Näytetään tekstit, joissa on tunniste troijjalainen. Näytä kaikki tekstit
Näytetään tekstit, joissa on tunniste troijjalainen. Näytä kaikki tekstit

maanantai 26. helmikuuta 2018

Voiko PNG tiedosto sisältää viruksen?

Onko PNG-virus mahdollinen? Sitä on pohdittu eri verkkosivuilla ja ainakin yhdessä tapauksessa sen on todettu voivan sisältää viruksen. Lue koko sivu loppuun ajatuksella.

Sain tänään tyhjän sähköpostin jonka liitteenä oli PNG - tiedosto. PNG on kuvatiedosto jonka ei pitäisi olla vaarallinen. Kuva oli kilotavuiltaan pieni, eli ei pitäisi voida sisältää koodia. MUTTA.
ÄLÄ sinäkään missään tapauksessa luota onneesi virusten kanssa, vaan heitä tällaiset epämääräiset kirjeet roskiin ja tyhjennä roskis.



Minun kirjeeni saapui venäjältä ja se pyydettiin kierrättäämään epämääräiseen g-mail osoitteeseen. En tietenkään tehnyt niin.

"Brasilialaisen" PNG-viruksen toimintatavasta kertoo venäläinen verkkosivu: https://securelist.com/png-embedded-malicious-payload-hidden-in-a-png-file/74297/

Vapaa käännös SecureListin (Kaspersky Lab) tekstistä joka on sinänsä täyttä asiaa:

Brasilian virushyökkäykset kehittyvät päivittäin, yhä monimutkaisemmiksi ja tehokkaammiksi. On syytä olla varovainen tuntemattomista lähteistä peräisin olevien sähköpostien suhteen, erityisesti on varottava niiden linkkejä ja liitteitä sisältäviä tiedostoja.

Koska PNG-tiedostoon upotettuja haittaohjelmia ei voida suorittaa ilman sitä suorittavaa ohjelmaa, sitä ei voida käyttää tärkeänä saastuttajakomponenttina joka toimitetaan postilaatikkoosi, joten viruksen toimeenpaneva ohjelma on asennettava erikseen (siitä syystä kenties tuo kiertokirje jonka paluupostissa saattaisi saapua tuo toinen viruskomponentti, tai sitten ihan muuta kautta).

Tämä tekniikka mahdollistaa rikollisten piilottaman binaarikoodin tiedoston sisälle, joka näyttää olevan PNG-kuva. Se myös tekee virusanalyysimenetelmistä vaikeampia ja ohittaa automaattisen prosessin, haittaohjelmien havaitsemiseksi isäntäpalvelimilla.

-----------------loppusanat--------------------

Mielenkiintoista tässä myös on, että tämä Kaspersky Labin sivu tulee Googlauksessa ensimmäisenä ja Kaspersky Lab toimittaa virustorjuntaohjelmia jotka kuulemma estävät tämän PNG hyökkäyksen.
En uskaltaisi ladata tuota Kasperskyn ohjelmaa koneelleni ihan vaan syvistä ennakkoluulosyistä. Sehän saattaa olla juuri SE viruksen laukaiseva ohjelmakomponentti?
Verkossa kaikki on mahdollista :)

Verkkolehti WIRED kertoo tarinaa Kasperskysta
. Näissä asioissa kannattaa luottaa omaan terveeseen järkeen, ei propagandaan: https://www.wired.com/story/kaspersky-russia-antivirus/


perjantai 15. joulukuuta 2017

findbetteresults.com - verkkosivu on vaarallinen

Malwarebytes virustorjuntaohjelma  löysi koneeltani (ilmeisesti junk-kansioni haittapostien joukosta) findbetterresults.com:in linkin ja ilmoitti plokanneensa sen. Hyvä niin, vaikka en ollut siihen aikonut edes koskea.
Tämän artikkelin otsakkeessa oleva domanosoite on hieman muokattu, vaikka se ei ole edes linkkinä. Vahinkojen välttämiseksi.

Tietoja tästä ikävästä troijjalais-viruksesta on saatavilla verkosta runsaasti mutta jokaisen on hyvä tietää, että tällainen osoite on VAARALLINEN. Osoite piiloitetaan johonkin spämmi e-mailin linkkiin (linnkki teksti saattaa näyttää tekstinä jotakin aivan muuta, vaikkapa "poista minut tältä sähköpostilistalta"), e-mailissa kehoitetaan klikkailemaan sitä sun tätä ja linkeistä saapuu koneellesi sitten tuo virus. Haittapostien erilaisia sisältöjä ja tunnistusmahdollisuuksia, on lueteltu tässä Blogissa runsaasti.
Virustorjuntaohjeet ja ohjelma, löytyvät alla olevasta osoitteesta:

Remove findbetterresults.com - Trojan Killer
https://trojan-killer.net/get-rid-findbetterresults-com-hijacker-full-tutorial/

https://trojan-killer.net › Removal Guides

12.4.2017 - Are you among those whose default homepage and search engine have been replaced by "findbetterresults.com"? If yes then you are clarified that your PC is no more infection free. It has been infected by a malware program. This malware is categorized as a browser hijacker because of three major factors: ...

VAPAASTI KÄÄNNETTYNÄ
Jos havaitset, että selaimesi kotisivu ja hakuohjelmasi on käännetty tuohon findbetterresults.-com:in osoitteeseen, sinun koneesi on saastunut. Koneellasi on haittaohjelma. Tämä haittaohjema on luokiteltu selaimen haltuunottajaksi (selainkaappari), (sitten seuraa lista haittaohjelmaluokittelusta, joita en käännä). 

keskiviikko 10. elokuuta 2016

DHL - liite sisältää viruksen.

ÄLKÄÄ missään tapauksessa koskeko tällaisen tai vastaavaan DHL:n e-mailin liitteeseen.
Jos olette asioineet nettikaupassa joka lähettää pakettinsa DHL:n kautta, tarkistakaa lähetyksenne oikea tilanne tuosta samasta verkkokaupasta, tai DHL:n virallisten sivujen kautta. EI missään tapauksessa vastaamalla tähän viestiin tai avaamalla tuo kehoitettu linkkitiedosto. Tiedosto SISÄLTÄÄ VIRUKSEN.

Tässä e-mailissa on useita kohtia jotka ilmaisevat, että kyseessä ei ole DHL:n postittama huomautus.
1) viesti on tullut muualta kuin DHL:n osoitteesta (tässä tapauksessa gmail osoitteesta joka ei ole DHL:n tapa toimia).
2) liite on tulossa Googlen julkiselta palvelimelta, eli EI siis DHL:stä.
3) To me "me@mail.com" ei ole vastaanottajan (sinun tai minun) osoite kuten sen pitäisi olla. Nimesi / osoitteesi ei siis ole oikeasti vastaanottajan tiedossa, vaan sen on lähettänyt typerä robotti joka ei ole osannut asettaa oikeaa e-mailosoitettasi paikoilleen vaan osoite on ryhmäspämmin yleisosoite.

Tuon päiväsakon tarkoitus on saattaa sinut hätääntyneeseen tilaan jossa erehtyisit klikkailemaan viruksen koneellesi. ÄLÄ siis tee mitään muuta kuin heitä e-mail roskiin tai tarkista asia virallisen verkkosivun tai puhelinnumeron kautta jos olet jotain DHL:stä odottamassa.


Se, että kuvat eivät näy e-mailissani johtuu selaimelle antamastani kiellosta.
Tämä e-mail on mennyt suoraan spämmikansioon josta sen ongin tänne varoitukseksi kaikille.

Lisätietoa aiheesta:
https://nakedsecurity.sophos.com/2013/03/20/dhl-delivery-malware/

DHL:n sivuilla oleva varoitus pesee omat kätensä kaikesta vastuusta.
http://www.dhl.fi/fi/lakiasiaa/valppaus_petosten_havaitsemiseksi.html

lauantai 23. tammikuuta 2016

ILMAISOHJELMAT ja NIPUTTETUT kylkiäiset

Kun lataat jonkun ilmaisohjelman, voit varautua, että koneellesi saapuu iso joukko "kylkiäisohjelmia" "niputettuja ohjelmia" joista osa voi olla jopa ns. haittaohjelmia ja vakoiluohjelmia.
Niitä voi kutsua, hyvästä syystä, vaikkapa "roskaohjelmiksi". Jos ei ole ilmaista lounasta, ei ole myöskään ilmaista ohjelmaa.

Jos haluat välttää ylimääräisten ohjelmien asentamisen hyötyohjelman kanssa, sinun pitää olla todella varovainen kun asennat ilmaisohjelmaa, sillä se saattaa tarjoutua asennuksen aikana mm. vaihtamaan aloitussivun ja ensisijaisen hakukoneen. Sillä voi olla myös taipumuksia uudelleenohjata sivujasi selaimen käytön aikana haluamilleen "partnerisivuille".

Voidaksesi estää ylimääräisten ohjelmien asennuksen, sinun pitää aina valita "Edistynyt" tai "Kustomoitu" asennustapa kun asennat ilmaisohjelmia ja asennuksen aikana sinun pitää poistaa ’valinnaiset lataukset’. Jos huomaat, että selaimesi on "ei toivotun" ohjelman muokkaama, sinun kannattaa ladata SpyHunter tai muu hyvämaineinen haittaohjelman poistaja poistamaan muokkauksen aiheuttaja.

Seuraa myös ilmaisohjelmaa ladatessasi tarkkaan, mitä buttonia klikkaat. Usein eniten esillä oleva buttoni ei ole se oikea "download" buttoni. Myös selaimeesi saattaa ilmestyä leijuva POP-UP buttoni joka ei ole sivuston tarkoittama latausbuttoni, vaan sen on hivuttanut sinne rikollisohjelmien valmistaja ja sen kautta saat Troijalaisen hevosen tapaan joukon hyökkääjiä koneellesi..

Muista myös, että ohjelmaa asentaessasi, ohitat oman virustorjuntasi jos annat luvan asentaa myös nuo haittaohjelmat (huomaamattasi) ja sen tulet tekemään jos et ole erityisen tarkkana.
Kaikkia vahingossa ladattuja haittaohjelmia ei saa normaalin poistorutiinin avulla purettua koneelta, vaan ne pitää poistaa erikoisojjelmilla.
Niitä ovat mm.: SpyHunter, Malwarebytes Anti Malware...

Alla kuvakaappaus Malwarebytesin plokkaamasta karantteeniin FileZillan "saastutetun" version asennustiedostosta. Nimi ei paljasta asennustiedoston vaarallisuutta, sen tekee vasta virustarkistusohjelma joka tutkii asennustiedoston sisällön. PUP.Optional.InstallCore "viruksen" haitallisista toiminnoista kerrotaan tarkemmin osoitteessa: http://malwarefixes.com/threats/pup-optional-installcore/