Tietotori – Osallistu ja vaikuta

Tietotori

Menneen viikon viruksia

Panda Software

26.1.2004 Tampere

Menneellä viikolla nähtiin vuoden ensimmäinen tilanne jossa virus leviämisellään aiheutti . Bagle.A:ksi nimetty virus
aloitti voimakkaan leviämisen aikaisin maanantaina 19.1.2004. Panda Software siirtyi "esihälytys"-tilaan juuri voimakkaan leviämisen
johdosta. Varsinaiseen hälytykseen ei virus kuitenkaan antanut aihetta.
Viruksesta lisää yhteenvedossa sekä sivustollamme.
Tämän viikon tiedotteessa on menneellä viikolla havaitujen virusten lisäksi lyhyesti käsitelty krakkerointityökaluja. Ennen näitä muutama sana
käsitteestä "hakkeri" ja "krakkeri". Hakkeri on alkuperäisessä merkityksessään tarkoittanut tietotekniikka-alan asiantuntijaa (nörtti).
Kun taas krakkeri on henkilö joka murtautuu tietojärjestelmiin. Hakkeri sanaa on usein käytetty tarkoittamaan järjestelmiin murtautuvaa henkilöä,
varsinkin eri medioissa. Tämän mukana hakkeri sanan merkitys on muuntautunut tarkoittamaan rikollista toimintaa.
Kuitenkin kirjoitusten asiayhteys yleensä paljastaa puhutaanko rikollisesta toiminnasta vai ei. Tämä osaltaan on edes auttanut sitä ettei
väärinkäsityksiä merkitysten kohdalla ole liiemmin tullut. Sanojen merkitystä sotkee vielä Englannin kielinen sana "hacker".
***************************************************************************************************************************************************************************************************
Mitä krakkerointityökalut ovat?:
Monesti luullaan krakkerin olevan tietokoneeseen kiinni kasvanut nörtti, joka taidoillaan kykenee tunkeutumaan melkein mihin tahansa järjestelmään. Totuus on kuitenkin hiukan toisenlainen. Hyvin usealla kotikäyttäjällä on puutteelliset tiedot työaseman suojaamisesta, jolloin suojaamaton kotikone on krakkerille erittäin helppo kohde.
Krakkeri tarvitsee perustiedot IT-järjestelmistä, jotta murtautuminen työasemaan onnistuu. Samalla kun tietoturvaohjelmien suosio kasvaa, on myös krakkerin kyettävä kehittämään erikoistaitojaan. Krakkerit ovatkin kehittäneet erityisiä ohjelmia, joista useimmat ovat kenen tahansa saatavilla Internetissä. Näitä sovelluksia voi kuka tahansa käyttää vilpillisiin tarkoituksiin, riippumatta käyttäjän tietotaidoista.
Näitä sovelluksia kutsutaan krakkerointiohjelmiksi. Niiden avulla ulkopuolinen käyttäjä pystyy mm. seuraaviin toimenpiteisiin: etäkäyttämään työasemaa, varastamaan salasanoja, käynnistämään palvelunestohyökkäyksiä, skannaamaan portteja yms.
Krakkerointiohjelmia ei kuitenkaan aina kehitetä vilpillisiin tarkoituksiin, vaan jotkin niistä ovat täysin laillisia. Krakkerit yrittävät kuitenkin asettaa näitä ohjelmia työasemaan laittomasti. Myös joillakin viruksilla on ominaisuus, jolla ne pystyvät lataamaan krakkerointiohjelman sen jälkeen kun ovat saastuttaneet työaseman, sekä levittämään sovellusta pikaviestiohjelman, chatin tai sähköpostin välityksellä.
Pelkkä virustorjuntaohjelma ei kykene tunnistamaan krakkerointiohjelmia, sillä ne eivät ole viruksia. Virustorjuntaohjelmassa on oltava erityisesti krakkerointiohjelmien tunnistus, jotta se kykenee torjumaan ne jo ennen niiden tunkeutumista työasemaan.
***************************************************************************************************************************************************************************************************
Alla yhteenvetoa menneellä viikolla havaituista viruksista:
StartPage.AC
on troijalainen joka ei omaa tekniikkaa leviämiseen. Troijalainen pitää siis asentaa työasemalle käyttäjän tai ulkopuolisen tahon
toimesta. StartPage.AC kykenee leviämään esim. vertaisverkko-ohjelmien, kuten KaZaA:n välityksellä, käyttäjien ladatessa jaetuilta
levyiltä tiedostoja. Ladattu tiedosto saattaa olla StartPage.AC jolloin työasema saastuu StartPage.AC:n toimesta.
StartPage.AC:n ei ole havaittu sisältävän tuho-ominaisuuksia. Sen tarkoitus on vaihtaa saastuneen työaseman kotisivu
sekä muuttaa saastuneen työaseman rekisterimerkitöä siten, että se aktivoituu aina kun .TXT-tiedosto avataan.
StartPage.AB
on troijalainen joka ei omaa tekniikkaa leviämiseen. Troijalainen pitää siis asentaa työasemalle käyttäjän tai ulkopuolisen
tahon toimesta. StartPage.AB kykenee leviämään esim. vertaisverkko-ohjelmien, kuten KaZaA:n välityksellä, käyttäjien ladatessa
jaetuilta levyiltä tiedostoja. Ladattu tiedosto saattaa olla StartPage.AB jolloin työasema saastuu StartPage.AB:n toimesta.
StartPage.AB:n ei ole havaittu sisältävän tuho-ominaisuuksia. Sen tarkoitus on vaihtaa saastuneen työaseman kotisivu
sekä muuttaa hosts -tiedostoa siten ettei käyttäjä pääse tietyille sivustoille.
Bagle.A
-virus leviää pääsääntöisesti sähköpostin liitetiedoston välityksellä. Alla viruksen luoman sähköpostin tunnisteet sekä kuva tunnistamista varten:
Aihe:
Hi
Viesti:
Test =)
"satunnainen teksti"
--
Test, yep.
Liitetiedosto:
Bagle.A arvoo satunnaisesti liitetiedoston nimen. Liitetiedosto on .EXE tiedostotunnisteella.
Liitetiedoston kuvake on tuttu Windows -laskimenkuvake.
Bagle.A kykenee väärentämään lähettäjän. Tämän johdosta sähköpostiviesti ei välttämättä tule osoitteesta joka näkyy lähettäjäkentässä.
Bagle.A etsii saastuttamansa työaseman muistista sähköpostiosoitteita jotka ovat tallennettuna seuraavilla tiedostopäätteillä: WAB, TXT, HTM ja HTML. Löytämiinsä sähköpostiosoitteisiin virus lähettää kopion itsestään. Lähettämiseen Bagle.A käyttää omaa SMTP -sähköpostimoottoria.
Huomioitavaa on, että Bagle.A ei lähetä kopiota itsestään löytämiinsä sähköpostiosoitteisiin joissa on joku seuraavista domain-nimistä:hotmail.com, msn.com, microsoft.com ja avp.com.
Edelleen huomioitavaa on, että Bagle.A kykenee saastuttamaan Windows 2003/XP/2000/NT/ME/98/95 -käyttöjärjestelmillä varustetut laitteet. Bagle.A saastuttaa laitteet joiden päivämäärä on 28.1.2004 tai sitä aikaisempi. Tämän ominaisuuden johdosta Bagle.A:n leviäminen pysähtyy mainitun päivämäärän jälkeen.

Niko Eskelinen

lähde panda software

rk