Virukset Posts

Rasittava pikku troijalainen: Poisonivy-variantti.

Laahustipa koneelleni rasittava troijalainen. Kyseessä lienee jonkinlainen variantti Poisonivy nimelläkin tunnetusta remote-networking virityksestä.

Muutamia päiviä sitten koneeni alkoi oireilemaan kummallisesti. Systeemi jumahteli miten sattui ja suoritinkäytössä näkyi selekitä 100% piikkejä. Tokihan hälytyskellot soittelivat surumarssia ja vaikka koneellani on niin palomuuri kuin virustorjunta-ohjelmat, sekä tarpeelliset malware ja spyware-skannerit niin oli luonnollinen jatko tarkistaa kone lukuisilla eri online-skannereilla. Sinänsä hupaisaa ettei yksikään löytänyt minkään sortin ongelmaa kuten eivät myöskään koneelle jo asennetut ohjelmat (nod32, a2free, ewido antispyware, sbybot)

Tuumailin jo asentavani koko käyttöjärjestelmän uudelleen kun ajattelin vielä kerran vilkaista käynnissä olevat prosessit. Enpä ollut aiemmin kiinnittänyt moiseen huomiota, mutta nyt havaitsin, että Firefoxin prosessi pyörii siitäkin huolimatta, että selaimeni oli suljettu. Reipas Googlettaminen tuotti tulosta aiheesta ja osasin lähteä selvittelemään ongelmaa laajemmin.

MozillaZine:stä löytynyt artikkeli ohjasti oikeille jäljille. Testasin ensin artikkelin pohjalta vaihtaa IE oletusselaimeksi ja katsoa pyöriikö IE:n prosessi taustalla kun Windows-käynnistyy ja siellähän se hyrräsi eli Poisonivy-variantti täytyi olla kyseessä.

Artikkelissa annetaan poistoon hyvät ohjeet sillä ainakin omalla kohdallani troijalainen oli poistettava käSipelillä sillä yksikään kokeilemistani skannereista ei tuota havainnut.

Troijalaista poistamaan:

Buuttasin koneen Windowsin Vikasietotilaan ja käynnistin REGEDIT:n ja navigoin kohtaan: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\ – Sitten vain hakemaan avainta jossa on pelkästään StubPath ja viittaus ajettavaan tiedostoon. Itselläni kyseinen ajettava viritys oli SERVER.EXE jonka myös poistin hakemistosta \windows\system32\

Avaimen poiston jälkeen reboot ja kas kas mokoma ökkiäinen oli poissa koneelta.


Tässä ihan kuriositeettina mainittuna ohjelmat joilla poistoa yritin

Koneelle asennetut:

nod32, ewido antispyware, spybot s&d, eScan, a-squared Free ja testimielessä tuli asennettua Webroot:n SpySweeper

Online:

BitDefender, F-Secure, Trend, Kaspersky ja MS One Care

Tietoturva

Tietourvahan on nykyään se kuuma peruna ja aihe josta on aina hyvä paasata. Ajattelinpa nyt lyhyesti kertoa kuinka suojaan itseni enimmiltä haittaohjelmilta ja spämmeiltä. Tärkein seikka jota ei missään olosuhteissa pidä vähätellä on terveen järjen käyttö. Parhaatkaan suojat eivät sinua suojele jos elelet netissä kuin pellossa. Latailet mitä sattuu, etkä noudata tervettä varovaisuutta. Olen henkilökohtaisesti ollut tekemisissä koneen kanssa johon olen itse asentanut niin palomuurin, virustorjunnan kuin ad- ja spywaren torjujat sekä käsipelillä ajettavan skannerin joka tsekkaa troijalaiset sun muut hilavitkuttimet ja näistäkin huolimatta kone on ollut tuhannen sekaisin ja virusten saastuttama, että päätä on tehnyt mieli takoa seinään ja pitkään. Kyseisen koneen omistaja kun on saanut sellaisia neronleimauksia kuin, että kyllä palomuurin ja virustorjunnan voi ottaa hetkeksi pois kun lataukset ovat ne päällä mukamas niin kovin hitaita ja sitten soitellaan allekirjoittaneelle, että taas on kone sekaisin eikä nettiin pääse. Tämä todistaa sen, että ihmisen tyhmyys on vakio ja tällaisille jästipäille ei minkään sortin saarnat auta vaikka kuinka vääntäisit rautalangasta kohta on kyseinen mylly taas huollettavana.

Tämä nyt ei ollut se pääpointtini vaan eksyin taas sivuraiteille eli omista suojistanihan tässä piti haastella. Olen nykyään valitettavasti läppärini kanssa Windows XP Homen parissa joten suojaakin tarvitaan sen mukaisesti.

Virustorjuntaohjelmistoa pohdin pitkään. Saan jostain syystä näppylöitä näistä valmiista all-in-one-paketeista ja tästä johtuen olen valinnut kuhunkin tehtävään oman ohjelmansa. Täytyy sanoa, että useita eri torjuntaohjelmia olen testaillut. Kävin pitkää pohdintaa Kasperskyn ja NOD32:n välillä ja testituloksista huolimatta päädyin NOD32:n lähinnä miellyttävän käyttöliittymän ja keveyden vuoksi sekä riittävän ripeästi päivittyvien viruskantojen vuoksi. Kaspersky olisi testimenestyjä, mutta toisaalta syö turhaan koneen arvokkaita resursseja siksipä NOD32 tuntui omimmalta valinnalta. Laittamalla perusasetuksia laajemmat asetukset käyttöön ei toistaiseksi ole koneelle rahjustanut yhtään virusta. Skannaan koneeni säännöllisesti myös eri online skannereilla.

Palomuuriksi koneeseen valitsin toistaiseksi Kerio Personal Firewall:n, mutta aikomus on siirtyä käyttämään Comodon-muuria jota on kovasti keuttu ja joka omissa testeissäni tuntui varsin pätevältä. Zone Alarm on varmasti peruskäyttäjälle hyvä valinta, mutta en pitänyt sen suhteellisen raskaasta moottorista. Rautamuuri olisi ihanteellisin, mutta toistaiseksi kirvistelen softamuurien kera.

Spywarea ja Adwarea torjuu Ewido Anti-Spyware, joka mielestäni on markkinoiden parhaimmistoa. Itse käytän sitä ilmaismoodissa eli ei reaaliaikaista suojaa / automaattisia päivityksiä, mutta tälläkin tavoin hoitaa hommat mallikkaasti enkä ole tarvinnut kaveriksi Spybot:a, Adawarea tai Windows Defenderiä. Jälkimmäisessähän oli kunnollinen reaaliaikainen taustasuojaus, mutta olen kokenut pärjääväni Ewido:lla.

Spämmiä torjuu McAfee SpamKiller. Ilmainen Spamihilator ajaisi kyllä varmasti saman asian kuten myös Thunderbird:n oma spämmin-torjunta, mutta McAfeen puolesta puhui omatoiminen kurkkaus POP-palvelimelle eli tämän kanssa ei oikeastikaan tarvitse spämmejä nähdäkään. Spamihilatorin ja Thunderbirdin kanssa joutuu kuitenkin aina ensin sen clientin käynnistämään ja postien haukuvaiheessa erotellaan spämmit joukosta. Pidän enemmän siitä, että ohjelma käy itsekseen tarkistamassa laatikon oli sähköpostiohjelma käynnissä tai ei ja tämän nimenomaan McAfee tekee ja vieläpä mallikkaasti. Ne vähäiset spämmit jotka onnistuvat luikertelemaan SpamKillerin jäävät jörestään Thunderbirdin seulaan ja nuo kovapäät yleensä forwardoin Thunderbirdin Okopipi-laajennuksen avulla spamcop.net palveluun.

Troijalaiset ja muut hilavitkuttimet. Näitä varten ajan ajastettuna yöllä Emsi Softwaren a-squared Free-ohjelman joka on varsin pätevä näihin kilkuttimiin. Löytää se kyllä kaikkea muutakin mielenkiintoista.

Muut romppeet: Rekisterin pidön puhtaana mainiolla Registry Booster-ohjelmalla joka myös eheyttää rekisterin tarvittaessa. Ylimmäräiset ohjelmien rippeet sun muut levylle kertyneet roskat siivoan niin Tune Up 2004:n kuin CM DiskCleanerin avulla. Windowsin Prefetch-kansio tulee tyhjennettyä PrefetchCleaner-ohjelmalla silloin tällöin ja Pagefile:n eheytys aina joskus PageDefrag:lla. Käynnistyvät ohjelmia tarkkailen a-squared HiJackFree 2.0:lla. Näillä sitä on pärjäilty ja kone on pysynyt varsin siistinä eikä juurikaan ongelmia ole ilmennyt. Eivät ehkä parhaimpia ohjelmia, mutta hoitavat asiansa kun muistaa säilyttää sen maalaisjärjen, ettei hengaile netissä täysin surutta ja varomatta. Onhan tuossa melkoinen nivaska ohjelmia, mutta toisaalta ainoastaan virustorjunta, spämmi-torjuja ja palomuuri ovat ne jatkuvasti päällä olevat…muita ajelen käsipelillä. Mielummin liioittelee kuin, että elelee ilman suojia. Välillä kun vielä skannailee koneensa on-line skannereilla niin bueno 🙂

Vielä kun aktiivisesti seurailee tietourvauutisia kuten vaikkapa cert.fi ja virustorjunta.net on myöskin ihan hyvä paikka ja lukuisat ulkomaiset sivustot niin ollaan jo mukavasti turvallisimmilla vesillä, mutta koskaan ei voi tuudittautua täysin onnen auvoon oli sitten mitä tahansa suojaa koneella sillä nehän on ihmisten tekemiä 🙂