Background Print only logo
Cert logo
på svenska | in English 		www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 1

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Tietoturva nyt! > 2009 > Marraskuu > Nimipalvelinasetuksia muuttavat haittaohjelmat

Tietoturva nyt!

23.11.2009

Nimipalvelinasetuksia muuttavat haittaohjelmat

Nimipalvelinväärennöksillä isketään suomalaisiin verkkopalveluihin.

CERT-FI:n tietoon on tullut tapauksia, joissa suomalaisten verkkopankkiasiakkaiden verkkoliikennettä on ohjattu huijauspalvelimille nimipalvelinasetuksia muokkaamalla. Monet nykyiset haittaohjelmat muuttavat verkkoasetuksia käyttäjän tietämättä. Eräät haittaohjelmat myös väärentävät verkkoasetusten määrittämiseen käytettyjä DHCP-palvelinviestejä.

Huijauksen tavoitteena on kerätä käyttäjien käyttäjätunnuksia ja salasanoja verkkopalveluihin. Tyypillisesti huijaukset koskevat suurta joukkoa erilaisia verkkopalveluja. CERT-FI pitää todennäköisenä, että myös tämänkertainen huijauskampanja kohdistuu useisiin suomalaisiin ja ulkomaalaisiin muihin verkkopalveluihin, eikä oletettavasti rajaudu pelkkiin verkkopankkeihin.

Suojautuakseen hyökkäyksiltä verkkopalvelujen käyttäjien kannattaa siirtyä käyttämään verkkopalvelua kirjoittamalla suojatun https://-alkuisen yhteysosoitteen käsin, eikä siirtyä palveluun linkkiä napsauttamalla. Selaimet ilmoittavat suojatusta yhteydestä myös lukon kuvalla. Suomalaiset pankit ohjeistavat käyttäjiään vastaavista menettelyistä.

Nimipalvelinasetuksia voi tarkastella Windows-järjestelmässä komennolla ipconfig /all. Linux- ja Mac-järjestelmissä vastaavat tiedot löytyvät tiedostosta /etc/resolv.conf.

CERT-FI:n tietoon tulleessa kampanjassa muutetut nimipalvelinasetukset osoittavat verkkoon 85.255.112.0/20. Rekisteröintitietojen perusteella verkko on Ukrainassa, mutta reititystietojen perusteella jäljet johtavat Yhdysvaltoihin. Olemme tiedottaneet kyseisessä verkkoalueessa pesivistä haittaohjelmista ensimmäisen kerran jo vuosi sitten.

Kyseisen verkkoalueen osoitteita käyttävät nimipalveliminaan muun muassa Zlob/Alureon -perheen trojalaiset. Nimipalvelimet ohjaavat suomalaisia verkkopalveluja tavoittelevat käyttäjät yhdysvaltalaiselle verkkoaluelle 67.210.14.0/23.

Jos epäilee joutuneensa huijauksen kohteeksi, kannattaa selvittää, ovatko koneen nimipalvelinasetukset muuttuneet ja osoittaako kone muita saastumisen merkkejä. Lisätietoja haittaohjelman saastuttamaksi epäillyn Windows-järjestelmän tutkintaan on CERT-FI:n ohjeessa 1/2007.
Jos epäily tartunnasta varmistuu, kannattaa ottaa yhteyttä myös CERT-FI-yksikköön.

Lisätietoa

Sivua päivitetty 26.11.2009   Tulostusversio Tulostusversio