Lue uutinen mobiilisivustolla

Viruksilla on liikaa nimiä

15.3.2002 18:22 Viruksille ja muille haittaohjelmille kertyy usein nimiä niin paljon, että on vaikea tietää mistä kulloinkin puhutaan. Ongelman tiedostaa koko tietoturvayhteisö, mutta helppoa ja nopeaa ratkaisua ei ole näköpiirissä.

Virusten, matojen ja troijalaisten tunnistaminen on toisinaan vaikeaa virustorjuntayhtiöille, mutta hankaluuksia tihulaisten erottamisessa on myös tavallisella tietokoneen käyttäjällä. Torstaina maailmalle levinnyt FBound-mato on hyvä esimerkki siitä, miten sekavaa haittaohjelmien nimeäminen on.

Reilu vuorokausi FBoundin löytämisen jälkeen tehty haku suurimpiin virustorjuntayhtiöihin tuottaa tulokseksi kolmisenkymmentä eri nimeä - yhdelle madolle. Mukana luvussa on pari madon varianttia, mutta vain sellaisissa tapauksissa, joissa kyseisellä tietoturvayhtiöllä oli tarjota kuvaus ainoastaan yhdestä madon versiosta.

Hajontaa nimien antamisessa on paljon. Ensimmäiseksi ei ehkä tulisi mieleen, että W32/Jize, Fidao, W32/Impatt-a, WORM_JAPANIZE.A ja I-Worm.Zircon ovat itse asiassa yksi ja sama mato. Yleisimmin kyseinen liero siis tunnetaan nyt nimellä Fbound tai FBound.

Tilanne on tietokoneen peruskäyttäjän kannalta vähintäänkin hankala. Miten tietää, suojaako oma virustorjuntaohjelma uusimmalta virusuhkalta, kun ei voi olla varma edes siitä, millä nimellä eri yhtiöt kyseisen haittaohjelman tuntevat?

Periaatteessa hmm, mutta käytännössä tjaa

Haittaohjelmien yhtenäinen nimeäminen on hyvin sekavaa. Maailmassa on kymmeniä tahoja, jotka antavat nimiä viruksille ja muille vahingollisille ohjelmille, eikä yhtenäistä, toimivaa linjaa nimeämiselle ole. Jokaisella virustorjuntayhtiöllä on oma tapansa nimetä haittaohjelmia. Toimintaa ei myöskään sääntele mikään yksittäinen organisaatio tai viranomainen.

Aivan satunnaisesti ei nimiä kuitenkaan jaella. Tietyt yhteiset ohjeet on olemassa, kuten sellainen, että haittaohjelmia ei nimetä vaikkapa henkilöiden tai yritysten mukaan. Jotkut alan yritykset noudattavat eri organisaatioiden, kuten CAROn (Computer Antivirus Research Organisation), antamia ohjeita, mutta toisaalta monet eivät.

Periaatteessa samoilla linjoilla ollaan siinä, miten nimi muodostetaan eri osista. Nimen pitäisi kertoa tietyt asiat haittaohjelmasta, kuten sen, onko kyseessä troijalainen tai vaikkapa makrovirus, sekä sen, mikä käyttöjärjestelmäympäristö on vaarassa.

Esimerkiksi W32/Fbound.C -nimi koostuu etuliitteestä ja päätteestä, joiden välissä on varsinainen nimi, tässä tapauksessa Fbound. Etuliite W32 kertoo, että kyseinen mato toimii 32-bittisessä Windows-ympäristössä (käyttöjärjestelmäversiot 95, 98, ME, NT ja 2000). Päätteellä taas ilmaistaan madon versio eli se, mikä variantti on kyseessä.

Mistä nimi?

Suurimman ongelman muodostaa haittaohjelman varsinainen nimi, sillä sitä eivät mitkään käytännöt sido.

Kun uusi haittaohjelma löydetään, on tarkoituksenmukaista saada se tutkituksi mahdollisimman nopeasti. Koska virustorjuntayhtiöt eri puolilla maailmaa löytävät saman kohteen suurin piirtein samaan aikaan ja koska virusvaroitus halutaan julkaista ripeästi, on nimikin keksittävä äkkiä.

Aikaa ei heti viruksen löydyttyä jää muiden yhtiöiden nimiehdotusten seuraamiseen, saati yhtenäisestä linjasta sopimiseen. Sen sijaan virustorjuntayhtiöillä on taipumus ajan mittaan päätyä pääpiirteissään samaan ratkaisuun.

Ongelmallista asetelmassa on tietysti se, että nimisuo on upottavin juuri silloin, kun vaarakin on kouriintuntuvin: heti uuden haittaohjelman ilmestyttyä. Juuri silloinhan virustorjuntaohjelman loppukäyttäjä näiden asioiden kanssa joutuu painimaan.

Yhden yhteisen nimen löytäminen olisi tärkeää jo siksikin, että varsinaisen nimensä mukaan haittaohjelma kuitenkin tunnetaan. Tiedotusvälineetkin käyttävät yleensä etu- ja jälkiliitteistä riisuttua versiota haittaohjelman nimestä.

Toki Code Redistä on helpompi puhua Code Redinä kuin vaikkapa Trojan.Win32.VirtualRootina, joka on yksi kyseisen, suurta vahinkoa aiheuttaneen tuholaisen nimistä.

Kehittyvät haittaohjelmat vaikeuttavat

Tätä nykyä sähköpostimatoja on hyvin helppo tehdä, ja niitä tehtaillaankin hurjalla vauhdilla. Lisäksi madot leviävät hyvin nopeasti tuhansiin, jopa miljooniin tietokoneisiin. Yhtenäisen nimen ongelma on tässä laajuudessaan vasta joitakin vuosia vanha.

- Nimeämisongelmaa ei ennen ollut, koska virukset eivät olleet niin yleisiä, eivätkä ne levinneet niin tehokkaasti kuin nykyisin. Ongelma on syntynyt sähköpostin kautta leviävien matojen myötä muutaman viime vuoden aikana, sanoo F-Securen Mikko Hyppönen.

Etuliitekäytännötkin ovat varsin kirjavia, mikä selittyy osittain virusten, troijalaisten ja matojen luokittelun vaikeudella. Uudet haittaohjelmat yhdistelevät ominaisuuksia siinä määrin, että usein syntyy tulkintaeroja siitä, miten tihulaista parhaiten voisi luonnehtia.

Viruskoodia tehdään myös eri käyttöjärjestelmäympäristöihin, mikä sekin vaikeuttaa etuliitteen keksimistä.

Ensin oli viruksia, jotka levisivät vain Windows 95:ssä. Etuliitteen määrittäminen oli helppoa: liite voitiin muodostaa esimerkiksi tyyliin W95/xxxxx.x. Sitten keksittiin haittaohjelmia, jotka toimivat Windows 95:n lisäksi versiossa 98, jolloin alettiin käyttää W32-etuliitettä.

- Entä sitten, kun löytyy 32- ja 64-bittisissä ympäristöissä leviäviä haittaohjelmia? Tai vaikka sellaisia, jotka on kirjoitettu .NET- ja PocketPC -ympäristöihin. Miten ne nimetään, Hyppönen kysyy.

Ei lupauksia paremmasta

Hyppönen ei löydä helppoa ratkaisua haittaohjelmien nimeämisongelmaan.

- Virusten torjunta on niin hektinen ala, ettei kukaan oikein ehdi miettiä, miten nimeämisasia tulisi hoitaa. Ei myöskään ole olemassa keinoja pakottaa ketään noudattamaan tiettyjä ohjeita, Hyppönen sanoo.

Hän lohduttaa loppukäyttäjää toteamalla, että tietoturvayhtiöt kyllä seuraavat toistensa tekemisiä ja ovat yhteydessä toisiinsa yhtenäisen linjan saavuttamiseksi.

Aikaa yhteisen sävelen löytäminen kuitenkin tapaa viedä; 90 prosenttia virustorjuntaa harjoittavista yrityksistä muuttaa haittaohjelmalle antamansa nimen vastaamaan muiden yhtiöiden omaksumaa linjaa - kuulemma viimeistään puolen vuoden kuluttua ensimmäisestä havainnosta.

Viruskuvauksiin liitetäänkin yleensä alias-listat, jotka kertovat, minkä nimen muut yhtiöt ovat tietylle haittaohjelmalle antaneet. Valitettavasti vain listat eivät kovinkaan usein ole kattavia. Esimerkiksi F-Securen viruskuvaus listaa vain kaksi muuta nimeä Fboundille. Trend Microlta aliaksia löytyy seitsemän ja Symantecilta kahdeksan.

Pitkä nimilista viruskuvauksessa ei tietenkään ole autuaaksitekevä asia, eikä se kerro tietoturvayhtiön paremmuudesta tai huonommuudesta. Kiireessä uuden madon nimeä jäljittävälle nimilistasta voi kuitenkin olla hyötyä.

Ainakin siihen asti, kunnes haittaohjelmille annetaan kullekin se yksi ja ainoa nimi. Sehän riittää.

Antti Kirves toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Yksi kuollut ja yhdeksän haavoittunut ammuskelussa Hyvinkäällä

• Intian rikkain perhe avasi kohukotinsa ovet Vanity Fairille
• Pitkämäen keihään vahingoittama Sdiri vie IAAF:n oikeuteen
• Afrikkalaisten maahanmuutto kiristää tunnelmia Tel Avivissa
• Tasmanian tuholaista pelastetaan sukupuutolta