En PC & Nätverksteknikers tankar

Det finns tillfällen då datorn är så infekterad av virus eller spionprogram att Operativsystemet knappt fungerar. Det kan verka som om att installera om allt är det enda alternativet, även om det innebär att förlora alla filer sedan den senaste säkerhetskopieringen. Med F-Secure Rescue CD är du ett steg före och slipper detta.

Nedladdningen är en ISO-fil som skall användas för att skapa en startbar CD. Kopiera filen till en CD fungerar inte, så lite extra programvara krävs. Till exempel Nero Burning ROM, Daemon Tools Pro eller liknande brännarprogram.

När CD-skivan har skapats, sätt den i den första optiska enheten av den smittade datorn och starta om. Datorn ska starta från cd i stället för hårddisken.

Rescue CD'n skannar av hårddiskar och USB-enheter anslutna till datorn, oavsett om de är formaterade med FAT-eller NTFS. All malware filer som hittas blir omdöpt till .virus.

Förteckningen över virusdefinitioner uppdateras automatiskt om den smittade datorn är ansluten till Internet. Annars är det möjligt att ladda ner uppdateringar till ett USB-minne.

På en sund dator skriv in http://download.f-secure.com/latest/fsdbupdate.run i adressfältet i en webbläsare. Spara filen på ett USB-minne nyckel och anslut sedan USB-minnet till den smittade datorn för att uppdatera programvaran. Det är nog bäst att använda ett USB-minne utan några viktiga filer för detta.

Slutligen finns det en PDF-manual ingår i hämtningen med mer information om hur du använder Rescue CD.

Ladda hem skivan från F-Secure

Tamas Feher har upptäckt en sårbarhet i F-Secure's produkter. Sårbarheten orsakas av bristfällig kontroll av arkiv-filer. Vid avsökning av vissa komprimerade arkiv kan en "buffer-overflow" skapas, vilket kan leda till att en angripare får kontroll över det sårbara systemet.

En angripare kan utnyttja sårbarheten genom att specialformatera ett arkiv innehållande kod som triggar sårbarheten

Påverkade versioner:
Klienter:

• F-Secure Internet Security 2008
• F-Secure Internet Security 2007 Second Edition
• F-Secure Internet Security 2007
• F-Secure Internet Security 2006
• F-Secure Anti-Virus 2008
• F-Secure Anti-Virus 2007 Second Edition
• F-Secure Anti-Virus 2007
• F-Secure Anti-Virus 2006
• F-Secure Client Security 7.12 samt tidigare versioner
• F-Secure Anti-Virus for Workstations 7.11 samt tidigare versioner
• F-Secure Linux Security 7.01 samt tidigare versioner
• F-Secure Anti-Virus Linux Client Security 5.54 samt tidigare versioner
• Solutions based on F-Secure Protection Service for Consumers version 8.00 samt tidigare versioner
• Solutions based on F-Secure Protection Service for Business version 3.10 samt tidigare versioner

Servrar:

• F-Secure Home Server Security 2009
• F-Secure Anti-Virus for Windows Servers 8.00 samt tidigare versioner
• F-Secure Anti-Virus for Citrix Servers 7.00 samt tidigare versioner
• F-Secure Linux Security 7.01 samt tidigare versioner
• F-Secure Anti-Virus Linux Server Security 5.54 samt tidigare versioner
• F-Secure Anti-Virus for Linux Servers 4.65

Gateways:

• F-Secure Anti-Virus for Microsoft Exchange 7.10 samt tidigare versioner
• F-Secure Internet Gatekeeper for Windows 6.61 samt tidigare versioner
• F-Secure Internet Gatekeeper for Linux 2.16 samt tidigare versioner
• F-Secure Anti-Virus for Linux Gateways 4.65
• F-Secure Anti-Virus for MIMEsweeper 5.61 samt tidigare versioner
• F-Secure Messaging Security Gateway 5.0.4 samt tidigare versioner F-Secure Internet Security 2008

Källa: F-Secure

1) Ladda hem F-Secure Rescue Disc, packa upp zip filen och bränn den på en CD-skiva.

2) Starta Enhetshanteraren (Task manager) och kontrollera vilka processer som är aktiva. Windows Vista användare måste klicka på "Visa processer för alla användare". Alla processer som inte har någon beskrivning kan vara en trojan eller ett rootkit.

3) Googla filens fullständiga namn för att se om det är en trojan, ett rootkit eller annan typ av malware.

4) Avsluta processen och radera filen (oftast ligger den i C:\WINDOWS\SYSTEM32 ). Kontrollera om du även hittar filen under fliken "tjänster", om du gör det så starta ett kommando fönster (START->KÖR->CMD.EXE). Skriv sedan:
C:\>SC DELETE [filensnamn]
Så avinstalleras tjänsten från datorn, och du slipper att den startas varje gång du startar om datorn.

5) Starta om datorn med F-Secure skivan, vilken har Linux som operativsystem och om du har en nätverksanslutning så kommer den att använda den senaste viruslistan från F-Secure.

6) Genomsök alla hårddiskar och när det är klart så är det bara att starta om datorn.

Många antivirus program kan du ladda hem och testa. De flesta har dock en begränsning mellan 15 till 30 dagar, men några enstaka program är helt gratis.

• Avast Virus Cleaner
  
• Avira AntiVir Removal Tool for Windows
• AVG Antivirus Free Edition 8.0
  
• Bitdefender Free Virus Removal Tools
• CA Anti-Virus r8.1
• F-Secure Malware Removal Tools
• Grisoft AVG Virus Removal Tools
• Kaspersky Internet Security
• McAfee Virus Removal Tools
• Microsoft Malicious Software Removal Tool
  
• Norman Ngenfix
  
• Panda Repair Utilities
  
• Symantec Removal Tools
• Trend Micro Internet Security Pro
  

Kontrollera din dator efter malware online.

• Authentium Free Online Virus Scan
  
• Bitdefender Online Scanner
  
• CA Etrust Antivirus Web Scanner
  
• F-Secure Online Virus Scanner
  
• Kaspersky Online Scanner
  
• McAfee Freescan
  
• Panda Activescan
  
• Trend Micro Housecall
  
• Virus112 Online Virusscan
• Windows Live OneCare

Leta efter spyware

• CA Etrust Pestscan
  
• Panda Activescan
  
• Trend Micro Free Online Spyware Removal Utility
  
• Virus 112 Online Spyware Scanner
  
• Zonelabs Free Zonealarm Spyware Scanner
  

Kontrollera datorns säkerhet online

• GRC Shields Up
  
• Symantec Security Check
  
• Secunia Software Inspector
  
• Testa Datorn

Vistas UAC väcker heta känslor, och många menar att det bara är irriterande och bökigt, men tester nu att UAC faktiskt är bäst, på att hitta och förhindra att rootkits installeras på din dator.

Det är AV-test.org har gjort ett testför att testa hur bra marknadens olika ledande antivirusprogram är på att hitta kända rootkit. Testerna visade att det inte gick särskilt bra alls för de olika antivirusprogrammen, oavsett om de kördes på XP eller Vista. Av de 30 rootkit som användes i testet hittade inget av de sju antivirusprogramen alla 30, och samma hände med de webbaserade varianterna. Bara fyra av de 14 särskilda rootkitverktyg som också testades lyckades hitta alla 30 rootkit.

När det gäller Vista var det svårare att utvärdera eftersom bara 6 av 30 rootkit kunde köras på Vista, och för att ens kunna köra testerna på på de 6 rootkit som gick att installera på Vista fick UAC stängas av - då UAC reagerade på samtliga rootkit innan de ens installerats.

Efter att UAC inaktiverats visade det sig att bara tre av sjutton antivirusprogram - F-secure Anti-Virus 2008, Panda Security Antivirus 2008 och Norton Antivirus 2008 - lyckades både hitta och avinstallera rootkiten.

Källa: IDG News

Online tester för att kolla efter säkerhetsbrister, brandväggar och dyligt:

• SANS Top 20 Internet Security Attacks (Kräver användarupgifter från dig, och kan kontakta dig via telefon)
• Testa Datorn från Post och Telestyrelsen (Kräver inga uppgifter)
• Symantec Security Test (Kräver inga uppgifter)
• OneCare Center (Kräver inga uppgifter)

Några online siter för att genomsöka din dator efter virus:

• Kaspersky
• OneCare Center
• McAfee FreeScan
  
• Symantec Security Test
  
• Trend Micro
• F-Secure

Dessa tester är inte i någon speciell ordning, och om du redan har ett antivirus program, t.ex. Norton antivirus så rekommenderar jag att du provar en annan site för att se om det är ok, exempelvis Kaspersky eller F-Secure. Nästan alla större antivirus leverantörer erbjuder någon form av online scanners, men de är inga som jag personligen rekommenderar.

Ett stort antal av e-postmasken Warezov har postats under de första timmarna på Måndagen. Den laddar ner ytterligare komponenter från en webbsida vid namn ertinmdesachlion.com. Mer info finns på: http://www.f-secure.com/v-descs/warezov.shtml

Tyska AV-Test har bussat tio antivirusprogram mot kända och okända hot. Resultatet mot nya hot var blandat.

Av de tio testade var tre gratisprogram; Avast Home Edition 4.6, Antivir Personal Edition Classic 6.32 och AVG Free Edition 7.1.

Fyra var fristående antivirusprogram som kostar pengar; F-Secure Anti-Virus 2006, Kaspersky Anti-Virus Personal 5.0, McAfee VirusScan 2006 och Bitdefender 9 Standard.

Tre antivirusprogram hade även funktioner mot spionprogram; Panda Titanium 2006 Antivirus + Antispyware och Symantec Norton Antivirus 2006 innehåller skyddet mot spionprogram. Trend Micros PC-cillin Internet Security Suite 2006 är en hel svit. Fjolårets vinnare ZoneAlarm Antivirus var inte med i år. Enligt AV-Test gör dess arkitektur den väldigt långsam att testa.

Först fick alla program smaka på 1518 kända virus. Sen serverades ett zoo med 136 250 bakdörrar, trojanska hästar och bots som samlats in från kunder, honungsfällor och datatidningar.

Efter det testade tyskarna hur ett par generationer gamla versioner av respektive program klarar att hantera nyare hot som kommit efter programmet för att se hur de klarar av att känna igen hot på beteende (heuristik) istället för utseende.

Den fjärde delen bestod i hur bra de olika programmen var på att städa upp efter 110 makrovirus som ställt till ofog med Microsoft Office program.

Den femte delen bestod i att klocka hur snabbt de olika tillverkarna kom ut med definitionsfiler vid 16 virusutbrott under åtta månader under 2005.

Till slut klockades också hur snabbt de olika produkterna klarade en On-demand skanning det vill säga en koll som initierats av att datorn kommit i kontakt med nya filer, inte en beordrad eller schemalagd skanning. Vidare jämfördes hur lätta produkterna var att använda och hur väl deras support fungerade.

Bitdefender kom på första plats, det kom bland de fyra bästa i alla prestandatest och kostar bara 30 dollar. McAfee kom tvåa, Kaspersky trea följd av F-Secure, Symantec, Panda, Antivir, Alwil, Trend Micro, Grisoft och AVG sist.

Alla fick dock minst betyget "Good" och även om de tre gratisprogrammen slutade på sjunde, nionde och tionde plats så är de bättre än att inte ha något skydd alls, skriver PC World.

Den 16 december varnade F-Secure för Trojanen Downloader.Win32.Zlob i kombination med programmet Spyaxe. Zlob är en trojan som installerar olika antispyware i smyg på din dator och sedan varnar dig för spyware.

Trojanen installerar bland annat Spy Trooper, SpyAxe, Security Toolbar med flera, och dessa varnar dig senare för installerade spyware men vägrar att radera dem om du inte köper programmet för $49.50 U.S . Ikonen visas nere vid klockan och ser ut som en varning från Windows.

Trojanen sprids lavinartat och beräknas att infektera ca 2500 datorer i timmen, och den kommer att få många uppföljare tror F-Secure. Symantec har hittat 7 olika versioner på trojanen sedan den första upptäcken den 23 april 2005.
Mer information hittar du på: F-Secure

Alias: Trojan-Downloader.Win32.Zlob, W32/Zlob.CY, Zlob

F-Secures säkerhetsexpert Johan Jarl var förra veckan i Dublin under den 15:e upplagan av den årliga konferensen Virus Bulletin.

Hetaste samtalsämnet? Jo, Rootkits.
- Rootkit blir vanligare och vanligare. De går in på en så låg nivå i operativsystemet att de kan dölja vissa tjänster och registrvärden. Hittills känner jag bara till ett fall i Sverige, men det kan bli ett stort problem i framtiden, säger Johan Jarl.

Virus av typen rootkit döljer sina processer för antivirusprogrammen så att de inte hittas. Tekniken kommer ursprungligen från Unix- och Linuxvärlden. Root betyder där att användaren har administratörsrättigheter. Rootkit-tekniken användes först för att filtrera listningar av filsystemet, med ls-kommandot.

- Nu har metoden överförts till Windowsvärlden för mindre bra syften. Antivirusföretagen jobbar på att hitta lösningar för det här.

Ett annat ökande problem är virus för mobiltelefoner. Förra året var fenomenet i princip okänt. Nu finns 100 olika virus, varav 60 är inriktade på mobiler med Symbian som operativsystem, till exempel Nokiatelefoner. Masken Cabir dök i somras upp i Göteborg och på senare tid har Commwarrior börjat dyka upp i Stockholm.

- Mobila virus blir nog ett stort problem om ytterligare 1-2 år.

Under den 6 Okt började F-Secure få varningar om att en ny version av viruset Sober sprids. Viruset är skrivet i Visual Basic och masken är i sig 113 kb lång i packeterat format.

När masken installeras på datorn visas ett bogus meddelande.

Efter detta meddelande kopierar masken sig till en katalog med namnet ConnectionStatus som filen services.exe och lägger in följande värden i Windows Registret:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
" WinINet" = "%WinDir%\ConnectionStatus\services.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"_WinINet" = "%WinDir%\ConnectionStatus\services.exe"
För utom detta skapar masken nya filer in Windows System katalog, men på grund av en bugg/miss i maskens programmering kan filnamnen vara ren skräptext.

För ett par kvällar sedan kunde CNN:s tittare se hur de vanliga inslagen avbröts för närmast hysteriska virusvarningar. Runt hela USA började datorer med Windows 2000 och tidiga Windows XP-versioner löpa amok och starta om sig själva. Dessa virus har nu börjat infektera datorer i Sverige rapporterar både McAfee och Symantec.

Nu visar det sig att konstruktörerna av maskar och trojanska hästar ofta utnyttjar Microsofts uppdateringar för att skapa sina maskar. Eftersom det dröjer ett tag innan huvuddelen av alla datorer är uppdaterade kan virusskaparna få sina maskar att spridas till en stor mängd datorer. Och de blir farligare och farliga.

Generellt sett är det bra att alla hål kan täppas till så snart som möjligt. Men det är klart att det är en risk med att man går ut med information om ett nytt hål. Det ger virusskapare information som de inte har haft tidigare. Genom att analysera säkerhetsuppdateringen kan de se exakt hur säkerhetshålet ska utnyttjas, säger Joakim von Braun, säkerhetsrådgivare på Symantec.

Mycket handlar om att syftet med angreppen har ändrats. De senaste åren har vi sett att allt fler virusskapare slår sina påsar ihop med ekonomiska brottslingar. Förut var syftet snarare att skapa uppmärksamhet. Nu gör man det för att tjäna pengar. Utpressning mot Internet-baserade företag är också vanligt, där man försöker tvinga dem till att betala en lösensumma för att inte bli utsatta för så kallade DOS-attacker (Denial of Service). Betalar de inte utnyttjar man nätverk med kapade datorer för att få webbservrarna att drunkna under trafik. Och för ett företag som är beroende av sin e-handel är det förstås förödande.

Mängden virus, maskar och trojanska hästar ökar hela tiden. Det dyker upp i snitt en riktigt farlig mask om året. Men den allmänna situationen försämras hela tiden. För tre år sedan upptäckte vi 400 nya maskar på ett halvår. Sista halvåret 2004 upptäckte vi 7 500. Och ökningen fortsätter.Att det blir fler virus, maskar och trojaner att skydda sig mot står alltså klart. Frågan är vad de kan ställa till med. Man kan tänka sig många scenarier. Och många allvarliga tillbud har redan skett. 2004 tog sig en databasmask in i ett amerikanskt kärnkraftverk. Reaktorn var tagen ur drift just då ? i annat fall hade man antagligen varit tvungen att nödstoppa den. Och både kanadensiskt och amerikansk polis har blivit utsatta för attacker som gjort att inte kunnat ta emot larm. Hittills har det inte funnits någon anledning för virusskapare att ställa till med mer skadegörelse än så. Vad terrorister med ett annat syfte kan göra kan man bara spekulera i.

Det bästa man kan göra för att undvika virus är att inhandla ett känt antivirus skydd som Norton Antivirus, McAfee eller F-Secure. Men det är även viktigt att hålla sitt operativsystem välstädat och uppdaterat. Mac har funktionen Programuppdatering, Linux har apt-get eller Yum och Windows har Microsoft Update. Men det hjälper inte mot diverse spyware, adware, modemkapning etc, där måste du ha ett program som är specifikt för detta.

Jag har tidigare berättat om masken ZoTob, som utnyttjar en sårbarhet i plug-and-play-funktionaliteten i Windows. Antivirusföretagen McAfee och F-Secure har nu upptäckt en ny mask som utnyttjar samma lucka. De som inte installerat säkerhetsuppdateringarna från Microsoft kan leva farligt.

Masken, som av F-Secure döpts till IRCBot.es, och McAfee kallar den W32/IRCbot.worm!MS05-039, skapar en IRC-bot, ett slags program som används till IRC (Internet Relay Chat), och möjliggör därigenom fjärrstyrning. IRC-boten öppnar upp en bakdörr till systemet på porten 18067 och kan också försöka sprida sig till andra datorer. Bakdörren kopieras till %SYSTEM% katalogen i Windows med namnet mousebm.exe och beskriver sig själv som att tjänsten "Enables a computer to maintain synchronization with a PS/2 pointing device. Stopping or disabling this service will result in system instability".

När bakdörren nyttjas så ansluter den till antingen esxt.is-a-fag.net eller esxt.legi0n.net, där den går in i kanalen #2p med ett förbestämt löseord. Väl där så går det sedan att fjärrstyra de anslutna datorerna och få dem att göra en rad otyg så som att ladda ned och köra infekterade filer, dela ut filer från hårddisken och delta i olika typer av överbelastningsattacker.

För att skydda dig mot denna typ av attacker bör du besöka MS05-039.