Haittaohjelmaa levittävä koodi iski sadoille tuhansille sivustoille
4.4.2011
Ennennäkemättömän laaja sql-injektio -tyyppinen verkkohyökkäys on tehnyt sadoista tuhansista verkkosivuista haittaohjelmien levittäjiä. Sivuilla vierailijoiden koneisiin tarttuu tietoturvaohjelmalta näyttävä Windows Stability Center -haittaohjelma.
Ilmeisesti sadat tuhannet verkkosivustot ovat ilmeisesti joutuneet verkkohyökkäyksen kohteeksi. Hyökkäys perustuu niin sanottuun sql-injektio -tekniikkaan, jonka avulla sivuille on voitu ujuttaa vierasta koodia. Tässä tapauksessa sivuille upotettu koodi vaikuttaa siten, että nettisivulle pyrkivät siirtyvätkin automaattisesti toiselle, haittaohjelmaa levittävälle sivulle.
Google-haun perusteella haittakoodia löytyy jo 1,5 miljoonalta sivustolta. Määrä on kuitenkin todennäköisesti liian suuri, sillä hyökkäys vaikuttaa tartuttaneen jopa 1,5 miljoonaa verkkosivua, mutta tartunnan saaneiden sivustojen ja domain-osoitteiden määrä on luultavasti pienempi.
Tietoturvayhtiö Websense on antanut hyökkäykselle nimen "LizaMoon", sillä se oli ensimmäinen domain-osoite, jolle hyökkäyskoodi siirsi kävijöitä. Hyökkäyskoodin levitessä yhä uusille sivustoille ovat tietoturvatutkijat havainneet siitä uusia versioita, jotka ohjaavat noin pariinkymmeneen muuhun haittaohjelmaa levittävään osoitteeseen.
Sivuilla kävijöiden tietokoneisiin asentuu virustorjuntaohjelmalta näyttävä Windows Stability Center -niminen haittaohjelma. Ohjelma alkaa näyttää aiheettomia varoituksia tietokoneella muka olevista viruksista.
Ilmaiseksi tarjotut väärennetyt virustorjuntaohjelmat ovat internetissä yleinen riesa. Ohjelmat lupaavat puhdistaa koneen olemattomista viruksista, jos käyttäjä hankkii ohjelmasta maksullisen version. Todellisuudessa ohjelmat eivät poista tai torju viruksia, ja raha menee verkkorikollisten tileille.
Ensimmäisen kerran Websensen tutkijat havaitsivat LizaMoonin 29. maaliskuuta, joten se on levinnyt muutamassa päivässä todella nopeasti.
Websense yrittävät selvittää nopean leviämisen syitä. Toistaiseksi haittakoodia on löydetty verkkosivustoilla, jotka sijaitsevat Microsoft SQL Server 2003 - ja 2005 -tietokannoissa. Websensen mukaan sql-haavoittuvuus sijaitsee kuitenkin luultavasti esimerkiksi tiedonhallinta- ja blogijärjestelmissä, jotka toimivat näillä palvelinjärjestelmissä. Lähde: IT-Viikko, DigiToday 1.4.2011
Lilli opastaa
- Huijausohjelmia on satoja. Varo epäilyttävien linkkien klikkaamista.
- Epäillessäsi tietokoneesi joutuneen huijauksen kohteeksi voit tehdä omatoimisesti ja veloituksetta Lilli Huolenpitotarkastuksen tietokoneellesi tai tilata Lilli Tietokoneen Katsastuksen Lillin asiakaspalvelusta tuki@lilli.fi tai p. 0100 8 7777
Lilli Huolenpitoasiakkaan tietokoneelle asennettu Huolenpito-ohjelmisto raportoi välittömästi, jos tietokoneen normaali toiminta häiriintyy. Huolenpitoasiakkaan tietokoneen tietoturvaohjelman turvallinen toiminta on myös tarkistettu määräaikaishuollon yhteydessä. Jos sinulle kuitenkin herää kysymyksiä, ole yhteydessä Lillin asiakaspalveluun.
Lilli Group Oy on vuonna 2005 perustettu valtakunnallinen Digitalkkari -ketju, joka on erikoistunut tietotekniikka ja viihde-elektroniikkatuotteiden asennus- ja tukipalveluihin. Lillin palveluja voi tilata useista alan liikkeistä valtakunnallisesti ja Lillin asiakaspalvelusta p. 0100 8 7777.