Priser

Kunderespons

Kontaktinfo

E-Post

Hovedside

 
   

 

Problem Pc 

Nettproblem

Virusfjerning

Skade bærbar

Pc-bygging

Rekonstruksjon data

Veiledning

Digitalisering

Selvhjelpsguider

Virusaktuelt i sør


SIKKERHETSRELATERTE SAKER.  Funn av datavirus / trojanere o.l. på maskiner lokalt.  Siden oppdateres stadig.  Vennligst bla nedover for oversikt.

INNLEDNING
Innledningsvis skal det presiseres at spredning av virus er et globalt fenomen, hvor det knapt er mulig å etterspore noen virus til bestemte geografiske områder.  Enkelte lokale forsøk på å lage og spre virus kun for å lage hærverk kan nok forekomme i et så vidt stort område som Sørlandet, men det er da tale om guttestreker  uten nevneverdige forutsetninger for å lykkes.  Slike guttestreker finner man forøvrig nesten overalt, og gjøres ved hjelp av kompileringsprogrammer som alle kan laste ned fra Internett, og det finnes "lærebøker" og "oppskrifter" som kan lastes ned.

Større lokal betydning har derimot  folks holdninger mht. valg av sikkerhetspakker og ikke minst nettvett.  Dette varierer sterkt fra miljø til miljø, og slik sett gi grunnlag for å si at det er bedre "grobunn" for spredning av virus i noen miljøer.   Slik vil det gjerne være uansett hvor man er i verden, men det som forbauser en smule er popularitet og utbredelse enkelte program har oppnådd lokalt, som i grundig dokumenterte tester  gjentatte ganger får strykkarakter.   Holdninger hos vanlige nettbrukere påvirkes av det de hører andre fortelle.   Det som er betenkelig er når lokale meningsautoriteter, som egentlig har lite sakkunnskap om det de uttaler seg om,  anbefaler sikkerhetsprogram med alvorlige sikkerhetshull.   Jeg opplever stadig PC-er med betydelig antall virus, hvor eieren sier at han hørte det aktuelle sikkerhetsprogrammet skulle være så bra!   Riktignok er det ikke noen sikkerhetspakke som stanser absolutt alt, men det er enorm forskjell mellom en klareringsprosent på 70 og 20!

Uavhengige sikkerhetsorganisasjoner, fortrinnsvis utenlandske, foretar jevnlige tester, og i motsetning til de liksom-testene man finner i noen helkommersielle publikasjoner  er disse grundige, med simulering av et rikholdig og oppdatert arsenal  av  virus og dessuten simulering av  ulike hacker-angrep mot brannmur.  Svært få vanlige databrukere har imidlertid verken tid eller interesse av å lese omfattende fremmedspråklige testrapporter før de velger sikkerhetspakke.  I floraen av sikkerhetspakker er det derfor fort gjort å velge en mindre god pakke, uten at noen kan klandres for det.

Min erfaring viser at det som særlig kjennetegner en mindre god sikkerhetspakke i dag, er dårlig sanntidsbeskyttelse ved nettsurfing, som har  blitt den vanligste kilden for virus.  D.v.s. virus som laster seg ned og installerer seg selv direkte fra nettsteder.   For noen av sikkerhetspakkene er det tale om gratisversjoner, hvor man under installasjonen på en ryddig måte gjøres uttrykkelig oppmerksom på at for å få bedre sanntidsbeskyttelse ved nettsurfing må kjøpe en s.k. Pro versjon av sikkerhetspakken.  For enkelte andre sikkerhetspakker, også betalpakker, er selve kjernefunksjonene utdatert, og gir dermed i realiteten enda dårligere beskyttelse enn gratisprogrammer fra andre produsenter som jobber kontinuerlig for å holde sin programvare på høyde med utviklingen.

I tillegg til at den vanlige bruker mangler reell kunnskap om kvaliteten på de forskjellige sikkerhetspakkene, er det en del som velger ut i fra hvordan PC-en håndterer programmet - d.v.s. om sikkerhetspakken fører til merkbart redusert hastighet.  På eldre PC-er, hvor maskinvaren ikke er oppgradert, og på de aller billigste laptopene i handelen i dag, som ofte kommer med gammeldags prosessor-teknologi, er det dessverre slik at man nærmest blir nødt til å installere en lett, og gjerne mindre bra sikkerhetspakke, for at Internettøkten skal gå unna uten at man behøver å etterfylle kaffekannen flere ganger underveis!

GENERELT OM UTVIKLINGEN:
Stadig flere PC-er blir infisert, og virus blir samtidig mer avanserte i programmeringen.  Det er ikke noe anti-virus program som greier å stanse / fjerne alt.  Når situasjonen er slik, skjerpes kravene til brukernes nettvett desto mer.  Antall bedragerske nettsteder øker.  Virusspredning skjer i større grad direkte fra nettsteder, med virus som laster seg ned og installeres automatisk på de besøkendes datamaskiner.  Dette er ikke bare nettsteder satt opp av kriminelle.  Også seriøse nettsteder kan bli kapret, med de samme konsekvenser for besøkende.   Fildelingsprogram har lenge blitt utnyttet for å spre virus.  Virus kamuflert som musikkfiler, filmer og som code-cracks til lisensiert programvare florerer.  Tradisjonelle virus er imidlertid langt på vei erstattet av bedragerske "programmer" som ledd i organisert økonomisk kriminalitet.  Anslag fra et av de ledende sikkerhetsselskapene går på at det i dag kun er ca. 3 % av virusene som er av det tradisjonelle slaget.   Terminologisk er det vanlig å kalle de nye typene også for virus, men da i kategorier som f.eks. malware og scareware.

Guttestrekene med laging av virus for datahærverk, ved hjelp av nedlastet gratis kompileringsprogram og nedlastede "oppskrifter", har i dag liten betydning i det totale virusbildet.  De vinningskriminelle holder sin knowhow for seg selv, eller distribuerer den innen lukkede kretser på Internett mot betaling.  Dette iflg. et av de ledende sikkerhetsselskapene som har spanet på slik Internett virksomhet..

Fake WinAntivirus 2010 / 2009 / Fake VirusRemover / Fake SpywareRemover, Fake Internet Antivirus Pro:
Som Fake Virus Alert og Fake Privacy Protector, bare mer avanserte. 2010 og  2009-versjonene av disse bedragerske "programmene" virker enda mer tilforlatelige enn forgjengerne.  For vanlige brukere er det lett å forveksle dette med ekte virusadvarsler og ekte feilmeldinger.  Fake Antivirus Pro kaprer nettleseren og prøver hele tiden å ta deg til nettsted hvor du liksom skal kjøpe sikkerhetsprogram med kredittkort.  Ikke gjør det!   

Trojaner: Backdoor.Win32.Frauder.fb:
I tillegg til at dette, som så mange andre virus / trojanere, infiserer  mappen System32, legger dette seg også i mappen System Volume Information.  Sistnevnte mappe er vanligvis en såkalt skjult mappe inkludert i operativsystemet.    Enkelte av de aller mest utbredte anti-virus programmene skanner ikke automatisk gjennom denne mappen.  Ved installasjon av sikkerhetsprogrammet settes som standard innstilling at bl.a. denne mappen ikke skal virusskannes.  Man må m.a.o. manuelt innstille sikkerhetsprogrammet på å virusskanne mappen, evt. klikke seg frem til mappen, etter å ha aktivert visning av skjulte filer og mapper, og så virusskanne den aktuelle mappen.  Dette viruset har i likhet med stadig flere, en koding som gjør det i stand til å re-installere seg selv ved forsøk på å fjerne det.  Det synes som at virusets re-installasjon knytter seg til mappen System Volume Information.  Mappen er som nevnt en del av operativsystemet, og kan ikke slettes som sådan.

Normal prosedyre vil for fjerning av denne type gjenstridige virus være å deaktivere Automatisk Gjenoppretting, og deretter få virusskannet bl.a. denne mappen.   Imidlertid er dette ofte ikke nok.  Det er stadig oftere nødvendig å bruke fjerningsverktøy som er spesiallaget for vedkommende virus, eller manuelt identifisere og slette virusets kjørefiler (.exe filer) og dets gjenopprettingspunkter.  Webstrax har omfattende erfaring med manuell fjerning av slike virus.

Trojaner med stort ødeleggelsespotensiale: Fake VirusAlert / Fake PrivacyProtector:
Funn av trojaner som ved nærmere undersøkelse viste seg å ha omfattende koding for selvforsvar.  Trojaneren hadde bl.a. deaktivert Regedit, Oppgavebehandling og deaktivert visningen av harddisker i Min Datamaskin.  Visningen av Kontrollpanel på Startmenyen og i Min Datamaskin var også deaktivert.  Her skulle man m.a.o. fratas alle muligheter for å kunne se nærmere på  trojaner-filene!  Videre hadde det koding for automatisk gjenoppretting ved forsøk på sletting.  Det "kidnappet" også startsiden, med omdirigering til bedragersk nettsted.  Genererte ustanselig popping / advarsler om virus og spyware.  Advarslene  likner på FakeXPSecurityCenter, men i tillegg legger det en permanent advarsel ved siden av klokken i systemstatusfeltet med teksten "Virus Alert!", som også limte seg inn i ordinære systemmeldinger.  I Min Datamaskin / Egenskaper var maskin-ID byttet ut med "Virus Alert!".  Svært vanskelig å få fjernet.

Bedragersk programvare som opptrer som "XPSecurityCenter"
Trojaner som simulerer sikkerhetsadvarsel, med ustanselige skjermeldinger på engelsk som ber deg laste ned removal tool.  I kombinasjon med et varselikon med rødt kryss i systemstatusfeltet (ved siden av klokken).  For vanlige brukere kan dette synes umulig å bli kvitt.  Selv om man finner kjørefilen/e (.exe filene) og får slettet disse, er det såvidt avansert at det også har innebygd en gjenopprettingsfunkjson som kjører automatisk gjenoppretting, uansett hvor mange ganger du sletter kjørefilen/e!   Det hindrer også installasjon av effektive fjerningsprogram / sikkerhetsprogram.  En relativt omstendelig prosedyre å få det fjernet.  Kjørefil legger seg blant annet i mappen Windows / System32 under filnavnet braviax.exe.  Sommeren 2008 har dette trolig spredt seg til et betydelig antall datamaskiner.

Bedragersk programvare:  Downloader.MisleadApp
Funn av trojaner, som ved oppslag i virus-leksikon synes å forekomme hyppig på maskiner som ikke har fullverdige sikkerhetsprogram.  Gir falske virusvarsler og falske spywarevarsler under overskriften "Warning Security Report", med ustanselige oppfordringer om å kjøre eller laste ned "Cleaner Tool".  Følger du oppfordringen laster du ned mer skadelig og bedragersk programvare som gjør maskinen svært utrygg og i tillegg treg.  Det finnes en god del trojanere som fungerer på lignende måte.  Som trojaneren FakeAvAlert.  Denne trojaneren infiserer mange filer som gjør den i stand til å omgå brannmuren, og som gjør at din Internett start-side automatisk omdirigeres til et bedragersk nettsted.   Trojaneren utgir seg,  i likhet med ovennevnte, for å være et sikkerhetsprogram og genererer sikkerhetsvarsel som "Windows Security Alert. Potential Spyware Operation!"

Virus / trojanere:
Webstrax v/ Vidar Olsen har i enkelte tilfeller funnet virus / trojanere i høyeste trusselkategori, på maskiner hvor det faktisk var installert og oppdaterte anti-virus program.  To av virusene var ganske sofistikerte, og installerte seg selv på maskinen forkledd som tilhørende selve operativsystemet.  Det ene stod til og med oppført i kontrollpanelets programliste med navnet på operativsystemet som en del av navnet!  Hvordan disse opprinnelig fikk tilgang til de respektive maskiner er uvisst.  De lagde falske sikkerhetsadvarsler, hvor brukeren ble bedt om å laste ned et bestemt program for fjerning av nettopp virus!  Disse sikkerhetsadvarslene som i utgangspunktet, for vanlige brukere, kunne virke tilforlatelige,  dukket opp hele tiden mens maskinen var i drift, og straks operativsystemet var lastet etter omstart.  Det er nok flere som i god tro har fulgt "sikkerhetsadvarselen" og "lastet ned"..  Det man da i realiteten har gjort er å la en trojaner av verste slag helt uhindret av anti-virusprogram og brannmur få tilgang til nær sagt alle tenkelige data på maskinen, og sende tilbake til virusmakeren/e det som vedkommende er ute etter.

De aktuelle anti-virus programmene greide simpelthen ikke å registrere og uskadeliggjøre disse virusene.  Et av anti-virus programmene er forøvrig utbredt innen enkelte offentlige virksomheter, samt bedrifter og på ansattes firma-PC-er, i tillegg til en del private hjemmemaskiner.   Det er et alvorlig tankekors at så alvorlige sikkerhetstrusler får spre seg, av den enkle grunn at man ikke ser seg råd til å anskaffe anti-virus programmer som bare koster et par hundrelapper mer.  Har man nettbank, og i tillegg bruker kredittkort på Internett, er et par hundrelapper blåbær i forhold til tapsrisiko.  Dette har imidlertid også et aspekt i forhold til taushetsbelagte og konfidensielle data i offentlig sektor og bedrifter, hvor man vel normalt skulle forvente at anskaffelse av datasikkerhets-programmer først og fremst baserer seg på en grundig sikkerhetsfaglig vurdering...

Hva gjelder disse konkrete tilfellene gir de en sterk indikasjon om at det er en god del datamaskiner som har virus / trojanere, men hvor brukerne opplever maskinene som trygge fordi det jo er installert anti-virus!   Symptomer er stundom at det spretter opp pop-ups på skjermen, som ikke har noen naturlig sammenheng med det man holder på med.  Noen virus genererer også pop-ups når Internettleseren er lukket.  Stadige feilmeldinger kan også være ekte feilemeldinger fra operativsystemet, men av og til som en reaksjon på at det er systemfiler som "sjeneres" av virus.  Videre vil en virusinfisert maskin ofte oppleves som treg og ustabil. Har du et av de nyere operativsystemene, på en maskin som på papiret skal ha god yteevne ut i fra dagens mål, kan unormal treghet skyldes virus.  Dersom du ut i fra dette får mistanke om at du har virus, er det en god ide å få den kontrollert.

Ved flere tilfeller har Webstrax funnet virus hos kunder som nettopp har hatt besøk av personer / firma som markedsfører seg som dataeksperter,
men som desverre for kundene ikke har prestert annet enn å sende høye regninger.  I et tilfelle satt  "dataeksperten" en halvtime foran
datamaskinen uten å løse noe som helst.  Regningen var derimot på ca. tusen kroner!   I et annet tilfelle var "diagnosen" helt feilaktig
at det var feil på maskinvare som ikke lot seg reparere!  For denne "diagnosestillingen" som tok 20 minutter, ble regningen  vel kr. 800!

Planting av spionprogram:
Webstrax v/ Vidar Olsen har på datamaskiner i Kristiansand funnet spionprogram / trojaner som gjør at hackeren kan følge med på alt som eieren foretar seg på datamaskinen.  Dette skjer ved at spionprogrammet bl.a. registrerer alle eierens tastetrykk på nett m.v.  Blant de aller verste personverntruslene.  Dette lot seg ikke fjerne av anti-virus program, men måtte fjernes manuelt.

Ca. 50 virus og trojanere funnet på en og samme hjemme-PC
Maskinen var et virtuelt ynglested for omtrent alle typer sikkerhetstrusler.   Til og med bakgrunnsbildet på Skrivebordet var kapret av trojaner-program, og fungerte som en eneste stor link til et bedragersk nettsted.  Uansett hvor det ble klikket på Skrivebordet ble brukeren tatt til dette nettstedet.  Enda en variant av trojanere som utgir seg for å være et sikkerhetsprogram, og som ber brukeren laste ned "spyware removal tools".  Det var installert et ordentlig anti-virus program, men ikke oppdatert med virusdefinisjoner på noen år.  Nok en påminnelse av hvor viktig det er å ha fullverdig program for anti-virus og brannmur, og som holdes oppdaterte i forhold til nye sikkerhetstrusler.  Blant mye annet ble det funnet: "Trojan.Skintrim", "Downloader", "Trojan.ByteVerify", "Dialer.InstantAccess", "Dialer.WSV", "Dialer.WebDialer", "Dialer.Generic", "Trojan.LowZones", "Downloader.Lop", "Trojan.Zlob".

 

 

Til hovedside

 

 

Webstrax.  Datahjelp for det meste. Datahjelp som hjelper.

For informasjon om ditt personvern ved besøk på nettstedet webstrax.com, gå hit. Kontakt Webstrax.

Copyright ©  Webstrax. Alle rettigheter.  Alle andre varemerker, produktnavn og firmanavn er rettigheter / eiendom tilhørende de respektive firma / selskaper.

Webdesign ved Vidar Olsen