Tietoturva nyt!

11.11.2011

Nimipalveluasetuksia muuttavat haittaohjelmat ovat olleet riesana pidemmän aikaa

Yhdysvaltain liittovaltiopoliisi FBI julkaisi tietoja Operation Ghost Click -tutkinnastaan. Tutkinnan kohteena on laajasti levinnyt tietokoneiden ja lähiverkon nimipalveluasetuksia muuttava haittaohjelma. Kyseinen haittaohjelma on häirinnyt suomalaisia jo pitkään.

Haittaohjelma on häirinnyt suomalaisia jo vuodesta 2009

Nimipalveluasetuksia muokkaavaa haittaohjelmaa on kohdattu aikaisemmin myös Suomessa. Vuonna 2009 Viestintävirasto kehoitti teleyrityksiä ryhtymään sähköisen viestinnän tietosuojalain mukaisiin toimenpiteisiin suojellakseen suomalaisia verkkopankkiasiakkaita haittaohjelmalta. Aluksi luultiin, että kyse oli pankkitunnuksien kalastelusta. Myöhemmin kuitenkin selvisi, että kyseessä oli mainossivuille ohjaava nimipalvelinasetuksia muuttava haittaohjelma. Yhdysvaltain liittovaltiopoliisi FBI ja eri kansainväliset lainvalvontaorganisaatiot ovat tehneet yhteistyötä haittaohjelmaa levittävän rikollisliigan toiminnan lakkauttamiseksi. Yhteistyön tuloksena rikollisten ylläpitämät nimipalvelimet on saatu poistettua verkosta ja tilalle on laitettu oikeita vastauksia antavat nimipalvelimet.

Tietoturva nyt! -artikkeleita vuoden 2009 tapahtumista

• 23.11.2009 - Nimipalvelinasetuksia muuttavat haittaohjelmat
• 24.11.2009 - Liikennettä yhdysvaltalaiseen verkko-operaattoriin rajoitettu
• 24.11.2009 - Verkkopalveluihin kohdistuvat huijaukset kuriin rajoituskeinoin
• 3.12.2009 - Nimipalvelutietoja väärentävä haittaohjelma on vanha tuttu
  

Aiheesta on aikaisemmin julkaistu myös Viestintäviraston lehdistötiedote ja teleoperaattoreille on lähetetty kirje liitteineen.

• 24.11.2009 - Viestintävirasto kehottaa teleyrityksiä suodatustoimiin maksuvälinepetosten hillitsemiseksi
• 23.11.2009 - Huijauspalvelimille suuntautuvan liikenteen suodattaminen - tekninen liite
  

Haittaohjelmatartunnan havaitseminen

Rikollisten käyttämät nimipalvelimet ovat korvattu oikeita tuloksia palauttavilla nimipalvelimilla. Tämä tarkoittaa sitä, että tietokone ja lähiverkon laitteet toimivat normaalisti, vaikka tietokoneessa olisikin haittaohjelmatartunta. Haittaohjelman käyttämät nimipalvelimet poistetaan tietyn ajan kuluttua käytöstä. Kun haittaohjelman asettamat nimipalveluosoitteet lakkaavat toimimasta, muun muassa selaimet eivät löydä verkkosivuja.

Jos epäilee haittaohjelmatartuntaa, kannattaa tarkistaa tietokoneen ja lähiverkon laitteiden nimipalveluasetukset. Haittaohjelman poistaminen saastuneesta tietokoneesta on hankalaa, koska se on rootkit-tyyppinen. Varmin tapa poistaa rootkit-haittaohjelma on alustaa kovalevy ja asentaa käyttöjärjestelmä uudestaan. Lisätietoja rootkitien havaitsemisesta ja poistamisesta löytyy CERT-FI:n ohjeesta: 10 Edistyneempiä työkaluja tutkintaan.


Havaintoja suomalaisista haittaohjelmatartunnoista

Ensimmäiset tiedot DNSChanger -havainnoista on välitetty teleoperaattoreille. Tähän asti saastuneita tietokoneita tai lähiverkon laitteita on havaittu joitain satoja kappaleita. Havaintoja tulee todennäköisesti vielä lisää.

Lisätietoa

• Tietoturva nyt! 10.11.2011 Nimipalvelutietoja muokkaava haittaohjelma on tarttunut myös suomalaisiin tietokoneisiin
• Tietoturva nyt! 3.12.2009 Nimipalvelutietoja väärentävä haittaohjelma on vanha tuttu
  
• Tietoturva nyt! 24.11.2009 Liikennettä yhdysvaltalaiseen verkko-operaattoriin rajoitettu
• Tietoturva nyt! 24.11.2009 Verkkopalveluihin kohdistuvat huijaukset kuriin rajoituskeinoin
• Viestintäviraston lehdistötiedote 24.11.2009 Viestintävirasto kehottaa teleyrityksiä suodatustoimiin maksuvälinepetosten hillitsemiseksi
• Tietoturva nyt! 23.11.2009 Nimipalvelinasetuksia muuttavat haittaohjelmat
• Viestintäviraston suositus (ja suosituksen liite) huijauspalvelimille suuntautuvan liikenteen suodattamisesta (23.11.2009)
• Ohje 1/2007 Ohjeita Windows-järjestelmän tutkintaan
  

Sivua päivitetty 18.01.2012

Tulostusversio