Ompa muuten melkoinen epeli, toi kyseinen kaveri. Tässä nyt varmaan yhden työpäivän yhtä konetta käänsin ja väänsin, ennenkuin koko kaveri suostui edes näyttäytymään siintä hassu variaatio, että ilmestyi ja katosi, lieko johtunut siintä etten ihan kaikkien oppien mukaan sitä alkanut etsimään vaan homma piti toteuttaa etänä.

Tuossa aikaisemmin iskin listaa tiedostomuodoista jonka nimisenä kyseinen kaveri saattaa majailla, ilmeisesti yleisimmin esiintyy seuraavina tiedostoina.

C:\WINDOWS\service.exe
C:\WINDOWS\winudspm.exe
C:\Windows\mservice.exe

!! Huomaa, että windowsilla saman nimisiä järjestelmä prosesseja mutta niiden EI kuulu sijaita suoraan hakemistossa C:\Windows\ , vaan jossain hieman sycemmällä

Yksinkertaisimmillaan tuo poisto onnistuu ajamalla Hijackthis

Suorittaa ohjelmalla skannauksen ja jos skannauksessa löytyy kyseiset kummallisuudet niin tekee niistä sitten CFscript.txt nimisen tiedoston jonka tallentaa työpöydälle, sitten hakee Combofix nimisen ohjelman, tallentaa sen työpöydälle, Sammuttelee kaikki ylimääräiset ohjelmat, raahaa tuon aikaisemman txt filen Combofix.exe tiedoston päälle ja seuraa ohjeita.

Lisäksi jos tuo Hijack löytää seuraavan kaltaisia rivejä

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {53E0B6E8-A51D-448B-B692-40B67B285543} - (no file)
O4 - HKLM\..\Run: [Windows UDP Control] winudspm.exe
O4 - HKLM\..\Run: [Windows svchost] service.exe
O4 - HKLM\..\Run: [MSN] C:\Windows\mservice.exe


Ne kannattaa ruksia ja suorittaa fixi.
Tämän haitakkeen poistaminen nettiyhteyden ollessa päällä on sitten jokseenkin V-mäistä.

Tässä viimeisen viikon verran on meuhkannut ja riehunut tuollaisia messenger pöpöjä josta on ollut jo ties kuinka paljon settiä, joten jos kirjoittelisi sitten tähän hieman kuvausta mikä tuo kakkiainen on oikeastaan miehiään.

Ihan varmoja ei olla mikä virus tuo live messengeristä toiseen riehuva kaveri oikein on mutta suurimmalta osilta vaikuttaa jo vuonna 2002 tavatulta SdBot.ebp mato sarjan uusimmalta variaatiolta.

Yleisimmin se leviää lähettämällä itsestään "kopiota" linkkiä joka on naamioitu viittaamaan irc-galleriaan tms, Messenger ohjelman välityksellä. Viesti näyttää siltä kuin se tulisi joltain sinun ystävältäsi, mutta itseasiassa sen lähettää ystäväsi tietokoneella oleva ohjelma, Linkin painaminen johtaa viruksen tarttumiseen omalle koneellesi edellyttäen että käytössäsi on Windows pohjainen tietokone. Linux ja Mac käyttäjät ovat ainakin toistaiseksi turvassa.

MITÄ tuo kummajainen tekee?

Backdoor:W32/SdBot.CKF on niin sanottu Backdoor mato. Backdoor madot ovat järjestelmänvaloja työkaluja jotka mahdollistavat tietokoneen hallitsemisen lähiverkossa tai internetistä käsin.

Ensimmäisellä ajokerralla, SdBot.CKF yrittää ottaa yhteyttä IRC palvelimeen ja yrittää sieltä ladata koneelleen haitallista ohjelmakoodia jolla se saastuttaa koneen.

SdBot.CKF luo itsestään mahdollisesti kopion seuraaviin paikkoihin:
- %windir%\winudspm.exe

Tämän jälkeen se luo seuraavan registeri avaimen joka käynnistää itsensä Windowsin käynnistyksesä.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows UDP Control = winudspm.exe

Kun virus Backdoor on aktiivisena se ottaa yhdeyden IRC serveriin, ja liittyy siellä kanavalle ja käyttäytyy kanavalla kuin mikä tahansa normaali haitaton irc-botti (botti = komennoilla hallittava ohjelma)

IRC-palvelin johon se mahdollisesti yrittää : irc.bluehell.org
kanaville :
* #blockbot2
* #blockbot.msn


Poistaminen järjestelmästä

Kyseisen kaverin poistaminen ei ole ihan niin yksinkertainen kuin miltä se vaikuttaa. Mahdollisesti uusin versio käytössä olevasta virustentorjunnasta osaa sen poistaa järjestelmästä. Manuaalinen poistaminen tapahtuu seuraavasti.

1. Poista järjestelmän palautus käytöstä (WIN ME / XP).
2. Päivitä virustentorjunta ohjelmistosi ja tunnisteet
3. Suorita täydellinen järjestelmän tarkistus, poista löytyneet saastuneet tiedostot. (Suoria tarkistus ilman internetyhteyttä !!)
4. Poista kaikki rekisterissä olevat viittaukset kyseiseen kaveriin.

Rekisterin siivoaminen ( teet omalla vastuulla, väärien muutoksien tekeminen saattaa tehdä tietokoneesi toimimattomaksi)

# Paina Käynnistä > Suorita
# Kirjoita regedit
# Paina OK.

Tarkista seuraavat kohdat:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Jos seuraavia arvoja ilmenee poista ne!! Huopioi kirjoitus asu Explorer.exe ei ole sama kuin explorer.exe. explorer on windowsin osa Explorer EI
Delete any of the following registry entries, if present:

"Configuration Loader" = "%System%\iexplore.exe"
"Configuration Loader" = "MSTasks.exe"
"Configuration Loader" = "aim95.exe"
"Configuration Loader" = "cmd32.exe"
"Configuration Loader"= "IEXPL0RE.EXE"
"Configuration Manager" = "Cnfgldr.exe"
"Fixnice" = "vcvw.exe"
"Internet Config" = "svchosts.exe"
"Internet Protocol Configuration Loader" = "ipcl32.exe
"MSSQL" = "Mssql.exe"
"MachineTest" = "CMagesta.exe"
"Microsoft Synchronization Manager" = "svhost.exe"
"Microsoft Synchronization Manager" = "winupdate32.exe"
"Microsoft Video Capture Controls" = "MSsrvs32.exe"
"Quick Time file manager" = "quicktimeprom.exe"
"Registry Checker" = "%System%\Regrun.exe"
"Sock32" = "sock32.exe"
"System Monitor" = "Sysmon16.exe"
"System33" = "%System%\FB_PNU.EXE"
"Windows Configuration" = "spooler.exe"
"Windows Explorer" = " Explorer.exe"
"Windows Services" = "service.exe"
"Yahoo Instant Messenger" = "Yahoo Instant Messenger"
"cthelp" = "cthelp.exe"
"stratas" = "xmconfig.exe"
"syswin32" = "syswin32.exe"

Muutokset kun tehty poistu regeditistä.

Vaihtoehto B)

F - S D B O T
-------------

F-SdBot työkalu puhdistaa saastuneen koneen , toimii ainakin seuraavilla variaatioilla kyseisestä kaverista

Backdoor.SdBot.MB
Backdoor.SdBot.MD

Lataa: http://www.f-secure.com/tools/f-sdbot.exe
Lataa: ftp://ftp.f-secure.com/anti-virus/tools/f-sdbot.exe
Readme: http://www.f-secure.com/tools/f-sdbot.txt
Readme: ftp://ftp.f-secure.com/anti-virus/tools/f-sdbot.txt


!! HUOM !!
Kyseinen ohjelma ei välttämättä toimi nyt liikkeellä olevan variaation poistamisessa.

Suomenkielisestä Windows Live Messenger -haittaohjelmasta on luotu uusia suomenkielisiä versioita. Pöpö huijaa nyt nuorten suosiman Irc-galleria-yhteisön nimissä lähettämällä muka linkkiä kuvagalleriaan, mutta käyttäjä ohjataankin Windows-haittaohjelman asennukseen.

Loppuviikosta levinnyt viesti yrittää huijata suomalaisia Messenger- eli Mese-käyttäjiä ainakin seuraavalla viestillä:

"hei, kato mitä löysin irc-galleriasta
http://irc-galleriea.com/view.php?vasta ... e.fi"

Linkki ei johda irc-galleria.net-sivustolle, vaan varta vasten haittaohjelmaa varten luotuun valeosoitteeseen.

Levitettävä tiedosto on muotoa Image035.JPG-irc-galleria.com, mutta muitakin variaatioita saattaa olla. Kyseessä ei siis ole kuvatiedosto, vaan tiettävästi Sdbot-perheen haittaohjelma, joka avaa Windowsiin takaportin bottiverkkoja varten.

Aiempia suomenkielisiä huijausviestejä ovat ainakin:
Olit aika kännissä :D http://msnphotos.fyrsten.fi/photo92.JPEG?=####@###...
ootko tässä? :D http://msnimages.sivusalo.fi/Photo92.JPG=####@####...
Moi :) ootko tässä? :D ) http://msnimages.sivusalo.fi/image.php?=####@#####...

Haittaohjelma leviää saastuneiden Messenger-käyttäjien koneiden kautta. Leviäminen perustuu siihen, etteivät kaikki osaa olla varuillaan, kun pikaviesti tulee kaverilta, ja linkki näyttää johtavan tuttuun kotimaiseen osoitteeseen. Huijausosoitteita on ollut siis myös fi-päätteisten verkkotunnusten takana.

Suomenkielisiin huijausviesteihin syytä varautua

Viestintävirasto muistuttaa viime viikon tiedotteessaan, että Messenger-käyttäjien kannattaa tarkistaa erityisen huolellisesti palvelun kautta tarjottavien linkkien sisältö ennen klikkaamista.

"Näyttää siltä, että haittaohjelmamarkkina laajenee meillekin. Emme ole enää kielimuurin suojissa", toteaa tietoturva-asiantuntija Ari Husa Viestintävirastosta.

Husan mukaan kyse ei ole välttämättä mitenkään poikkeuksellisesta suomalaisesta tapauksesta,

"Ei se tarkoita, että on suomalaisia tekijöitä taustalla, vaikka on suomen kieltä käytetty", hän muistuttaa. Tästä saatiin merkkejä jo helmikuussa, kun "Mikkelin ydinvoimalan" nimissä lähetettiin huijausviestejä suomen kielellä – joskin melko kehnolla.

Tuossa jokunen päivä sitten kirjoittelin aiheesta kirjoitellaan / lainaillaan nyt hieman lisää..

Windows Live Messenger -käyttäjien välillä leviävästä haittaohjelmasta on kehitetty nyt myös suomenkielinen versio. Se yrittää saada käyttäjät klikkaamaan olevinaan kuvatiedostoa, mutta linkki viekin haittaohjelman asennustiedostoon.

Haittaohjelma leviää ainakin kahdella eri suomenkielisellä viestillä:

ootko tässä? :D

Ja:

Onks tää sun kuva ?

Perässä tulee linkki, joka on muotoa:

msn-photos.wls.net/?Photo95.JPG
=vastaanottajan_osoite@
vastaanottajan_domain.com.

Nämä sivupyynnöt ohjautuvat verkko-osoitteeseen mitglied.lycos.de/cheatguard/photo95.JPG-www.msnimages.com.

Vaikka Mese-viesti näyttääkin tulevan kaverin tai ystävän nimissä, linkkiä ei pidä nimissään klikata, eikä ohjelmaa tule asentaa. Haittaohjelma leviää nimenomaan saastuneiden koneiden Messenger-yhteystietojen kautta.

Takaporttisovellus muuttaa Windowsin asetuksia ja asettaa itsensä käynnistymään automaattisesti järjestelmän käynnistyksen yhteydessä.

F-Securen mukaan kyseessä näyttää olevan troijalainen Backdoor.Win32.SdBot.ebp, joka on laajan Sdbot-perheen uusi variaatio. Kyseessä ei ole aivan uusi haittaohjelma, sillä ensimmäiset versiot on nähty jo vuonna 2002. Viime syksynä Messenger-yhteystietojen kautta levinnyt haittaohjelma oli liikkeellä vilkkaasti, ja nyt se on siis aktivoitunut taas uudelleen.

Troijalainen avaa tiettävästi hyökkääjälle pääsyn Windows-koneen etähallintaan ja antaa mahdollisuuden käyttää konetta tietojen keräämiseen. Keräämänsä tiedot troijalainen yrittää lähettää palvelimelle http.ømg.com porttiin 81.