Kun virus saa variantin
11.9.2001 08:17 Viruksia, matoja ja muita ei-toivottuja ohjelmanpätkiä tehtaillaan jatkuvasti. Suuri osa niistä ei kuitenkaan ole kokonaan uusia tekeleitä, vaan vaikkapa aiempien virusten enemmän tai vähemmän muunneltuja versioita, variantteja.
Virustorjunta on takaa-ajokilpailua, jossa torjuntaohjelmia tuottavat yritykset tulevat aina pari askelta virusten kirjoittajien jäljessä. Virusmaakarin kannalta tilanne on hyvä, hän kun haluaa kättensä jäljen leviävän mahdollisimman laajalle.
Osaltaan virusten ja matojen lisääntymiseen on vaikuttanut se, että erilaisia virusgeneraattoreita on yhä helpommin kenen tahansa saatavilla. Virusgeneraattorit ovat työkaluja, joilla vaikkapa matojen tehtailu käy nopeasti ja helposti.
Vahingollisen ohjelman teko ei enää suurta osaamista edellytä. Niinpä valtaosa esimerkiksi uusista sähköpostimadoista on VBSWG:n kaltaisilla, yksinkertaisella graafisella käyttöliittymällä varustetuilla työkaluilla tehtyjä.
Virusten tekijät ovat myös huomanneet, että turhaa työtä voi näppärästi eliminoida käyttämällä aiempia, laajalle levinneitä ja paljon vahinkoa aiheuttaneita viruksia tai matoja pohjana uudelle yritykselle tukkia sähköpostipalvelimia tai avata takaportteja pahaa aavistamattomien tietokoneille.
Siksi surullisenkuuluisalla Loveletterilläkin on jo muutamia kymmeniä seuraajia, jotka on alkuperäisen madon pohjalta kehitettyjä muunneltuja versioita, variantteja.
Vari-mikä?
Variantti on muunnos alkuperäisestä viruksesta, troijalaisesta tai madosta. Muuntelun tarkoituksena on yrittää ohittaa virustorjuntaohjelmien merkkijonotunnistus tai hämätä varuillaan olevia käyttäjiä vaikkapa vain hieman uudenlaisella ulkoasulla. Aktivoitu virus saattaa esimerkiksi näyttää tietokoneen käyttäjälle tekaistuja virheilmoituksia, jotka ovat erilaisia kuin aiemmassa versiossa.
Pienimmillään muutokset saattavat koskea esimerkiksi saastuneen liitetiedoston sisältävän sähköpostiviestin otsikkoa tai leipätekstiä. Tällaisellakin muutoksella voidaan saada sähköpostimadon vastaanottaja avaamaan liitetiedosto, joka sisältää jotakin muuta kuin miltä ensi vikaisulla näyttäisi. Esimerkiksi taannoisen Kournikova-madon houkutinta, nuoren naispuolisen tennistähden olematonta kuvaa, on sittemmin vaihdeltu eri nimiseksi.
Aina variantti ei kuitenkaan ole pelkkä kosmeettinen muunnos alkuperäisestä viruskoodista. Osa varianteista on aidosti paranneltuja versioita esikuvistaan. Tällaisista versioista voi tulla entistäkin suurempia uhkia, kuten viime kuukausien tapahtumat osoittavat.
Asetelma muuttuu
Heinäkuussa havaittu Code Red levisi nopeasti ympäri maailman ja saavutti melkoisen mediasuosion. Eipä aikaakaan kun mato oli jo saanut kakkosversionsa, vieläpä tuhoisan sellaisen. Tuoreempi esimerkki on viime viikolta, kun Magistr-madon terästetty variantti löydettiin.
Näissä tapauksissa on kyseessä paranneltu versio jo alun perinkin hankalasta madosta. Vahingolliseen koodiin on voitu ympätä uusia toimintoja, joiden avulla pyritään saamaan ohjelma leviämään mahdollisimman tehokkaasti ja aiheuttamaan mahdollisimman suurta vahinkoa.
Mikäli vielä onnistutaan saamaan uudesta versiosta mahdollisimman vaikeasti havaittava ja poistettava, on uusi ja entistä ilkeämpi variantti syntynyt.
Pelkkä vandalismi ei kuitenkaan enää riitä selittämään virusten kirjoittelua, vaan viruskoodilla pyritään jo tekemään rahaa.
Oikeastaan koko virusasetelma on muuttumassa sitä mukaa, kun vahingollista koodia aletaan yhä enemmän käyttää rikollisiin tarkoituksiin tiedonhankinta- ja ansaintamielessä. Erot viruksen, madon ja troijalaisen välillä alkavat sumentua - vahingollisiin ohjelmiin ympätään jo ominaisuuksia kaikista virustyypeistä.
Tulitko päivittäneeksi?
Virusten torjunnan kannalta tilanne on haastava. Virustorjuntaohjelmissa käytetään muun muassa menetelmää, jossa virukset tunnistetaan tiettyjen, tunnettujen merkkijonojen avulla. Tällaisen järjestelmän toiminta edellyttää sitä, että tietokoneelle saapuvan viruksen kuvaus on virustorjuntaohjelmassa.
Käytännössä merkkijonoja etsivä virustorjuntaohjelma ei siis virusta tunnista ilman tällaista «sormenjälkeä». Toisin sanoen aina tarvitaan vähintäänkin yksi saastunut kone, jotta viruksen sormenjälki voidaan rekisteröidä ja lisätä torjuntaohjelman viruskuvauksiin. Koska uusia viruksia syntyy alinomaa, antivirusohjelmat eivät tällä menetelmällä voi suojata aivan uusimmilta viruksilta.
Kaiken lisäksi moni ei ikinä tule päivittäneeksi tietoturvaansa, vaikka tietokoneelta jonkinlainen virusskanneri löytyisikin. Symantecin mukaan laiskoja päivittäjiä on jopa 40 prosenttia kaikista tietokoneen käyttäjistä.
Kenelle kellot soivat?
Virustorjunnassa käytetään myös heuristista tunnistusta, joka ei etsi tiettyjä merkkijonoja, vaan tietynlaisia viruksille, madoille ja troijalaisille ominaisia toimintoja. Heuristinen skannaus usein tuottaakin tulosta virusvarianttien kohdalla, kun antivirusohjelma osaa etsiä tiettyjä käyttäytymismalleja epäilyttävästä ohjelmasta.
Heuristisen menetelmän ongelmana ovat olleet turhat varoitukset, sillä moni tavallinen ja harmitonkin ohjelma – jopa toinen virusskanneri - saattaa tässä suhteessa ylittää antivirusohjelman hälytyskynnyksen.
Hälytyskellojen pitäisi tietysti soida myös tuolin ja näppäimistön välissä ennen kuin lähtee avaamaan pamelaanderson.jpg.vbs –nimistä liitetiedostoa. Aivan niin, vaikka viestissä kehotettiinkin avaamaan liite...
Antti Kirves toimitus@digitoday.fi
- Digitodayn tuoreimmat uutiset.
- 25.5. Robottikäsivarsi hinasi Dragonin asemalle
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Diablo III:n julkaisija hekumoi myyntiä ja pahoittelee bugeja
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Tämä käkikello muni Pebblen Kickstarter- pesään
- 25.5. Facebook Camera ottaa ja jakaa kuvia iPhonessa
- 24.5. IPhoneen uusi alihankkija
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. Yle siirtää seuraavaksi Pasilan teräväpiirtoon
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 24.5. Blackberryn joukot harvenevat
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Motorola Mobilityn johdossa on nyt myyntimies
- 23.5. Oracle hävisi Googlelle taas: Ei patenttirikettä
- 23.5. Apple ja Samsung epäonnistuivat neuvotteluissa
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 23.5. Nykyinen televisiosi simahtaa vuonna 2026
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 23.5. Nokia pettyi - halpa-Lumian muisti ei riitä Skypeen
- 23.5. Nokia julkaisi uusia ”luksuskarkkeja”
- 23.5. Taulukko paljastaa – Nokialla ongelmia superhalvoissa ja huippupuhelimissa Kiinassa
- 23.5. Googlen Larry Page: Facebook pitää käyttäjiä panttivankeina
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 23.5. Kodakin ”ilmiselvän” patentointi ei kelpaa
- 23.5. Sony avaa perjantaina Spotify-kilpailijan iPhoneen
- 23.5. Nokia luopuu akun aitouden varmistavista hologrammeista
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- 23.5. Kodakin ”ilmiselvän” patentointi ei kelpaa
- 23.5. Amerikkalaiset kaapelioperaattorit yhdistävät wlan-palvelunsa
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 23.5. Nokia pettyi - halpa-Lumian muisti ei riitä Skypeen
- 23.5. Nykyinen televisiosi simahtaa vuonna 2026
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Lumialla voi katsella videoklippejä
- 23.5. Taulukko paljastaa – Nokialla ongelmia superhalvoissa ja huippupuhelimissa Kiinassa
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. IPhoneen uusi alihankkija
- 24.5. Nokia luopuu isosta massatapahtumasta
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- Kommentoiduimmat
Uutisviikko
Mitä viikolla on tapahtunut, mikä puhuttanut eniten? Koko viikon uutiset.
Uutispäivä
Vuorokauden kaikki uutiset yhdellä sivulla.
Uusimmat uutiset
- ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia 08:36
- Adoben flash saa saattohoitoa Windows 8:ssa 09:17
- HP irtisanoo ja palaa taulutietokoneisiin 07:19
- Nykyinen televisiosi simahtaa vuonna 2026 10:32
- Amerikkalaiset kaapelioperaattorit yhdistävät wlan-palvelunsa 08:59
- Apple, Microsoft, Ericsson perustivat patenttitrollin 09:59
- Chrome nousi maailman selainjohtajaksi 08:58
- Ballmer lupaa myydä 350 miljoonaa Windows 7-laitetta 07:01
- Lisää
Poiminnat
Digiyesterday
Viisi vuotta sitten
Yliopiston it-väki sohelsi - krakkeri pääsi järjestelmiin
26.05.2007 Krakkeri murtautui kaksi viikkoa sitten University of Coloradon palvelimelle ja sai ulottuvilleen muun muassa 45 000 opiskelijan henkilötiedot. Yliopiston it-väen mukaan hyökkääjä pääsi järjestelmään ujuttamalla sisään madon Symantecin virustorjunnan aukosta.
Kolme vuotta sitten
Pelien nettijakelu syynätään tarkasti
26.05.2009 Pelien digitaalinen jakelu netin kautta yleistyy kovaa vauhtia. Asiasta on vain vähän julkista tietoa, sillä jakelualustat ovat suurten pelikustantajien tai jakelijoiden hallussa ja pitävät korttinsa visusti piilossa.
Taloussanomat
- Vain yksi pankki lellii asuntovelkaista korkokikkailijaa 06:01
- Taloussanomilta KHO-valitus VM:n vakuuspäätöksestä 12:58
- Kreikan rikkaat pitävät matalaa profiilia kriisin keskellä 21:02
- FT: Espanjan valtio pelastaa Bankian 20:02
- Tylyyden huippu? – "Kreikka on epäonnistunut valtio" 19:08
- Yrittäjät tiukkoina: "Hallinnollista taakkaamme ei saa lisätä!" 19:45
- Mauton temppu: EU vei mausteet leffa-popcorneista 12:21
- Kyprosko seuraavana rahajonossa? 17:31
- Suursijoittaja: Pörssi kriisissä, markkinoilla pessimismikupla 14:04
- Tämäkö parasta evästä stressaavaan työhön? 16:45
- » Taloussanomat.fi
