Torpig-trojaneren

[Polyanna]

Vi har fått følgende info fra Telenor:

Sitat:

Vi har mottatt logger som viser at det går infisert datatrafikk i fra dette abonnementet. Trafikken har blitt gjenkjent som Torpig-trojaneren. Du finner mer informasjon om dette lenger ned i denne e-posten.
...
Loggen er en dokumentasjon på hendelsen og viser IP adressen som er opprinnelig kilde, dato og klokkeslett som tidspunkt for denne trafikken.

Det er viktig for oss at dette ikke blir sett på som en beskyldning av uregelmentert aktivitet - men det er derimot svært viktig at slik aktivitet opphører.

Vi anbefaler at du leser igjennom informasjonen og følger prosedyren under før du tar kontakt med oss.

Infeksjon klasse: Orm
Navn: Torpig

Ormen Torpig er en trojaner som kommuniserer med sine kontrollermaskiner via http.

Torpig stjeler kredittinformasjon fra brukere.

På en ukjent måte smittes brukere som er innom nettsider. Hvilke nettsider, hva slags innhold de viser og hva brukeren blir lurt til å laste ned er ikke klart.

Torpig er ikke en ny trojaner. Den ble oppdaget 23. november 2003, ifølge Symantec. Trojaneren rammer Windows-maskiner og skal være enkel å fjerne.

Brukere bør sjekke at deres sikkerhetsløsning håndterer Torpig, men de bør ikke slå seg til ro med det. Ved neste korsvei kan det være et annet ondsinnet program, og Kripos oppfordrer derfor nettbankbrukere til enhver tid å følge noen generelle råd:

* Vær bevist på at maskinen kan bli infisert av epost og spam
* Unngå surfing på ukurante sider
* Sørg for å ha oppdatert anti-virusprogramvare og sjekk at det er
* aktivt
* Avslutt nettbankbruk hvis maskinen oppfører seg unormalt, for
* eksempel ved svart skjerm eller hvis man blir kastet ut etter å ha
* tastet inn passord
* Hvis maskinen er infisert så bør den reinstalleres
* Kontroller saldo på nettbanken og kontakt banken ved ukjente uttak
* på kontoen

Torpig i seg selv er en seig luring som legger seg inn i oppstartssystemet MBR via rootkitet Mebroot og sniker seg dermed inn før operativsystemet startes. På denne måten lurer Membroot seg unna antivirusprogrammer.

Ofre infiseres av såkalte drive-by-download-angrep, hvor legitime, men sårbare nettsider kjører en rekke angrep mot kjente, sårbare elementer, for eksempel via ActiveX, uten brukerens viten.

Om angrepet går i orden, lastes trojaneren Torpig ned til maskinen og pakker seg diskret inn rundt diskdriveren disk.sys.

Dermed har den full tilgang til harddisken, og kan skrive over MBR.
Etter kort tid starter maskinen på nytt, og dermed er maskinen en slave for Torpig-serverne.

Tidvis, ifølge forskerne hvert 20. minutt, vil slavemaskinen ta kontakt med Torpig-serverne for å avlevere data den har funnet til kommandomaskinen. På samme måte kontakter den Mebroot-serveren annenhver time.

Det aller beste er at man først og fremst dobbeltsjekker at antivirusprogrammet som brukes, og at det kjøres en fullstendig systemsøk på alle maskiner som er koblet opp på dette abonnementet. Det anbefales også at det blir gjort en Windows oppdatering fra http://windowsupdate.microsoft.com - og sørge for at alle sikkerhetsoppdateringer blir installert.

Infeksjoner skjer mer og mer gjennom sårbarheter i tredjepartsprogramvare. Vi vil derfor anbefale Secunias verktøy for å søke igjennom datamaskinen etter utgåtte og sårbare versjoner av forskjellig programvare. Du finner den på http://secunia.com/vulnerability_scanning/

Viktig:
Hvis ikke antivirusprogrammet finner noen trusler kan dette også være fordi det allerede er kompromittert av infeksjonen og på den måten ikke lenger fungerer som det skal.

Husk at dersom du bruker trådløst nettverk (WLAN) så må du også sørge for å sikre utstyret tilstrekkelig - slik at ingen uvedkommende kan benytte dette.
Dette innebærer at den trådløse kommunikasjonen krypteres (WEP/WPA) og aller helst at SSID ikke kringkastes og at tilgang blir tillatt ut fra MAC-adresser.
Se manualen til ditt WLAN-utstyr eller kontakt din forhandler for å finne ut hvordan dette gjøres.

Det finnes også gratis programvarer som kan kontrollere en PC for såkalt spyware. Tre eksempler på slik programvare er Microsoft Defender, SUPERantispyware og Malwarebytes.
Disse finner du her:
http://www.microsoft.com/athome/security/spyware/software/default.mspx
http://www.superantispyware.com/
http://www.malwarebytes.org

Disse programmene fungerer etter det samme prinsippet som et antivirusprogram - de må oppdateres for å ta de nyeste "synderne".
MERK: Telenor kan ikke garantere for kvaliteten, innholdet eller programmene på disse sidene. Disse programmene brukes på eget ansvar.

Ved behov for brukerstøtte per telefon eller fjernhjelp kan du kontakte Telenoreksperten på telefonnummer 820 90 100 (26,- pr. min - Maks pris pr.
henvendelse er 598,-).

Vi håper dette var tilstrekkelig informasjon om saken, og at du/dere gjør de nødvendige tiltak for å stoppe dette.

MERK! Dersom du tar kontakt med oss, vennligst henvis alltid til saksnummeret.
Alle henvendelser skal foregå skriftlig, enten pr. faks, brev eller e-post.
Vi ønsker deg en fortsatt god og sikker Internettopplevelse.

NB!
Viktig for Windows-brukere.
Husk å sørge for at de PCene automatisk laster ned sikkerhetsrettinger fra Microsoft. Det blir stadig oppdaget nye svakheter i sikkerheten til Windows - man bør sette innstillingen for nedlastinger av oppdateringer til automatisk slik at når det foreligger en ny sikkerhetsretting vil dette installere den så tidlig som mulig.
http://windowsupdate.microsoft.com/

Se
http://www.telenor.no/privat/internett/tjenester/sikkerhet/
for informasjon om ulike typer sikkerhetstrusler eller annen informasjon om datasikkerhet.

Vi ønsker deg en fortsatt god og sikker Internettopplevelse.

Vi har gått gjennom maskinene våre, og ikke funnet noe, og det er jo nesten verre enn å finne noe... Nå står hybelboerens pc for tur. Kan nettbrett, telefoner, etc., være infisert?

Hete tips?

[Adrienne]

Ikke bruk nettbank dersom dere mistenker at maskinene er infisert, kjør sjekk med mer enn et virusprogram, har dere bredbånd fra Telenor så skal Norton være en del av pakken. Torpig er en banktrojaner som dere må få bort.

Det er stor sannsynlighet for at det er hybelboerens PC som er problemet, jeg er usikker på om Torpig har klart å komme seg på iOS, men har dere oppgradert OS på den gamle iPaden?

[Polyanna]

Den gamle har nytt OS nå, ja.

Da får vi gå gjennom hybelboerens maskin sammen med henne i kveld.

[Juste]

Du kan nok utelukke nettbrett og telefoner, men rootkits kan være fryktelig vanskelig og bli kvitt.

Du finner en måte og fjerne den på her.http://www.ehow.com/how_5108023_remo...g-spyware.html

[Adrienne]

Men Juste: Burde ikke standard antivirusprogramvare i det minste finne at trojaneren er der?

[Juste]

Nei ikke nødvendigvis desom det er et rootkit. Veldig få standard virusprogrammer finner det. Malwarebytes som det linkes til i innlegget oppe er det beste til å finne slike programmer.

[Isa]

Anbefaler også Malwarebytes her.

[Adrienne]

Opprinnelig lagt inn av Juste, her.

Nei ikke nødvendigvis desom det er et rootkit. Veldig få standard virusprogrammer finner det. Malwarebytes som det linkes til i innlegget oppe er det beste til å finne slike programmer.

Hørte du det, Polyanna?

[gnuri]

Stemmer det at man må betale for den dersom man skal reparere noen infiserte filer? Jeg lastet den ned gratis, og den oppdaget noe, men det eneste valget jeg da har er å kjøpe en annen verson.

[mrc]

Noen programmer er slik at at de er gratis for å søke gjennom, men man må ha fullversjon for å få fjernet. Hvilket program er det snakk om?

Men kan godt være at det finnes et annet program som er gratis som kan fjerne det.

[gnuri]

mac keeper

[Polyanna]

Hybelboerens pc har alle symptomer, så vi har nok funnet synderen.

Takk for tips og råd!