Nemzeti Zombitudatossági Hét Ausztráliában

2009. március 19. 14:16 - Csizmazia Darab István [Rambo]

A vicces cím ellenére komoly dologról van szó. A Sophos által kezdeményezett akciónak az az oka, hogy Ausztráliában minden hatodik számítógép már egy botnethálózat tagja.

A kampány legfőbb célja, hogy felhívja a figyelmet erre a káros jelenségre, erősítse a felhasználók biztonság tudatosságát és segítséget nyújtson a fertőzött gépek megtisztításában. Becslések szerint csak a Conficker féreg által megfertőzött, és ezáltal botnetes hálózat tagjává tett számítógépek száma meghaladja a 10 milliót. Egy ilyen megfertőzött számítógép aktívan résztvesz a spamküldésekben, webhelyek elleni DDoS támadásokban anélkül, hogy a tulajdonos szélessávú internetkapcsolatában bármilyen jelet, vagy érdemi lassulást észlelne.

A tapasztalatok szerint nem csak a kisebb vállalatok, vállalkozások számítógépei, hanem a gyors és állandó internetkapcsolatok egyre kedvezőbb árai miatt kifejezetten a magánemberek vannak egyre nagyobb veszélyben. Kellő szakmai ismeretek hiányában, illetve szakértő ismerős, barát, alkalmazott, családtag, stb. hiányában könnyű bekerülni a szórásba.

Egy OECD tanulmány szerint a fertőzött botnetes gépek száma évről évre meredeken emelkedik, a fertőzött weboldalak száma is egyre növekszik. A rosszindulatú webhelyek többsége továbbra is kínai, illetve amerikai szervereken hostolt oldal. Az eseményszervezők reményei szerint most igyekeznek minél többeknek segíteni kikerülni a botnetekből, illetve felvilágosítással és gyakorlati ismeretekkel segíteni a megelőző védekezésben.

22 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr921011466

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

gothmog 2009.03.19. 16:46:48

Conficker? Nem ez az a cucc, ami egy fél évvel ezelőtt kijavított hiba hátán jut be?

MILCSI 2009.03.19. 17:59:25

Ha nincsenek érezhető jelei,akkor honnan tudhatja meg a mezei felhasználó,hogy zombi lett?

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.03.19. 18:22:16

Szia MILCSI!

Nincsenek érezhető jelei egy átlagember számára. De ha van rendes (nem Win) tűzfalad, a logban megtalálod a hálózati aktivitást. Még egyszerűbben is lehet nézni, ha nem futtatsz semmilyen szoftverfrissítést, böngészőt, levelezőklienst, de mégis van hálózati forgalom például a Feladatkezeőben nézve, akkor lehet gyanakodni.

Ha valaki használja a szentháromságot: vírusirtó, kémirtó, kétirányú tűzfal, plusz naprakészre frissít, akkor minimalizálja (nem kizárja, hiszen van nulladik nap, trójai, amikor te magad telepítesz kártevőt, stb.) az esély, hogy zombivá váljon.

adat 2009.03.19. 18:24:11

az a 10 millió valsz ezután is le fogja szarni, h zombi-e a gépe ha nem érez érdemi lassulást.

Skulo · http://politoxi.blog.hu/ 2009.03.19. 18:44:49

10 dolog amiből tudod, hogy zombi lettél:

1. Iszonyatos és legyűrhetetlen vágyat érzel arra, hogy emberi agyat/húst/végtagokat fogyassz.
2. Különös okból vonzódni kezdesz az alulöltözött szőke nőkhöz és fiúkhoz, a fiatal túristákhoz és öreg papokhoz, illetve ezek széttépésére és/vagy elfogyasztására érzel késztetést.
3. Bőröd megfakul, elszürkül és oszlani kezd. Rosszabb esetben végtagjaid, vagy azok részei hiányoznak. Kiesik gödréből a szemed.
4. Borszalmas, elviselhetetlen oszlás szagod lesz.
5. Különböző férfiak és nők (kigyúrtak és általában véve olyan hős kinézetűek) kezdenek téged és a haverjaidat lemészárolni az itt felsorolt tárgyak egyikével:
- láncfűrész
- tűzoltófejsze
- duplacsövű sörétes puska
- egycsövű vadászpuska
- MP5 és ennek változatai
- molotov koktél vagy fáklya
6. Templomba vagy megszentelt földre lépve kellemeltenül érzed magad, legszivesebben elmenekülnél, olyan sikíthatnékod támad.
7. Kellemes, dallamos hangod, torz, érthetetlen mormogássá változik.
8. Csak egy mondtatot vagy képes érthetően kimondani: "Brains! More brains!" (Agyat, még agyat!)
9. A szenteltvíz esetleg viszkető, égető érzést okoz a bőrödön (mármint ami még nem foszlott le), esetleg megéget.
10. Este a fínom, puha ágyikó helyett kriptába, sírokba, vagy egyszerűen csak a föld alá mész aludni.

by
Skulo

]{udarauszkasz 2009.03.19. 19:10:22

hat.. ahogy elnezem, eleg zombi van a buszon, vonaton is....
a zombikor a teveken, radiokon keresztul fertoz, foleg fomusoridoben.
"a monika soban lattam hogy...."
aaarrgh.

]{udarauszkasz 2009.03.19. 19:12:02

Az ilyen zombikor ellen az ellenszer:
kis sikloernyozes, kis zuzos zenevel, vagy epp dallamos nightwishsel megfuszerezve.:)

zsu.zsi 2009.03.19. 23:05:37

Szia Rambo!

Bocs a láma kérdésért, de béna user vagyok. Előbb írtad, hogy a tűzfalnál a logban megtalálható a hálózati aktivitás. A Toolsban (ESS 4) a Log files alatt ki lehet választani a Personal firewall log-ot, erre gondoltál?
Mit jelent az, hogy "Detected DNS cache poisoning attack"??? A Source-nál van egy IP-cím, a Target-nél az én jelenlegi címem, tiszta piros az egész... Mi az az UDP protocol és ezzel ilyenkor mit kell tenni??????

MILCSI 2009.03.20. 10:34:26

Köszi Rambo :-)) a tűzfalam win, a kém Spybot,mert nagyon bevált, a vírusírtót pedig most cseréltem Nod-ot Avast-ra,mert a Nod időnként a legelemibb dolgokat sem találta meg...és megnéztem,nem fut semmi,mikor nem fut semmi :-)))
Sok játékot töltögetek,azért ijedtem meg,ahogy olvastam,hogy nincs jele...

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.03.20. 15:45:40

Szia MILCSI!

A mondatom eredetileg arra utalt, ha valaki semmilyen biztonsági programot nem használ, nincs semmi jele. Ha már használunk, és rendszeresen frissítjük, és jól állítjuk be, akkor megtettünk minden tőlünk telhetőt.

Az Avast váltással kapcsolatban nem lehet, hogy a NOD beállításoknál nem volt minden kiválasztva (kéretlen alkalmazások keresése, veszélyes alkalmazások keresése, kiterjesztett heurisztika használata, stb.)? Ha ezek így állnak, nem nagyon lehet semmilyen "alap" dolog, amit nem észlel. Esetleg megköszönném, ha pár ilyen konkrét állományt elküldenél a MINTAK kukac SICONTACT pont HU címre, megnéznénk közelebbről.

Összefoglalva, szerintem nem neked van félni valód a botnettől, hanem aki nem használ semmit, és ráadásul nem is érdekeli ez az egész.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.03.20. 15:58:54

Szia Zsu.zsi!

Ha használsz tűzfalat, és nézed a logot, abban már csupa olyan dolog van, amit az 1. felismert, 2. beállításoktól függően blokkolt is. Piros színe maximum azért van, hogy a rengeteg sorból kilógjon az érdemi esemény, hiszen néha egymillió kutyaközönséges ICMP, UDP, PING stb. között kell keresni.

A DNS gyorsítótár mérgezés egy már régebbi, ismert támadási forma DNS szerverek ellen, és a te logodban ismétlem, csak egy sikertelen próbálkozási adatcsomagot jelent.

Ha ESS-t használsz, legjobb, ha automatikusra állítod a tűzfal működést, és akkor az a legjobb tudása szerint kérdés nélkül működik - szerintem te tedd ezt!

Vagy válaszható a Szakértő mód is, azonban akkor a felhasználónak kell rendelkeznie a ki- és bemenő adatcsomagokról, szabály alkotásról, ami valóban csak hozzáértőknek ajánlott. Ilyenkor minden szabályozatlan adatforgalomnál ablak jön fel, és dönteni kell. Ha valóban érdekel, mi az UDP, TCP/IP, meg lehet találni leírásokat, doksikat, könyveket a Google segítségével, de aki nem szakember, nem érdekli behatóan, annak nincs szüksége ezek beható ismeretére, az internetezés akkor is működik.

dJw_ · http://rendszergazdak.blog.hu 2009.03.21. 20:16:14

Nagy bolodnság lenne kötelezővé tenni a virusirtó / antispyware szoftverek vásárlását számítógépek vásárlásakor? Legalább cégeknél...

zsu.zsi 2009.03.21. 23:47:41

Szia Rambo,

ha ezek már blokkolt dolgok, akkor jó, csak hirtelen megijedtem, mert gyakran ismétlődtek és nem tudtam, hogy mik ezek.

Megnéztem a tűzfal beállítását, automatikuson van most is, úgyhogy nem bántottam :-)

Közben utánaolvastam a gyorsítótár mérgezésnek + protokollhierarchiának, nem mondom, hogy profi lettem, de egy fokkal már jobb a helyzet... a protokollhierarchiákat még majd olvasgatom kicsit... :-)

Ha valakinek mobil internet elérése van, akkor a DNS szerver a Voda/Pannon tulajdonában van? Csak azért kérdem, mert ha ez már régen ismert támadási forma, akkor a mezei felhasználó szólhat-e / van-e értelme, ha szól a szolgáltatónak, hogy gáz van a szerverükkel, csináljanak valamit?

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.03.23. 11:58:52

Bárki szólhat, figyelmeztethet. Aztán, hogy valóban az ő gépükkel van-e bármi, illetve csinálnak-e valamit, az már egy másik kérdés.

zsu.zsi 2009.03.23. 21:29:37

Ezek az adatcsomagok, amiket észlel a tűzfal az internet szolgáltatóm DNS szerverétől jönnek, vagy ilyenkor valaki találomra bombázza az IP címeket?

Csak azért nem értem, mert ha ez egy DNS szerverek elleni támadási forma, akkor elvileg nem akadhatna fent egy adatcsomag sem a tűzfalon, hiszen az internet szolgáltatóm be tud jönni a gépemre...

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.03.24. 09:23:09

Szia Zsu.zsi!

Az internetszolgáltató nem szűrögeti csak úgy önhatalmúlag a forgalmat, hanem van nekik egy jól bevált beállításuk. Általában ebben, mivel a DNS-nél vannak visszajövő UDP csomagok, ezeket a normál működés érdekében engedélyezni szokták - legalábbis a szervereken.

Amit te tehetsz a saját biztonságod érdekében az az, hogy MINDIG te állítód be kézzel azt a két megadott DNS szervert, amit a szolgáltatód ad meg, és nem hagyod, hogy a kapcsolat automatikusan maga adjon, ajanljon fel DNS szervert. Ezzel éredt el, hogy csak ebből a tartományból fogadj el UDP csomagokat. Ezt mg GPRS kapcsolatnál is érdemes megtenni. Ha ez meg van, akkor fütyülhetsz a logbeli hárított - ilyen jellegű - bejegyzésekre.

Plusz érdemes Firefox böngészőt használni, ehhez pedig a SHOWIP és a NETCRAFTTOOLBAR kiegészítőket telepíteni, mert akkor azonnal látszik az is, valóban azon a weboldalon vagy-e, amire menni akartál.

zsu.zsi 2009.03.25. 01:41:58

Szia Rambo!

Köszönöm a segítséget :-)
Megkérdeztem a szolgáltatótól a két DNS címet, szerencsére megírták az e-mailben azt is, hogy hogyan kell beállítani, úgyhogy sikerült :-)

Firefoxot letöltöttem, a két kiegészítőt is sikerült telepíteni, mégegyszer köszi :-)

Te be tudsz jelentkezni ide a blog.hu-ra akkor is, ha a Firefox-ot használod? Valami miatt nem enged be, csak Explorerrel. Próbáltam a javascript engedélyezést és a sütik törlését, de egyik sem használt :-(

MILCSI 2009.03.31. 08:48:15

Mindig automatikusan küldte a jelentést a Nod,mert félbamba felhasználó módjára az is ki volt pipálva :-)) hogy az általad írt címre ment-e,azt viszont nem tudom ...így,utólag már semmit nem tudok küldeni,mert teljes eltávolítást végeztem,nem csak kikapcsoltam,úgyhogy semmi nincs a gépen,ami Nod...legalábbis általam fellelhető formában :-)) a heurisztika és a veszélyes-kéretlen alkalmazás is minden keresésnél ment,mert annyi önkritikám azért van,hogy rendszeres segítséget kérjek a szomszédom fiától,aki a debreceni egyetemen végzős számteches...és ő halál türelmesen minden ilyesmit "megtanít" nekem...ezért vagyok csak félbamba (ami szerintem a legrosszabb kombináció :-PP)
De hogy tiszta legyen,mit értek alap dolgok alatt: már nem tudtam rendesen levelet írni egy online böngészős stratégiai játékban,mert hiába ütöttem le egyesével,nagyon figyelve minden billentyűt,a betűk fele hiányzott a levélből...olyannyira,hogy amikor először fordult elő,akkor billentyűzetet akartam cserélni,hogy biztosan tele van macskaszőrrel és elromlott :-)) akkor sem talált semmit,de tényleg semmit a Nod,bár előtte egy évig teljesen elégedett voltam vele...akkor hirtelen ötlettől vezérelve spyware Terminatorral írtottam az írtanivalót...aztán egyéb okok miatt új XP került a gépre ( az egyéb ok természetesen a kísérletező kedvem volt,ami idegösszeomlást okozott a gépnek :-S) és újra Nod,ami kb. 2hónap után újra elkezdett semmit sem találni...és amikor újra jött a nem tudok levelet írni című történet,akkor már "rutinosan" eltávolítottam a Nod-ot,kerestem egy Terminatort,de nem találtam és úgy jött az Avast,ami éppen egy másik nagy híroldal 5. helyezettje volt a letöltési listájukon..majdnem egy órát dolgozott a telepítés után és tizenegynéhány találata volt,ami nem sok,de utána és azóta sincs semmi gondom...
És most kezdheted tépni a hajad,mert egy hozzánemértő felhasználó,hozzánemértő leírása következik :-)) egy olyan trójai is volt a találatok köz,ami meghülyítette a routert,így az egyik gépen volt net,a másikon egyáltalán semmi (csak akkor,ha kiiktattam a routert) valami elérési utat változtatott meg,amit nem is tudtunk visszaállítani,mert mindig visszaírta magát...ja és a "szokásos" feldobált warning kezdetű abalakok,amik idegen "vírusírtót" ajánlgattak...és erre nem jelzett semmit a Nod...az Avasttal minden mindegy,mert úgyis megint XP-csere lesz alapon nekiugrottam és bátor birka módjára szerencsém lett és azóta is száguld a gép (kivéve indításkor,mert akkor míg mindent leellenőriz a maga szája íze szerint,addig nyugodtan levihetem a szemetet :-))

MILCSI 2009.03.31. 08:50:32

Milyen szép hosszút írtam és a Szia Rambo és a köszönöm,hogy ilyen türelmes vagy mégis kimaradt belőle :-))) pedig relatíve jólnevelt vagyok...

MILCSI 2009.03.31. 17:46:15

Ja és a lényeg is lemaradt...tisztában vagyok vele,hogy a Nod nyer minden "versenyt", mert -a hozzánemértésem ellenére vagy éppen azért- mindent elovasok a vírusokról és a vírusírtókról...de valamiért nálam nem vált be...
Méregdrága LG,samsung és Panasosnic tv-im haltak meg pár napon belül...egy török összeszerelésű Comtec (nem röhög) tv pedig 7,azaz hét éve szolgál rendületlenül :-)) úgyhogy biztosan taszítom a jó márkákat :-)))

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.04.02. 10:24:38

Szia MILCSI!

Szerintem nem csináltál rosszul semmit, és az én véleményem az, hogy számítógépesen, de a sportban is, mindig mi magunk vagyunk a mérce. Ha saját magunkhoz képest tudunk javulni, fejlődni, akkor az nagyszerű, bárki is kapja a Nobel díjat, bármennyi is a világrekord.

Van egy jó kis diagnosztikai eszköze az ESET-nek, ez a System Inspector. Ez a 4-esben már benne van, de ha régebbi NOD32-öt használsz, akkor a weblapról tudot az SI-t letölteni. Ha valamilyen rendellenességet tapasztalsz a jövőben - például abnormális lassulás, idiótikus billentyűzet működés, akkor futtass egy System Inspector riportot, es küldd be a supportos srácoknak. Jó eséllyel azonnal megmondják, mi lehet a gond, és biztosan segítenek azt rendbetenni.

MILCSI 2009.04.05. 21:06:50

:-))) idiotikus billentyűzetműködés...ez nagyon jó :-)))

Nem tudom,kedves Rambo,hogy milyet használok(tam),mert bevallom őszintén,hogy a 30 napos próbaváltozatokat szoktam volt letölteni...remélem,nem jár érte verés :-))