Re: [DX] Virusvaroitus
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [DX] Virusvaroitus

Näyttää olevan levinnyt kovasti dx-piireissäkin. Olen jo saanut kolme virushyökkäyksen sisältänyttä viestiä HCDX -keskustelupalstan jäseniltä. Viestit olivat muka vastauksia viime aikoina ko. palstalle lähettämiini viesteihini; eli otsikoltaan mallia 'RE:[HCDX] ......'. Viesti on muuuten tyhjä, mutta sisältää kaksi liitettä; toinen on on muka html -sivu (htm -päätteinen) ja toinen tiedosto, jossa on kaksi tarkennetta (nimi vaihtelee). Itselläni kaikissa on ollut doc.pif -takenteet. Riski liittyy siihen jos yrittää avata tuon htm -tiedoston. Tai jos Outlook Express kutsuu IE:n avaamaan (renderoimaan) sen automaattisesti.

Tässä alla selostus siitä, mitä virus mm. tekee. Jos on sattunut avaamaan ylläkuvatun kaltaisia viestejä, kannattaa tsekata onko allamainitun nimisiä tiedostoja ilmestynyt levylle - ja poistaa ne. 
 
Omalla kohdalla näin ei tapahtunut, mutta olenkin päivittänyt Internet Explorerini suht koht äsken (=kesän jälkeen). Turvallisuusaukko paikattiin viime maaliskuussa. Paikka on saatavissa sivulta 
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
jossa muutenkin tietoa asiasta.

73 de PUL

--------------------lainaus Message Labsin sivuilta----------------------------
"The virus also drops a password stealing Trojan KDLL.DLL previously identified as Trojan.PSW.Hooker.  The trojan component uses key logging to send confidential information (passwords, credit card details etc.) from infected computers to the email address: 

                  ld8dl1@xxxxxxxxxxxxxxx

The trojan component moves itself to the Windows system directory with the filename KERN32.EXE, drops an additional library (key logger) with filename HKSDLL.DLL. 

The trojan registers itself in the Registry in RunOnce key: 
           HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce 

            kernel32 = kern32.exe"
--------------------------------------------------------------

----- Original Message ----- 
From: <ves@xxxxxxxxxxx>
To: <dx@xxxxxxxxxxxxxxxx>
Sent: Tuesday, November 27, 2001 4:10 PM
Subject: [DX] Virusvaroitus


F-Secure varoittaa BadTrans-sähköpostimadosta 
  
F-Secure Oyj varoittaa uudesta maailmanlaajuisesta sähköpostimadosta 
nimeltä BadTrans.B. Yhtiön mukaan tämä Windows-mato leviää erittäin nopeasti
sähköpostiviestien avulla ja se asentaa järjestelmiin troijalaisen joka
yrittää varastaa käyttäjän salasanoja.

Mato löydettiin Englannista lauantaina 24.11. Sen oletetaan leviävän
huomattavasti nopeammin kuin keskivertomadot, sillä se onnistuu useissa
järjestelmissä käynnistymään automaattisesti kun saastunut viesti luetaan.

F-Secure Anti-Virus havaitsee ja pysäyttää Badtransin. Madon tunnistus
lisättiin aikaisin sunnuntaiaamuna 25.11.

Badtrans leviää sähköpostin kautta vastaamalla kaikkiin järjestelmästä
löytyviin sähköpostiviesteihin. Viestissä ei ole sisältöä, ja aihe-kentässä
lukee tyypillisesti vain "RE: " tai "RE:" ja sen viestin aihe, johon mato
vastaa. Liitteen nimi vaihtelee, mutta sillä on aina kaksoispääte, kuten
esimerkiksi .TXT.PIF. Mato käyttää hyväkseen tunnettua turva-aukkoa, jonka
avulla se käynnistyy automaattisesti saastuneiden viestien kautta
vastaanottajan tietokoneella.

Badtrans pudottaa saastuneeseen järjestelmään vakoilutroijalaisen, joka
tunnetaan nimellä Trojan.PSW.Hooker. Se seuraa näppäimistön toimintaa, kirjaa ylös salasanoja ja lähettää niitä edelleen sähköpostilla. Mato ei tee muuta suoraa tuhoa, se ei esimerkiksi poista tiedostoja tai lisää merkittävästi
verkkoliikennettä.

"Tämän madon tärkein ominaisuus on se, että se käynnistyy sähköposteista
automaattisesti, samalla tavalla kuin Nimda", sanoo Mikko Hyppönen
F-Securesta. "Voimme vain toivoa että käyttäjät ovat asentaneet tarvittavat
Microsoftin turvapäivitykset viime aikojen virusepidemioiden jälkeen."
 
T. Vesa Heikkilä, Oulainen

_______________________________________________
DX mailing list
DX@xxxxxxxxxxxxxxxx
http://www2.hard-core-dx.com/mailman/listinfo/dx
_______________________________________________

Copyright (c) Hard-Core-DX.com

Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.1 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Text. A copy of the license is available in http://www.gnu.org/copyleft/fdl.txt.


_______________________________________________
DX mailing list
DX@xxxxxxxxxxxxxxxx
http://www2.hard-core-dx.com/mailman/listinfo/dx
_______________________________________________

Copyright (c) Hard-Core-DX.com

Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.1 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Text. A copy of the license is available in http://www.gnu.org/copyleft/fdl.txt.