Näin häädät pankkirosvon tietokoneeltasi
29
Tuhansia suomalaiskoneita sotkenut Zlob (tunnetaan myös nimillä Alureon tai DNSChanger) on yleensä käyttäjän löydettävissä ja poistettavissa, vaikka se yrittääkin kätkeytyä niin sanotun rootkitin avulla.
Käyttäjän tulee etsiä ja tuhota haittaohjelman käyttämä binääritiedosto ja rekisteriavaimet. Cert-fi antaa tähän tarkemmat ohjeet tiedotteessaan. Lisäksi nimipalvelinasetukset tulee palauttaa suositusten mukaisiksi. Muuten tietokone yrittää jälleen ottaa yhteyttä verkon vaarallisiin paikkoihin.
Poistomenetelmä ei kuitenkaan välttämättä päde kaikkiin haittaohjelman versioihin eikä se poista koneessa mahdollisesti olevia muita haittaohjelmia. Lisäksi väärän tiedoston tai rekisteriavaimen poistaminen voi tehdä käyttöjärjestelmästä käyttökelvottoman. Siksi Cert-fi ehdottaakin varmimpana keinona käyttöjärjestelmän asentamista uudelleen.
Älä asenna
koodekkia
Tietokoneen verkkoliikenteen uudelleen ohjaava Zlob-haittaohjelma on syy, miksi suomalaiset operaattorit ovat ryhtyneet poikkeuksellisiin estotoimenpiteisiin pimentäen lukuisia nettiyhteyksiä käyttäjiltä.
Cert-fi kertoo haittaohjelmaa levitetyn uskottelemalla käyttäjälle, että www-sivuilla on tarjolla multimediakoodekki, joka käyttäjän tulisi itse asentaa sisällön näkemiseksi. Zlobin avulla on yritetty huijata suomalaisilta verkkopankkitietoja. Haittaohjelmatyyppi on kuitenkin ollut Cert-fi:lle tuttu jo vuosia.
Torjumista on vaikeuttanut ohjelman jatkuva muuntautuminen. Zlob käyttää myös monimutkaista pakkausta, mikä vaikeuttaa ohjelman havaitsemista ja toiminnan tutkimista.
Muutetut
nimipalvelinasetukset
Zlob muuttaa työaseman nimipalveluasetuksia niin, että nimenselvitys tapahtuu epäluotettavilta nimipalvelimilta, joiden antamat vastaukset ohjaavat käyttäjän www-yhteydet mahdollisesti haitallisille sivustoille.
Nimipalvelumuutokset näkyvät Windows-käyttöjärjestelmän rekisterissä seuraavan kaltaisina avaimina:
HKLMSYSTEMCurrentControlSetServicesTcpipParameters,nameserver
=85.255.115.46,85.255.112.124
HKLMSYSTEMCurrentControlSetServicesTcpipParametersInterfaces{interfaceGUID},nameserver=85.255.115.46,85.255.112.124
Tutkitun haittaohjelman käyttämien nimipalvelinten ip-osoitteet voivat vaihdella välillä 85.255.112.0 - 85.255.127.255.
Nimipalvelinasetukset voi tarkistaa myös käyttöjärjestelmän komennolla IPCONFIG /ALL.
Kommentit (29)
Hanki itsellesi Apple Macintosh ja pääset samalla eroon kaikista haitta ohjelmista, eikä Sinun tarvitse laittaa rahaa kaiken maailman virus suoja ohjelmiin ja hömppään.
Eihän rekkarin vika ole jos sinä asennat joltakin hämärältä sivulta jonkun koodekin ja saa p niinkuin jaskaa koneellesi.
Katso peiliin ja kasva aikuiseksi!
Ennemmin hoitaisin syyn kuin seurauksia.
Jep, paino sanalla "turvallisesta" ;)
Oikeesti, miten ihmeessä te Windows-käyttäjät jaksatte taistella näiden ongelmien kanssa, kun niistä pääsisi tuosta vaan kokonaan eroon?
Teille netti on yksi iso turvaton pimeä metsä, jossa joka puun takana vaanii joku inhottava salakavala mörkö. Linux- ja Mac-käyttäjien metsässä saa kulkea aivan rauhassa eikä ole mitään syytä skitsota joka sivustolla että tarttuuko täältä nyt se tai tuo haittaohjelma.
Mitä ideaa on aina vaan lyödä päätä seinään jos ei kerran ole pakko?
Mitäköhän siellä setäihmiset ovat kuola suupielessä halunneet nähdä?