Haittaohjelma koneessa! Iso nettiongelma. [Ratkaistu]

Jigsaw · Viesti Kirjoittaja **Jigsaw** » 26.11.2009 klo 14.24

Eilen noin klo 23.00 katkesi netti ja saapui tekstiviesti Elisalta. Sisältö on seuraava: "Hyvä asiakkaamme. Viestintäviraston kehotuksesta Elisa aloittaa 25.11. klo 23 internet-liikenteensuodatuksen torjuakseen haittaohjelman. Tietokoneenne on saanut kyseisen haittaohjelman ja suodatuksen johdosta saastuneen koneen internet-yhteys katkeaa. Tietokone tulee puhdistaa yhteyden palauttamiseksi."

Tämmöinen ongelma tällä kertaa. Ajoittain saan netin toimimaan ahkeralla käyttöpaikka-kikkailulla mutta hankalaa on sekin. Elisan tuessa ei höykäsen pölähtävää tietoa mitä pitäisi tehdä, Windows-koneidenkin kanssa tämän saman ongelman tiimoilta hieman hukassa tällä hetkellä.

Koneena on intel iMac, mallin tunniste on iMac7,1 ja käyttiksenä Leopard, jos näistä tiedoista on jotain hyötyä. iStat näyttää Networkin kohdalla suoraa viivaa kuin viimeisen slaagin saaneella.

What to do?

Anniel · Viesti Kirjoittaja **Anniel** » 26.11.2009 klo 14.38

Elisan sivulta löytyy tuollainen tiedote aiheesta: http://www.elisa.fi/ir/pressi/index.cfm ... &did=15898

Viestintäviraston ohje: http://www.cert.fi/tietoturvanyt/2009/1 ... 31722.html

Kubismi · Viesti Kirjoittaja **Kubismi** » 26.11.2009 klo 14.42

Haittaohjelma Macissa? Aika jännä...

Jigsaw · Viesti Kirjoittaja **Jigsaw** » 26.11.2009 klo 14.52

Anniel kirjoitti:Elisan sivulta löytyy tuollainen tiedote aiheesta: http://www.elisa.fi/ir/pressi/index.cfm ... &did=15898

Viestintäviraston ohje: http://www.cert.fi/tietoturvanyt/2009/1 ... 31722.html

Luettu on ja nuo DNS server numerot löytyy, tai viimeiset numerot on eri mutta kuitenkin. Omat 82.255.115.54 ja 82.255.112.115. En kyllä tajunnut noista nimipalvelinasetuksista hittojakaan, DNS-numerot löysin verkkoasetusten DNS-palvelimet kohdasta.

Repe Ruutikallo · 26.11.2009 klo 14.58

Siis mitä? Haittaohjelma johon operaattorien isku kohdistuu on Windows-only...

Sabbath · Viesti Kirjoittaja **Sabbath** » 26.11.2009 klo 15.01

http://www.itviikko.fi/tietoturva/2009/ ... 66/7?rss=8

Touho · Viesti Kirjoittaja **Touho** » 26.11.2009 klo 15.19

Kubismi kirjoitti:Haittaohjelma Macissa? Aika jännä...

Eikö olekin? Tällähän päästään varmaan herkuttelemaan päivä- ellei peräti viikkokausia, ja pilailemaan mokomien Appe-fanipoikien kustannuksella, eikö vaan!

Paitsi että en kyllä löytänyt tästä ketjusta mitään mainintaa siitä, että jossain mäkissä ja OS X:ssä olisi varmudella ollut tuo kyseinen haittaohjelma, tai että tuollainen haittaohjelma ylipäätään mäkkejäkin vainoaisi. Ainakaan sellaisessa mäkissä, jossa ei ole myös wintoosaa asennettuna.

Jigsaw kirjoitti:Windows-koneidenkin kanssa tämän saman ongelman tiimoilta hieman hukassa tällä hetkellä.

Enemmän tuossa taitaa olla kyse tuosta Elisan ja pankkien säätämisistä ko. haittaohjelman kanssa, ja ammuskellaan suht isolla tykillä muutamaa saastunutta konetta vastaan, kun ne käyttäjät eivät ilmeisesti itse osaa.

Voihan se mäkkikin jossain tapauksissa sen tietynlaisen haittaohjelman saada, mutta se vaatii yleensä sen troijalaisen sisäänimuroinnin ja käyttäjätunnuksen ja salasanan antamista epämääräisissä yhteyksissä.

Jos kerran tuon yhteyden saa välillä toimimaan, voisi olettaa, että yhteys on katkennut jostain muusta syystä kuin juuri sen öhkömönkijän olemassaolon takia, tai sitten se pöpö on jollain toisella koneella saman nettiröörin kautta.

Kannattaisi aloittajan varmaan olla yhteydessä suoraan Elisaan. Mutta sitä ennen kannattaisi varmaan tyhjentää sähköpostista kaikki mahdolliset ylimääräiset viestit ja liitetiedostot, jos niissä vaikka olisi joku öhkis piilossa.

Jos olet varma, ettet ole tehnyt viimeaikoina mitään hölmöä netissä, (warez-, porno- tai pelisivuilla), etkä muista minkään oudomman softan kyselleen käyttäjätunnusta ja salasanaa, voisit ehkä yrittää selvittää Elisan teknisestä tuesta, että miten tarkalleen ne siellä noita saastuneita koneita tunnistavat, eli mikä tarkalleen flägittää kunkin koneen. Jos siellä samassa huushollissa on muita (wintel-) koneita, ne kannattaisi varmaan irrottaa kokonaan netistä, ja kokeilla mäkillä uudestaan. Jos taas sillä mäkillä on myös wintoosa, kannattaisi se varmaan hävittää sieltä, tai ajaa siellä ainakin joku öhkiksenmestausohjelma. Tai jotain.

kermit · Viesti Kirjoittaja **kermit** » 26.11.2009 klo 15.29

Onko Jigsawilla tiedossa mikä on muuttanut DNS-palvelimien osoitteet?

adele · Viesti Kirjoittaja **adele** » 26.11.2009 klo 15.47

Jigsaw kirjoitti:What to do?

1. Olettaen että on Macistä kyse (siis jonka takia sulku on laitettu), olet varovaisempi kuin latailet torrentteja.

2. Katso mitä Macin nimimipalvelimen kohdalla lukee.

a. Avaa Ohjelmatkansiosta Pääte,
b. copy peistaa Päätteen ikkunaan tuo litanja ja paina enteriä, jota saat näkymättömät käyttiksen fileet näkyviin.
Koodi: Valitse kaikki
```
defaults write com.apple.finder AppleShowAllFiles TRUE
killall Finder
```
c. Avaa Texturilla resolv.conf-file. Polku Kovis/private/var/run/resolv.conf
d. katso mitä siellä lukee nimipalvelimen kohdalla. Siellä ei saa lukea mitään 85.255.112.0/20-numerosarjaan viittaavaa, vaan jotain suomalaiseen palveluntarjoajaan viittaavaa kuten tässä:

e. Jos siellä lukee nimipalvelimen kohdalla tuo 85 alkuinen numerosarja, niin verkkoasetuksia on muokannut joku. Nuo tiedot voi tietysti käsin muuttaa vastaamaan oman palvelutarjoajan tietoa, ja tallentaa fileen, mutta vaihtuvatko ne uudestaan haittaohjelman takia entiselleen, eli onko kyseessä kertaluontoinen homma, vai vaihdetaanko tiedot jatkuvasti, en tiedä.

f. Lopuksi piilota fileet kopiomalla alla oleva Päätteen ikkunaan ja painamalla enteriä.
Koodi: Valitse kaikki
```
defaults write com.apple.finder AppleShowAllFiles FALSE
killall Finder
```

Ymmärryksen ei myöskään riitä siihen että toimivatko väärennetyt nimipalvelinasetukset vain tiettyjen osoitteiden, siis pankissa asioinnin kanssa. Sekin voi olla mahdollista.

Jigsaw · Viesti Kirjoittaja **Jigsaw** » 26.11.2009 klo 15.49

Touho kirjoitti:
Kubismi kirjoitti:Haittaohjelma Macissa? Aika jännä...
Eikö olekin? Tällähän päästään varmaan herkuttelemaan päivä- ellei peräti viikkokausia, ja pilailemaan mokomien Appe-fanipoikien kustannuksella, eikö vaan!

Paitsi että en kyllä löytänyt tästä ketjusta mitään mainintaa siitä, että jossain mäkissä ja OS X:ssä olisi varmudella ollut tuo kyseinen haittaohjelma, tai että tuollainen haittaohjelma ylipäätään mäkkejäkin vainoaisi. Ainakaan sellaisessa mäkissä, jossa ei ole myös wintoosaa asennettuna.
Jigsaw kirjoitti:Windows-koneidenkin kanssa tämän saman ongelman tiimoilta hieman hukassa tällä hetkellä.
Enemmän tuossa taitaa olla kyse tuosta Elisan ja pankkien säätämisistä ko. haittaohjelman kanssa, ja ammuskellaan suht isolla tykillä muutamaa saastunutta konetta vastaan, kun ne käyttäjät eivät ilmeisesti itse osaa.

Voihan se mäkkikin jossain tapauksissa sen tietynlaisen haittaohjelman saada, mutta se vaatii yleensä sen troijalaisen sisäänimuroinnin ja käyttäjätunnuksen ja salasanan antamista epämääräisissä yhteyksissä.

Jos kerran tuon yhteyden saa välillä toimimaan, voisi olettaa, että yhteys on katkennut jostain muusta syystä kuin juuri sen öhkömönkijän olemassaolon takia, tai sitten se pöpö on jollain toisella koneella saman nettiröörin kautta.

Kannattaisi aloittajan varmaan olla yhteydessä suoraan Elisaan. Mutta sitä ennen kannattaisi varmaan tyhjentää sähköpostista kaikki mahdolliset ylimääräiset viestit ja liitetiedostot, jos niissä vaikka olisi joku öhkis piilossa.

Jos olet varma, ettet ole tehnyt viimeaikoina mitään hölmöä netissä, (warez-, porno- tai pelisivuilla), etkä muista minkään oudomman softan kyselleen käyttäjätunnusta ja salasanaa, voisit ehkä yrittää selvittää Elisan teknisestä tuesta, että miten tarkalleen ne siellä noita saastuneita koneita tunnistavat, eli mikä tarkalleen flägittää kunkin koneen. Jos siellä samassa huushollissa on muita (wintel-) koneita, ne kannattaisi varmaan irrottaa kokonaan netistä, ja kokeilla mäkillä uudestaan. Jos taas sillä mäkillä on myös wintoosa, kannattaisi se varmaan hävittää sieltä, tai ajaa siellä ainakin joku öhkiksenmestausohjelma. Tai jotain.

Tulee vähän pitkä lainaus mutta tulkoon.
Mitään ei ole vähään aikaan asenneltu eikä salasanoja kyselty, ei ole päivityksiäkään tullut tehtyä mihinkään ohjelmaan. Wintoosaa ei tässä koneessa ole eikä tule. Sähköpostiin ei ole tullut arveluttavaa postia, Applelta vaan. Ainoa kone tässä taloudessa joten sekin on oma ongelmansa. On tämän piuhan päässä ollut PC ennen Mäkkiä, mutta ei kai siitä ongelmia ole, siitä on sentään aikaa jo pari vuotta. Jos ne luuleekin siellä Elisan päässä että täällä on vielä joku puuseen roska piuhan toisessa päässä.

Onko käyttiksen uudelleen asennus järkevä vaihtoehto? Parempi puolisko ilmoitti että Tietokone-lehden sivuilla Sonera kehoittaa asentamaan Windowsin uudestaan.

Alkaa olemaan harmistuneessa tilassa.

Kermitille. Ei tietoa, eilen Yle Areenan elävässä arkistossa samoiltiin ja silloin sammui.

adele · Viesti Kirjoittaja **adele** » 26.11.2009 klo 15.51

kermit kirjoitti:Onko Jigsawilla tiedossa mikä on muuttanut DNS-palvelimien osoitteet?

Onko meillä tiedossa, että nimipalvelimien osoitteet ovat yleensäkään muutettu?

Viesti Kirjoittaja **amanita** » 26.11.2009 klo 15.56

Siirsin ketjun sopivammalle alueelle.

Jigsaw · Viesti Kirjoittaja **Jigsaw** » 26.11.2009 klo 16.00

adele kirjoitti:
Jigsaw kirjoitti:What to do?
1. Olettaen että on Macistä kyse (siis jonka takia sulku on laitettu), olet varovaisempi kuin latailet torrentteja.

2. Katso mitä Macin nimimipalvelimen kohdalla lukee.
a. Avaa Ohjelmatkansiosta Pääte,
b. copy peistaa Päätteen ikkunaan tuo litanja ja paina enteriä, jota saat näkymättömät käyttiksen fileet näkyviin.
Koodi: Valitse kaikki
defaults write com.apple.finder AppleShowAllFiles TRUE
killall Finder
c. Avaa Texturilla resolv.conf-file. Polku Kovis/private/var/run/resolv.conf
d. katso mitä siellä lukee nimipalvelimen kohdalla. Siellä ei saa lukea mitään 85.255.112.0/20-numerosarjaan viittaavaa, vaan jotain suomalaiseen palveluntarjoajaan viittaavaa kuten tässä:

e. Jos siellä lukee nimipalvelimen kohdalla tuo 85 alkuinen numerosarja, niin verkkoasetuksia on muokannut joku. Nuo tiedot voi tietysti käsin muuttaa vastaamaan oman palvelutarjoajan tietoa, ja tallentaa fileen, mutta vaihtuvatko ne uudestaan haittaohjelman takia entiselleen, eli onko kyseessä kertaluontoinen homma, vai vaihdetaanko tiedot jatkuvasti, en tiedä.

f. Lopuksi piilota fileet kopiomalla alla oleva Päätteen ikkunaan ja painamalla enteriä.
Koodi: Valitse kaikki
defaults write com.apple.finder AppleShowAllFiles FALSE
killall Finder
Ymmärryksen ei myöskään riitä siihen että toimivatko väärennetyt nimipalvelinasetukset vain tiettyjen osoitteiden, siis pankissa asioinnin kanssa. Sekin voi olla mahdollista.

Kiitokset ohjeista, osasin seurata.

Ja pahalta näyttää, ei tullut tuommoista pitkää litaniaa vaan pelkät numerot:

nameserver 85.255.115.54
nameserver 85.255.112.115

Viesti Kirjoittaja **amanita** » 26.11.2009 klo 16.07

Google kertoo monin aihein mainitsemistasi IP:istä:

85.255.115.54
85.255.112.115

TupeN · Viesti Kirjoittaja **TupeN** » 26.11.2009 klo 16.21

Kannattaa nyt ensin katsoa mitä siellä /etc/resolv.conf tiedostossa on.

Tässä myös ohjeet.
1. Avaa pääte
2. Kirjoita päätteeseen cd /etc
3. Kirjoita päätteessä: vi resolv.conf
Nyt pitäisi näkyä esimerkiksi:
domain elisa-laajakaista.fi
nameserver 193.229.0.40
nameserver 193.229.0.42

5. Sulje vi kirjoittamalla :q
6. Sulje pääte.

Pastaa osoitteet tänne foorumille.

kermit · Viesti Kirjoittaja **kermit** » 26.11.2009 klo 16.33

Onko /Library/Internet Plug-Ins -kansiossa tiedostoa plugins.settings?

Jigsaw · Viesti Kirjoittaja **Jigsaw** » 26.11.2009 klo 16.38

kermit kirjoitti:Onko /Library/Internet Plug-Ins -kansiossa tiedostoa plugins.settings?

Ei ole, Internet Plug-Ins ja siellä vain Move-Media-Player.plugin

Jigsaw · Viesti Kirjoittaja **Jigsaw** » 26.11.2009 klo 16.49

TupeN kirjoitti:Kannattaa nyt ensin katsoa mitä siellä /etc/resolv.conf tiedostossa on.

Tässä myös ohjeet.
1. Avaa pääte
2. Kirjoita päätteeseen cd /etc
3. Kirjoita päätteessä: vi resolv.conf
Nyt pitäisi näkyä esimerkiksi:
domain elisa-laajakaista.fi
nameserver 193.229.0.40
nameserver 193.229.0.42

5. Sulje vi kirjoittamalla :q
6. Sulje pääte.

Pastaa osoitteet tänne foorumille.

En saanut muuta irti kuin tämmöistä. Ymmärsin uskoakseni ohjeet oikein.

nameserver 85.255.115.54
nameserver 85.255.112.115
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
"resolv.conf" [readonly] 2L, 51C

adele · Viesti Kirjoittaja **adele** » 26.11.2009 klo 16.52

Koska kyseessä on nimipalvelimen muutoksesta on kyseessä ilmeinen variantti tästä:

adele kirjoitti:Eli tuo aikaisemmin MacVideo toiselta nimeltään Porn4Mac troijalainen on saanut uuden nimen MacAccess. Törmäsin tuohon ja aika haipakkaan olisi halunnut asentua koneelle vaikka Safarin "turvallisen haun täppä" ei ollut valittuna. "So be careful out there!"

http://www.hopeinenomena.net/viewtopic. ... en#p639329

Vastauksessa oli Secureapplen linkki sivustolle, jossa on ohjeet poistoa varten:
http://ithreats.net/2008/12/26/how-to-r ... ss-trojan/

Eli on kätkössä Adobe Flashin ja Mozillan fileissä.

Sen yhden aikaisemman troijalaisen poisto onnistuu tällä:

http://adele.kicks-ass.org/_/remove.html

kermit · Viesti Kirjoittaja **kermit** » 26.11.2009 klo 16.54

Jigsaw kirjoitti:
kermit kirjoitti:Onko /Library/Internet Plug-Ins -kansiossa tiedostoa plugins.settings?
Ei ole, Internet Plug-Ins ja siellä vain Move-Media-Player.plugin

Hmm… katsoitko oikeasta paikasta? Library eli Kirjasto -kansioitahan on kaksi, toinen kotikansion kautta ja toinen levyn juuresta. Ajattelin vain kun monella on kuitenkin flashin ja Flip4Macin pluggari ja mahdollisesti muitakin.

Jigsaw · Viesti Kirjoittaja **Jigsaw** » 26.11.2009 klo 16.57

Jigsaw kirjoitti:
kermit kirjoitti:Onko /Library/Internet Plug-Ins -kansiossa tiedostoa plugins.settings?
Ei ole, Internet Plug-Ins ja siellä vain Move-Media-Player.plugin

Komento takaisin, löytyi sittenkin, jos oikein tajusin. On tämä suomenkielinen versio käytössä.

Macintosh HD/Kirjasto/Internet Plug-Ins/plugins.settings
Muutosaika 10.10.2007

kermit · Viesti Kirjoittaja **kermit** » 26.11.2009 klo 17.07

Juu oikea mesta ja jos siellä on tuo tiedosto plugins.settings, niin olet päästänyt kreikkalaiset koneeseen. Eli OSX/DNSChanger -troijalainen. http://www.virus.fi/v-descs/trojan_osx_dnschanger.shtml

Viesti Kirjoittaja **amanita** » 26.11.2009 klo 17.14

Ketju nostettu pysyväksi aiheen kiinnostavuuden johdosta.

adele · Viesti Kirjoittaja **adele** » 26.11.2009 klo 17.21

Tietysti nyt herää kysymys, olettaen että on tartunnan jälkeen, rekisteröity tai kirjauduttu palveluihin, käyty pankissa tai etenkin maksettu luottokortilla nettiostoksia, olisiko jotain muutakin tehtävä koneen puhdistamisen lisäksi, koska:

Huijauksen tavoitteena on kerätä käyttäjien käyttäjätunnuksia ja salasanoja verkkopalveluihin. Tyypillisesti huijaukset koskevat suurta joukkoa erilaisia verkkopalveluja. CERT-FI pitää todennäköisenä, että myös tämänkertainen huijauskampanja kohdistuu useisiin suomalaisiin ja ulkomaalaisiin muihin verkkopalveluihin, eikä oletettavasti rajaudu pelkkiin verkkopankkeihin.

ER · Viesti Kirjoittaja ER » 26.11.2009 klo 17.36

Jigsaw, oletko kokeillut löytääkö esim. ClamXav nuo pöpöt? Ihan näin itseä ja muita käyttäjiä ajatellen.

Haittaohjelma koneessa! Iso nettiongelma. [Ratkaistu]

Haittaohjelma koneessa! Iso nettiongelma. [Ratkaistu]

Re: Nettiongelma ja iso.

Re: Nettiongelma ja iso.

Re: Nettiongelma ja iso.

Re: Nettiongelma ja iso.

Re: Nettiongelma ja iso.

Re: Nettiongelma ja iso.

Re: Nettiongelma ja iso.

Re: Nettiongelma ja iso.

Re: Nettiongelma ja iso.

Re: Nettiongelma ja iso.

Re: Nettiongelma ja iso.

Re: Nettiongelma ja iso.

Re: Nettiongelma ja iso.

Re: Nettiongelma ja iso. Haittaohjelmako koneessa?

Re: Nettiongelma ja iso. Haittaohjelmako koneessa?

Re: Nettiongelma ja iso. Haittaohjelmako koneessa?

Re: Nettiongelma ja iso. Haittaohjelmako koneessa?

Re: Nettiongelma ja iso. Haittaohjelmako koneessa?

Re: Nettiongelma ja iso. Haittaohjelmako koneessa?

Re: Nettiongelma ja iso. Haittaohjelmako koneessa?

Re: Nettiongelma ja iso. Haittaohjelmako koneessa?

Re: Nettiongelma ja iso. Haittaohjelma koneessa!

Re: Haittaohjelma koneessa! Nettiongelma ja iso.

Re: HAITTAOHJELMA KONEESSA! Nettiongelma ja iso.