TIETOKONEVIRUKSET

Kyse on tietokoneohjelmista jotka on ohjelmoitu käyttäytymään luonnollisten virusten tapaan. Ne lisääntyvät, leviävät tietokoneesta toiseen ja tuottavat harmia niin mikroille kuin niiden käyttäjillekin. Virukset muodostavat kuitenkin vain pienen osan erillisistä vahingollisista ohjelmista. Vahingon takana voi yhtä hyvin olla viaton ohjelmointi virhe tai TROIJAN HEVONEN. Missä virus on ohjelmoitu levittämään itsestään kopioita toisiin koneisiin, kun taas Troijan hevonen ei leviää itsestään toisiin koneisiin vaan rajaa tuhonsa sen imuroineeseen koneeseen. Viruksen leviäminen tapahtuu kolmessa vaiheessa. Ensimmäinen vaihe on tarttumisvaihe, jonka aikana virus pujahtaa uuteen tietokoneeseen ja piiloutuu sinne. Toinen vaihe on lisääntymisvaihe, jonka aikana virus pyrkii levittämään itsestään kopioita muihin koneisiin. Kolmannessa vaiheessa virus aktivoituu. Mikroista löydetyt virukset on jaettu kolmeen ryhmään niiden leviämistavan mukaan: Ensimmäisen ryhmän muodostavat tiedostovirukset, jotka leviävät koneesta toiseen ohjelmatiedostojen mukana. Tiedostovirukset voivat levitä koneesta toiseen ohjelmatiedostojen mukana lähiverkon tai modeemiyhteyden välityksellä. Toisen ryhmän muodostavat levykevirukset, jotka piiloutuvat levyn alueille joilla normaalisti sijaitsee vain käyttöjärjestelmän omaa tietoa. Leviäminen on mahdollista vain levykkeiden välityksellä. Kolmannen ryhmän, ja samalla pienimmän, muodostavat sovellusohjelmien virukset. Nämä virukset leviävät ainoastaan sovellusohjelman välityksellä, koska virukset on tehty sovellusohjelman omalla makro- tai ohjelmointikielellä ja ovat piiloutuneina sen työtiedostoissa.

Kukaan ei tarkkaan tiedä montako erilaista tietokonevirusta on olemassa. Kokonaan uuden viruksen kehittäminen on vaikeata. Helpommalla pääsee kun ottaa kiinni jonkin olemassa olevan viruksen, tekee siihen hieman muutoksia ja pistää viruksen eteenpäin. Määrällisesti eniten viruksia löytyy pc-koneille, mutta arviot vaihtelevat suuresti. Usein on vaikea erottaa milloin on kyseessä uusi virus ja milloin taas jonkin vanhan viruksen muunnos. Niiden alkuperää on myös usein mahdotonta jäljittää koska ne leviävät niin nopeasti koneesta toiseen. Kuka tahansa harrastaja voi soittaa modeemin välityksellä lähes minne tahansa maapallolla ja siirtää itselleen linjaa pitkin ohjelmia. Suurin uhka tämän hetken mikron käyttäjille ovat makrovirukset, tämän tyyppinen virus käyttää sovellusohjelman omaa makrokieltä sulautuen ohjelmaan. Vaarallista tässä on sen vaikea havaitseminen ja kyky ottaa sovellusohjelman eri funktioita haltuun. Esimerkiksi virus ottaa save-funktion haltuun, ja aina kun käyttäjä tallentaa tiedoston, kopioi virus itsensä siihen. Tämän tyyppinen virus on tällä asteella, nopeimmin leviävä ja vaikeimmin löydettävä virus tällä hetkellä. Miksi viruksia sitten tehdään? Viruksen tekeminen on äärimmäisen vaativa ja monimutkainen prosessi. Siis miksi tuhlata aikaansa virusten tekoon? Suurin viruksia laativa ryhmä lienevät 15-25 -vuotiaat pojat. Viruksia tehdään koska halutaan nähdä miten ne toimivat. Tämä selittää sen, miksi niin monet virukset tuottavat erilaisia jekkuja tai piloja yrittämättäkään tehdä varsinaista vahinkoa.

Virusten torjunta muodostaa sodan, jossa osapuolina ovat virusten ja niiden torjuntaohjelmien tekijät. Nykyisin tunnettujen virusten määrä lähes millä tavalla tahansa laskien liikkuu kymmenissä tuhansissa, joten tunnistettujen virusten määrällä ei ole itseisarvoa. Aina, kun toinen osapuoli keksii jotain uutta, toinen vastaa siihen samalla mitalla. Emme tule näkemään tappajaviruksia, jotka leviäisivät kautta maailman tiedostoja tuhoten ja tehden torjunta- ja etsintäohjelmat tehottomiksi. Emme tule myöskään näkemään lopullista torjuntaohjelmaa, joka etsisi ja tuhoaisi kaikki nykyiset ja tulevat virukset yhdellä kertaa. Realistista olisi jatkuvasti internetistä itseään uudistava viruksen etsintä-ohjelma jolla olisi eniten tunnettuja viruksia muistissaan. Mutta tunnettujen virusten kokonaismäärä ei ratkaise, sillä paljon tärkeämpää on se, tunnistaako ohjelma hyvin kaikki kymmenen tai korkeintaan sata yleisintä virusta jotka aiheuttavat valtaosan tartunnoista ja ongelmista juuri kyseisellä ajanjaksolla.

Maaliskuussa 1990 Ph.D., M.D. Peter Tippett, yksi suojausohjelmiin erikoistuneen Foundation Ware-yrityksen perustajista ja sen pääjohtaja, piti esityksen, jossa hän arvioi, että tietokoneviruksista koituisi 5-10 miljardin dollarin taloudelliset menetykset. Hän perusteli laskelmiaan havaittujen virusten määrällä ja matemaattisilla malleilla, jotka kuvaavat virusten leviämistä mikronkäyttäjien rajoitetussa populaatiossa. Laskelmat näyttävät vakuuttavilta, mutta ne eivät voi ennustaa, miten moni viruksista aiheuttaa todellista vahinkoa, tai sitä, miten tavalliset käyttäjät reagoivat viruksiin. Lisääntynyt puhe viruksista ja torjuntaohjelmien leviäminen nostavat käyttäjien valppautta ja yhä useampi virus saadaan ajoissa kiinni. Tästä on osoituksena monta konkreettista esimerkkiä, kuten AIDS-Troijalaisen ja love-letterin saama maailmanlaajuinen huomio. On silti luonnollista että, torjuntaohjelmien valmistaja haluaa antaa viruksista uhkaavan kuvan. Virus saattaa tuhota yrityksessä monta kovalevyä ennen kuin osaa edes epäillä että virus olisi asialla. Tietokoneeseen ilmaantuneet ongelmat menevät helposti vanhojen ongelmien piikkiin, kun asiasta (tietokoneen toimintatavasta) ei ole tarpeeksi tietoa. Koska läheskään kaikki virukset eivät aiheuta varsinaista tuhoa, ne voivat levitä hyvinkin laajalle ennen kuin kukaan edes huomaa mitään poikkeuksellista.

Henkilöt, jotka vastaavat virusten torjunnasta, käyttävät yleensä vain virusten etsintään tarkoitettuja ohjelmia. Ne löytävät kyllä vanhat, tiedossa olevat virukset, mutta eivät tiedä uusista mitään. Tälläkin hetkellä liikkuu maailmalla useita viruksia eri koneissa, eri paikoissa, joita kukaan ei ole vielä huomannut. Virukset kehittyvät ja oppivat piiloutumaan paremmin ja paremmin. Oikein tehty virus pystyy huijaamaan mitä tahansa etsintäohjelmaa, mutta vain silloin kun se on aktiivisena. Jos kone käynnistetään puhtaalla DOS-levykkeellä, paljastuu virus väistämättä. Tämän takia pystytään jokaista virusta vastaan kehittämään oma etsintä- ja puhdistusohjelma. Vaikeinta on kuitenkin viruksen löytäminen ja sen tunnistaminen, ennen kuin sitä voidaan tutkia.

Pahin mahdollinen seuraus yritykselle joka ei ole valmistautunut virus hyökkäystä vastaan on sellainen, jossa yritys tartuttaa viruksen tietämättä eteenpäin asiakkailleen. Virus esimerkiksi saastuttaa yrityksen tuotteen/palvelun jota se tarjoaa asiakkailleen, muuntelee spesifikaatioita, hintoja tai muita lukuja. Kun asiakkaat ovat saaneet virus tartunnan, levittävät ne edelleen tietämättään virusta jne.. Kun virus lopulta löydetään, on se ehtinyt tehdä tuhonsa jo; mahdollisesti tuhansien ihmisten kannalta tärkeää dataa eri puolilta maata tai maailmaa on muunneltu, tai pyyhitty pois kokonaan. Osa tiedostoista pystytään ehkä palauttamaan, loput pitää tehdä uusiksi. Tämä jo pelkästään maksaa paljon rahaa yritykselle, ulkopuolisten konsulttien palveluksista, joilla korjataan jo tapahtunutta vahinkoa ja estetään viruksen uudelleen pääsy yritykseen. Lisää pitkä- aikaisia kustannuksia tulee siitä kun luottamus ihmisten välillä ja yritysten välillä vähenee.

Viruksilta suojautuminen on periaatteessa hyvin yksinkertaista ja halpaa, ei tarvitse ostaa montaa erilaista virusten torjuntaohjelmaa. Bootsector - viruksen leviäminen estetään yrityksessä oikeilla tietokone asetuksilla. Työntekijöitä valistetaan viruksista, ja varmistetaan että sähköpostin mukana tulevat liitteet (joihin virus todennäköisesti on tarttunut kiinni) eivät pääse käyttäjälle asti avattavaksi. Tämä varmistetaan yrityksen palomuurilla, joka päästää läpi vain ylläpidon hyväksymät liitetiedostot tai mailgateway tuotteella joka pystyy pysäyttämään tämänkaltaisen uhan.

Tekijät:

Olli Tuominen otuomine@cc.hut.fi

Johdanto

Roope Suomalainen roope.suomalainen@hut.fi

Langattomat ja suojautuminen

Pekka Kuismanen pkuisman@cc.hut.fi

Virustyypit

Tämä sivu on tehty Teletekniikan perusteet -kurssin harjoitustyönä.
Sivua on viimeksi päivitetty 08.12.2000 13:40
URL: http://www.netlab.tkk.fi/opetus/s38118/s00/tyot/72/index.shtml