 |
| Etusivu |  |
Varoitukset | |
Tietoturva nyt! | |
Haavoittuvuudet | |
Ohjeet | |
Katsaukset | |
Palvelut | |
Esitykset | |
CERT-FIPL 313 ViestintävirastoItämerenkatu 3 A |
13.10.2006 1/2006 Haxdoor-haittaohjelman poisto-ohjeHaxdoor on Windows-käyttöjärjestelmiä saastuttava haittaohjelma. Yleisimmin sitä käytetään tiedon varastamiseen saastuneen tietokoneen käyttäjiltä. Haxdoorin huomionarvoisin ominaisuus tietojen vakoilun ja varastamisen lisäksi liittyy sen teknisesti edistykselliseen kykyyn piiloutua tietokoneen käyttäjiltä ja ylläpitäjiltä. Lisäksi tietokoneeseen kerran asentuneen Haxdoor-haittaohjelman poistaminen on erittäin vaivalloista. Tällaisia ominaisuuksia kutsutaan rootkit-ominaisuuksiksi. Tarkempia kuvauksia Haxdoor-haittaohjelmasta löytyy useiden virustorjuntaohjelmistoja valmistavien yritysten sivuilta, kuten: http://www.f-secure.com/v-descs/haxdoor.shtml http://www.pandasoftware.fi/viruskirjasto/haxdoor_nj.html http://smallbiz.symantec.com/security_response/writeup.jsp?docid=2006-072413-3859-99 Vaikka haittaohjelmien poistoon on kehitetty useita erilaisia ohjelmistoja, niiden täydellistä toimivuutta ei voi taata. Onkin syytä korostaa, että haittaohjelman saastuttaman tietokoneen siivoamiseen tulee suhtautua suurella varauksella. Suositeltavinta on eristää saastunut tietojärjestelmä verkosta ja asentaa se alusta alkaen uudestaan. Haxdoor-haittaohjelman poistaminen automaattisilla poistotyökaluilla:Haxdoor-haittaohjelman poistotyökaluja on ladattavissa ilmaiseksi esimerkiksi F-Securen sivuilta: http://support.f-secure.fi/fin/home/ols.shtml http://www.f-secure.com/blacklight/try_blacklight.html Myös CERT-FI on kehittänyt Haxdoorin poistamiseen tarkoitetun ohjelman: Ohjelma vertaa yleisimmistä Haxdoor-varianteista löytyviä koodin osia tiedostojärjestelmässä oleviin tiedostoihin, ja ilmoittaa epäilyttävistä tiedostoista käyttäjälle. Tämän jälkeen ohjelma kysyy käyttäjältä halutaanko kyseiset tiedostot poistaa. Tiedostojen poiston jälkeen kone käynnistetään uudelleen poiston onnistumisen varmistamiseksi. Pura ohjelma ensin esimerkiksi c:\temp-hakemistoon. Tämän jälkeen paina työpöydän vasemmassa alakulmassa olevaa Käynnistä-nappia, ja valitse avautuvasta valikosta "Suorita". Kirjoita avautuvaan kenttään cmd.exe ja paina Enter. Tämän jälkeen kirjoita avautuvaan ikkunaan seuraavasti: "cd c:\temp" (tai vastaavasti hakemisto johon purit ohjelman) ja paina Enter Halutessasi pelkästään raportin mahdollisesta saastumisesta voit antaa komentorivillä ohjelmalle lisäkäskyn: "HXDRemove_fi.exe -r" Tällöin ohjelma ainoastaan raportoi löydöksistä, eikä kysy käyttäjältä toimintaohjeita. Ohjelmiston varmenteet:HXDRemove_en.exe:MD5: EF5C73986BCB893DA477994D3F0381FA HXDRemove_fi.exe:MD5: 6ED98F35B9F0361A028935130E9B2082 hxdr.sys:MD5: 4EB8101F239391B765B8DE632B3D3DD3 Linkit poisto-ohjelmaan:http://www.ficora.fi/suomi/tietoturva/tools/HXDRemove.zip Haxdoor-haittaohjelman poisto manuaalisesti: Haxdoor on erittäin hankala poistaa manuaalisesti. Ohjelma asentaa itsensä käyttöjärjestelmän ytimeen, ja suojelee itseään aktiivisesti poistotoimenpiteiltä. Haxdoorin käyttämät tiedostot eivät myöskään näy käyttäjälle tietokoneen prosessi- tai hakemistolistauksessa. Haxdoorin tiedostot on mahdollista havaita erityisesti rootkit-ohjelmien paljastamiseen tarkoitetulla ohjelmistolla. Ohjelmistoja on mahdollista ladata ilmaiseksi esimerkiksi seuraavilta sivustoilta: http://www.sysinternals.com/Utilities/RootkitRevealer.html Haxdoorin käyttämien tiedostojen tunnistamisen jälkeen poistaminen on mahdollista vaihtamalla Microsoftin ohjeessa mainittuja tiedostonimiä: http://support.microsoft.com/kb/903251
|
|
