ZeuS-haittaohjelma Windows-tietokoneella
Tämä on vuonna 2014 kirjoittamani suomenkielinen yhteenveto ZeuS-haittaohjelmatartunnasta, sen havaitsemisesta ja sen poistamisesta. Yhteenveto on yritetty kirjoittaa tavallisille tietokoneen käyttäjille, ei IT-ammattilaisille. Viimeisin päivitys 22.10.2017. Yhteenveto perustuu englanninkieliseen tekstiini.
Taustaa
- Windows-pöytätietokone jossa oli Windows 7 -käyttöjärjestelmä, joka on pidetty aina ajan tasalla asentamalla Windows-päivitykset.
- Tietokoneella oli kolme ajantasaista virustorjuntaohjelmistoa: Norton 360, SUPERAntiSpyware ja Trend Micro HouseCall. Näistä Norton 360 ja SUPERAntiSpyware olivat aina aktiivisia (reaaliaikainen skannaus), kun taas Trend Micro HouseCall oli skanneri, jonka ajoin silloin tällöin.
- Sekalaisessa nettiselailussa käytin selainta, josta oli poistettu käytöstä plug-init (Java, Flash ym.) jonka pitäisi lisätä turvallisuutta. En myöskään käynyt epäilyttävillä sivuilla kuten online-uhkapelisivuilla, enkä ladannut ja asentanut netistä sattumanvaraisia epäilyttäviä ohjelmia.
- Tietokoneeseen tarttui tuntemattomasta lähteestä tuntemattomalla tavalla ZeuS-haittaohjelma tai jokin sen muunnos. Yksikään kolmesta virusskannerista ei havainnut sitä, joten se sai elää koneella pitkään. Tiedossa ei ole, koska se on tarttunut. On mahdollista, että se on ollut koneellani jopa vuoden tai kauemminkin.
Oireet
- Tietokoneen verkkoyhteydet alkoivat pätkiä niin, että webbisivut eivät enää aina latautuneet, tai eivät latautuneet kokonaan. Tietokoneen uudelleenkäynnistys auttoi joksikin aikaa, kunnes ongelma taas palasi. 4G-nettitikun ja kaapelinettimodeemin tarkistus ja uudelleenkäynnistys ei auttanut asiaan.
- Skannaukset ohjelmilla Norton 360, SUPERAntiSpyware ja Trend Micro HouseCall (Nortonilla myös Windowsin vikasietotilassa) eivät löytäneet mitään haittaohjelmia.
- Tutkimalla verkkoliikennettä ping-ohjelmalla selvisi, että ping pystyy lähettämään liikennettä verkon yli vaikka verkkoyhteys vaikuttaa olevan poikki (webbisivut eivät lataudu). Verkkoyhteys ei siis todellisuudessa ollut poikki.
- Tutkimalla verkkoliikennettä häiriötilanteen aikana TCPView-ohjelmalla ilmeni, että tietokoneella asennettu Opera-webbiselain kuunteli porttia 9050 ja avasi tolkuttoman määrän verkkoyhteyksiä. Yritys avata tolkuton määrä verkkoyhteyksiä tukehdutti tietokoneen verkkoliikenteen. Portin 9050 kuuntelu oli merkki siitä, että Opera-selain toimi Tor-ohjelmana. Syy siihen, miksi Opera-webbiselain näin teki, ei selvinnyt, ja ongelma pysyi poissa kun poisti Opera-selaimen koneelta.
- Myöhemmin häiriötilanne toistui, vaikka koneella ei enää ollut Opera-selainta. Häiriötilanteen oireet olivat samat kuin aiemmin, mutta nyt TCPView-ohjelmalla näki, että Windowsiin kuuluva prosessi svchost.exe kuunteli porttia 9050 ja avasi tolkuttoman määrän verkkoyhteyksiä. Nyt siis Windowsin svchost.exe-prosessi toimi Tor-ohjelmana.
- Skannaukset ohjelmilla Norton 360, SUPERAntiSpyware ja Trend Micro HouseCall (Nortonilla myös Windowsin vikasietotilassa) eivät taaskaan löytäneet mitään haittaohjelmia.
Tutkimus
- En ollut aiemmin löytänyt googlaamalla mitään tietoja siitä, miksi Opera-selain haluaisi toimia Tor-ohjelmana. Nyt kun googlasin, miksi Windowsin svchost.exe haluaisi toimia Tor-ohjelmana, löysin heti hyvän englanninkielisen artikkelin, joka kertoi, että ZeuS-haittaohjelma muun aiheuttamansa haitan lisäksi muokkaa muiden ohjelmien toimintaa niin, että ne alkavat toimia Tor-ohjelmana. Opera-selaimessa ei siis ollut yhtään mitään vikaa eikä myöskään svchost.exe-ohjelmassa, ZeuS vaan halutessaan muokkaa niiden ja monien muiden ohjelmien toimintaa.
- Käynnistin Windowsin rekisterieditorin ja katsoin, mitä oli asetettuna paikoissa HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ja HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce. Näissä asetetaan ohjelmat, jotka käynnistyvät aina kun kone käynnistyy, ja ZeuS asettaa itsensä tänne varmistaakseen, että se käynnistyy automaattisesti. Kaikki muu rekisterissä näytti normaalilta paitsi C:\Users\kayttajanimi\AppData\Roaming\Exed\xayq.exe joka näytti hyvin epäilyttävältä. Tämä oli siis ilmeisesti ZeuS, joka lähti käyntiin aina koneen käynnistyessä. Tarkka hakemiston nimi ja exe-tiedoston nimi vaihtelee saastuneelta koneelta toiselle, eli ZeuS nimeää itsensä satunnaisella nimellä.
- Hain koneen C-levyltä tiedostoja ja hakemistoja nimeltä “tor” ja löysin hakemiston C:\Users\kayttajanimi\AppData\Roaming\tor jossa oli paljon Tor-verkkoon liittyviä tilatiedostoja, jotka olivat juuri päivittyneet. Oli siis selvää, että tietokoneellani pyörii aktiivinen Tor-ohjelma, vaikka en sitä itse käytäkään.
Poisto
- Ensitoimenpiteenä lopetin saastuneen tietokoneen käytön. Kirjauduin ulos kaikista palveluista ja tyhjensin selaimien välimuistit. Asetin internet-yhteyden niin, että se oli normaalisti poissa päältä, mutta sain sen päälle aina kun tarvitsin.
- Latasin Norton Power Eraser-ohjelman ja ajoin sen Windowsin vikasietotilassa. Se löysi aiemmin mainitun ZeuS-ohjelman C:\Users\kayttajanimi\AppData\Roaming\Exed\xayq.exe ja ehdotti sitä poistettavaksi, johon suostuin.
- Poistin käsin Tor-tilatietoa sisältäneen hakemiston C:\Users\kayttajanimi\AppData\Roaming\tor
- Koska ZeuS esiintyy yleensä tietokoneilla, johon on asennettu myös rootkit, latasin ja ajoin vikasietotilassa Kaspersky Labin ohjelman TDSSKiller Rootkit Removal Utility. Se ei löytänyt rootkittejä.
- Käynnistin Windowsin normaalisti ja varmistin että C:\Users\kayttajanimi\AppData\Roaming\Exed\xayq.exe and C:\Users\kayttajanimi\AppData\Roaming\tor olivat todella kadonneet. Seurasin myös TCPView-ohjelmalla että svchost.exe toimi nyt normaalisti. Kaikki näytti nyt siltä, että ZeuS oli siivottu pois tietokoneelta.
- Tapauksen jälkeen vaihdoin kaikki tärkeimmät salasanani ja seuraan myös jatkuvasti luottokorttitapahtumia ja pankkitilieni tapahtumia. ZeuS tunnetaan siitä, että jotkin sen muunnokset kuuntelevat nimenomaan suomalaista verkkopankkiliikennettä. Seuraan myös pistokokeenomaisesti Windowsin rekisteriä, katson verkkoliikennettä TCPView-ohjemalla ja etsin “tor”-nimisiä ja tiedostoja ja hakemistoja, nähdäkseni olisiko ZeuS yhä koneella tai olisiko se tarttunut jostakin uudestaan.
Kysymyksiä ja vastauksia
- Mistä ZeuS-haittaohjelma tuli tietokoneelleni? Ei aavistustakaan. Windowsin pitäminen ajantasalla, varovaisuus verkossa ja kolme virusskanneria eivät sen tulemista estäneet.
- Mitä vahinkoa ZeuS teki ja mitä tietoja se varasti? Ei aavistustakaan. Tähän mennessä en ole huomannut mitään epäilyttäviä luottokorttitapahtumia tai pankkitilitapahtumia. ZeuS ja sen muunnokset pystyvät periaattessa viemään kaiken tiedon joka on tietokoneella tai mitä kirjoitetaan näppäimistöllä. Tietokoneeni on luultavasti toiminut Tor-solmuna, mikä tarkoittaa, että konetta on voitu käyttää minkä tahansa tiedon ja aineiston välittämiseen (roskapostitus, huumekauppaan liittyvä tiedonvaihto, elokuvakopioiden välitys, pornon laittomien alalajien levitys jne).
- Onko tietokone nyt varmasti täysin puhdas? En tiedä. Kukapa voisi koskaan sanoa mistään tietokoneesta, että se on varmasti täysin puhdas viruksista ja haittaohjelmista?
- Miksi ZeuS avasi niin paljon verkkoyhteyksiä, että se paljasti itsensä? Voin vain arvailla, että tämä johtui joko ZeuS-ohjelman toimintahäiriöstä tai siitä, että palomuurini esti verkkoyhteydet, jolloin ZeuS yritti ratkaista tilanteen avaamalla lisää yhteyksiä. Ilman tätä tilannetta ZeuS olisi voinut olla tietokoneella vaikka ikuisesti. Periaatteessa on myös mahdollista, että tämä ZeuS-muunnos aiheutti tahallaan harmia tukkimalla verkkoyhteydet, mutta tämä ei ole todennäköistä. Nykyään haittaohjelmat eivät yleensä halua haitata tietokoneen käyttöä, vaan pysyvät huomaamattomina taustalla ja puuhailevat siellä jotakin haittaohjelman levittäjän kannalta hyödyllistä.