Suomalaisia huijannut dns-haittaohjelma tunnistettiin
0
Jopa 2000 suomalaisen koneen nimipalvelinasetukset sotkenut haittaohjelma on selvitetty tietoturvayhtiö F-Securen ja Viestintäviraston Cert-fi-yksikön yhteistyönä. Haittaohjelma paljastui vanhaksi tutuksi, joka tunnetaan nimillä DNS Changer ja Zlob. Se onnistui sotkemaan monen Windowsin verkkoyhteydet niin, että tavalliselle käyttäjälle helpointa oli asentaa käyttöjärjestelmä uudelleen.
Haittaohjelma paljastui, kun operaattorit huomasivat noin 2000 ip-osoitteesta olevan yhteyksiä nimipalvelimiin, joiden epäillään ohjaavan varomattomia käyttäjiä muun muassa verkkopankkihuijareiden palvelimille. Nimipalvelinhuijaus käy siten, että uhri päätyy rikollisten sivustolle kirjoittaessaan selaimeen pankkinsa web-osoitteen.
Cert-fi huomauttaa, että Zlobin torjumista on vaikeuttanut se, että ohjelmasta leviää jatkuvasti uusia muunnelmia. Tämän takia tietoturvaohjelmien sormijälkiin perustuvat tunnistukset eivät ole pysyneet mukana.
Poisto-ohjeet osaaville käyttäjille
Viestintäviraston Cert-fi-yksikkö on julkaissut raportissaan ohjeet siitä, miten ainakin osaava käyttäjä saa haittaohjelman poistettua.
Cert-fi neuvoo, että Zlob-haittaohjelman voi useimmiten poistaa, jos onnistuu tuhoamaan sen käyttämän binääritiedoston ja avaimet Windowsin rekisterissä. Nimipalvelinasetukset on myös palautettava normaaleiksi siten, että ne haetaan operaattorilta.
Tietojen poistamisessa kannattaa olla tarkkana, sillä väärän tiedoston tai rekisteriavaimen poistaminen voi rampauttaa Windowsin kokonaan.
Tavallisille ihmisille ohje on tylympi: Asenna Windows uudelleen. "Tämä on perusneuvomme. Jos kone on saastunut yhdellä haittaohjelmalla, ei voi olla varma, onko siellä muitakin. Kokemuksemme on osoittanut, että usein saastuneilla koneilla on monia haittaohjelmia", sanoo tietoturva-asiantuntija Ari Husa Cert-fi:stä.
"Monet haittaohjelmat häiritsevät Windows-tietoturvaohjelmien toimintaa. Jos haluaa siivota koneen varmasti, perusneuvomme on uudelleenasennus", painottaa Husa.
Cert-fi ei ole päivittänyt arviotaan siitä, miten monella koneella haittaohjelma mahdollisesti vielä on. Sitä ei uskota, että siitä olisi päästy vielä eroon.
"On luultavaa, että sitä on vielä paljon koneissa. Kestää aikansa ennen kuin se poistetaan, koska haittaohjelmien tunnisteet ovat tulleet jälkijunassa. Ne, jotka eivät osaa ohjeillamme tätä poistaa, kiikuttavat luultavasti koneensa huoltoon."
