Mikseivät kaikki koneet sitten ole saastuneita? Siksi, että haittaohjelman elinaika on vain muutamia tunteja. Seuraavana päivänä torjuntaohjelmat on jo päivitetty, mikä estää laajemman leviämisen. Haittaohjelmalla on vain muutaman tunnin aikaikkuna levitä ja tehdä vahinkoa. Rosvojen on tehtävä joka päivä uusia ohjelmia.
Mutta kuinka hyvin torjuntaohjelmat pysyvät virusten perässä? Osoitteessa virustotal.com on näppärä palvelu, joka analysoi sinne lähetetyn tiedoston yli 40 erilaisella torjuntaohjelmalla. Etsintäohjelmia päivitetään jatkuvasti, joten niistä pitäisi olla aina uusin versio.
Käytännön esimerkki: joulukuun 22. päivän aamulla sähköposti toi tyypillisen haittaohjelman. Kyseessä on päivän versio tutusta haittaohjelmasta, jota on levitetty postilla jo muutaman viikon ajan. Kun haittaohjelma on aivan tuore, vain harva etsintäohjelma löytää sen:
Complete scanning result of "Account_Update_Notification_12192011-37842.zip", processed in VirusTotal at 12/22/2011 09:09:05 (CET). [ file data ] * name..: Account_Update_Notification_12192011-37842.zip * size..: 194143 * md5...: f5bcdf16509cdcaf1f1aa65774c5a157 * sha1..: c587a12bfb830b032f9de88d13b8cafa59b71d62 * peid..: - [ scan result ] AhnLab-V3 2011.12.19.03/20111219 found nothing AntiVir 7.11.19.166/20111220 found nothing Antiy-AVL 2.0.3.7/20111220 found nothing Avast 6.0.1289.0/20111220 found nothing AVG 10.0.0.1190/20111220 found nothing BitDefender 7.2/20111220 found nothing ByteHero 1.0.0.1/20111207 found nothing CAT-QuickHeal 12.00/20111220 found nothing ClamAV 0.97.3.0/20111220 found nothing Commtouch 5.3.2.6/20111220 found nothing Comodo 11025/20111220 found nothing DrWeb 5.0.2.03300/20111220 found nothing Emsisoft 5.1.0.11/20111220 found nothing eSafe 7.0.17.0/20111220 found nothing eTrust-Vet 37.0.9638/20111221 found nothing F-Prot 4.6.5.141/20111219 found nothing F-Secure 9.0.16440.0/20111220 found nothing Fortinet 4.3.388.0/20111220 found nothing GData 22.312/22.592/20111220 found nothing Ikarus T3.1.1.109.0/20111220 found nothing Jiangmin 13.0.900/20111221 found nothing K7AntiVirus 9.119.5720/20111219 found nothing Kaspersky 9.0.0.837/20111222 found [Trojan-Dropper.Win32.Injector.anqn] McAfee 5.400.0.1158/20111220 found [Artemis!09707085EB98] McAfee-GW-Edition 2010.1E/20111221 found [Artemis!09707085EB98] Microsoft 1.7903/20111220 found nothing NOD32 6726/20111220 found nothing Norman 6.07.13/20111221 found nothing nProtect 2011-12-20.02/20111220 found nothing Panda 10.0.3.5/20111219 found nothing PCTools 8.0.0.5/20111222 found nothing Prevx 3.0/20111222 found nothing Rising 23.89.03.02/20111222 found nothing Sophos 4.72.0/20111220 found nothing SUPERAntiSpyware 4.40.0.1006/20111220 found nothing Symantec 20111.2.0.82/20111222 found [Trojan.Zbot] TheHacker 6.7.0.1.362/20111219 found nothing TrendMicro 9.500.0.1008/20111220 found nothing TrendMicro-HouseCall 9.500.0.1008/20111220 found nothing VBA32 3.12.16.4/20111220 found nothing VIPRE 11279/20111220 found nothing ViRobot 2011.12.20.4835/20111220 found nothing VirusBuster 14.1.125.0/20111220 found nothing
Kirjaa varten tein parin viikon seurannan 9.12. saapuneella, saman haitan toisella versiolla. Tunnettujen torjuntaohjelmien tietokannat päivittyivät vajaassa vuorokaudessa, mutta eräät vähemmän tunnetut ohjelmat eivät tunnista tuholaista vielä nytkään, kaksi viikkoa myöhemmin. Kirjaan tulee graafi, joka kuvaa torjuntaohjelmien päivittymistä.
Oleellista on tämä: mikään torjuntaohjelma ei anna täydellistä suojaa viruksia vastaan, sillä ne ovat aina muutaman ratkaisevan tunnin myöhässä. Kun etsintäohjelmat on saatu päivitettyä, virus on jo kuollut sukupuuttoon.
Siksi mikään ei voita omaa harkintaa ja varovaisuutta!
Jos saat epäilyttäviä tiedostoliitteitä ja käytät tunnettua torjuntaohjelmaa, älä avaa viestiä heti vaan odota seuraavaan päivään. Silloin on paljon todennäköisempää, että torjunta tunnistaa mahdollisen viruksen.
Selvää on, että reaktiivinen virustorjunta on kaikkea muuta kuin optimaalinen ratkaisu. Ongelmaan pitäisi puuttua proaktiivisin keinoin -- kun vain joku keksisi, mitä ne voisivat olla.
10 kommenttia:
Tässä tulikin todella mielenkiintoinen aihe näin pyhien aikana pohdittavaksi!
Heti yksi kysymys: Näin köyhänä eläkeläisenä ei ole varaa maksullisiin ohjelmiin ja niinpä koneellani on mm. Wordin sijaan OpenOffice,joka on liki sama,tiedostot saa jopa heti muutettua pdf-muotoon,kenties sama on Wordissakin,en tiedä tai muista enää?
Virustorjunnassa ja tästä kysymykseni,on niin ikään ilmainen Avast. Ovatko nämä ilmaiset jotenkin huonompia kuin maksulliset? Nortonhan on oletusarvoisesti koeajan uudella koneella ja siitä eroon pääseminen onkin temppu, tuskin ilman tarkoitusta vaikeaksi tehty. Poistettunakin se kummittelee edelleen aika-ajoin tehden "virustarkistuksen",jota en ole pyytänyt. Voivatko nämä jopa haitata toisiaan?
Toinen kysymys koskee sitä, voiko viruksen saada koneelleen,vaikkei avaa mitään tiedostoa? Muistan lukeneeni,että olisi kehitetty muuta tietäkin tarttuva virus tai mato?
Ja kolmas kysymys, mistä tiedän,onko koneellani virus,jos torjuntani ei sitä havaitse? Ymmärrän, että kone voi hidastua,jos virus käyttää sitä roskapostin lähettäjänä,mutta onko se ainoa ja varma indikaatio? Eikö operaattorin torjuntakin havaitse tuon?
Taas siis tulossa hankittavaksi uusi "must"-kirja,että pysyy ajassa, hyvä!
Veikkaan, että iso osa torjuntaohjelmista olisi pysäyttänyt haittaohjelman jos olisit yrittänyt ajaa sen. Valitettavasti Virustotalin kaltaiset järjestelmät eivät pysty kertomaan turvatuotteiden HIPS-ominaisuuksista yhtä helposti kuin staattisesta skannauksesta.
Mikko
PS. Haittaohjelmia tulee vielä sähköpostinkin kautta, mutta meidän tilastojemme mukaan webi on selkeä ykköslähde. Tällä hetkellä esim. Blackhole & Java Rhino -haavoittuvuus on hyvin yleinen.
Mikko... Mielipide meille Omena ihmisille. Onko syytä huoleen..
Mihin menee poistettu avaamaton sähköpostiviesti? Jääkö se ilmaissähköpostipalveluissa ao. palveluntarjoajan palvelimelle (esim. google.com)? Entä jääkö poistettuun viestiin yhteys siihen s-postiosoitteeseen, johon se lähetettiin?
Jos postia käytetään postiohjelmalla, meneekö avaamaton poistettu viesti oman koneen roskakoriin? Postiohjelmalla avattu viesti lienee jo tallentunut oman koneen kiintolevylle, joten kun sen poistaa, se jäänee roskakoriin?
Voiko haittaohjelman sisältävä sähköpostiviesti tehdä haittojaan vielä poistettunakin? Olen ymmärtänyt että mikään tietokoneelle talletettu ei poistaessa oikeasti tuhoudu, vain sen osoitetiedot tuhoutuvat niin että tavallinen tiedostonhakuohjelma ei enää löydä sitä.
Omenaanhan ei tarvita mitään virustorjuntaohjelmia, vai kui?
Hannu Tanskanen: yksi varteenotettava vaihtoehto olisi myös Linux-pohjainen käyttöjärjestelmä, rahaa säästyisi entistä enemmän, kun ei tarvitsisi maksaa Microsoftille Windows-lisenssiä ja Linux ei ole vieläkään saavuttanut virustehtailijoiden keskuudessa suurta suosiota, joten tietoturvaohjelmistojen kanssakaan ei tarvitse tuskailla. Tällä hetkellä Linux-järjestelmiä vastaan suunnitellut harvat haittaohjelmat ovat suunnattu lähinnä palvelimiin, eikä niistä ole vaaraa normaaleille Desktop-käyttäjille.
Virus voi tulla miltä tahansa www-sivulta, jos esimerkiksi selain tai Flash on jäänyt päivittämättä. Tämä kuitenkin edellyttää, että sivulle on murtauduttu ja haittaohjelma istutettu sinne. Riski on pieni, mutta tapauksia on ollut Suomessakin. Myös Java on riski, siksi Hyppösen ohje sen poistamisesta on paikallaan - ellei sitten käytä jotain sivustoa tai sovellusta, joka vaatii Javan asentamisen.
Riskin pienentämiseksi kannattaa huolehtia päivityksistä, välttää epäämäräisillä sivuilla surffaamista ja jättää tuntemattomat tiedostoliitteet avaamatta.
Mac-koneet ovat alkaneet kiinnostaa haittaohjelmien tekijöitä, mutta riski on vielä pieni. Uusissa Mac OS-versioissa on Applen oma toiminto, joka tarkistaa netistä ladattavat tiedostot. Katsaus Mac-haittaohjelmatilanteeseen löytyy esim. täältä.
@Linux ymmärtääkseni vaatii aikalailla alan ymmärtämistä,jonka omaksumiseen lienen jo liian vanha ja kun hankituissa läppäreissä joka tapauksessa on vakiona Win XP,kuten minulla,miksi lähtisin keksimään pyörää uudelleen?
Javaa tarvitsen mm. Sampopankin muita monimutkaisemmassa nettipankissani, se vaatii sen. Jos mahdollinen virus vain vakoilee konettani,siitä vaan,mutta jos kone toimii roskapostilähteenä tai sille tallentuu materiaalia,jota en halua (joku Tor´in tai I2P:n tapainen verkkohan ymmärtääkseni hajasijoittaa tietoja verkon koneille), se on jo vakavampaa ja ainakin hidastaa konettani.
Mutta,näin maallikon silmin,ei juuri päivää ilman uutta ongelmaa näillä tietokoneilla. Minulla mm. soittessani säännöllisesti viikottain Skypella Italiaan (tyttäreni asuu siellä)MSI U100:n (miniläppäri) kamera toimii noin joka toinen kerta ja kieltäytyy toimimasta joka toinen ilmoittaen, että joku ohjelma häiritsee sen toimintaa. Mitään muuta ohjelmaa ei kuitenkaan ole päällä. Vakoiluohjelma?
Pankkitietojenikaan vakoilu ei huoleta,jos joku vain näkee ne tililläni olevat 89 euroa 32 senttiä,koska kertakäyttö-salasanat sentään estävät pääsyn nostamaan niitä ;).
Monessa pilvispostissa on virustorjunta valmiina eli kannattaa olla pilvessä. Avira on hyvä ilmainen virustorjunta.
Lähetä kommentti