Kirjoittaja Aihe: Virus hyökkäyksiä  (Luettu 12304 kertaa)

Poissa passivemonkey

  • Sr. Member
  • ****
  • Viestejä: 483
    • Profiili
Vs: Virus hyökkäyksiä
« Vastaus #15 : Tammikuu 25, 2010, 13:53:55 »
Itse sain koneelleni tuon Antivir mainoksen ja kävi niinkuin monelle muullekin. Jumankauta että se on vaikee poistaa koneelta(en ole vieläkään onnistunut). Sitä ei löydy koneelta mistään, mutta kyllä se vaan koneella on koska osaa muistuttaa olemassa olostaan suunnilleen kerran päivässä. Kaveri osaa naamioitua aika hienosti.. :). Itselläni on Firefox, joten selaimesta se ei ole kiinni.

Poissa jtv

  • Hero Member
  • *****
  • Viestejä: 1024
    • Profiili
Vs: Virus hyökkäyksiä
« Vastaus #16 : Tammikuu 25, 2010, 15:19:32 »
Tuossahan ne viruksen poisto-ohjeet on jonkin verran ylempänä ihan linkitettynä.

No jos on 12 vuotta käyttänyt IE:tä ja nyt tulee ensimmäinen haittaohjelmaongelma niin onhan se valtava vikatiheys. Hymiö!

Yhtä lailla voisi sanoa omaa automalliaan täysin viattomaksi, koska siihen ei ole tarvinnut tehdä koko omistusaikana yhtään huoltoa.

Poissa Pee

  • Full Member
  • ***
  • Viestejä: 100
  • Neitikiekon kannattaja
    • Profiili
Vs: Virus hyökkäyksiä
« Vastaus #17 : Tammikuu 25, 2010, 16:06:17 »
Itse sain koneelleni tuon Antivir mainoksen ja kävi niinkuin monelle muullekin. Jumankauta että se on vaikee poistaa koneelta(en ole vieläkään onnistunut). Sitä ei löydy koneelta mistään, mutta kyllä se vaan koneella on koska osaa muistuttaa olemassa olostaan suunnilleen kerran päivässä. Kaveri osaa naamioitua aika hienosti.. :). Itselläni on Firefox, joten selaimesta se ei ole kiinni.
Itse ohjelma kyllä lähti pois, kun kävi sammuttamassa tehtävienhallinnasta ohjelman aktiivisen exe-tiedoston, jolloin resurssienhallinta antoi poistaa Program files -kansioon syntyneen AV-kansion. Mutta koneeseen jäi vielä jotain rippeitä, koska selaimeen tulee suunnilleen jotain aamulehti.fiä avatessa varoitus "vaarallisesta sivustosta" ja kehotus päivittää AV.

Explorerinvihaajille on tietysti harmillinen takaisku kuulla, että AV-sotku syntyy myös Firefoxiin ;D
Katosiko kiekko näkyvistä?

Poissa Aake

  • Newbie
  • *
  • Viestejä: 35
    • Profiili
Vs: Virus hyökkäyksiä
« Vastaus #18 : Tammikuu 25, 2010, 20:07:49 »
Itsellä on nyt 3 päivän sisällä tullut kaksi kertaa toi virus ilmoitus täällä keskusteluissa olessani. Ensimmäisellä kerralla kannetavan tietokoneen kanssa ja juuri äskön pöytäkoneella. Molemmissa mozilla firefox selaimena. Missään muualla netin ihmeellisessä maailmassa en ole moiseen törmännyt. Eli todennäköisesti se täältä keskusteluista pompaa koneelle. Ärsyttävä "vaiva". Joutuu varmaan ruveta vältteleen palstan selailua jos rupee jatkuvasti hyppiin silmille täällä moiset.

Poissa jtv

  • Hero Member
  • *****
  • Viestejä: 1024
    • Profiili
Vs: Virus hyökkäyksiä
« Vastaus #19 : Tammikuu 25, 2010, 20:21:45 »
Explorerinvihaajille on tietysti harmillinen takaisku kuulla, että AV-sotku syntyy myös Firefoxiin ;D

Jos käyttäjä itse on mennyt netistä asentamaan tuon malwaren koneelleen selainta käskyttämään, niin ei sitä mikään selain siinä vaiheessa pysty pysäyttämään. Tuo pitää ujuttaa joko jotain selaimen tietoturvareikää pitkin koneelle asentumaan tai sitten käyttäjän pitää itse asentaa se. Jälkimmäiseen ns. "stupid user erroriin" ei selainvalinta vaikuta yhtään, mutta se on se olennainen juttu ensimmäiseen ongelmaan pysäyttämiseen. Tietysti tuon virhetilaston perusteella selainten turvallisuusjärjestyksen asettamista voidaan pitää "jonkun selaimen vihaamissena", mutta minusta se on vain oman tietoturvan parantamista.

Poissa Ljpp

  • Administrator
  • Hero Member
  • *****
  • Viestejä: 2748
    • Profiili
Vs: Virus hyökkäyksiä
« Vastaus #20 : Tammikuu 25, 2010, 21:34:08 »
Itsellä on nyt 3 päivän sisällä tullut kaksi kertaa toi virus ilmoitus täällä keskusteluissa olessani. Ensimmäisellä kerralla kannetavan tietokoneen kanssa ja juuri äskön pöytäkoneella.

Tätä palstaa selailee päivittäin sadat käyttäjät, generoiden tuhansia-kymmeniä tuhansia sivunlatauksia vuorokaudessa. Mode-tiimi ja muut aktiivisimmat käyttäjät ovat palstalla päivittäin. Ei ole mitään konkreettista näyttöä siitä tartunta olisi tullut tältä palstalta, ja itse en ole kertaakaan kys. ongelmaan törmännyt.

Mitä tuosta aiheesta olen lueskellut, niin ilmeisesti siinä vaiheessa kun anti-virus varoituksia alkaa tulemaan, on haittaohjelma jo koneessasi ja manipuloi webbiselaitasi. Ongelma on olemassa niin Firefoxilla kuin IE:lläkin.
Tappara.co - osallistu yhteisöprojektiin!

Poissa Hakkuri

  • Sr. Member
  • ****
  • Viestejä: 307
  • "Finis coronat opus"
    • Profiili
Vs: Virus hyökkäyksiä
« Vastaus #21 : Tammikuu 26, 2010, 00:08:19 »
Itsekin sain kyseisen "viruksen" eilisiltana tappara.infoa käyttäessäni. Mainoshyökkäys käynnistyi samalla sekunnilla kun klikkasin äänen yhden keskustelulangan yhteydessä olevassa äänestyksessä.

Ja sitten olikin näyttö täynnä uskottavan näköistä virusvaroitusta, kuinka koneessa muka on satoja troijalaisia, ja asiasta pääsee eroon maksamalla AV-antivirusohjelman käyttöoikeuden. Kaksi tuntia meni taistellessa ohjelmaa pois koneelta, kun sen voi tuhota vain katkaisemalla ensin ohjelman aktiivisuuden tehtävienhallinnasta.

Aivan saman ehdin itsekin kokea muutamia päiviä sitten: koneella "satoja troijalaisia" jne. Ehdin jo pelästyä! Tuo Antivir-ohjelma löytyi XP:ssä sieltä litaniasta "Käynnistä -> Kaikki ohjelmat". Olisko ollut ihan oma AV-hakemistokin. Mutta siellä oli myös kyseisen riesaohjelman "uninstall", joka ei tietenkään aluksi poistanut ko. ohjelmaa. Paitsi sitten kun pääsin kiinni ohjelman asetuksiin ja tein ohjelman poistamisen mahdolliseksi. Siellä kun oli valmiina rasti ruudussa, joka merkkasi suunnilleen sitä että "Antivir puolusta itseäsi"...  Olipa muuten ikävän tehokasta "markkinointia"!  ;)

Poissa kyynaama

  • Sr. Member
  • ****
  • Viestejä: 330
    • Profiili
Vs: Virus hyökkäyksiä
« Vastaus #22 : Tammikuu 26, 2010, 07:19:33 »
Myös toisella samaa softaa käyttävällä palstalla pukkaa jatkuvasti viirusta f-securen mukaan!
Spybotilla ja tuolla torjunnalla on onneksi saanut napsittua sitten pois!
Syyhyn en osaa ottaa kantaa.
Imaami on islamin pappi

Poissa jtv

  • Hero Member
  • *****
  • Viestejä: 1024
    • Profiili
Vs: Virus hyökkäyksiä
« Vastaus #23 : Tammikuu 26, 2010, 08:11:14 »
Jos noita feikkivirusskannereita pomppii näytöllä, niin silloin oma kone on saastunut ja se pitää puhdistaa läpikotaisin. Ilmeisesti tuolla tapaa automaattisesti sitä ei saa kokonaan poistettua, vaan se pitää tehdä käsin.

Jos foorumi olisi saastunut, silloin jokainen käyttäjä saisi noita ilmoituksia. Nythän ei näin ole. Tuo virus ilmeisesti tykkää aktivoitua vain foorumeita selaillessa, eli paikoissa, joissa "todennäköisesti löytyy viruksia".

Poissa iceman

  • Hero Member
  • *****
  • Viestejä: 1400
    • Profiili
Vs: Virus hyökkäyksiä
« Vastaus #24 : Tammikuu 26, 2010, 22:31:20 »

Poissa Ljpp

  • Administrator
  • Hero Member
  • *****
  • Viestejä: 2748
    • Profiili
Vs: Virus hyökkäyksiä
« Vastaus #25 : Tammikuu 26, 2010, 23:51:44 »
Tässä on hyvä ja teknisempi selvitys FAKEAV -viruksesta ja kuinka se toimii:

http://us.trendmicro.com/imperia/md/content/us/trendwatch/researchandanalysis/010410_-_web_threat_spotlight_54_-_sites_compromised_by_malicious_javascript_lead_to_fakeav.pdf

Yhteenvetona lyhyesti:
1) Haittasivusto syöttää käyttäjän selaimelle pätkän JavaScriptiä - tässä vaiheessa käyttäjä ei huomaa vielä mitään, ellei anti-virus (oikea sellainen) ole antanut varoitusta.
2) Haittallinen JavaScript pyörii selaimella taustalla, eikä aiheuta mitään näkyvää - kunnes käyttäjä osuu jollekin ennalta määritellyistä sivuista. Tässä kohtaa SMF keskusteluforum astuu mukaan. Virus tunnistanee että käyttäjä selaa SMF palstaa (tai muuta sopivaksi katsottua sivua) ja käynnistää aiheettoman "Anti Virus"-hälytyksen.

Tämän logiikan tarkoituksena on lisätä ilmoituksen uskottavuutta, jottei käyttäjä heti oivalla kyseessä olevan huijaus. Vähän kankea/karkea Suomennos, lukekaa linkin raportista lisää.

Edelleen käsityksemme on että serverillämme tätä haittaohjelmaa ei ole. Olemme ajaneet viimeisimmät päivitykset niin SMF:ään, kuin serveriinkin, sekä skannanneet purkin anti-virus ohjelmalla. Edelleen on mahdollistä että huijarit ovat onnistuneet ujuttamaan haittakoodinsa mainokseen joka on jonkun käyttämämme mainosverkoston rotaatiossa -- tällä tempulla on onnistuttu ajamaan haittakoodia jopa NYTimes.com:ssa. Olen lähettänyt aiheesta tiedustelun palstalla käytetyille mainosverkoille.

Havaintojen vähyys vs. käyttäjien määrä kuitenkin puoltaa sitä, että käyttäjän kone on saastunut ennen palstalle tuloa ja ainoastaan SMF palstalle saapunen sattuu aiheuttamaan haittaohjelman käynnistymisen, koska se on suunniteltu toimimaan niin. SMF on luonnollinen kohde haittaohjelmalle, koska se on yksi maailman suosituimmista keskustelupalstaohjelmistoista - luultavasti foorumit sopivat hyvin myös haittaohjelman psykologiseen malliin, sillä keskustelupalstoilla on yleensä joukko uskollisia vakikävijöitä, kuten täälläkin.

Ylläpito ja mode-tiimi tarkkailee tilannetta ja suhtautuu siihen täydellä vakavuudella.
« Viimeksi muokattu: Tammikuu 26, 2010, 23:53:59 kirjoittanut Ljpp »
Tappara.co - osallistu yhteisöprojektiin!

Poissa Vänrikki Koskela

  • Newbie
  • *
  • Viestejä: 14
  • Olen pelikiellossa, koska en osaa käyttäytyä.
    • Profiili
Vs: Virus hyökkäyksiä
« Vastaus #26 : Tammikuu 28, 2010, 23:52:48 »
Pelaajat-osiossa tuollainen valeikkuna ilmestyi, tosin ei suostunut avautumaan koska palomuuri varoitti.
Kyllä nyt näyttää siltä että palstanne on saastunut.  :-\

Poissa Ljpp

  • Administrator
  • Hero Member
  • *****
  • Viestejä: 2748
    • Profiili
Vs: Virus hyökkäyksiä
« Vastaus #27 : Tammikuu 29, 2010, 16:39:54 »
Kyllä nyt näyttää siltä että palstanne on saastunut.  :-\

Ei näytä. Teoriassa on mahdollista että mainosverkko on saastunut - olemme olleet yhteydessä sinnepäin ja selvittävät asiaa omalta puoleltaan. Ostin tästä tilanteesta johtuen ja muutenkin olen kahlaillut palstaa ahkerasti joka päivä, eikä ole näkynyt fake-antiviruksia täällä päin.

Ja jos luet ylläolevat, niin haittaohjelma toimii nimenomaan niin että se suorittaa toimintonsa viivästetysti, käyttäjän saavuttua tarkoitukseen hyväksi katsotulle sivustolle (tässä tapauksessa SMF-pohjainen foorumi). Eli olet hyvinkin voinut saada esi-tartunnan toisaalla ja se ilmenee vasta saavuttuasi tänne. Hyvä että suojauksesi olivat ajantasalla.
« Viimeksi muokattu: Tammikuu 29, 2010, 16:43:05 kirjoittanut Ljpp »
Tappara.co - osallistu yhteisöprojektiin!

Poissa Pee

  • Full Member
  • ***
  • Viestejä: 100
  • Neitikiekon kannattaja
    • Profiili
Vs: Virus hyökkäyksiä
« Vastaus #28 : Helmikuu 09, 2010, 12:17:47 »
2) Älä käytä Internet Exploreria[/b]
   - Asenna Firefox tai Google Chrome selaimeksi.
   - Tätä ohjetta ei voi liikaa korostaa
"Firefox-lisäosat saastuttivat tuhansia tietokoneita"
http://www.iltasanomat.fi/uutiset/kotimaa/uutinen.asp?id=1916118
http://www.tietokone.fi/uutiset/firefox_lisaosat_saastuttivat_tuhansia_tietokoneita
Katosiko kiekko näkyvistä?