הקדמההמפגע שעליו מדובר הוא מפגע שקיים זמן רב וכיום הובהר מה ההשפעה
האמיתית שלו בפן של פגיעה עסקית ואישית על ידי ביצוע ריגול ממוחשב.
המתקפה מבוצעת על ידי ניצול מחשב המשתמש והתקנת פיסת תוכנה הידועה כ-Trojan.
התכנה מאפשרת לבצע התקשרות מהמחשב האישי או הארגוני אל מול שרת מרוחק
אשר תפקידו לאסוף מידע.
ההתקשרות מתבצעת באמצעות שליחת מידע לערוצים (Ports) ייעודיים בכתבה זו
נסקור בפניכם את הפעולות הראשוניות שיש לבצע על מנת לוודא האם הינכם
חשופים למתקפה זו.
חברת 2Bsecure אינה אחראית על כל נזק שעלול להיגרם כתוצאה מביצוע
פעולות האמורות בכתבה זו.
2Bsecure יידעה את חברת Trend Micro בגין המפגע ועדכון למוצר OFFICESCAN
יתפרס באתר זה ובאתר החברה בקרוב.
למשתמש הביתי
תיאור: המפגע הינו מסוג סוס טרויאני, כלומר קוד מזיד החבוי בתוך מסמך
הנראה ידידותי לכאורה. בעת הפעלת הקובץ הידידותי (מסמך Word לדוגמא),
מופעל הקוד המזיד ומבצע משלוח של מידע מהמחשב לאינטרנט באמצעות דואר
אלקטרוני ו- FTP (פרוטוקול להעברת קבצים ברשת). במקרה המדובר, בעת
פתיחת מסמך ה- Word, תיפתח חלונית (pop-up) המבקשת הקלדת סיסמא לפתיחת
המסמך. זהו ה- Trigger להפעלת הקוד המזיד, ברגע הכנסת הסיסמא, הסוס
הטרויאני יתחיל לדהור.
סימני זיהוי:
כלומר כתהליך נסתר הקוד המזיד רץ על המחשב כ- Process העובד ברקע, ללא
הפרעה לעבודה הרגילה על המחשב. על מנת לראות את כל התהליכים שרצים על
המחשב, יש ללחוץ CTRL+Shift+Esc, או קליק ימני על שורת המשימות
ולבחור ב- TaskManager
זוהי משימה לא קלה לזהות Process שאינו אמור להיות ברשימה הארוכה
והבלתי מובנת שמוצגת לנו כאן, אך באתר הבא ניתן למצוא מידע רב על
תהליכים תקינים וכאלה שאינם כל כך תקינים.
http://www.liutilities.com/products/wintaskspro/processlibrary
הקוד המזיד מנסה לבצע משלוח של דואר אלקטרוני. אם ברשותכםPersonal Firewall,
ניתן להגדירו כך שיחסום דואר אלקטרוני. החסימה מתאפשרת על ידי
חסימת פרוטוקול SMTP, או Port 25. עם זאת, חסימת הדואר האלקטרוני כולו,
משמעו שלא תוכלו לשלוח דואר אלקטרוני, גם אם תרצו ותתכוונו לכך. על כן
ניתן לבצע הגבלה ברמה של אפליקציה ולא רק ברמה של Port.
לאחר התקנת Personal Firewall תדרשו על ידי התוכנה לאשר לתוכנות
שונות להתחבר לאינטרנט. קיראו היטב את ההודעות של תוכנת ה- Firewall
והמנעו מלאשר תוכנה שאינה מוכרת לכם. במקרה הצורך, רוב תכנות ה- Firewall
מספקות שירות מידע על תוכנות מוכרות.
באתר הבא תוכלו למצוא רשימה מלאה של Personal Firewalls להורדה:
http://www.snapfiles.com/Freeware/security/fwfirewall.html
הקוד המזיד מנסה לבצע משלוח של קבצים על גבי רשת האינטרנט
בפרוטוקול FTP (זהו הפרוטוקול המשתמש את רוב שירותי האנטי וירוס להורדת
עידכונים. כאן נעשה בו שימוש הפוך כביכול). בעזרת ה- Personal Firewall
ניתן לחסום גם פרוטוקול זה.
בהגדרות ה-FireWall לוודא כי חוסמים רק ביצוע Upload/Outbound
(משלוח).
יש לשים לב לא לחסום את כל תעבורת FTP, גם ה- Download יחסם
ויתכן כי תמנעו מתוכנת האנטי וירוס שלכם לבצע את העידכונים הקבועים
שלה. יש לוודא זאת על ידי תאריך העדכון האחרון של תכנת האנטי-וירוס.
יתכן כי הקוד במזיד ינסה לבצע משלוח נתונים בשיטות נוספות. אין
צורך להכנס למהות הטכנולוגית של העניין. אם התקנתם תוכנת Personal Firewall,
המשיכו לעקוב אחר ההודעות המתקבלות ושימו לב לאירועים חריגים. כאן
הקלישאה עובדת – "אם יש ספק, אין ספק" אל תאשרו תוכנה אשר אינה מוכרת
לכם. במקרה הצורך, היוועצו עם אנשי התמיכה של ספק האינטרנט, או חבר
שמבין...
יש לבצע חיפוש של הקבצים pwd.txt ו- newpinka.exeעל המחשב.
במידה וקיימים יש למחוק אותם מיידית.
איך להמנע מהדבקה:
שוב, קלישאה: לעולם אין לפתוח קובץ הנמצא בתוך דואר אלקטרוני אם
אינכם מכירים את השולח או שההודעה אינה מובנת לכם. לעתים, השולח מוכר,
אבל ההודעה מכילה משפט כמו: "Document for you" בעוד שאותו אדם לא שלח
לכם מסמך מעולם ואין סיבה שיתחיל עכשיו.
שימרו על מערכת ההפעלה מעודכנת ועדכנית. תוכנות זדוניות רבות
מבוססות על באגים במערכות ההפעלה, או התוכנות ולא יוכלו לבצע כל נזק על
מערכת מעודכנת. במקרה הנ"ל, ככה"נ מערכות הפעלה מסוג Windows XP Service Pack 2 אינן
נמצאות בסיכון, אם כי הנושא עדיין בבדיקה. בקרו באתר העידכונים
למייקרוסופט לבדוק את מצב העידכון של מערכת ההפעלה שלכם:
http://windowsupdate.microsoft.com/
יש למחוק מסמכים ישנים מהמחשב ולשמור אותם על גבי
תקליטורים/דיסקטים.
אנו ממליצים להמנע בשלב זה משימוש בסיסמה למסמכי Word. קיימים
מספר פתרונות חינמיים להגנה על מסמכים וקבצים, כדוגמת PGP. באתר הבא
תוכלו להוריד את תוכנת ה- PGP המשמשת להצפנת קבצים
http://www.pgpi.org