kumman syystä vain IE:n käyttäjät valittavat niistä. ;)
-
Ja noita hyökkäyksiä tulee kaikille selaimille, mutta jostain kumman syystä vain IE:n käyttäjät valittavat niistä. ;)
No jos on 12 vuotta käyttänyt IE:tä ja nyt tulee ensimmäinen haittaohjelmaongelma niin onhan se valtava vikatiheys. Hymiö!
-
Itse sain koneelleni tuon Antivir mainoksen ja kävi niinkuin monelle muullekin. Jumankauta että se on vaikee poistaa koneelta(en ole vieläkään onnistunut). Sitä ei löydy koneelta mistään, mutta kyllä se vaan koneella on koska osaa muistuttaa olemassa olostaan suunnilleen kerran päivässä. Kaveri osaa naamioitua aika hienosti.. :). Itselläni on Firefox, joten selaimesta se ei ole kiinni.
-
Tuossahan ne viruksen poisto-ohjeet on jonkin verran ylempänä ihan linkitettynä.
No jos on 12 vuotta käyttänyt IE:tä ja nyt tulee ensimmäinen haittaohjelmaongelma niin onhan se valtava vikatiheys. Hymiö!
Yhtä lailla voisi sanoa omaa automalliaan täysin viattomaksi, koska siihen ei ole tarvinnut tehdä koko omistusaikana yhtään huoltoa.
-
Itse sain koneelleni tuon Antivir mainoksen ja kävi niinkuin monelle muullekin. Jumankauta että se on vaikee poistaa koneelta(en ole vieläkään onnistunut). Sitä ei löydy koneelta mistään, mutta kyllä se vaan koneella on koska osaa muistuttaa olemassa olostaan suunnilleen kerran päivässä. Kaveri osaa naamioitua aika hienosti.. :). Itselläni on Firefox, joten selaimesta se ei ole kiinni.
Itse ohjelma kyllä lähti pois, kun kävi sammuttamassa tehtävienhallinnasta ohjelman aktiivisen exe-tiedoston, jolloin resurssienhallinta antoi poistaa Program files -kansioon syntyneen AV-kansion. Mutta koneeseen jäi vielä jotain rippeitä, koska selaimeen tulee suunnilleen jotain aamulehti.fiä avatessa varoitus "vaarallisesta sivustosta" ja kehotus päivittää AV.
Explorerinvihaajille on tietysti harmillinen takaisku kuulla, että AV-sotku syntyy myös Firefoxiin ;D
-
Itsellä on nyt 3 päivän sisällä tullut kaksi kertaa toi virus ilmoitus täällä keskusteluissa olessani. Ensimmäisellä kerralla kannetavan tietokoneen kanssa ja juuri äskön pöytäkoneella. Molemmissa mozilla firefox selaimena. Missään muualla netin ihmeellisessä maailmassa en ole moiseen törmännyt. Eli todennäköisesti se täältä keskusteluista pompaa koneelle. Ärsyttävä "vaiva". Joutuu varmaan ruveta vältteleen palstan selailua jos rupee jatkuvasti hyppiin silmille täällä moiset.
-
Explorerinvihaajille on tietysti harmillinen takaisku kuulla, että AV-sotku syntyy myös Firefoxiin ;D
Jos käyttäjä itse on mennyt netistä asentamaan tuon malwaren koneelleen selainta käskyttämään, niin ei sitä mikään selain siinä vaiheessa pysty pysäyttämään. Tuo pitää ujuttaa joko jotain selaimen tietoturvareikää pitkin koneelle asentumaan tai sitten käyttäjän pitää itse asentaa se. Jälkimmäiseen ns. "stupid user erroriin" ei selainvalinta vaikuta yhtään, mutta se on se olennainen juttu ensimmäiseen ongelmaan pysäyttämiseen. Tietysti tuon virhetilaston perusteella selainten turvallisuusjärjestyksen asettamista voidaan pitää "jonkun selaimen vihaamissena", mutta minusta se on vain oman tietoturvan parantamista.
-
Itsellä on nyt 3 päivän sisällä tullut kaksi kertaa toi virus ilmoitus täällä keskusteluissa olessani. Ensimmäisellä kerralla kannetavan tietokoneen kanssa ja juuri äskön pöytäkoneella.
Tätä palstaa selailee päivittäin sadat käyttäjät, generoiden tuhansia-kymmeniä tuhansia sivunlatauksia vuorokaudessa. Mode-tiimi ja muut aktiivisimmat käyttäjät ovat palstalla päivittäin. Ei ole mitään konkreettista näyttöä siitä tartunta olisi tullut tältä palstalta, ja itse en ole kertaakaan kys. ongelmaan törmännyt.
Mitä tuosta aiheesta olen lueskellut, niin ilmeisesti siinä vaiheessa kun anti-virus varoituksia alkaa tulemaan, on haittaohjelma jo koneessasi ja manipuloi webbiselaitasi. Ongelma on olemassa niin Firefoxilla kuin IE:lläkin.
-
Itsekin sain kyseisen "viruksen" eilisiltana tappara.infoa käyttäessäni. Mainoshyökkäys käynnistyi samalla sekunnilla kun klikkasin äänen yhden keskustelulangan yhteydessä olevassa äänestyksessä.
Ja sitten olikin näyttö täynnä uskottavan näköistä virusvaroitusta, kuinka koneessa muka on satoja troijalaisia, ja asiasta pääsee eroon maksamalla AV-antivirusohjelman käyttöoikeuden. Kaksi tuntia meni taistellessa ohjelmaa pois koneelta, kun sen voi tuhota vain katkaisemalla ensin ohjelman aktiivisuuden tehtävienhallinnasta.
Aivan saman ehdin itsekin kokea muutamia päiviä sitten: koneella "satoja troijalaisia" jne. Ehdin jo pelästyä! Tuo Antivir-ohjelma löytyi XP:ssä sieltä litaniasta "Käynnistä -> Kaikki ohjelmat". Olisko ollut ihan oma AV-hakemistokin. Mutta siellä oli myös kyseisen riesaohjelman "uninstall", joka ei tietenkään aluksi poistanut ko. ohjelmaa. Paitsi sitten kun pääsin kiinni ohjelman asetuksiin ja tein ohjelman poistamisen mahdolliseksi. Siellä kun oli valmiina rasti ruudussa, joka merkkasi suunnilleen sitä että "Antivir puolusta itseäsi"... Olipa muuten ikävän tehokasta "markkinointia"! ;)
-
Myös toisella samaa softaa käyttävällä palstalla pukkaa jatkuvasti viirusta f-securen mukaan!
Spybotilla ja tuolla torjunnalla on onneksi saanut napsittua sitten pois!
Syyhyn en osaa ottaa kantaa.
-
Jos noita feikkivirusskannereita pomppii näytöllä, niin silloin oma kone on saastunut ja se pitää puhdistaa läpikotaisin. Ilmeisesti tuolla tapaa automaattisesti sitä ei saa kokonaan poistettua, vaan se pitää tehdä käsin.
Jos foorumi olisi saastunut, silloin jokainen käyttäjä saisi noita ilmoituksia. Nythän ei näin ole. Tuo virus ilmeisesti tykkää aktivoitua vain foorumeita selaillessa, eli paikoissa, joissa "todennäköisesti löytyy viruksia".
-
Vääriä hälytyksiä liikkeellä eilen mm. F-Securella:
http://www.taloussanomat.fi/tekniikka/2010/01/26/f-secure-pyytaa-anteeksi/20101217/133 (http://www.taloussanomat.fi/tekniikka/2010/01/26/f-secure-pyytaa-anteeksi/20101217/133)
-
Tässä on hyvä ja teknisempi selvitys FAKEAV -viruksesta ja kuinka se toimii:
http://us.trendmicro.com/imperia/md/content/us/trendwatch/researchandanalysis/010410_-_web_threat_spotlight_54_-_sites_compromised_by_malicious_javascript_lead_to_fakeav.pdf
Yhteenvetona lyhyesti:
1) Haittasivusto syöttää käyttäjän selaimelle pätkän JavaScriptiä - tässä vaiheessa käyttäjä ei huomaa vielä mitään, ellei anti-virus (oikea sellainen) ole antanut varoitusta.
2) Haittallinen JavaScript pyörii selaimella taustalla, eikä aiheuta mitään näkyvää - kunnes käyttäjä osuu jollekin ennalta määritellyistä sivuista. Tässä kohtaa SMF keskusteluforum astuu mukaan. Virus tunnistanee että käyttäjä selaa SMF palstaa (tai muuta sopivaksi katsottua sivua) ja käynnistää aiheettoman "Anti Virus"-hälytyksen.
Tämän logiikan tarkoituksena on lisätä ilmoituksen uskottavuutta, jottei käyttäjä heti oivalla kyseessä olevan huijaus. Vähän kankea/karkea Suomennos, lukekaa linkin raportista lisää.
Edelleen käsityksemme on että serverillämme tätä haittaohjelmaa ei ole. Olemme ajaneet viimeisimmät päivitykset niin SMF:ään, kuin serveriinkin, sekä skannanneet purkin anti-virus ohjelmalla. Edelleen on mahdollistä että huijarit ovat onnistuneet ujuttamaan haittakoodinsa mainokseen joka on jonkun käyttämämme mainosverkoston rotaatiossa -- tällä tempulla on onnistuttu ajamaan haittakoodia jopa NYTimes.com:ssa. Olen lähettänyt aiheesta tiedustelun palstalla käytetyille mainosverkoille.
Havaintojen vähyys vs. käyttäjien määrä kuitenkin puoltaa sitä, että käyttäjän kone on saastunut ennen palstalle tuloa ja ainoastaan SMF palstalle saapunen sattuu aiheuttamaan haittaohjelman käynnistymisen, koska se on suunniteltu toimimaan niin. SMF on luonnollinen kohde haittaohjelmalle, koska se on yksi maailman suosituimmista keskustelupalstaohjelmistoista - luultavasti foorumit sopivat hyvin myös haittaohjelman psykologiseen malliin, sillä keskustelupalstoilla on yleensä joukko uskollisia vakikävijöitä, kuten täälläkin.
Ylläpito ja mode-tiimi tarkkailee tilannetta ja suhtautuu siihen täydellä vakavuudella.
-
Pelaajat-osiossa tuollainen valeikkuna ilmestyi, tosin ei suostunut avautumaan koska palomuuri varoitti.
Kyllä nyt näyttää siltä että palstanne on saastunut. :-\
-
Kyllä nyt näyttää siltä että palstanne on saastunut. :-\
Ei näytä. Teoriassa on mahdollista että mainosverkko on saastunut - olemme olleet yhteydessä sinnepäin ja selvittävät asiaa omalta puoleltaan. Ostin tästä tilanteesta johtuen ja muutenkin olen kahlaillut palstaa ahkerasti joka päivä, eikä ole näkynyt fake-antiviruksia täällä päin.
Ja jos luet ylläolevat, niin haittaohjelma toimii nimenomaan niin että se suorittaa toimintonsa viivästetysti, käyttäjän saavuttua tarkoitukseen hyväksi katsotulle sivustolle (tässä tapauksessa SMF-pohjainen foorumi). Eli olet hyvinkin voinut saada esi-tartunnan toisaalla ja se ilmenee vasta saavuttuasi tänne. Hyvä että suojauksesi olivat ajantasalla.
-
2) Älä käytä Internet Exploreria[/b]
- Asenna Firefox tai Google Chrome selaimeksi.
- Tätä ohjetta ei voi liikaa korostaa
"Firefox-lisäosat saastuttivat tuhansia tietokoneita"
http://www.iltasanomat.fi/uutiset/kotimaa/uutinen.asp?id=1916118
http://www.tietokone.fi/uutiset/firefox_lisaosat_saastuttivat_tuhansia_tietokoneita