31.08.2007 18:12

Madot ja makrot – sähköpostin uhkat ja niiltä suojautuminen

Sähköposti on monille ihmisille nykyään todellinen elinehto. Yhteydenpito ja työasiat olisivat monille mahdottomia, mikäli heillä ei olisi mahdollisuutta sähköpostiin. Tämä on huomattu myös vähemmän rehellisissä piireissä, jotka ottavat häikäilemättä hyödyn irti sähköpostin arkipäiväisestä luonteesta.

Tavallinen sähköpostittaja voi joutua monenlaisen hyökkäyksen kohteeksi, mutta ei syytä huoleen. Kaikki sähköpostin kautta leviävät riesat luottavat vastaanottajan hyväuskoisuuteen ja vaativat tältä toimenpiteitä aktivoituakseen. Näinollen paras keino suojautua kaikenlaisia riesoja vastaan onkin terveen epäilevä asenne. Jokaiselle lienee selvää, ettei henkilötietojaan tule luovuttaa niitä kyseleville, ja mikäli ei ole, suosittelemme tutustumaan ensi tilassa asiaa käsittelevään artikkeliin Työkaluja huijaussivujen tunnistamiseen.

Huomattavasti ikävämpi, tällä kertaa käsittelyssä oleva riesa, ovat erilaiset sähköpostimadot ja makrovirukset. Kaikessa yksinkertaisuudessaan ne ovat sähköpostiliitteitä, jotka avattaessa hyödyntävät käyttöjärjestelmän heikkouksia aiheuttaakseen harmia vastaanottajalleen.

Makrovirukset

Makrovirukset olivat vielä muutama vuosi sitten sähköpostiriesoista yleisimpiä, mutta jo onneksi kuolemaan päin. Makrovirukset on suunniteltu hyödyntämään MS Officen, Open Officen ja muiden toimisto-ohjelmien omia, sisäisiä käskytysjärjestelmiä. Vielä muutama vuosi sitten suojaamattomat koneet ja vaaraa tiedostamattomat ohjelmat antoivat makroviruksille mahdollisuuden aiheuttaa paljonkin riesaa, mutta nykyään ohjelmat huomaavat ja varoittavat jo itsekin, kun niiden kautta yritetään ajaa epäilyttävää koodia.

Makrovirusten torjuntaan riittää päivitetty käyttöjärjestelmä ja toimisto-ohjelmisto, sekä sen verran tarkkaavaisuutta, ettei napsuttele hyväksyntäänsä aivan mihin tahansa. Paljon vakavampi riesa ovatkin sähköpostin kautta leviävät matovirukset.

Sähköpostimadot – aikamme rutto

Jokainen on varmasti kuullut kauhutarinoita siitä, miten kotikoneelta on varastettu luottokorttien numeroita, sähköpostin sisältöä tai muuta tietoa. Tai vaikka saatu outoja virusviestejä kaverilta, jota piti muuten niin luotettavana. Kyse ei ole kummituksista tai yllättävästä kaveripiirin lankeamisesta, vaan todennäköisesti sähköpostiviruksista, madoista.

Toisin kuin monissa muissa viruksissa, madon saastuttama kone ei yleensä rienaa käyttäjäänsä herjaviesteilla, vaan jatkaa vaivihkaa madon levittämistä muihin koneisiin. Täten sen olemassaolon huomaa yleensä vain säännöllisten virustarkistusten avulla. Sähköpostin lisäksi madot leviävät helposti IRC-keskusteluverkossa, jossa tietoturvan taso on pääsääntöisesti olematon.

Paras, ja oikeastaan ainoa, keino suojautua matoja vastaan on aktiivinen ja ajan tasalla oleva virusturva. Virusohjelmat päivittyvät jatkuvasti, joten vanhentuneesta tai vain hetkittäin käytössä olevasta virustutkasta ei ole mitään hyötyä. Säännölliset, käytännössä siis päivittäiset, viruskantapäivitykset ja aktiivisesti sähköpostia tarkkailevat ohjelmat pitävät huolen siitä, että uusinkaan virus ei pääse riehumaan koneella.

Terve järki on paras suoja

Kun tietoturva on kunnossa ja konetta ympäröi vertauskuvallinen suojamuuri, on aika tarkistaa hieman omia asenteitaan. Tarjoamme muutaman yleisluontoisen niksin, joita noudattamalla voi minimoida virusten vaarat.

1. Älä avaa epäilyttäviä sähköposteja. Tuntematon lähettäjä, outo otsikko ja viestissä piilevä liite ovat yleensä varmoja merkkejä siitä, että kone on hyökkäysyrityksen alla. Paras keino torjua hyökkäys on siirtää viesti sellaisenaan roskakoriin. Valitettavasti virusten yleistyessä on syytä epäillä myös tuttuja lähettäjiä, joiden kone on voinut näiden tietämättä saastua ja toimia näin matojen edelleenvälittäjänä. Virusviestien otsikot ovat pääsääntöisesti englantia ja kuulostavat oudoilta. Lisäksi tässäkin tapauksessa oudot tiedostopäätteet tai useat liitetiedostot toimivat suurina hälytyskelloina. Epävarmassa tilanteessa paras keino on ottaa yhteyttä lähettäjään ennen outojen liitteiden avaamista. Tuliko viesti tosiaan kaverilta, vai onko hänen koneensa saastunut? Mikäli näin on, kaveri arvostanee varoitusta ja kehotusta tarkistaa koneensa.

2. Pidä tietoturvasi ajan tasalla. Tätä ei voi täsmentää liikaa. Virukset kehittyvät joskus useita kertoja päivässä, joten vain ajan tasalla oleva tietoturva osaa torjua ne. Paras keino on säätää ohjelma päivittymään itse yleiseen koneen käyttöaikaan.

3. Päivitä käyttöjärjestelmäsi. Jokaisella laillisen Windows-lisenssin omistajalla on pääsy Windows Update -päivitysohjelmaan, joka kannattaa ajaa säännöllisin väliajoin. Sen hätäpäivitykset korjaavat ohjelmistosta löytyneitä tietoturva-aukkoja ja lisäävät joskus käyttömukavuutta parantavia uudistuksia. Windows Update löytyy Käynnistä-valikon alta,

4. Varo outoja linkkejä. Olit sitten selaamassa WWW:tä tai keskustelemassa kaveriesi kanssa IRCissä, älä ikinä klikkaile outoja linkkejä, vaikka niiden sisältö kuulostaisi miten houkuttelevalta. Riski on sitä suurempi, mitä suositumpia ohjelmistoja käyttää.

Esimerkkejä madoista ja niiden lähettämistä liitetiedostoista

Bagle_AT

Bagle_AT on tyypillinen sähköpostimato. Se lähettää itseään sähköpostiliitteenä, esimerkiksi ylläolevan kuvan mukaisina tiedostoina. Tämän jälkeen se kopioi Windowsin System- hakemistoon kaksi tiedostoa, wingo.exeopen ja wingo.exeopenopen. Virus tutkii kovalevyn sähköpostiosoitteiden saamiseksi, ja alkaa lähetätmään saastuneita sähköpostiviestejä näitä tiedostoja käyttämällä.

MyDoom.AI

MyDoom.AI lähettää EXE, SCR, PIF ja ZIP-päätteisiä tiedostoliitteitä, ja sen lähettämät virusviestit saattavat sisältää esimerkiksi aikuisviihdettä tai lupauksen sellaiselle päästävästä salasanasta. Uusin, MyDoom.BB-virus osaa käyttää hakukoneita, kuten Google, apunaan sähköpostiosoitteiden etsimisessä.

Sober.K

Sober.K-mato avaa saastuneen virustiedoston käynnistyessä tekstienkäsittelyohjelmassa kuvan mukaisen tekstin hämäykseksi. Tämän jälkeen se kopioi itsensä kolmella eri nimellä Windowsin \msagent\win32-hakemistoon: csrss.exe, smss.exe, winlogon.exe, ja pitää kaksi näistä jatkuvasti käytössä.

Storm Worm / YouTube

Uusi Storm Worm -virus yrittää uskotella sähköpostin vastaanottajalle, että tämän kaverit ovat jakaneet hänen kanssaan uuden, riemukkaan YouTube-videon. Todellisuudessa naamioitu linkki vie kuitenkin sivulle, josta käyttäjän koneelle siirtyy virus.

Lisätietoa madoista ja muista viruksista: f-secure.fi.

Miikka Lehtonen, Tero Lehtiniemi

Kuvat: F-Secure