Elisa, VMCLite ja troijalainen

Olen lähettänyt alla olevan viestin Elisan asiakaspalveluun helmikuussa. Asia koskettaa Vodafonen valmist(utt)amassa mobiililaajakaistan sovellusohjelmassa syntyvää konfliktia Spyware Doctor -ohjelman (maksullinen versio) kanssa. Jos Elisan asiakaspalvelu olisi vastannut viestiini kohtullisessa ajassa ja ilman erillistä muistutusta, minun ei olisi tarvinnut tuoda tätä asiaa tänne kaiken kansan tietoisuuteen. Vastaamattomuus vahvistaa myös yleistä käsitystä matkapuhelinoperaattoreiden huonosta asiakaspalvelusta ja siitä, että palvelua annetaan vasta sitten, kun on aivan pakko. Tämä kirjoitus on myös ryhmässä ”Laajakaista/Elisa”.


******
Asensin tammikuussa tietokoneeseen PC Toolsin valmistaman Spyware Doctor -ohjelman, joka valmistajan kertoman mukaan havaitsee ja poistaa haittaohjelmia (ver. 5.5.0.178). Suoritettuani tietokoneen täyden skannauksen Spyware Doctor (jäljempänä SD) ilmoitti, että eräässä tiedostossa (UniBox12VB.ocx) on Trojan.tagasaurus-tartunta. Tartuntoja oli myös noin sadassa HKEY_LOCAL_MACHINE-avaimessa.

SD:n OnGuard-toiminnan (reaaliaikainen havainnointi) ollessa kytkettynä päälle SD esti yhteyden uudelleen muodostamisen (eli Vodafone Mobile Connect Lite -ohjelman käynnistämisen) sen jälkeen, kun yhteys oli ensiksi katkaistu.

Näyttää siltä, että SD tunnistaa UniBox12VB.ocx-tiedoston koodin tai osan siitä samanlaiseksi kuin Trojan.tagasaurus-koodin, ja vaikuttaa siis siltä kuin tiedosto olisi saanut tartunnan. Skannasin modeemin (CD-asemana näkyvä VMCLite V2.1.6.1) suoraan, mutta siitä ei tullut mitään havaintoa.

Poistin modeemiohjelmiston koneen kovalevyltä Windowsin poista ohjelma -toiminnolla. Skannasin koneen uudelleen, ja tuloksena ei ollut enää tartuntoja. Tartunta (tai mikä se sitten olikin) lähti ohjelmiston poiston yhteydessä.

Käynnistin koneen uudelleen, skannasin koneen (ei tartuntoja) ja asensin ohjelmiston uudelleen kytkemällä modeemin koneeseen. Tein täyden skannauksen, ennen kuin käynnistin modeemiyhteyden, ja tulos oli jälleen sama: Trojan.tagasaurus-tartunta. Mikään ei kuitenkaan viittaa siihen, että koneessa olisi minkäänlaista toiminnassa olevaa haittaohjelmaa.

Modeemi näkyy tietokoneeseen levyasemana. Onko jokin haittaohjelma voinut piiloutua kyseiseen tiedostoon modeemissa siten, että se suorittaa siellä omaa tehtäväänsä mutta modeemi toimii kuitenkin edelleenkin normaalisti?

Voisiko kyse olla siitä, että UniBox12VB.ocx-tiedoston koodi näyttää samalta kuin Trojan.T:n koodi ja paljastusohjelma erehtyy siinä? Kokeilin lähettää tiedoston sähköpostilla PC Toolsille, mutta se jäi kiinni postitusjärjestelmiin, mikä kertoo siitä, että tiedosto sisältää todellakin jotakin haittakoodia tai selvästi sen näköistä. Olen myös yrittänyt kertoa heille ongelmasta, mutta he eivät oikein tunnu ymmärtävän sitä tai myöntää, että kyseessä saattaisi olla ns. false positive.

Ainoa tapa saada modeemi ja SD toimimaan yhtä aikaa on määrittää tiedosto "turvalliseksi". Jos SD:n antaa puhdistaa koneen, UniBox12VB.ocx-tiedosto lähtee kovalevyltä ja modeemiohjelmisto ei enää käynnisty.

Olen jättänyt samansisältöisen viestin Vodafone UK:n sivulle kolmisen viikkoa sitten, mutta kuten saatoin täysin arvatakin, mitään vastausta sieltä ei ole kuulunut ja tuskin tulee koskaan kuulumaankaan.

Mikä on Elisan vastaus modeemin myyjänä kysymyksiini?

Onko ActiveX-tiedostossa jotakin troijalaiseen viittaavaa?

Onko jokin haittaohjelma voinut piiloutua modeemiin, jossa yhteysohjelmiston tiedostot näyttävät olevan jonkinlaisessa pakatussa muodossa?

Oma käsitykseni on se, että mitään tartuntaa ei ole, vaan UniBox12VB.ocx-tiedosto vain näyttää samanlaiselta kuin Trojan.tagasaurus-koodi. Jos asia on näin, eikö tiedän tulisi kertoa tästä asiakkaille, jotka ostavat mobiililaajakaistaliittymän, koska PC Tools on maineikas ohjelmavalmistaja ja on luultavaa, että moni muukin käyttää Spyware Doctor -ohjelmaa?
******