lauantai 24. joulukuuta 2011

Virustorjunta... found nothing

Olen testannut tekeillä olevaa tietoturva-aiheista kirjaa varten virustorjuntaa käytännössä. Kuten hyvin tiedetään, haittaohjelmien määrä kasvaa räjähdysmäisesti. Joka päivä löydetään tuhansia uusia haittaohjelmia.

Mikseivät kaikki koneet sitten ole saastuneita? Siksi, että haittaohjelman elinaika on vain muutamia tunteja. Seuraavana päivänä torjuntaohjelmat on jo päivitetty, mikä estää laajemman leviämisen. Haittaohjelmalla on vain muutaman tunnin aikaikkuna levitä ja tehdä vahinkoa. Rosvojen on tehtävä joka päivä uusia ohjelmia.

Mutta kuinka hyvin torjuntaohjelmat pysyvät virusten perässä? Osoitteessa virustotal.com on näppärä palvelu, joka analysoi sinne lähetetyn tiedoston yli 40 erilaisella torjuntaohjelmalla. Etsintäohjelmia päivitetään jatkuvasti, joten niistä pitäisi olla aina uusin versio.

Käytännön esimerkki: joulukuun 22. päivän aamulla sähköposti toi tyypillisen haittaohjelman. Kyseessä on päivän versio tutusta haittaohjelmasta, jota on levitetty postilla jo muutaman viikon ajan. Kun haittaohjelma on aivan tuore, vain harva etsintäohjelma löytää sen:

Complete scanning result of "Account_Update_Notification_12192011-37842.zip", processed in VirusTotal at 12/22/2011 09:09:05 (CET).

[ file data ]
* name..: Account_Update_Notification_12192011-37842.zip
* size..: 194143
* md5...: f5bcdf16509cdcaf1f1aa65774c5a157
* sha1..: c587a12bfb830b032f9de88d13b8cafa59b71d62
* peid..: -

[ scan result ]
AhnLab-V3 2011.12.19.03/20111219 found nothing
AntiVir 7.11.19.166/20111220 found nothing
Antiy-AVL 2.0.3.7/20111220 found nothing
Avast 6.0.1289.0/20111220 found nothing
AVG 10.0.0.1190/20111220 found nothing
BitDefender 7.2/20111220 found nothing
ByteHero 1.0.0.1/20111207 found nothing
CAT-QuickHeal 12.00/20111220 found nothing
ClamAV 0.97.3.0/20111220 found nothing
Commtouch 5.3.2.6/20111220 found nothing
Comodo 11025/20111220 found nothing
DrWeb 5.0.2.03300/20111220 found nothing
Emsisoft 5.1.0.11/20111220 found nothing
eSafe 7.0.17.0/20111220 found nothing
eTrust-Vet 37.0.9638/20111221 found nothing
F-Prot 4.6.5.141/20111219 found nothing
F-Secure 9.0.16440.0/20111220 found nothing
Fortinet 4.3.388.0/20111220 found nothing
GData 22.312/22.592/20111220 found nothing
Ikarus T3.1.1.109.0/20111220 found nothing
Jiangmin 13.0.900/20111221 found nothing
K7AntiVirus 9.119.5720/20111219 found nothing
Kaspersky 9.0.0.837/20111222 found [Trojan-Dropper.Win32.Injector.anqn]
McAfee 5.400.0.1158/20111220 found [Artemis!09707085EB98]
McAfee-GW-Edition 2010.1E/20111221 found [Artemis!09707085EB98]
Microsoft 1.7903/20111220 found nothing
NOD32 6726/20111220 found nothing
Norman 6.07.13/20111221 found nothing
nProtect 2011-12-20.02/20111220 found nothing
Panda 10.0.3.5/20111219 found nothing
PCTools 8.0.0.5/20111222 found nothing
Prevx 3.0/20111222 found nothing
Rising 23.89.03.02/20111222 found nothing
Sophos 4.72.0/20111220 found nothing
SUPERAntiSpyware 4.40.0.1006/20111220 found nothing
Symantec 20111.2.0.82/20111222 found [Trojan.Zbot]
TheHacker 6.7.0.1.362/20111219 found nothing
TrendMicro 9.500.0.1008/20111220 found nothing
TrendMicro-HouseCall 9.500.0.1008/20111220 found nothing
VBA32 3.12.16.4/20111220 found nothing
VIPRE 11279/20111220 found nothing
ViRobot 2011.12.20.4835/20111220 found nothing
VirusBuster 14.1.125.0/20111220 found nothing

Kirjaa varten tein parin viikon seurannan 9.12. saapuneella, saman haitan toisella versiolla. Tunnettujen torjuntaohjelmien tietokannat päivittyivät vajaassa vuorokaudessa, mutta eräät vähemmän tunnetut ohjelmat eivät tunnista tuholaista vielä nytkään, kaksi viikkoa myöhemmin. Kirjaan tulee graafi, joka kuvaa torjuntaohjelmien päivittymistä.

Oleellista on tämä: mikään torjuntaohjelma ei anna täydellistä suojaa viruksia vastaan, sillä ne ovat aina muutaman ratkaisevan tunnin myöhässä. Kun etsintäohjelmat on saatu päivitettyä, virus on jo kuollut sukupuuttoon.

Siksi mikään ei voita omaa harkintaa ja varovaisuutta!

Jos saat epäilyttäviä tiedostoliitteitä ja käytät tunnettua torjuntaohjelmaa, älä avaa viestiä heti vaan odota seuraavaan päivään. Silloin on paljon todennäköisempää, että torjunta tunnistaa mahdollisen viruksen.

Selvää on, että reaktiivinen virustorjunta on kaikkea muuta kuin optimaalinen ratkaisu. Ongelmaan pitäisi puuttua proaktiivisin keinoin -- kun vain joku keksisi, mitä ne voisivat olla.

10 kommenttia:

Hannu Tanskanen kirjoitti...

Tässä tulikin todella mielenkiintoinen aihe näin pyhien aikana pohdittavaksi!

Heti yksi kysymys: Näin köyhänä eläkeläisenä ei ole varaa maksullisiin ohjelmiin ja niinpä koneellani on mm. Wordin sijaan OpenOffice,joka on liki sama,tiedostot saa jopa heti muutettua pdf-muotoon,kenties sama on Wordissakin,en tiedä tai muista enää?

Virustorjunnassa ja tästä kysymykseni,on niin ikään ilmainen Avast. Ovatko nämä ilmaiset jotenkin huonompia kuin maksulliset? Nortonhan on oletusarvoisesti koeajan uudella koneella ja siitä eroon pääseminen onkin temppu, tuskin ilman tarkoitusta vaikeaksi tehty. Poistettunakin se kummittelee edelleen aika-ajoin tehden "virustarkistuksen",jota en ole pyytänyt. Voivatko nämä jopa haitata toisiaan?

Toinen kysymys koskee sitä, voiko viruksen saada koneelleen,vaikkei avaa mitään tiedostoa? Muistan lukeneeni,että olisi kehitetty muuta tietäkin tarttuva virus tai mato?

Ja kolmas kysymys, mistä tiedän,onko koneellani virus,jos torjuntani ei sitä havaitse? Ymmärrän, että kone voi hidastua,jos virus käyttää sitä roskapostin lähettäjänä,mutta onko se ainoa ja varma indikaatio? Eikö operaattorin torjuntakin havaitse tuon?

Taas siis tulossa hankittavaksi uusi "must"-kirja,että pysyy ajassa, hyvä!

Mikko Hyppönen kirjoitti...

Veikkaan, että iso osa torjuntaohjelmista olisi pysäyttänyt haittaohjelman jos olisit yrittänyt ajaa sen. Valitettavasti Virustotalin kaltaiset järjestelmät eivät pysty kertomaan turvatuotteiden HIPS-ominaisuuksista yhtä helposti kuin staattisesta skannauksesta.

Mikko

PS. Haittaohjelmia tulee vielä sähköpostinkin kautta, mutta meidän tilastojemme mukaan webi on selkeä ykköslähde. Tällä hetkellä esim. Blackhole & Java Rhino -haavoittuvuus on hyvin yleinen.

Jouni kirjoitti...
Kirjoittaja on poistanut tämän kommentin.
Jouni kirjoitti...

Mikko... Mielipide meille Omena ihmisille. Onko syytä huoleen..

Anna-Liisa kirjoitti...

Mihin menee poistettu avaamaton sähköpostiviesti? Jääkö se ilmaissähköpostipalveluissa ao. palveluntarjoajan palvelimelle (esim. google.com)? Entä jääkö poistettuun viestiin yhteys siihen s-postiosoitteeseen, johon se lähetettiin?

Jos postia käytetään postiohjelmalla, meneekö avaamaton poistettu viesti oman koneen roskakoriin? Postiohjelmalla avattu viesti lienee jo tallentunut oman koneen kiintolevylle, joten kun sen poistaa, se jäänee roskakoriin?

Voiko haittaohjelman sisältävä sähköpostiviesti tehdä haittojaan vielä poistettunakin? Olen ymmärtänyt että mikään tietokoneelle talletettu ei poistaessa oikeasti tuhoudu, vain sen osoitetiedot tuhoutuvat niin että tavallinen tiedostonhakuohjelma ei enää löydä sitä.

Anonyymi kirjoitti...

Omenaanhan ei tarvita mitään virustorjuntaohjelmia, vai kui?

Anonyymi kirjoitti...

Hannu Tanskanen: yksi varteenotettava vaihtoehto olisi myös Linux-pohjainen käyttöjärjestelmä, rahaa säästyisi entistä enemmän, kun ei tarvitsisi maksaa Microsoftille Windows-lisenssiä ja Linux ei ole vieläkään saavuttanut virustehtailijoiden keskuudessa suurta suosiota, joten tietoturvaohjelmistojen kanssakaan ei tarvitse tuskailla. Tällä hetkellä Linux-järjestelmiä vastaan suunnitellut harvat haittaohjelmat ovat suunnattu lähinnä palvelimiin, eikä niistä ole vaaraa normaaleille Desktop-käyttäjille.

Petteri Järvinen kirjoitti...

Virus voi tulla miltä tahansa www-sivulta, jos esimerkiksi selain tai Flash on jäänyt päivittämättä. Tämä kuitenkin edellyttää, että sivulle on murtauduttu ja haittaohjelma istutettu sinne. Riski on pieni, mutta tapauksia on ollut Suomessakin. Myös Java on riski, siksi Hyppösen ohje sen poistamisesta on paikallaan - ellei sitten käytä jotain sivustoa tai sovellusta, joka vaatii Javan asentamisen.

Riskin pienentämiseksi kannattaa huolehtia päivityksistä, välttää epäämäräisillä sivuilla surffaamista ja jättää tuntemattomat tiedostoliitteet avaamatta.

Mac-koneet ovat alkaneet kiinnostaa haittaohjelmien tekijöitä, mutta riski on vielä pieni. Uusissa Mac OS-versioissa on Applen oma toiminto, joka tarkistaa netistä ladattavat tiedostot. Katsaus Mac-haittaohjelmatilanteeseen löytyy esim. täältä.

Hannu Tanskanen kirjoitti...

@Linux ymmärtääkseni vaatii aikalailla alan ymmärtämistä,jonka omaksumiseen lienen jo liian vanha ja kun hankituissa läppäreissä joka tapauksessa on vakiona Win XP,kuten minulla,miksi lähtisin keksimään pyörää uudelleen?

Javaa tarvitsen mm. Sampopankin muita monimutkaisemmassa nettipankissani, se vaatii sen. Jos mahdollinen virus vain vakoilee konettani,siitä vaan,mutta jos kone toimii roskapostilähteenä tai sille tallentuu materiaalia,jota en halua (joku Tor´in tai I2P:n tapainen verkkohan ymmärtääkseni hajasijoittaa tietoja verkon koneille), se on jo vakavampaa ja ainakin hidastaa konettani.

Mutta,näin maallikon silmin,ei juuri päivää ilman uutta ongelmaa näillä tietokoneilla. Minulla mm. soittessani säännöllisesti viikottain Skypella Italiaan (tyttäreni asuu siellä)MSI U100:n (miniläppäri) kamera toimii noin joka toinen kerta ja kieltäytyy toimimasta joka toinen ilmoittaen, että joku ohjelma häiritsee sen toimintaa. Mitään muuta ohjelmaa ei kuitenkaan ole päällä. Vakoiluohjelma?

Pankkitietojenikaan vakoilu ei huoleta,jos joku vain näkee ne tililläni olevat 89 euroa 32 senttiä,koska kertakäyttö-salasanat sentään estävät pääsyn nostamaan niitä ;).

Pilvi kirjoitti...

Monessa pilvispostissa on virustorjunta valmiina eli kannattaa olla pilvessä. Avira on hyvä ilmainen virustorjunta.