1. Yleistä viruksista - mikä on virus
Virus on ohjelma, joka pystyy kopiomaan itseään. [1]
Virukset
voidaan jakaa karkeasti kahteen ryhmään :
Yleisemmän ryhmän muodostavat makro-virukset ja toisen ryhmän
muodostavat ns. tavalliset
virukset eli ajettavat tiedosto-virukset.Näissä viruskategorioissa
on huomattava määrä
erilaistumista.
Tiedostoviruksissa
on stealth-viruksia, jotka osaavat piilottautua virus-skannereilta
päästyään muistiin, lisäksi on myös polymorfisia
viruksia, jotka puolestaan muuttavat
koodiaan joka tartuntakerta ja sitten on tavallisia EXE ja COM-infektoreita,
jotka eivät sisällä
kumpaakaan em. tekniikkaa. [1]
Tiedostovirukset aktivoituessaan jäävät muistinvaraisiksi
ohjelmiksi ja sitten ne kaappaavat
levyn luku- ja kirjoitusrutiinit hallintaansa, jonka jälkeen ne voivat
vapaasti kopioitua
halutessaan jokaiseen avattavaan tiedostoon.
Kaikki
virukset kuitenkin tarttuvat periaatteessa samalla tavalla. Jotta virus
voi aktivoitua,
pitää sen saada ulkoa päin jokin ärsyke. Makro-viruksilla
se on dokumentin avaaminen ja
tavallisilla viruksilla ohjelman ajaminen aktivoi viruksen. [1]
2. Mistä virukset leviävät järjestelmään ?
Yleisin
virusten leviämisreitti tänä päivänä on sähköposti.
Sen tiedostoliitteinä
leviävät etenkin makrovirukset huomattavalla nopeudella. Muita
yleisiä reittejä ovat
käyttäjien CD:t ja levykkeet, esim. pelit, yms. kotoa tuotu data.
Usein viruksia tulee
järjestelmään myös FTP- ja WWW-palvelimilta siirrettyistä
tiedostoista sekä Java- ja
ActiveX-applettien muodossa. [2]
3. Millä torjua viruksia ?
Viruksien
torjuntaan on kehitetty toista kymmentä torjuntaohjelmaa, joista tunnetuimmat
lienevät McAfeen VirusScan, Data-Fellows:in F-Prot, Nortonin Anti-Virus
ja Dr Solomonin
Antivirus Toolkit. Markkinoilla on muitakin virusskannereita, kuten
Inoculan Cheyeneltä,
IBM:n antivirus ja muutamia muita.
Näitä
virustentorjuntaohjelmia on kehitetty lähes kaikille mahdollisille
laitealustoille lähtien
MS-DOS:ista ja päättyen HP-UX:ään ja Notesiin. Nykyisin
on vallassa hajautettu torjunta
malli, jossa viruksia pyritään blokkaamaan kaikista mahdollisista
tunkeutumiskohdista
erikoistuneella ohjelmistolla jokaisessa tapauksessa. Tästä esimerkkinä
McAfeen malli, jossa
Netshield [3] on tarkoitettu palvelimelle, VirusScan
työasemaan, WebScanX työasemaan
tarkistamaan internet-liikennettä ja mahdollisesti vielä WebShield
Internet yhdyskäytävään
tarkistamaan Internet-liikenteen.
4. Sähköposti - ongelma skannereille
Sähköposti
muodostuu skannereille ongelmaksi heti, kun postiohjelma ja postitoimisto
käyttävät omaa viestin koodausmuotoa. Tämä johtuu
siitä, että skannerit operoivat nk.
tunnisteiden varassa - ne ovat kuin jokaisen viruksen yksilöllisiä
sormenjälkiä, joita skannerit
etsivät tiedostoista. Kun tartunnan saanut tiedosto koodataan sähköpostin
liitteeksi, häviävät
nämä jäljet koodin sisään, eivätkä virus-skannerit
voi havaita viruksia enää. Tähän on
kehitelty ratkaisuja joihinkin ympäristöihin, kuten Lotus Notesiin,
johon mm. McAfee ja
Solomon ovat rakentaneet Notes-järjestelmän sisällä
toimivan skannerin. [4,5,6]
5. Mitä tehdä, kun löytyy virus
Älä hätäile ! Ota vaikka kuppi kahvia, soita tukihenkilöllesi
ja ilmoita löydöksestäsi ja jää
odottamaan lisäohjeita. Älä missään nimessä
tuhoa, formatoi tai tee mitään muutakaan
hätiköityä. Suuri osa “virusten” aiheuttamista vahingoista
ovat hätääntyneen käyttäjän
epähuomiossa tekemiä tuhoja. [1,7]
Jos
nyt kuitenkin on niin, että sinulla ei ole omaa tukihenkilöä,
niin otappa vaikka toinen
kuppi kahvia ja käy tarkistamassa yleisiä siivousohjeita sivuilta
[1,8,9,10]
ja ala rauhallisesti
ottamaan selvää mikä sinun konettasi mahtaa vaivata. Jos
sinulla on olemassa virus-skanneri,
niin suorita puhdas uudelleen käynnistys esim. MS-DOS:in asennuslevykkeellä
ja tämän jälkeen
aja tarkistus omaamallasi skannerilla. Jos sinulla ei ole tarkistusohjelmaa,
niin sellaisen saa
koekäyttöön ilmaiseksi useimmilta skannerien valmistajien
kotisivuilta ja BBS:istä. Käytä
tähän muuhun aktiviteettiin mieluummin muuta konetta, kuin sitä
joka on infektoitunut.
Mitä tehdä ja missä järjestyksessä :
1.
Varmista viruksen olemassa olo ennenkuin teet mitään muuta. Tällä
suljetaan väärien hälytysten
mahdollisuus.
2. Eristä virus niin hyvin, kuin mahdollista. Tällöin voit
myöhemmin jäljittää sen saapumis reitin ja
jos kyseessä on uusi virus, niin voit lähettää sen
analysoitavaksi jollekin skannereiden valmistajista.
3. Ilmoita yrityksesi ATK kriisiryhmälle, jos talossasi on sellainen.
4. Tämän jälkeen odota lisäohjeita ja aloita koneen
putsaaminen
5. Jos joudut poistumaan koneen luota – Jätä lappu, jossa varoitetaan
viruksesta
6. Pyri tallentamaan mahdollisimman paljon avoinna olevia tiedostojasi.
Jos kone on mennyt jumiin,
niin sulje se ja anna olla kunnes olet saanut aikaan puhtaan käynnistyslevykkeen
ja skannerilevykkeen.
7. Käynnistä koneesi pyhtaalta käynnistyslevykkeltä
8. Kun kone on käynnissä on aika käynnistää levykkeellä
oleva virusskannerisi ja suorittaa
Perusteellinen tarkistus koneellesi. Tämä tapahtuu esim. F-Protissa
komennolla A:\F-PROT /HARD
/DISINF /AUTO /REPORT=C:\FP.REP
9. Kun olet saanut koneen puhdistettua, käynnistä kone kovalevylta
ja aja uusinta tarkistus koneelle.
Näin varmistat, että skannerisi on todella puhdistanut koneesi
viruksista.
10. Tämän jälkeen etsi käsiisi kaikki levykkeet, varmistus
nauhat, yms. mihin virus on mahdollisesti
voinut tarttua. Haastattele käyttäjää ja pyri saamaan
mahdollisimman kuva viruksen ilmenemisestä ja
saapumistavasta. Pyri saamaan selville myös muut mahdolliset vastaanottajat,
joille virus on voinut levitä
esim. sähköpostin kautta.
11. Ilmoita kaikille mahdollisille vastaanottajille virusuhasta.
12. Lopuksi tee tarkka raportti tapahtuneesta ja toimenpide ehdotukset
vastaavan tilanteen välttämiseksi.
[8,9,11]
6. Erityistä huomioitavaa verkotetussa ympäristössä
Verkotettu
ympäristö aiheuttaa omat erikois vaatimuksensa virustorjuntaan.
Tässä muutamia perusperiaatteita :
1. Suojaa työasemat, koska työntekijät ovat yksi suurimmista
virusten
välittäjistä yrityksissä
2. Suojaa sähköposti - Sähköpostin tiedostoliitteinä
leviävät makrovirukset
ja mikseivät tavallisetkin virukset ovat tämän hetken nopeimmin
leviävä
virustyyppi. [1]
3. Suojaa palvelimen levyt - Etenkin UNIX-ympäristöissä
on usein serverillä
uinuva "viruspommi", kun virukset eivät aktivoisu unix-ympäristössä,
niin
ne odottavat serverillä vain sitä päivää, kun
joku erehtyy ajamaan ko.
viruksen työasemassaan. [1]
4. Suojaa Internet-liikenteesi ja yhdyskäytäväsi - Internetistä
tulee huomattava
määrä sähköpostia ja tiedostoliitteitä, eikä
viestien alkuperäkään ole aina
todennettavissa. Lisäksi sieltä valuu koneellesi ihan huomaamatta
Java- ja
ActiveX-appletteja, jotka voivat nuuskia konettasi ja kerätä
sinusta tietoa
kolmannelle osapuolelle. Lisäksi nämä voivat myös joissain
tapauksissa tuhota
tiedostojasikin. [4,12]
5. Yrityksessä pitää olla selkeä ohjesääntö virustarkistusta varten. [1,13]
6. Yrityksen virusten torjunnan pitää olla keskitettyä,
ylläpidettyä ja valvottua.
7. Verkossa virukset leviävät salaman nopeasti – tämän
takia pitää kaikki skannerit olla ajan
tasalla.
Lähteitä :
[1] Dr Solomon - What to do when infected : (****)
<http://www.drsolomon.com/vircen/vanalyse/va002.html
>
[2] Dr Solomon - Viruses and the Internet : (**)
<http://www.drsolomon.com/vircen/vanalyse/virint.html
>
[3] McAfee Associates - Product Catalog - NetShield
: (*)
<http://www.mcafee.com/prod/av/netshnt.asp
>
[4] McAfee Associates – VirusScan Seciruty Suite
(*)
<http://www.mcafee.com/prod/av/vss.asp
>
[5] McAfee Associates – GroupWare Scanners (*)
<http://www.mcafee.com/prod/av/groupware.asp
>
[6] Dr Solomon – Scanner for Lotus Domino (*)
<http://www.drsolomon.com/products/domino/ps_ldom.html
>
[7] Dr Solomon - Don't Panic : (**)
<http://www.drsolomon.com/vircen/dpanic.html
>
[8] DataFellows - What to do when infected : (**)
<http://www.datafellows.fi/f-prot/support/infected.htm
>
[9] IBM Antivirus Online - What to do when infected
: (****)
<http://www.av.ibm.com/IBMAntiVirus/Help/
>
[10] Cheyenne - If You find a virus by David J.
Stang, Ph.D. ©1996
Seven Locks Software, Inc.(***)
<http://www.cheyenne.com/virusinfo/whenfind.html
>
[11] IBM Antivirus Online - Check List : (**)
<http://www.av.ibm.com/IBMAntiVirus/Checklist/
>
[12] Dr Solomon – Java, ActiveX and the Virus threath
(**)
<http://www.drsolomon.com/vircen/vanalyse/java.html>
[13] Cheyenne - Virus Prevention Policies by
David J. Stang, Ph.D. ©1996
Seven Locks Software, Inc.: (****)
<http://www.cheyenne.com/virusinfo/vpolicy.html>
(Lähteet, joihin ei ole merkitty päivämäärää ovat oletettavasti luotu vuoden 1997 aikana, mutta tätä ei voitu varmistaa useimmissa tapauksissa.)
Muita aiheeseen liittyviä linkkejä :
McAfee Associates - Pääsivu : (**)
<http://www.mcafee.com >
McAfee Associates - Virus Info Library : (****)
<http://www.mcafee.com/support/techdocs/vinfo/
>
McAfee Associates - Technical Documents : (**)
<http://www.mcafee.com/support/techdocs/vinfo/f_3.asp
>
DataFellows - Pääsivu : (****)
<http://www.datafellows.fi >
DataFellows - Virus Info Library : (****)
<http://www.datafellows.fi/vir-info/
>
IBM Antivirus - Pääsivu : (**)
<http://www.av.ibm.com/current/FrontPage/
>
Dr Solomon - Pääsivu : (**)
<http://www.drsolomon.com/home/home.cfm
>
Dr Solomon - Product Catalog : (*)
<http://www.drsolomon.com/products/index.cfm
>
Cheyenne - Pääsivu : (**)
<http://www.cheyenne.com/ >
Cheyenne - Virus Information Center : (***)
<http://www.cheyenne.com/virusinfo/
>
Cheyenne - Choosing Anti-Virus Software : (**)
<http://www.cheyenne.com/virusinfo/wpchoo3.html
>
Virus Bulletin - Virusten esiintyvyys : (*)
<http://www.virusbtn.com/Prevalence/
>
Virus Bulletin - Virus skannereiden vertailutestejä
(*)
<http://www.virusbtn.com/Comparatives/
>
Symantech Corp. – Antivirus Rechearch Center (*)
<http://www.symantec.com/avcenter/
>