joskus tuossa 9.3.2008 taisin kirjoitella uudesta hankinnasta, Tradekan kamppania Tefal kahvinkeitin, hyvät kahvit tarjosi kyseinen keitin tähänpäivään asti, tai no keittäähän se kahvia edelleenkin, tosin virrat siintä ei katoa muuten kuin irrottamalla virtajohto seinästä, ja käynnistysmetodi samanmoinen. Laitteen kupessa olevasta kytkimestä tuli siis tarpeeton.

Kaiken kaikkiaan laite (CM211510) toimi ihan moitteettomasti kokonaiset 3kk 10pv 4h, siintä hetkestä kun se kaupasta kotia kannettiin...

Huomenna ostoliikkeeseen toivottamaan hyvää juhannusta rikkinäisen keittimen kanssa... Tefalille laitoin jo juhannus mailit meneen.

Hola unos daas.. Suvi tuli ja lonkeron matkassakin tarjoillaan noita suvikumeja. Ainakin joidenkin pienpanimoiden tuotteiden kytkynä.. Taitaa toi kytky olla muutenkin kuuminta hottia, Elisan mobiili-liittymän kaveriksi saa "läppäriä" jolla ei mitään fiksua tunnu ainakaan saavan aikaisiksi, mitä voi odottaa 7" laajakuvanäytöstä 800 x 480 resolla...?

Mutta joo sitten asiaan, tossa kun kevät alkoi orastamaan, niin alkoi sitten oikein kunnolla ahistaan toi parvevekkeen betoninen lattia sekä yhdessä nurkassa lojuvat säkkit, jossa oli heinää, turvetta, multaa jne settiä, jotka ovat tarpeen esim noiden hiirien mukavuuden kannalta, multa tosin on noita isännän juttuja varten (chilit / paprikat..)

Isäntä riehu tovin parvekkeella, mittaili, tuumaili ja soitteli, sillä seurauksella, että tänään pärähti sitten auto pihaan kärrissä hieman puista lattiaritilää sekä yks puutarhaboxi. Parani tuo parvekkeen ilme kummasti. Yritän kaivaa jos vain jostain mitenkään tulee vastaan, noita kuvia ennen muutosta, alla nyt kuitenkin kuvia pienestä kasvojenkohotuksesta muutoksien jälkeen...

Olohuoneesta -> Parvekkeelle


Ovelta - > parvekkeen takaseinään..


Kaiteen maastoa..


Boxi + amppelissa olevat chilit

Ompa muuten melkoinen epeli, toi kyseinen kaveri. Tässä nyt varmaan yhden työpäivän yhtä konetta käänsin ja väänsin, ennenkuin koko kaveri suostui edes näyttäytymään siintä hassu variaatio, että ilmestyi ja katosi, lieko johtunut siintä etten ihan kaikkien oppien mukaan sitä alkanut etsimään vaan homma piti toteuttaa etänä.

Tuossa aikaisemmin iskin listaa tiedostomuodoista jonka nimisenä kyseinen kaveri saattaa majailla, ilmeisesti yleisimmin esiintyy seuraavina tiedostoina.

C:\WINDOWS\service.exe
C:\WINDOWS\winudspm.exe
C:\Windows\mservice.exe

!! Huomaa, että windowsilla saman nimisiä järjestelmä prosesseja mutta niiden EI kuulu sijaita suoraan hakemistossa C:\Windows\ , vaan jossain hieman sycemmällä

Yksinkertaisimmillaan tuo poisto onnistuu ajamalla Hijackthis

Suorittaa ohjelmalla skannauksen ja jos skannauksessa löytyy kyseiset kummallisuudet niin tekee niistä sitten CFscript.txt nimisen tiedoston jonka tallentaa työpöydälle, sitten hakee Combofix nimisen ohjelman, tallentaa sen työpöydälle, Sammuttelee kaikki ylimääräiset ohjelmat, raahaa tuon aikaisemman txt filen Combofix.exe tiedoston päälle ja seuraa ohjeita.

Lisäksi jos tuo Hijack löytää seuraavan kaltaisia rivejä

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {53E0B6E8-A51D-448B-B692-40B67B285543} - (no file)
O4 - HKLM\..\Run: [Windows UDP Control] winudspm.exe
O4 - HKLM\..\Run: [Windows svchost] service.exe
O4 - HKLM\..\Run: [MSN] C:\Windows\mservice.exe


Ne kannattaa ruksia ja suorittaa fixi.
Tämän haitakkeen poistaminen nettiyhteyden ollessa päällä on sitten jokseenkin V-mäistä.

Tässä viimeisen viikon verran on meuhkannut ja riehunut tuollaisia messenger pöpöjä josta on ollut jo ties kuinka paljon settiä, joten jos kirjoittelisi sitten tähän hieman kuvausta mikä tuo kakkiainen on oikeastaan miehiään.

Ihan varmoja ei olla mikä virus tuo live messengeristä toiseen riehuva kaveri oikein on mutta suurimmalta osilta vaikuttaa jo vuonna 2002 tavatulta SdBot.ebp mato sarjan uusimmalta variaatiolta.

Yleisimmin se leviää lähettämällä itsestään "kopiota" linkkiä joka on naamioitu viittaamaan irc-galleriaan tms, Messenger ohjelman välityksellä. Viesti näyttää siltä kuin se tulisi joltain sinun ystävältäsi, mutta itseasiassa sen lähettää ystäväsi tietokoneella oleva ohjelma, Linkin painaminen johtaa viruksen tarttumiseen omalle koneellesi edellyttäen että käytössäsi on Windows pohjainen tietokone. Linux ja Mac käyttäjät ovat ainakin toistaiseksi turvassa.

MITÄ tuo kummajainen tekee?

Backdoor:W32/SdBot.CKF on niin sanottu Backdoor mato. Backdoor madot ovat järjestelmänvaloja työkaluja jotka mahdollistavat tietokoneen hallitsemisen lähiverkossa tai internetistä käsin.

Ensimmäisellä ajokerralla, SdBot.CKF yrittää ottaa yhteyttä IRC palvelimeen ja yrittää sieltä ladata koneelleen haitallista ohjelmakoodia jolla se saastuttaa koneen.

SdBot.CKF luo itsestään mahdollisesti kopion seuraaviin paikkoihin:
- %windir%\winudspm.exe

Tämän jälkeen se luo seuraavan registeri avaimen joka käynnistää itsensä Windowsin käynnistyksesä.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows UDP Control = winudspm.exe

Kun virus Backdoor on aktiivisena se ottaa yhdeyden IRC serveriin, ja liittyy siellä kanavalle ja käyttäytyy kanavalla kuin mikä tahansa normaali haitaton irc-botti (botti = komennoilla hallittava ohjelma)

IRC-palvelin johon se mahdollisesti yrittää : irc.bluehell.org
kanaville :
* #blockbot2
* #blockbot.msn


Poistaminen järjestelmästä

Kyseisen kaverin poistaminen ei ole ihan niin yksinkertainen kuin miltä se vaikuttaa. Mahdollisesti uusin versio käytössä olevasta virustentorjunnasta osaa sen poistaa järjestelmästä. Manuaalinen poistaminen tapahtuu seuraavasti.

1. Poista järjestelmän palautus käytöstä (WIN ME / XP).
2. Päivitä virustentorjunta ohjelmistosi ja tunnisteet
3. Suorita täydellinen järjestelmän tarkistus, poista löytyneet saastuneet tiedostot. (Suoria tarkistus ilman internetyhteyttä !!)
4. Poista kaikki rekisterissä olevat viittaukset kyseiseen kaveriin.

Rekisterin siivoaminen ( teet omalla vastuulla, väärien muutoksien tekeminen saattaa tehdä tietokoneesi toimimattomaksi)

# Paina Käynnistä > Suorita
# Kirjoita regedit
# Paina OK.

Tarkista seuraavat kohdat:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Jos seuraavia arvoja ilmenee poista ne!! Huopioi kirjoitus asu Explorer.exe ei ole sama kuin explorer.exe. explorer on windowsin osa Explorer EI
Delete any of the following registry entries, if present:

"Configuration Loader" = "%System%\iexplore.exe"
"Configuration Loader" = "MSTasks.exe"
"Configuration Loader" = "aim95.exe"
"Configuration Loader" = "cmd32.exe"
"Configuration Loader"= "IEXPL0RE.EXE"
"Configuration Manager" = "Cnfgldr.exe"
"Fixnice" = "vcvw.exe"
"Internet Config" = "svchosts.exe"
"Internet Protocol Configuration Loader" = "ipcl32.exe
"MSSQL" = "Mssql.exe"
"MachineTest" = "CMagesta.exe"
"Microsoft Synchronization Manager" = "svhost.exe"
"Microsoft Synchronization Manager" = "winupdate32.exe"
"Microsoft Video Capture Controls" = "MSsrvs32.exe"
"Quick Time file manager" = "quicktimeprom.exe"
"Registry Checker" = "%System%\Regrun.exe"
"Sock32" = "sock32.exe"
"System Monitor" = "Sysmon16.exe"
"System33" = "%System%\FB_PNU.EXE"
"Windows Configuration" = "spooler.exe"
"Windows Explorer" = " Explorer.exe"
"Windows Services" = "service.exe"
"Yahoo Instant Messenger" = "Yahoo Instant Messenger"
"cthelp" = "cthelp.exe"
"stratas" = "xmconfig.exe"
"syswin32" = "syswin32.exe"

Muutokset kun tehty poistu regeditistä.

Vaihtoehto B)

F - S D B O T
-------------

F-SdBot työkalu puhdistaa saastuneen koneen , toimii ainakin seuraavilla variaatioilla kyseisestä kaverista

Backdoor.SdBot.MB
Backdoor.SdBot.MD

Lataa: http://www.f-secure.com/tools/f-sdbot.exe
Lataa: ftp://ftp.f-secure.com/anti-virus/tools/f-sdbot.exe
Readme: http://www.f-secure.com/tools/f-sdbot.txt
Readme: ftp://ftp.f-secure.com/anti-virus/tools/f-sdbot.txt


!! HUOM !!
Kyseinen ohjelma ei välttämättä toimi nyt liikkeellä olevan variaation poistamisessa.