Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Tietoturva nyt! > 2009 > Joulukuu > Nimipalvelutietoja väärentävä haittaohjelma on vanha tuttu

Tietoturva nyt!

3.12.2009

Nimipalvelutietoja väärentävä haittaohjelma on vanha tuttu

CERT-FI on tutkinut DNS-asetuksia väärentävän haittaohjelman toimintaa. Haittaohjelma kuuluu ennestään tunnettuun ja laajaan haittaohjelmaperheeseen, joka tunnetaan mm. nimillä Zlob, Alureon tai
DNSChanger. Sen kaltaisia haittaohjelmia on tavattu ainakin vuodesta 2006.

Haittaohjelman torjumista on vaikeuttanut se, että koska ohjelma tekee itsestään jatkuvasti uusia muunnoksia, on virustorjuntaohjelman sormenjälkitietojen oltava ajan tasalla. Haittaohjelmat pyrkivät usein estämään virustorjuntaohjelman toiminnan tai päivittymisen, jolloin uudemmat versiot jäävät ensitartunnan jälkeen havaitsematta. Kyseessä olevan haittaohjelman käyttämä monimutkainen pakkaustekniikka vaikeuttaa myös sen havaitsemista ja ohjelman toiminnan tutkimista.

Tietojemme mukaan haittaohjelmaa on levitetty uskottelemalla käyttäjälle, että www-sivuilla on tarjolla multimediakoodekki, joka käyttäjän tulisi itse asentaa sisällön näkemiseksi. Tartunnan jälkeen ohjelma muuttaa nimipalveluasetukset ja pyrkii piiloutumaan usermode rootkit -tekniikan avulla.

Haittaohjelma muuttaa työaseman nimipalveluasetuksia niin, että nimenselvitys tapahtuu epäluotettavilta nimipalvelimilta, joiden antamat vastaukset ohjaavat käyttäjän www-yhteydet mahdollisesti haitallisille sivustoille. Nimipalvelumuutokset näkyvät Windows-käyttöjärjestelmän rekisterissä seuraavan kaltaisina avaimina:

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters,nameserver=85.255.115.46,85.255.112.124
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{interfaceGUID},nameserver=85.255.115.46,85.255.112.124

Tutkitun haittaohjelman käyttämien nimipalvelinten IP-osoitteet voivat vaihdella välillä 85.255.112.0 - 85.255.127.255.

Nimipalvelinasetukset voi tarkistaa myös käyttöjärjestelmän komennolla IPCONFIG /ALL.

Haittaohjelman poistaminen

Zlob-haittaohjelman voi yleensä poistaa, jos onnistuu löytämään ja tuhoamaan sen käyttämän binääritiedoston ja rekisteriavaimet. Lisäksi täytyy palauttaa nimipalvelinasetukset suositusten mukaisiksi. On huomattava, että väärän tiedoston tai rekisteriavaimen poistaminen voi tehdä käyttöjärjestelmästä käyttökelvottoman.

Poistomenetelmä ei välttämättä päde kaikkiin haittaohjelman versioihin eikä se poista koneessa mahdollisesti olevia muita haittaohjelmia. Yhden haittaohjelman tarttuminen altistaa myös lisätartunnoille, sillä haittaohjelmat pyrkivät häiritsemään virustorjuntaohjelmiston toimintaa. Varminta onkin asentaa käyttöjärjestelmä uudestaan ja huolehtia sen suojaamisesta.

Tartunnan tapahtuessa tutkittu haittaohjelma kirjoittaa ohjelmatiedostonsa Windows-käyttöjärjestelmän system32-kansioon (%SystemRoot%\system32). Ohjelman käyttämä rootkit-suojaus ei näytä kätkevän tiedostoa näkyvistä.

Tiedoston poistamisen lisäksi tulee poistaa rekisteristä ohjelman käynnistävä avain, joka löytyy rekisterin haarasta

\\HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

Tiedoston nimi löytyy rekisteriavaimesta ja se voi olla muotoa

kd???.exe

Kysymysmerkkien tilalla tiedostonimessä on satunnaisia kirjaimia.

Ohjeita haittaohjelman saastuttamaksi epäillyn Windows-järjestelmän tutkintaan on CERT-FI:n ohjeessa 1/2007.


		
		
	








	
	
	
	
	

	
	


	

	
	

	
	




	
	




Lisätietoa



















	

	
	
	
	
	
	
	
	

	
	

	
	
	
	

	
	
		
			
			
			
			
			
			
			
						
			
			
			
				
		
		
	








	
	
	
	
	

	
	










	
	





	
		

			
			

			

				
			

		

	


	
	






	

  	Sivua päivitetty 08.02.2010
     
    Tulostusversio
    Tulostusversio