Vi har mottatt logger som viser at det går infisert datatrafikk i fra dette abonnementet. Trafikken har blitt gjenkjent som Torpig-trojaneren. Du finner mer informasjon om dette lenger ned i denne e-posten.
...
Loggen er en dokumentasjon på hendelsen og viser IP adressen som er opprinnelig kilde, dato og klokkeslett som tidspunkt for denne trafikken.
Det er viktig for oss at dette ikke blir sett på som en beskyldning av uregelmentert aktivitet - men det er derimot svært viktig at slik aktivitet opphører.
Vi anbefaler at du leser igjennom informasjonen og følger prosedyren under før du tar kontakt med oss.
Infeksjon klasse: Orm
Navn: Torpig
Ormen Torpig er en trojaner som kommuniserer med sine kontrollermaskiner via http.
Torpig stjeler kredittinformasjon fra brukere.
På en ukjent måte smittes brukere som er innom nettsider. Hvilke nettsider, hva slags innhold de viser og hva brukeren blir lurt til å laste ned er ikke klart.
Torpig er ikke en ny trojaner. Den ble oppdaget 23. november 2003, ifølge Symantec. Trojaneren rammer Windows-maskiner og skal være enkel å fjerne.
Brukere bør sjekke at deres sikkerhetsløsning håndterer Torpig, men de bør ikke slå seg til ro med det. Ved neste korsvei kan det være et annet ondsinnet program, og Kripos oppfordrer derfor nettbankbrukere til enhver tid å følge noen generelle råd:
* Vær bevist på at maskinen kan bli infisert av epost og spam
* Unngå surfing på ukurante sider
* Sørg for å ha oppdatert anti-virusprogramvare og sjekk at det er
* aktivt
* Avslutt nettbankbruk hvis maskinen oppfører seg unormalt, for
* eksempel ved svart skjerm eller hvis man blir kastet ut etter å ha
* tastet inn passord
* Hvis maskinen er infisert så bør den reinstalleres
* Kontroller saldo på nettbanken og kontakt banken ved ukjente uttak
* på kontoen
Torpig i seg selv er en seig luring som legger seg inn i oppstartssystemet MBR via rootkitet Mebroot og sniker seg dermed inn før operativsystemet startes. På denne måten lurer Membroot seg unna antivirusprogrammer.
Ofre infiseres av såkalte drive-by-download-angrep, hvor legitime, men sårbare nettsider kjører en rekke angrep mot kjente, sårbare elementer, for eksempel via ActiveX, uten brukerens viten.
Om angrepet går i orden, lastes trojaneren Torpig ned til maskinen og pakker seg diskret inn rundt diskdriveren disk.sys.
Dermed har den full tilgang til harddisken, og kan skrive over MBR.
Etter kort tid starter maskinen på nytt, og dermed er maskinen en slave for Torpig-serverne.
Tidvis, ifølge forskerne hvert 20. minutt, vil slavemaskinen ta kontakt med Torpig-serverne for å avlevere data den har funnet til kommandomaskinen. På samme måte kontakter den Mebroot-serveren annenhver time.
Det aller beste er at man først og fremst dobbeltsjekker at antivirusprogrammet som brukes, og at det kjøres en fullstendig systemsøk på alle maskiner som er koblet opp på dette abonnementet. Det anbefales også at det blir gjort en Windows oppdatering fra windowsupdate.microsoft.com - og sørge for at alle sikkerhetsoppdateringer blir installert.
Infeksjoner skjer mer og mer gjennom sårbarheter i tredjepartsprogramvare. Vi vil derfor anbefale Secunias verktøy for å søke igjennom datamaskinen etter utgåtte og sårbare versjoner av forskjellig programvare. Du finner den på secunia.com/vulnerability_scanning/
Viktig:
Hvis ikke antivirusprogrammet finner noen trusler kan dette også være fordi det allerede er kompromittert av infeksjonen og på den måten ikke lenger fungerer som det skal.
Husk at dersom du bruker trådløst nettverk (WLAN) så må du også sørge for å sikre utstyret tilstrekkelig - slik at ingen uvedkommende kan benytte dette.
Dette innebærer at den trådløse kommunikasjonen krypteres (WEP/WPA) og aller helst at SSID ikke kringkastes og at tilgang blir tillatt ut fra MAC-adresser.
Se manualen til ditt WLAN-utstyr eller kontakt din forhandler for å finne ut hvordan dette gjøres.
Det finnes også gratis programvarer som kan kontrollere en PC for såkalt spyware. Tre eksempler på slik programvare er Microsoft Defender, SUPERantispyware og Malwarebytes.
Disse finner du her:
www.microsoft.com/athome/security/spyware/software/default.mspx
www.superantispyware.com/
www.malwarebytes.org
Disse programmene fungerer etter det samme prinsippet som et antivirusprogram - de må oppdateres for å ta de nyeste "synderne".
MERK: Telenor kan ikke garantere for kvaliteten, innholdet eller programmene på disse sidene. Disse programmene brukes på eget ansvar.
Ved behov for brukerstøtte per telefon eller fjernhjelp kan du kontakte Telenoreksperten på telefonnummer 820 90 100 (26,- pr. min - Maks pris pr.
henvendelse er 598,-).
Vi håper dette var tilstrekkelig informasjon om saken, og at du/dere gjør de nødvendige tiltak for å stoppe dette.
MERK! Dersom du tar kontakt med oss, vennligst henvis alltid til saksnummeret.
Alle henvendelser skal foregå skriftlig, enten pr. faks, brev eller e-post.
Vi ønsker deg en fortsatt god og sikker Internettopplevelse.
NB!
Viktig for Windows-brukere.
Husk å sørge for at de PCene automatisk laster ned sikkerhetsrettinger fra Microsoft. Det blir stadig oppdaget nye svakheter i sikkerheten til Windows - man bør sette innstillingen for nedlastinger av oppdateringer til automatisk slik at når det foreligger en ny sikkerhetsretting vil dette installere den så tidlig som mulig.
windowsupdate.microsoft.com/
Se
www.telenor.no/privat/internett/tjenester/sikkerhet/
for informasjon om ulike typer sikkerhetstrusler eller annen informasjon om datasikkerhet.
Vi ønsker deg en fortsatt god og sikker Internettopplevelse.
