Gå til innhold
  
      
  
  
      
  
  • blogginnlegg
    34
  • kommentarer
    14
  • visninger
    281 674

MSN-virus og annet malware


norbat

1 204 visninger

Mange erfarer/har erfart at de sender ut linker til kontaktene sine og som fører til nedlasting av filer som viser seg å være malware. Andre sender linker til sider der man blir bedt om å skrive inn brukernavn og passord til msn-kontoen sin.

 

Den første typen er malware i ordets rette betydning. Fila som lastes ned og som er en kjørbar fil, er ofte kamuflert som noe annet – gjerne som et bilde. Eller, man blir bedt om å hente ned en bestemt fil slik at man kan se 'multimedia-innholdet'. Slike filer har gjerne navn som flash_install m.fl.

 

Når man kjører fila, så vil det starte en rekke hendelser som leder fram til at pc’n blir en del av et botnet. Slike botnet blir gjerne styrt fra irc, der den som står bak infeksjonen, har tilgang til din pc via de bakdører som vedkommende har opprettet.

 

Den andre typen, som blir kalt phising eller ’lure-fra-deg-informasjon’, er i msn-sammenheng et forsøk på å få tilgang til dine kontakter slik at man kan sende ut reklame etc.

 

Hvis man leser Terms of Use / Privacy Policy på disse sidene, så står det:

 

We may temporarily access your MSN account to do a combination

of the following:

1. Send Instant Messages to your friends promoting this site.

2. Introduce new entertaining sites to your friends via Instant Messages.

 

Fritt oversatt:

Vi vil i ny og ne logge inn på din MSN-konto og gjøre følgende:

1. Send melding via IM til dine venner (les: kontakter) og reklamere for denne siden

2. Introdusere nye underholdende sider til dine venner via IM.

 

Ved å oppgi sitt brukernavn og passord, og klikke Login, har man godtatt dette. Er dette ulovlig? Tja, du får oppgitt hva som skjer før du gjør det. På den måten ønsker de som står bak dette å ha ryggen fri i og med at du selv har godtatt at de kan gjøre det de gjør.

I lenken til phisingsiden, så finner man typisk setninger som

 

“check out these awesome pics from the awesome party LOL”

 

Hvilke bilder, hvilket party? – Dette er bare tull og er ment for å lure fra deg brukeropplysninger. Dette plasserer denne type virksomhet i ulovlig-kategorien.

 

Å spre Malware via MSN, er en enkel og effektiv måte. Får man meldinger fra venner, så senker man ofte iaktsomheten en del og det er først når noen av kontaktene begynner å sende meldinger tilbake og spør om hva du driver på med, at det slår deg at du kanskje har fått ’virus’.

 

 

Så, når man har fått dette på pc eller gitt fra seg brukeropplysningene, hva er veien ut av dette?

 

Phising-aktiviteten stoppes lett ved at man bytter passord på msn-kontoen.

Dette gjør du ved å logge deg inn på login.live.com

 

Msn-virus kan være vanskeligere å bli kvitt. Hovedgrunnen er at disse ormene er ny, og få eller ingen antivirus-programmer er oppdatert for disse. Noen antivirusprogrammer klarer å stoppe eller gi advarsel om ’mistenkelig’ nettaktivitet slik at pc’n ikke blir mer infisert ved at kontakten med irc-serveren blir blokkert. Ved et senere tidspunkt vil antivirusprogarmmet (forhåpentligvis) få oppdatert sine definisjoner slik at man også får fjernet selve infeksjonen. Antivirus-produsentene er avhengige av at noen sender dem prøver på de infiserte filene slik at de kan få analysert dem og ut fra det lage deteksjonsfiler som kan fjerne dem fra pc’n.

 

Har man ikke tid til å vente på at sitt antivirusprogram er oppdatert for infeksjonen, så er det en del ting man kan gjøre selv.

 

1. Prøve noen andre programmer som kanskje klarer å fjerne de fleste infeksjonefilene.

2. Manuell fjerning

3. Få hjelp av noen andre, eks. via et forum

 

 

1. Prøve noen andre programmer som kanskje klarer å fjerne de fleste infeksjonsfilene

Å installere flere antivirusprogrammer, kan gjøre mer skade en nytte, så når man snakker om andre programmer, er det antimalware/antispyware-programmer det siktes til. Disse kommer svært sjelden i konflikt med antivirusløsningen man allerede har og de anbefalte programmene (se under), er ofte svært rask ute med oppdateringer. Begge programmene fås i gratisversjon og er antakelig de to programmene som fungerer best i dagens anti-landskap med tanke på å fjerne malware.

 

Malwarebytes AntiMalware

 

SuperAntiSpyware

 

Om det fortsatt er rusk i maskineriet, så finnes det en del online-skannere fra de kjente antivirusprodusentene. Disse er på ingen måte bedre, men kan være verdt et forsøk. Ulempen med disse er at ved infeksjoner som blokkerer nettforbindelsen både i normal og sikker modus, gjør disse online-skannerne ubrukelige. Tidsbruken på noen av dem er også svært lang.

 

2. Manuell fjerning

Hvis man ikke vet hva man skal lete etter, så er ikke dette spesielt lett. Men, noen holdepunkter har man: Dato og aktuelle plasseringer på systemet.

 

Mapper som er spesielt interessante er System32 og System. I tillegg kan filer opprettet direkte under C: være verdt en titt.

 

Gjør filer og mapper synlige

Åpne Utforsker -> Verktøy->Mappealternativer->Vis

Sett merke framfor ”Vis skjulte filer og mapper”

Fjern merket framfor ”Skjul beskyttede operativsystemfiler” og ”Skjul filetternavn for kjente filtyper”

 

Åpne f.eks. mappa System32, sørg for at visningen er satt til Detaljer. Velg å sortere etter dato ved å klikke på ’Endret dato’ slik at du får nyeste dato øverst. Da får du oversikt over nylig opprettede filer.

 

Filer med tilfeldige tegn eller kjente filnavn som i utg.pkt ikke skal ligge i System32-mappa bør gi en pekepinn på hvilke filer som antakelig hører til infeksjonen.

 

De filene du mistenker, kan sjekkes på Virustotal eller Jotti. Disse to nettstedene sørger for at fila blir sjekket av flere antivirusprogrammer. Problemet er om denne infeksjonen er så ny at ingen av-prog. er oppdatert for dette. Google kan brukes, men om dette er en fil med et tilfeldig navn, vil søkeresultatet oftes være null treff. Dette indikerer imidlertid at denne fila er knyttet til malware.

 

Hvis man er usikker på om man skal slette den eller ikke, så er mitt råd at man endrer filendelsen til fila eks. jghvigg.exe -> jghvigg.exe.vir. Senere kan man igjen sjekke fila på virustotal e.l for å se om det nå blir noen treff.

 

Da noen av disse filene kjører som en prosess (som ikke alltid er synlig i prosesslista), så må en slik filendring forsøkes fra sikker modus (da sjansen for at denne prosessen kjører fra sikker modus er mindre)

 

At en prosess kjører automatisk når pc’n starter opp, betyr gjerne at det er blitt lagt til noen registeroppføringer som gjør dette mulig. Nå skal man være forsiktig med å surre rundt i registeret da feilsletting kan føre til ubehagelige overraskelser.

 

Man kan derfor først sjekke om det ligger noen mistenkelige oppføringer i oppstartfanen i msconfig (start->kjør, skriv: msconfig, velg arkfanen oppstart).

 

Blar man seg nedover lista der, så kan man finne en eller flere oppføringer knyttet til infeksjonen. Ved å fjerne merket framfor oppføringen, kan man forhindre at prosessen starter opp ved neste oppstart av pc’n om man ikke har fått fjernet selve fila.

 

3. Få hjelp av noen andre, eks. via et forum

Har du noen bekjente som har erfaring i filbehandling og registeredit eller i verktøy som kan peke ut infeksjonen, så benytt deg av det.

 

Et forum er også en grei plass å søke hjelp. Det finnes ofte dedikerte supportere som har stor erfaring knyttet til fjerning av malware og som kan lede deg gjennom stegene mot en malwarefri pc.

 

Et forslag / spørsmål som ofte dukker opp er: reinstallering. Dette er en aktuell problemstilling, men sjelden nødvendig.

 

Man bør avslutningsvis, ta en gjennomgang av sine programmer og sørge for at de er oppdatert.

 

Surf trygt! :thumbup:

1 kommentar


Anbefalte kommentarer

Flott gjennomgang! :)

Har allerede hjulpet et par med denne innfeksjonen med MBAM og kjørte også Combofix for sikkerhets skyld. Har funket på de 2-3 pc-ene jeg har prøvd det på.

 

Kjipe greier, synd det ikke er flere som følger "Man skal ALDRI trykke på linker uten å vite om det er bevisst sendt fra avsender". En gyllen regel i ens daglige ferd på internettet. :yes:

Lenke til kommentar
×
×
  • Opprett ny...