» »

Odkrili velik krog kradljivcev identitet

Odkrili velik krog kradljivcev identitet

PC World - Med preučevanjem različice precej razširjenega in tudi nevarnega ugrabitelja brskalnika (browser hijack), ki sliši na ime CoolWebSearch, so strokovnjaki podjetja Sunbelt Software slučajno odkrili veliko krajo identitet, pri kateri so zlobni osebki uporabili to orodje.

Tako ta različica programa spremeni računalo v spemerski pripomoček, še hujše pa je dejstvo, da poleg tega pošlje na server, ki je po prvih podatkih lociran v ZDA, kup osebnih podatkov in datotek, med katerimi so se znašli osebni podatki za uporabo na E-Bayu, načrte neke družine za počitnice in kup osebnih gesel, uporabniških imen, telefonskih številk... Celotno zgodbo si lahko preberete na spletni strani Pc World, obenem pa tistim, ki tega še niste storili priporočam branje članka Nadloge interneta - Spyware, ki vsebuje veliko informacij na temo zaščite pred takšnimi dogodki.

35 komentarjev

poweroff ::

Saj nimamo nič za skrivat, ane? >:D :D
sudo poweroff

PersonaRudis ::

:D , jaz pa mam ta CoolWebSearch že en lep čas...:D

Markoff ::

Tudi jaz sem ga fasal pred nekaj meseci - noben CoolWebSearch Super Dooper Remover Tool Kit ni funkcioniral - restore je bila edina rešitev. Na srečo pa:
1. nisem čakal pol leta na restore, ampak 2 dni
2. nimam nobenih gesel v nobenem filetu in nikjer nastavljen autosave password

Nasvet poleg točk 1 in 2: izogibajte se XXX site-om. >:D Ali pa surfajte za proxyjem z zanesljivo AV in antispyware zaščito (v firmi ;( ).

BTW: pri takem spywareu ne pomaga noben lokalni FW, AV, antispyware. Morda pogojno Firefox (čeprav tudi ta faše spywarea da verjet ne moreš, testiral IE in FF na istih 5 'sumljivih' siteih!) glede ugrabljanja (hijacking), to je pa tudi vse.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

MrStein ::

"pri takem spywareu ne pomaga noben lokalni FW, AV, antispyware"

Kaj pa lokalni linux ? :))
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

dulkocar ::

Sicer za ta spyware specifično ne vem, če je odstranljiv, ampak hudo močno orodje je HijackThis ...

Nerdor ::

Linux, people, Linux! Windowsi niso vredni vaših težav s tem spyware-om :|
... for lifetime!

SeTAr ::

Markoff kaj lahko daš linke do tistih 5 sumljivih strani, iz katerih ti s firefoxom inštalira spyware?

G-man ::

Dva dni nazaj sem skušal instalirati WinXP, cel božji dan. Bil sem namreč tako naiven, da sem pustil kabel od mrežne not kar med instalacijo (in potem, ko sem določil ip-je idr.). Sem mislil, da bom imel dovolj časa za instalirat še FW in AV. Aja, qrac! Ponavadi mi po dveh minutah ali treh max ni več delala tipkovnica in gumb reset je bil edina opcija. Rekord pa je bil, ko sem prvič prišel v OS in me je zraven urce že pozdravil 108 Assistant Search. Meni je samo padla čeljust dol.:\

Moj osebni računalnik bo z Linuxi gor, foter kar naj ima to WinXp-maggotbag.

Damjan Jagar ::

Sicer za ta spyware specifično ne vem, če je odstranljiv, ampak hudo močno orodje je HijackThis ...

Meni je pred meseci v kombinaciji z še enim toolom pomagal pri omenjeni nadlogi.
http://jagar.si

mHook ::

G-man: predvidevam, da so bili ti XPji prez SP2 - malo pozno se je MS spomnil

G-man ::

Jap, :) , XP2 sem moral še naložit gor. Sam raj ne bi. Pred XP-ji je čist sistem potreboval 77 MB RAM, potem pa je kar skoraj do 200 skočil :\ Bo treba še en 512 piškot kupit.

Pa še 4x dlje se Win nalaga :\

Zgodovina sprememb…

  • spremenil: G-man ()

Markoff ::

Setar: to sem poskusil pred ca. 3-4 meseci, ko sem si instaliral firefox, težko rečem. Šel sem na google, dal string xxx in šel na prvih pet linkov. Adaware je odkril več spywarea, ko sem uporabil firefox, kot pa IE (najprej sem poskusil z IE, nato s Firefox, tako da ni možno, da bi pri Firefoxu ostalo še kaj prejšnjega spywarea, ki sem ga takoj pred testiranjem tudi zagnal). BTW: firefox je strašansko bolj požrešen kot IE do zagona 4 oken. Ko sem zagnal več kot 4, se je situacija začela obračati, ampak v praksi redko uporabljam več kot 4 okna hkrati.

G-man: WTF?!? Ne vem, kaj ti počneš pri instalaciji, ampak vrstni red XP, SP2 (ali skupaj), patchanje, AV, adaware/spybot = 0 viruses, 0 spyware.

Meni dol visi Linux/Win, važno, da deluje tisto, kar potrebujem - trenutno pa je to vse, vključno z igrami. Ko bi Linux znal delati VSE (ne mi ga srat s tremi novimi igrami, ki pridejo ven 0,5-1 leto po Win verziji), bi ga pač uporabljal. Zakaj se greste nekateri sveto vojno proti enemu ali drugemu...osebno sem to že davno prerastel, ko sem prebolel smrt Amige (in šaltal na Wintel). Slava ji (ne pa tole Linux/Win bezveznjaštvo...)! :'(
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

poweroff ::

Jap, odvisno zakaj OS uporabljaš, ali za igračkanje, se pravi igranje iger, ali pa za resno delo. Ja, ja...:D

Pri resnem delu si kraje identitete ne moreš privoščiti. Čedalje težje...
sudo poweroff

Pyr0Beast ::

Zakaj pa ne uporablate nlite pa mate že vse ob inštalaciji zrihtano +integracija/odstrajevanje gonilnikov, pa tko pride xp +sp1 +sp2 +driverji = ~400M
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

_Sajmon_ ::

No, jaz bi ful rad videl kako stran (link prosim!), preko katere bi se okužil brez da bi karkoli klknil oz. dovolil kako namestitev - ne trdim, da ni možno. Imam pa XP SP2, pa vgrajeni firewall aktiviran, pa avast antivirus, pa za surfanje uporabljam Mozillo.

Po občutku bi rekel, da je možnost, da se okužim, v tem, da avast spusti kako zlonamerno kodo. Se mi je že dogajalo (sej poznate www.astalavista.com), da mi je avast čivkal za neke classe od jave, da so okuženi...

Aja, za brisanje spaja uporabljam Spyware Doctor. Ni zastonj, ampak enkrat sem ga probal pri kolegu, ki je imel tako brezupno situacijo glede okužb, da je bila groza. Tisti "doctor" je naredil temeljito čistko, da sem samo gledal. Program sem potem kar kupil. Sem sicer pred časom uporabljal Adaware, ampak ko se mi je enkrat na win2000 zgodilo, da mi je zaradi (adawaretove) odstranitve enega programa nehal delat internet, sem kar mal alergičen nanj.

Luke ::

Cool Web Search ustvari v mapi docs&settings/user/application data mapo (imena se ne spomnem), v kateri so potem štiri exe datoteke, tiste je potrebno pobrisat, potem, pa se še iz local settings istega userja v tempu se mi zdi pobriše ena exe datoteka, tudi čudnega imena, vendar je ponavadi v uporabi, zato zato poskusite ugotovit, kateri proces jo uporablja, al pa z varnim zagonom it not in jo pobrisat.
lp
May the Force be with you!

Markoff ::

Matthai: tudi za to ga uporabljam, ampak brez iger ne gre. :8) Ne mislim pa imeti dual boot ali virtualnih mašin (to zadnje predvsem zaradi premalo diskovnega prostora, da bi ga tako stran metal).

Sajmon: pojdi na google, pojdi na prvih 5 xxx site-ov in klikaj kot nor na linke, pa ne mislim na download, ampak "običajne" html, php, asp linke. Me zanima, kaj ti bo adaware/spybot našel. :\

Luka: še več kot to, zasidra se ti v registry (iz katerega požene določen exe) in vseh entryjev ne najde niti CoolWebSearch remover, ker CWS Zlonamerneži redno posodabljajo (kot AV proizvajalci svoje baze). Kakorkoli že, ključen je registry, vendar mi ga ni uspelo sčistiti, pa sem brisal vse entry-je, ki so jih svetovali na remover straneh plus entryje, ki so bili zelo sumljivi in najverjetneje povezani s CWS. Pomagal ni niti registry monitor niti file monitor...da sploh ne omenim, da sem preizkusil nekaj različnih CWS remover toolov, ki naj bi bili oh-in-sploh.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

_Sajmon_ ::

Markoff, ne vem sicer, ali ima kaj veze z CWS-jem, ampak morda se splača pogledat RootkitRevealer http://www.sysinternals.com/utilities/rootkitrevealer.html. Rootkit je tehnika, kako skriješ datoteke, registry vnose, ipd pred anti(virus/spy) programi. V bistvu gre pa za to, da ko recimo antivirusni program zahteva vsebino direktorija, dobi vse datoteke razen tistih ki so zlonamerne. To pa je možno zato, poenostavljeno rečeno, ker je nek program prevzel nadzor nad sistemskimi funkcijami. Obstajalo legalni, nenevarni programi, ki to počnejo, recimo taki za navidezne cd rome (npr. Daemon Tools).

Glede okužb pa bom probal po tvojih namigih...

BigWhale ::

> Matthai: tudi za to ga uporabljam, ampak brez iger ne gre.

Nekak tko, kot kisik, a ne? :P

Markoff ::

Sajmon: za vsak slučaj to poskusi iz kakšne virtualne mašine, da me ne boš potem česa obtoževal. :| Sicer je eden od najboljših metod zaščite prijava na OS s pravicami navadnega uporabnika, samo potem si omejen pri instalacijah, konfiguraciji, sistemskih nastavitvah in se moraš prelogirat na admina...meni pa se ne da. :8)
Hvala sicer za link, samo je zdaj malo prepozno.

BigWhale: exactemundo! :D
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

Luke ::

@Markoff, že res, da vnosi v registru ostanejo, sam on kliče tiste datoteke, če pa jih pobrišše, nima pa več koga klicat, pa je mir, verjemi. Sem že na več mašinah tak naredu, sam mal več časa vzame.
lp
May the Force be with you!

G-man ::

G-man: WTF?!? Ne vem, kaj ti počneš pri instalaciji, ampak vrstni red XP, SP2 (ali skupaj), patchanje, AV, adaware/spybot = 0 viruses, 0 spyware.


Ne, ne bo držalo. Jaz sem dobil viruse in spyware, preden sem sploh mogel naložiti SP2! A si sploh prečital? 10 sekund in že je bil računalnik paf!

Zgodovina sprememb…

  • spremenil: G-man ()

Markoff ::

Luke: se strinjam. Problem je najti vse .exe, ki jih CWS doda - večinoma jih skrije pod notepad.exe ipd., ki jih moraš z Win install CDja ponovno posneti, če jih želiš rešiti. V registryju najti, na katere .exe kažejo CWS entryji, pa je skoraj nemogoče, saj ne veš, kateri entryji so CWSjevi...

G-man: sem prebral, pa mi ni jasno, kako se lahko to zgodi, saj XPji razen na MS update in do kakšnega DNS strežnika ne komunicirajo kaj dosti z internetom. Govorimo o clean install seveda. Jaz sem clean instaliral navadne XP in nato SP2, pa nisem imel nobenih problemov.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

MrStein ::

"sem prebral, pa mi ni jasno, kako se lahko to zgodi"

A za Blaster&co še nisi slišal ?
No ja, zdaj si.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

_Sajmon_ ::

G-Man: če prav razumem, si namestil XP-je, skonfiguriral mrežo in torej omogočil XPjem, da so prišli do interneta, šele potem si skušal SP2 dat gor, AV in ostalo. Nič čudnega potem, da so se okna okužila. Zakaj pa nisi interneta skonfiguriral šele po namestitvi sp2 in antivirusnega programa?

Markoff ::

G. Štajn: v okuženem omrežju ja. Glede na to, da so outbreaki danes že bolj redki, je verjetnost, da te bo naključno naciljal črv preko interneta direktno na IP v prvih 20 minutah startane nepopatchane mašine, precej majhna. Naključne okužbe (kot v tem scenariju) so ZELO redke, bolj običajne pa okužbe dlje časa nezaščitenih mašin.

Razloži mi prosim, kam na net se XPji po bootu prijavljajo sami od sebe, da je tvoj IP dostopen komerkoli, ki bi ga hotel najti? Če torej bootaš XPje, ne startaš NOBENE povezave na net, nisi v nobenem (okuženem) LANu in izključno patchaš mašino in AV definicije, potem je verjetnost naključnega napada v tej prvi uri strašansko majhna. Če pa govorimo o globalnem outbreaku, potem pa ti verjetno nobena zaščita ne pomaga, zato pa pride do globalnega otubreaka. :|
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

MrStein ::

"v okuženem omrežju ja"
Internet je okuženo omrežje.

Kak pa downloadaš zadnje patch-e, če nisi na internetu ?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Azrael ::

Skoraj prepričan sem, da je G-man imel comp priklopljen na kabelskega ISPja, ker je o enakem problemu pred časom pisal tudi uporabnik linuxdaddy. Ena nezaščitena in okužena mašina hitro okuži vse nezaščitene mašine v svojem IP območju.

Edina rešitev je dober router s poštimanimi nastavitvami FW.

O novici pa: dokler bo toliko uporabnikov, ki naravnost obožujejo spyware (Rabim 1000 in 1 search, precision time, date, Gatorja...), bodo lumpi lepo živeli.
Nekoč je bil Slo-tech.

Daedalus ::

G. Štajn: v okuženem omrežju ja. Glede na to, da so outbreaki danes že bolj redki, je verjetnost, da te bo naključno naciljal črv preko interneta direktno na IP v prvih 20 minutah startane nepopatchane mašine, precej majhna. Naključne okužbe (kot v tem scenariju) so ZELO redke, bolj običajne pa okužbe dlje časa nezaščitenih mašin.

Če se ne motim, je življenjska doba računala z winXP brez firewalla in SP2 ene 20 minut max., če je nezaščiten priklopljen na internet. Tako da je verjetnost okužbe zelo velika od začetka, ne pa majhna. Že dosti povejo logi blokiranih vhodnih povezav na firewallu, ki so posledice port scanov črvov. Tako da takele naključne okužbe niso nič redkega, ker je nesnage ogromno.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

G-man ::

Firewall na routerju (ADSL) puščen na default.

Zakaj pa nisi interneta skonfiguriral šele po namestitvi sp2 in antivirusnega programa?


In od kje naj potem naložim SP2 :\ :\ :\ Sej zdej ni panike sem že vse uštimal da je prav.

fiore ::

malo pozno ampak:

markoff:
BTW: firefox je strašansko bolj požrešen kot IE do zagona 4 oken. Ko sem zagnal več kot 4, se je situacija začela obračati, ampak v praksi redko uporabljam več kot 4 okna hkrati.


firefox ima tabe. nauci se jih uporabljat.
(middle click na link, ce slucajno ne ves)

poweroff ::

Deadalus: Če se ne motim, je življenjska doba računala z winXP brez firewalla in SP2 ene 20 minut max., če je nezaščiten priklopljen na internet.

Motiš se. Zdaj je že pod 17 minut. >:D :D
sudo poweroff

_Sajmon_ ::

Markoff, sem poskusil po tvojem namigu. Kake pol ure sem se potrudil klikat, pa na koncu sem bil čist razočaran, ker mi antispy (adaware, spyware doctor) nista nič našla (ok, piškotke zanemarimo)... Konfiguracija? Win XP SP2 s praktično vsemi peči, firewall od MSja, avast antivirus, mozilla 1.7.5 browser. Prijavljen sem bil kot administrator. Edino, kar sem zavrnil, je bil download nekega wmv-ja.

No, pričakoval sem vsaj kak virus v class datoteki ali kaj podobnega. To se mi je že dogajalo, če sem kaj iskal preko www.astalavista.com strani. Verjetno bi bil rezultat drugačen, če bi uporabljal IE. Odkar imam računalnik, sem mi je namestil samo en virus in to tisti, ki je izkoriščal luknjo v XP SP1, da lahko remote zažene poljuben program. Nisem še imel nameščenega popravka...

Jaz trdim, da je možnost okužbe z virusi ali spy programčiči za izkušenega uporabnika zelo malo verjetna. Pogoj (a ne zadosten!) je, da je sistem ustrezno popečan, da je nameščen sproti posodobljeni antivirusni program (ki naj bi tudi preverjal promet iz interneta) in zelo koristno tudi, da se uporablja kak drug browser namesto IE. Koristno je tudi, da uporabnik ni administrator. Varnost je potem tudi odvisna od izkušenosti uporabnika: da ne klika na yes na vprašanja o namestitvah raznih programov (celo "no" ni zdravo kliknit - raje na "x" zapreš okno), da ne nameščaš čudnih poskusnih programov, ohranjevalnikov zaslona, klikaš na neznane priponke... Za okužbo sistema je potreben zagon okužene kode, direktno (dvojni klik na exe) ali indirektno (izkoriščanje luknje npr. v IE-ju ali XP-jih).

Torej kaka je realna možna pot do okužbe:
- luknja v IE ali XP ali kakem drugem programu, ki še ni najdena ali je nismo zakrpali - brez naše vednosti se zlonamerna koda namesti - morda bi tu kak kvaliteten antivirusni pomagal (hevristično skeniranje),
- nov virus, ki ga naš antivirusni še ne najde,
- nepazljivo nameščanje čudnih programov,
- verjetno sem kaj pozabil (hm, kaj pa kaki odpri porti, razni shareti...).

Ma če povzamem: neizkušen (povprečen???) uporabnik je res ranljiv, priznam, vendar če ima ustrezen pametno skonfiguriran sistem in da je podučen, na kaj mora pazit, potem lahko mirno spi. Sploh če srfa po normalnih straneh.

Vse to pisanje velja za MS oper. sisteme. Najbolj varen pa si itak pod linuxom...

para! ::

A je kdo dejansko tako naiven, da bo slepo trdil, da za Firefox pa spyware ne obstaja? :)

Hehe, smešni ste, nekateri.

lp
Death before dishonor!

_Sajmon_ ::

Spyware za firefox? Verjetno si para! mislil na kake dodatke za ta browser. Poznaš kak primer, kako spletno stran, kjer se okužiš, brez da bi dal privolitev za to? Ne trdim pa, da to ne obstaja. Lahko pa se z menoj strinjaš, da je IE bistveno bolj občutljiv na tak zlonamerni software, ki se napopa nanj.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

ZDA za vdor v Yahoo obtožujejo zaposlena v ruski FSB

Oddelek: Novice / Varnost
123271 (2594) konspirator
»

Android - luknja v varnosti?

Oddelek: Mobilne tehnologije
51857 (1691) gslo
»

MPAA nastavlja limanice

Oddelek: Novice / Zasebnost
194923 (2984) edge540
»

Nova članka

Oddelek: Novice / Nova vsebina
413863 (2474) BaRtMaN
»

Nadloge interneta - spyware

Oddelek: Programska oprema
171888 (1727) darkolord

Več podobnih tem