 |
| Etusivu |  |
CERT-FIPL 313 ViestintävirastoItämerenkatu 3 A |
HuhtikuuTästä aiheesta löytyy myös RSS-syöte 24.04.2009 Laajamittainen roskapostituskampanja käynnistynyt
Yhteen sähköpostiosoitteeseen useampi samanaiheinen roskaposti CERT-FI:n saamien tietojen mukaan eilen illalla on käynnistynyt laajamittainen englanninkielistä roskapostia välittävä kampanja. Kampanjalla tuntuu olevan huomattavan hyvä peitto suomalaisissa sähköpostiosoitteissa. Roskapostissa kerrotaan West Union Group Company:n palkkaavan edustajia Euroopasta. Viesteissä pyydetään asiasta kiinnostuneita lähettämään omat tietonsa roskapostissa annettuun sähköpostiosoitteeseen. Posteja on lähetetty ainakin seuraavin otsikoin Open Positions, Position Opening, Representatives Wanted, Help Wanted sekä West Union Group. Sähköpostin vastaanottaja on yleensä väärennetty myös postin lähettäjäksi. 10.04.2009 Microsoftin ja Oraclen päivityspakettien julkaisu ensi tiistainaMicrosoftilta tulossa 8 ja Oraclelta 43 päivitystä Microsoft julkaisee tiistaina 14. huhtikuuta kahdeksan päivitystä sisältävän päivityspaketin. Joukossa on viisi kriittiseksi luokiteltua päivitystä haavoittuvuuksiin, jotka mahdollistavat hyökkäjän komentojen mielivaltaisen suorittamisen kohdejärjestelmässä. Kaksi päivityksistä on luokiteltu merkittäviksi ja yksi kohtalaisen merkittäväksi. Kuusi päivityksistä koskee Windows-käyttöjärjestelmää ja sen komponentteja, yksi Internet Explorer -selainta, kaksi Office-tuotteita ja yksi Forefront Edge Security-ohjelmistoa. Toinen Office-päivityksistä korjaa helmikuussa julkaistun Excel-haavoittuvuuden (CERT-FI haavoittuvuustiedote 011/2009). Useimmat päivityksistä vaativat järjestelmän uudelleenkäynnistyksen. Myös Oracle julkaisee tiistaina toisen neljännesvuosittaisen päivityspakettinsa. Alustavien tietojen mukaan päivityspaketti sisältää 43 tietoturvapäivitystä. Valmistajan mukaan päivitykset koskevat yli sataa eri Oraclen tuotetta. Oracle JRockit- ja Oracle WebLogic Server-tuotteita koskevat päivitykset on pisteytetty korkeimmalla mahdollisella CVSS-pisteytyksellä (10,0). CERT-FI julkaisee päivityksistä myös haavoittuvuustiedotteet. CERT-FI suosittelee päivittämään haavoittuvat ohjelmistot heti päivitysten tultua saataville. 10.04.2009 Uusi versio Conficker/Downadup-verkkomadostaConficker.C-tartunnan saaneet koneet hakivat madosta uuden rinnakkaisen version sekä muita haittaohjelmia. Koneiden, joissa on Conficker.C-tartunta, on havaittu hakeneen P2P-päivityspalvelimelta uuden version madosta. Uutta versiota kutsutaan nimellä Conficker.E tai Downadup.E. Koneille on asentunut uuden version lisäksi myös Waledac-haittaohjelma, jota voidaan käyttää roskapostin lähettämiseen ja käyttäjien tietojen varastamiseen tartunnan saaneelta koneelta. Myös virustorjuntaohjelmistoksi naamioitunut haittaohjelma Spyware Guard 2008/2009 on löytynyt usealta päivitetyn version saaneelta koneelta. Conficker.E ei korvaa Conficker.C-versiota, vaan versiot ovat koneessa ajossa samanaikaisesti. Conficker.E pyrkii leviämään Conficker.C:tä aggressiivisemmin haittaohjelmaan uudelleen lisätyn MS08-067-haavoittuvuuden hyväksikäyttömenetelmän avulla. Uusi versio lopettaa analyysien mukaan toimintansa 3. toukokuuta. On esitetty arvioita siitä, että Confickerin kirjoittaneen tahon tarkoituksena on erottaa paljon verkkoliikennettä aiheuttava leviämistoiminnallisuus omaksi komponentikseen ja jättää koneille huomaamattomammat Conficker.C- ja Waledac-haittaohjelmat odottamaan uusia komentoja. 06.04.2009 Nimipalvelutarjoajaan kohdistunut palvelunestohyökkäys
Hyökkäys aiheutti lyhyitä katkoja kohteena olleen Register.comin tarjoamissa nimipalveluissa. Muun muassa verkkotunnusten rekisteröintipalvelua ja nimipalvelua tarjoavan Register.com-nimisen yrityksen eräät autoritatiiviset nimipalvelimet olivat viime viikolla hajautettujen palvelunestohyökkäyksien kohteena. Hyökkäykset aiheuttivat lyhyitä katkoksia Register.comin nimipalvelun piirissä olevien alemman tason verkkotunnusten nimenselvityksessä. Verkkotunnukset, joiden nimenselvitys ei hyökkäysten aikana onnistunut, eivät välttämättä kyenneet ottamaan vastaan sähköpostia tai tarjoamaan www-palveluita hyökkäysten ollessa käynnissä. CERT-FI ei ole saanut ilmoituksia siitä, että hyökkäykset olisivat aiheuttaneet merkittävää haittaa suomalaisille käyttäjille tai organisaatioille. 03.04.2009 CERT-FI:n tietoturvakatsaus on ilmestynyt
CERT-FI:n vuoden 2009 ensimmäistä neljännestä koskeva tietoturvakatsaus on ilmestynyt. Katsauksessa tarkastellaan merkittävimpiä tietoturvallisuuden uhkatekijöitä ja tulevaisuuden näkymiä. Katsauksen aiheena on muun muassa alkuvuoden aikana joidenkin arvioiden mukaan jopa 15 miljoonaan tietokoneeseen levinnyt Conficker-mato. Muita aiheita ovat verkon aktiivilaitteisiin tarttuvat haittaohjelmat ja eri organisaatioihin kohdistetut tietojen urkkimiseen tähtäävät haittaohjelmahyökkäykset. 02.04.2009 Kotikäyttäjän keinot Conficker-haittaohjelman havaitsemiseen
Myös kotikäyttäjät voivat tarkistaa tietokoneensa Confickerin tartunnan varalta muutamalla yksinkertaisella keinolla. Conficker-haittaohjelman ominaisuuksiin kuuluu
muun muassa pääsyn estäminen tietoturva-alan yritysten verkkosivuille, sekä tietyn
nimisten prosessien ja sovellusten lopettaminen. Näitä tietoja
hyväksikäyttämällä kotikäyttäjäkin voi tarkistaa onko haittaohjelma tarttunut
koneeseen. Ohje peruskäyttäjälleTarkista, pääsetkö esimerkiksi F-Securen, McAfeen ja Kasperskyn sivuille. Jos sivuille ei
pääse, verkkoyhteydessä voi olla vikaa tai koneessasi voi olla
Conficker-tartunta. Ohje edistyneelle kotikäyttäjälleKopioi %systemroot%\System32\ (Esim
C:\Windows\System32\) hakemistosta esimerkiksi Calc.exe (Windowsin
laskin-sovellus) tai Sol.exe (Pasianssi) Windowsin työpöydälle tai tilapäiseen
hakemistoon. Nimeä tiedosto uudelleen wireshark.exe:ksi ja tuplaklikkaa
uudelleen nimetty tiedosto käyntiin. Jos koneessasi on Conficker-tartunta,
laskin käynnistyy mutta kaatuu heti. Tällöin tietokoneesi on luultavasti
Confickerin uusimman version saastuttama. Tartunnan puhdistaminenJotta pääsisit tietoturvayrityksen www-sivuille
hakemaan puhdistustyökalun, tietokoneen nimipalvelun välimuisti pitää sammuttaa.
Sen voit tehdä klikkaamalla auki Käynnistä-valikon "Suorita"
toiminnon, ja kirjoittamalla tekstikenttään net stop dnscache ja klikkaamalla Ok-nappia. Tämän jälkeen
sivuille pitäisi jälleen päästä. Esimerkiksi Dshieldin sivuilta löytyy kattava
valikoima poistotyökaluja eri valmistajilta. Haittaohjelman poistotyökalun käyttämisen
lisäksi on tärkeää muistaa asentaa myös käyttöjärjestelmän sekä virustorjuntaohjelmiston
päivitykset ja uudet virustunnisteet. 01.04.2009 Conficker-verkkomadon havaintoja vuoden ensimmäiseltä neljännekseltäTuhansia saastuneita tietokoneita havaittu Suomessa CERT-FI on vuodenvaihteen jälkeen seurannut tiiviisti Conficker-verkkomadon leviämistä suomalaisissa tietoverkoissa. Tammikuun alussa CERT-FI käsitteli käsin satoja Confickerin tartuttamien tietokoneiden IP-osoitteita. Tammikuun lopulla ilmoitusten käsittely siirrettiin CERT-FI:n Autoreporter-järjestelmään. 27.1. alkaen Autoreporter on lähettänyt verkkojen ylläpitäjille yli 14000 Conficker-verkkomatoon liittyvää ilmoitusta. Raporteissa on esiintynyt yli 3600 uniikkia IP-osoitetta, joiden takaa löytyy yksi tai useampi verkkomadon saastuttama tietokone. |
