CERT-FI on tutkinut yhden version uudesta kiristyshaittaohjelmasta

CERT-FI haluaa kiittää kaikki niitä, jotka ovat ilmoittaneet kiristyshaittaohjelmaan liittyvät havaintonsa. Ilmoitusten perusteella olemme onnistuneet saamaan käsiimme yhden uuden version haittaohjelmasta. Asiantuntijoitamme onnisti tällä kertaa ulkomaalaisilla aikuisviihdesivuilla.

Kyseinen aikuisviihdesivu ei itsessään jakanut haittaohjelmaa, vaan haittaohjelma asentui koneelle ponnahdusikkunaan avautuneen mainoksen kautta. Kyseinen mainos olisi voinut tulla miltä tahansa sivulta, jolla näytetään kolmannen osapuolen toimittamia mainoksia. Selailimme aikuisviihdesivuja Firefox-selaimen uusinta versiota käyttäen. Heikko kohta tässä kyseisessä tapauksessa ei ollutkaan www-selain vaan koneelle asennettu vanha Java-ajoympäristö. Ponnahdusikkuna käytti ajoympäristön haavoittuvuutta hyväksi, latasi koneelle kiristyshaittaohjelman, käynnisti sen ja lukitsi koneen.

Vanha Java-ajoympäristö on jo jonkin aikaa ollut tietokoneen haavoittuvimpia osia. CERT-FI suosittelee joko poistamaan Java-ajoympäristön tietokoneelta kokonaan tai pitämään huolen siitä, että käytössä on ajoympäristön viimeisin versio.

CERT-FI:n tutkimassa versiossa kiristysviesti oli kirjoitettu huonolla suomen kielellä. Viestin oikeassa yläkulmassa näkyi ruutu, jonka vieressä oli teksti: Videotallennus ON. Mikäli tietokoneeseen oli asennettu web-kamera, ilmestyi kameran kuva ruutuun. Web-kameran käyttö viestissä lienee pelkkä pelottelukeino.

Koneen mentyä haittaohjelman toimesta lukkoon ainoa toimiva näppäinyhdistelmä näyttäisi olevan Control-Alt-Delete. Avautuvan valikon kautta voi kirjautua ulos, jolloin haittaohjelma sulkeutuu ja lukitus tilapäisesti vapautuu. Tämä jälkeen kannattaa katkaista verkkoyhteys joko irrottamalla verkkokaapeli, sammuttamalla langaton verkkokortti tai poistamalla mokkula. Verkkoyhteyden katkettua haittaohjelma tyytyy käynnistymään taustalle lukitsematta konetta. Haittaohjelma on käyttäjäkohtainen, joten koneelle voidaan ongelmitta kirjautua sisään myös toisella käyttäjätunnuksella. Tällöin myös verkkoyhteys voi olla auki.

CERT-FI tutkima kiristyshaittaohjelma asentui käyttäjän tilapäiskansioon. Tilapäiskansioon on helpointa siirtyä avaamalla Internet Explorer ja kirjoittamalla osoiteriville %TEMP%. Avautuvassa hakemistossa voi olla useampia tiedostoja. Tiedostojen aikaleimojen avulla voi yrittää päätellä, mikä tiedosto kuuluu haittaohjelmalle. Meidän tapauksessamme haittaohjelma lymyili tiedostossa, jonka nimi oli er_00_0_l.exe. Tilapäiskansion tiedostot eivät ole oleellisia itse käyttöjärjestelmän toiminnan kannalta, joten kansion tiedostoja voi suhteellisen turvallisesti poistaa. Koska haittaohjelma on käynnissä, tiedoston poisto ei välttämättä kuitenkaan onnistu. Tällöin voi kokeilla tiedoston nimeämistä uudelleen.

Poiston tai uudelleen nimeämisen jälkeen voi kirjautua ulos ja takaisin sisään. Mikäli näyttöön avautuu alla olevan kuvan mukainen RUNDLL-virheilmoitus, voidaan olla varmoja siitä, että kyseessä oli oikea tiedosto. Tämän jälkeen tiedoston voi käydä poistamassa lopullisesti tilapäiskansiosta. Mikäli vielä haluaa eroon RUNDLL-virheilmoituksesta, tulee haittaohjelman luoma oikopolku poistaa käynnistysvalikoista. Meidän tapauksessamme oikopolku oli nimeltään cftmon.lnk.

Tutkimamme haittaohjelman MD5-tarkistusumma oli 80a2801a3ccb430065e62076ed298884 ja tiedostokoko 233632 tavua. Ponnahdusikkunan kautta tullut Java-ohjelmapätkä hyödynsi haavoittuvuutta jonka CVE-tunniste on CVE-2012-0507.

Yllä on näkyvillä root-nimisen käyttäjän tilapäiskansio. Kansion tuorein tiedosto on haittaohjelma, joka on nimetty uudelleen xxx-päätteellä. Kuvassa näkyy myös RUNDLL-virheilmoitus, joka on ilmestynyt näytölle käyttäjän seuraavalla kirjautumiskerralla. Kuvassa näkyvät myös yhden käynnistysvalikosta löytyneen oikopolun ominaisuudet. Sekä RUNDLL-virheilmoitus että oikopolun Target-rivi vahvistavat uudelleen nimetyn tiedoston haittaohjelmaksi. Kuva on Windows 7 -käyttöjärjestelmästä. Windows XP:ssä tilapäiskansion polku on eri.

Käynnistyneen kiristysohjelman näyttämä ruutu.

Tietoturva nyt! Kiristyshaittaohjelmasta liikkeellä eri versioita


Asiasanat: Tietoturva, Tietoturva nyt!


LinkedIn Print