Aktuelt om virussituasjonen på Sørlandet.

Hovedside
 


SIKKERHETSRELATERTE SAKER.  Funn av virus / trojanere o.l. på maskiner i Kristiansands-regionen.  Siden oppdateres stadig.  Vennligst bla nedover for oversikt.

GENERELT:
Virus blir stadig mer avanserte i programmeringen, og det er ikke noe anti-virus program som greier å stanse / fjerne absolutt alt.  Kravene til brukernes nett-vett skjerpes desto mer.  Antall bedragerske nettsteder øker.  Virusspredning skjer i stadig større grad direkte fra nettsteder, med virus som laster seg ned og installeres automatisk på de besøkendes datamaskiner.  Dette er ikke bare nettsteder satt opp av kriminelle.  Også uskyldige nettsteder kan bli kapret, med de samme konsekvenser for besøkende.   Fildelingsprogram har lenge blitt utnyttet for å spre virus.  Virus kamuflert som musikkfiler, filmer og som code-cracks til lisensiert programvare florerer.

Fake WinAntivirus 2009 / Fake VirusRemover / Fake SpywareRemover, Fake Internet Antivirus Pro:
Som Fake Virus Alert og Fake Privacy Protector, bare mer avanserte.  2009-versjonene av disse bedragerske "programmene" virker enda mer tilforlatelige enn forgjengerne.  For vanlige brukere er det lett å forveksle dette med ekte virusadvarsler og ekte feilmeldinger.  Fake Antivirus Pro kaprer nettleseren og prøver hele tiden å ta deg til nettsted hvor du liksom skal kjøpe sikkerhetsprogram med kredittkort.  Ikke gjør det!

Trojaner: Backdoor.Win32.Frauder.fb:
I tillegg til at dette, som så mange andre virus / trojanere, infiserer  mappen System32, legger dette seg også i mappen System Volume Information.  Sistnevnte mappe er vanligvis en såkalt skjult mappe inkludert i operativsystemet.    Enkelte av de aller mest utbredte anti-virus programmene skanner ikke automatisk gjennom denne mappen.  Ved installasjon av sikkerhetsprogrammet settes som standard innstilling at bl.a. denne mappen ikke skal virusskannes.  Man må m.a.o. manuelt innstille sikkerhetsprogrammet på å virusskanne mappen, evt. klikke seg frem til mappen, etter å ha aktivert visning av skjulte filer og mapper, og så virusskanne den aktuelle mappen.  Dette viruset har i likhet med stadig flere, en koding som gjør det i stand til å re-installere seg selv ved forsøk på å fjerne det.  Det synes som at virusets re-installasjon knytter seg til mappen System Volume Information.  Mappen er som nevnt en del av operativsystemet, og kan ikke slettes som sådan.

Normal prosedyre vil for fjerning av denne type gjenstridige virus være å deaktivere Automatisk Gjenoppretting, og deretter få virusskannet bl.a. denne mappen.   Imidlertid er dette ofte ikke nok.  Det er stadig oftere nødvendig å bruke fjerningsverktøy som er spesiallaget for vedkommende virus, eller manuelt identifisere og slette virusets kjørefiler (.exe filer) og dets gjenopprettingspunkter.  Webstrax har omfattende erfaring med manuell fjerning av slike virus.

Trojaner med stort ødeleggelsespotensiale: Fake VirusAlert / Fake PrivacyProtector:
Funn av trojaner som ved nærmere undersøkelse viste seg å ha omfattende koding for selvforsvar.  Trojaneren hadde bl.a. deaktivert Regedit, Oppgavebehandling og deaktivert visningen av harddisker i Min Datamaskin.  Visningen av Kontrollpanel på Startmenyen og i Min Datamaskin var også deaktivert.  Her skulle man m.a.o. fratas alle muligheter for å kunne se nærmere på  trojaner-filene!  Videre hadde det koding for automatisk gjenoppretting ved forsøk på sletting.  Det "kidnappet" også startsiden, med omdirigering til bedragersk nettsted.  Genererte ustanselig popping / advarsler om virus og spyware.  Advarslene  likner på FakeXPSecurityCenter, men i tillegg legger det en permanent advarsel ved siden av klokken i systemstatusfeltet med teksten "Virus Alert!", som også limte seg inn i ordinære systemmeldinger.  I Min Datamaskin / Egenskaper var maskin-ID byttet ut med "Virus Alert!".  Svært vanskelig å få fjernet.

Bedragersk programvare som opptrer som "XPSecurityCenter"
Trojaner som simulerer sikkerhetsadvarsel, med ustanselige skjermeldinger på engelsk som ber deg laste ned removal tool.  I kombinasjon med et varselikon med rødt kryss i systemstatusfeltet (ved siden av klokken).  For vanlige brukere kan dette synes umulig å bli kvitt.  Selv om man finner kjørefilen/e (.exe filene) og får slettet disse, er det såvidt avansert at det også har innebygd en gjenopprettingsfunkjson som kjører automatisk gjenoppretting, uansett hvor mange ganger du sletter kjørefilen/e!   Det hindrer også installasjon av effektive fjerningsprogram / sikkerhetsprogram.  En relativt omstendelig prosedyre å få det fjernet.  Kjørefil legger seg blant annet i mappen Windows / System32 under filnavnet braviax.exe.  Sommeren 2008 har dette trolig spredt seg til et betydelig antall datamaskiner.

Bedragersk programvare:  Downloader.MisleadApp
Funn av trojaner, som ved oppslag i virus-leksikon synes å forekomme hyppig på maskiner som ikke har fullverdige sikkerhetsprogram.  Gir falske virusvarsler og falske spywarevarsler under overskriften "Warning Security Report", med ustanselige oppfordringer om å kjøre eller laste ned "Cleaner Tool".  Følger du oppfordringen laster du ned mer skadelig og bedragersk programvare som gjør maskinen svært utrygg og i tillegg treg.  Det finnes en god del trojanere som fungerer på lignende måte.  Som trojaneren FakeAvAlert.  Denne trojaneren infiserer mange filer som gjør den i stand til å omgå brannmuren, og som gjør at din Internett start-side automatisk omdirigeres til et bedragersk nettsted.   Trojaneren utgir seg,  i likhet med ovennevnte, for å være et sikkerhetsprogram og genererer sikkerhetsvarsel som "Windows Security Alert. Potential Spyware Operation!"

Virus / trojanere:
Webstrax v/ Vidar Olsen har i enkelte tilfeller funnet virus / trojanere i høyeste trusselkategori, på maskiner hvor det faktisk var installert og oppdaterte anti-virus program.  To av virusene var ganske sofistikerte, og installerte seg selv på maskinen forkledd som tilhørende selve operativsystemet.  Det ene stod til og med oppført i kontrollpanelets programliste med navnet på operativsystemet som en del av navnet!  Hvordan disse opprinnelig fikk tilgang til de respektive maskiner er uvisst.  De lagde falske sikkerhetsadvarsler, hvor brukeren ble bedt om å laste ned et bestemt program for fjerning av nettopp virus!  Disse sikkerhetsadvarslene som i utgangspunktet, for vanlige brukere, kunne virke tilforlatelige,  dukket opp hele tiden mens maskinen var i drift, og straks operativsystemet var lastet etter omstart.  Det er nok flere som i god tro har fulgt "sikkerhetsadvarselen" og "lastet ned"..  Det man da i realiteten har gjort er å la en trojaner av verste slag helt uhindret av anti-virusprogram og brannmur få tilgang til nær sagt alle tenkelige data på maskinen, og sende tilbake til virusmakeren/e det som vedkommende er ute etter.

De aktuelle anti-virus programmene greide simpelthen ikke å registrere og uskadeliggjøre disse virusene.  Et av anti-virus programmene er forøvrig utbredt innen enkelte offentlige virksomheter, samt bedrifter og på ansattes firma-PC-er, i tillegg til en del private hjemmemaskiner.   Det er et alvorlig tankekors at så alvorlige sikkerhetstrusler får spre seg, av den enkle grunn at man ikke ser seg råd til å anskaffe anti-virus programmer som bare koster et par hundrelapper mer.  Har man nettbank, og i tillegg bruker kredittkort på Internett, er et par hundrelapper blåbær i forhold til tapsrisiko.  Dette har imidlertid også et aspekt i forhold til taushetsbelagte og konfidensielle data i offentlig sektor og bedrifter, hvor man vel normalt skulle forvente at anskaffelse av datasikkerhets-programmer først og fremst baserer seg på en grundig sikkerhetsfaglig vurdering...

Hva gjelder disse konkrete tilfellene gir de en sterk indikasjon om at det er en god del datamaskiner som har virus / trojanere, men hvor brukerne opplever maskinene som trygge fordi det jo er installert anti-virus!   Symptomer er stundom at det spretter opp pop-ups på skjermen, som ikke har noen naturlig sammenheng med det man holder på med.  Noen virus genererer også pop-ups når Internettleseren er lukket.  Stadige feilmeldinger kan også være ekte feilemeldinger fra operativsystemet, men av og til som en reaksjon på at det er systemfiler som "sjeneres" av virus.  Videre vil en virusinfisert maskin ofte oppleves som treg og ustabil. Har du et av de nyere operativsystemene, på en maskin som på papiret skal ha god yteevne ut i fra dagens mål, kan unormal treghet skyldes virus.  Dersom du ut i fra dette får mistanke om at du har virus, er det en god ide å få den kontrollert.

Ved flere tilfeller har Webstrax funnet virus hos kunder som nettopp har hatt besøk av personer / firma som markedsfører seg som dataeksperter,
men som desverre for kundene ikke har prestert annet enn å sende høye regninger.  I et tilfelle satt  "dataeksperten" en halvtime foran
datamaskinen uten å løse noe som helst.  Regningen var derimot på ca. tusen kroner!   I et annet tilfelle var "diagnosen" helt feilaktig
at det var feil på maskinvare som ikke lot seg reparere!  For denne "diagnosestillingen" som tok 20 minutter, ble regningen  vel kr. 800!

Planting av spionprogram:
Webstrax v/ Vidar Olsen har på datamaskiner i Kristiansand funnet spionprogram / trojaner som gjør at hackeren kan følge med på alt som eieren foretar seg på datamaskinen.  Dette skjer ved at spionprogrammet bl.a. registrerer alle eierens tastetrykk på nett m.v.  Blant de aller verste personverntruslene.  Dette lot seg ikke fjerne av anti-virus program, men måtte fjernes manuelt.

Ca. 50 virus og trojanere funnet på en og samme hjemme-PC
Maskinen var et virtuelt ynglested for omtrent alle typer sikkerhetstrusler.   Til og med bakgrunnsbildet på Skrivebordet var kapret av trojaner-program, og fungerte som en eneste stor link til et bedragersk nettsted.  Uansett hvor det ble klikket på Skrivebordet ble brukeren tatt til dette nettstedet.  Enda en variant av trojanere som utgir seg for å være et sikkerhetsprogram, og som ber brukeren laste ned "spyware removal tools".  Det var installert et ordentlig anti-virus program, men ikke oppdatert med virusdefinisjoner på noen år.  Nok en påminnelse av hvor viktig det er å ha fullverdig program for anti-virus og brannmur, og som holdes oppdaterte i forhold til nye sikkerhetstrusler.  Blant mye annet ble det funnet: "Trojan.Skintrim", "Downloader", "Trojan.ByteVerify", "Dialer.InstantAccess", "Dialer.WSV", "Dialer.WebDialer", "Dialer.Generic", "Trojan.LowZones", "Downloader.Lop", "Trojan.Zlob".

 
 

Til hovedside

 

 

Webstrax.  Datahjelp for det meste. Datahjelp som hjelper.

For informasjon om ditt personvern ved besøk på nettstedet webstrax.com, gå hit. Kontakt Webstrax.

Copyright ©  Webstrax. Alle rettigheter.  Alle andre varemerker, produktnavn og firmanavn er rettigheter / eiendom tilhørende de respektive firma / selskaper.

Webdesign ved Vidar Olsen