Tietokonevirukset - Tietojenkäsittelytieteiden laitos - Tampereen ...

Tietokonevirukset
Marko Helenius,
Virustutkimusyksikkö, Tampereen
yliopisto, Tietojenkäsittelytieteiden laitos,
http://www.uta.fi/laitokset/virus,
e-mail: cshema@uta.fi
(C) Marko Helenius

KÄSITTEISTÖÄ
TIETOKONEVIRUS
– ohjelmakoodia, joka pystyy leviämään rekursiivisesti
itsestään
TROIJAN HEVONEN
– ohjelmakoodia, johon on tietoisesti ohjelmoitu
käyttäjältä salattu ei-toivottu toiminto
– ei leviä itsekseen
– Troijan hevonen ja virus ovat toisensa pois sulkeva
luokitus
TIETOKONEMATO
– tietokonevirusten osajoukko
– käyttää tarkoituksellisesti tietoverkkoja leviämiseen
– vaihtoehtoinen määritelmä: ei isäntäohjelmaa
(C) Marko Helenius

PERUSONGELMA
INTERNET
(C) Marko Helenius

MITÄ VIRUS VOI TEHDÄ
Virus voi tehdä sen, mitä ohjelma voi tehdä
Alan Solomon 1993: ”Virus is a user!”
Mielikuvitus on rajana
Viruksilla on käytettävissä valtava ja jatkuvasti kasvava
laskentakapasiteetti, muistitila ja tietoliikenneyhteydet
Esimerkkejä
Viestit
Tiedon tuhoaminen
Tiedon salakirjoitus
Tiedon muuttaminen
Tiedon kaappaaminen
Tiedon lähettäminen, esim. roskaposti
Takaportit, mahdollistaa esim. roskapostin lähettämisen
Palvelunestohyökkäykset
(C) Marko Helenius

Jatko-ongelma
(C) Marko Helenius

Miten virukset eroavat muusta
haitallisesta ohjelmakoodista
OMINAISUUS VIRUKSET MUU HAITALLINEN
Todennäköisyys pysyvään
haittaan, jos kohdataan
Pieni, vaikka jotkut virukset
aiheittavat pysyvää vahinkoa ja
leviäminen itsessään voi
aiheuttaa suurta haittaa
OHJELMAKOODI
Suuri / ennustamaton
Leviämistapa Leviää itsekseen Vaatii tahallisen teon
levitäkseen
Leviämisen todennäköisyys Suuri, jos leviää vapaasti Pieni ellei osana yleistä
ohjelmistoa tai laitteistoa
Löytämisen vaikeuden aste Oikeilla menetelmillä löytäminen
mahdollista
Mahdotonta varmistaa
monimutkaisten järjestelmien
Kohdistetun hyökkäyksen
todennäköisyys
Pieni
oikeellisuus
Suuri
(C) Marko Helenius

Kannettavien tietolaitteiden
aiheuttamat ongelmat
(C) Marko Helenius

TIETOA LÄHETTÄVÄT VIRUKSET
(information-distributing viruses)
Tarkoittaa viruksia, jotka lähettävät
tietoa kiinteiden tietoliikenne-yhteyksien
kautta.
Tiedon sisällöllä ei ole merkitystä
määritelmän kannalta
Alaryhmänä mm. itseään lähettävät
virukset sekä sähköpostia lähettävät
virukset
(C) Marko Helenius

VIRUSTEN LUOKITUS
TARTUTETUN KOHTEEN MUKAAN
Tietokonevirukset
Makrovirukset
Käynnistyslohkovirukset
Tiedostovirukset
Moniosiovirukset
Komentojonovirukset
(C) Marko Helenius

TIETOA LÄHETTÄVÄT VIRUKSET
(information-distributing viruses)
Tarkoittaa viruksia, jotka lähettävät
tietoa kiinteiden tietoliikenne-yhteyksien
kautta.
Tiedon sisällöllä ei ole merkitystä
määritelmän kannalta
Alaryhmänä mm. itseään lähettävät
virukset sekä sähköpostia lähettävät
virukset
(C) Marko Helenius

TIEDOSTOVIRUKSET
EXECUTABLE FILE
(file viruses)
EXECUTABLE FILE
EXECUTABLE FILE
EXECUTABLE FILE
Leviävät jossakin tilanteessa ajokelpoisiin
ohjelmatiedostoihin
Esim: EXE-, COM-, OBJ-, LIB-, PIF-, VXD-,
SYS- ja DLL-päätteiset tiedostot
(C) Marko Helenius

MAKROVIRUKSET
(macro viruses)
Voidaan ajatella tiedostovirusten erityistapauksena
Käytännön syistä luokitellaan omaksi ryhmäkseen
Makrovirukset tarttuvat makrojen mukana, joita
löytyy erilaisten ohjelmien sovellustiedostoista.
Erityisesti makrojen suoritusmahdollisuus
automaattisesti dokumenttitiedostoja avattaessa
(automaattimakrot), sähköpostien liitetiedostot sekä
dokumenttitiedostojen jatkuva vaihtaminen tekevät
makrovirusten tehokkaan leviämisen mahdolliseksi.
(C) Marko Helenius

KOMENTOJONOVIRUKSET
(script viruses)
Viruksia, jotka on toteutettu käyttöjärjestelmän
komentojonoilla
Esim. MS-DOS:n komentojonot (batch file),
Unix:n komentojonot (shell script) ja Windowsin
VBS (Visual Basic Scripting)
(C) Marko Helenius

KÄYNNISTYSLOHKO- ELI
LEVYKEVIRUKSET (boot sector viruses)
Nykyisin harvinaisia, joskin tekniikka on mahdollinen
Tarttuvat nimensä mukaisesti levykkeiden mukana
Eivät tartuta varsinaisia ohjelmatiedostoja, ellei virus ole
samalla tiedostovirus
Levykevirus jää keskusmuistiin, kun tietokone
käynnistetään tai yritetään käynnistää viruksen
tartuttamalta levykkeeltä tai tietokone käynnistetään
viruksen tartuttamalta kiintolevyltä.
Levykkeen ei tarvitse siis olla käynnistyslevyke
(C) Marko Helenius

Moniosiovirukset
(multipartition viruses)
Tarttuvat käyttämällä useaa eri
leviämistapaa
Esimerkiksi:
– toimimalla käynnistyslohkovirusten ja
tiedostovirusten tavoin
– toimimalla makrovirusten ja
tiedostovirusten tavoin
(C) Marko Helenius

VIRUSTEN LUOKITUS
OMINAISUUKSIEN PERUSTEELLA
Tietokonevirukset
Polymorfinen
Rinnakk.
tiedoston
luova
Piiloutuva
Suoran
toiminnan
Linkittävä
Muistinvarainen
Sähköpostittava
Itseään
lähettävä
Tietoa
lähettävä
Sähköpostitse leviävä
(C) Marko Helenius

ITSEÄÄN LÄHETTÄVÄT VIRUKSET
(self-distributing viruses)
Tarkoittaa viruksia, jotka lähettävät
itsensä kiinteiden tietoliikenneyhteyksien
kautta.
Voivat käyttää hyväkseen esim.
tietoturva-aukkoja ja/tai sähköpostia
Esim.
Win32/CodeRed
Win32/Nimda
(C) Marko Helenius

W32/SQLSlammer
Löytyi 27.1.2003, koko vain 376 tavua
Käyttää hyväkseen Microsoft SQL Server
2000:n tietoturva-aukkoa.
Maailmanlaajuinen leviäminen tapahtui 5-10
minuutissa.
Etsii loputtomassa silmukassa haavoittuvia
tietokoneita.
‣Seurauksena oli suuri määrä
verkkoliikennettä
‣ Kaatoi 5 maailman 13:sta juurinimipalvelimesta
Ei leviä sähköpostitse.
(C) Marko Helenius

SÄHKÖPOSTITSE LEVIÄVÄT
VIRUKSET (self-e-mailing viruses)
Tarkoittaa viruksia, jotka lähettävät
itsensä sähköpostitse.
Leviävät yleensä nopeasti
Esim.
– VBS/LoveLetter 2000
– Christmas Tree 1988 – Win32/Nimda 2001
– WM/Sharefun 1997– Win32/Badtrans.B 2001
– Win32/Ska 1998 – Win32/Klez 2002
– W97M/Melissa 1999 – Win32/Sobig 2003
– X97M/Papa.b 1999 – Win32/Mydoom 2003
– Win32/Explorezip (1999)
(C) Marko Helenius

Piiloutuvat virukset (stealth viruses)
Piiloutuvat virukset pyrkivät kätkemään
ainakin osan järjestelmään tekemistään
muutoksista.
Ollakseen tehokas, viruksen on oltava
keskusmuistiin jäävä.
Myös makrovirukset voivat olla
piiloutuvia. Esim. jotkut virukset pyrkivät
kätkemään olemassaolonsa muuttamalla
valintaa, josta näkee sovelluksen makrot.
(C) Marko Helenius

Piiloutuvat virukset (stealth viruses)
Voi olla suunnattu torjuntaohjelmia
vastaan
– Perustuu siihen, että viruskoodi suoritetaan
ennen torjuntaohjelmaa, jolloin
torjuntaohjelma näkee järjestelmän
normaalina
– Mahdollista järjestelmissä, joissa on
puutteellinen keskusmuistin suojaus
(memory protection)
(C) Marko Helenius

LINKITTÄVÄT VIRUKSET
(linking viruses)
Linkittävät virukset eivät tartuta ja siten muuta
itse tartutuksen kohdetta, vaan muuttavat
järjestämän ohjelmakoodin linkitystä siten, että
virus saa kontrollin tartutetun ohjelmakoodin
suorituksen yhteydessä.
Windows tarjoaa monia mahdollisuuksia esim.
rekisteri, järjestelmäasetus-tiedostot ja ikonit
(C) Marko Helenius

Rinnakkaisen tiedoston luovat
virukset (companion viruses)
Luovat tartutettavan tiedoston rinnalle
viruskoodin sisältävän tiedoston, joka
suoritetaan ennen varsinaista ohjelmaa.
Esimerkiksi PC-tietokoneissa COM-tiedostot
suoritetaan ennen EXE-tiedostoja.
Eri hakemistoissa olevat tiedostot suoritetaan
tyypillisesti eri järjestyksessä ja virus voi
hyödyntää myös tätä. Esim. Windows- ja Unixkäyttöjärjestelmissä
PATH-muuttuja määrää
järjestyksen, jossa ajokelpoisia tiedostoja
etsitään eri hakemistoista.
(C) Marko Helenius

Rinnakkaisen tiedoston luovat virukset
(companion viruses)
Voi myös nimetä uudelleen tartutettavan
kohteen
Voi käyttää myös muita järjestelmän tiedostojen
suoritusjärjestykseen vaikuttavia tekijöitä
hyväkseen esim. alias-määritykset
Järjestelmän asiantuntijan on yleensä helppo
havaita ylimääräiset tiedostot, mutta voidaan
toteuttaa vaikeasti havaittaviksi
(C) Marko Helenius

ITSENSÄ SALAKIRJOITTAVAT
VIRUKSET (encrypting viruses)
Itsensä salakirjoittavat virukset muuttavat oman
ohjelmakoodinsa siten, että se ei ole suoraan
luettavissa
Voi vaihdella yksinkertaisesta XORsalakirjoituksesta
vaihtelevaan monimutkaiseen
salaukseen polymorfisuus eli muuntuvuus
Salausavaimen on kuitenkin oltava viruksen
saatavilla, jotta virus pystyy purkamaan
salauksen
(C) Marko Helenius

Polymorfiset virukset
Polymorfinen eli muuntuva virus pystyy
tekemään itsestään erilaisia muunnoksia.
Viruksen binäärimuoto voi vaihtua
joikaisella eri leviämiskerralla
Polymorfisuus on toteutettu tyypillisesti
suorittamalla käskyjä vaihtelevässä
järjestyksessa tai vaihtelevalla tavalla,
lisäämällä tyhjiä käskyjä ja/tai käyttämällä
vaihtelevaa salakirjoitusavainta tai
salakirjoitusmenetelmää
(C) Marko Helenius

VIRUSTEN LUOKITUS
OMINAISUUKSIEN PERUSTEELLA
Tietokonevirukset
Polymorfinen
Rinnakk.
tiedoston
luova
Piiloutuva
Suoran
toiminnan
Linkittävä
Muistinvarainen
Sähköpostittava
Itseään
lähettävä
Tietoa
lähettävä
Sähköpostitse leviävä
(C) Marko Helenius

VIRUSHUIJAUKSET (HOAX)
Sähköpostitse tuleva virusvaroitus, joka ei pidä
paikkaansa
Tyypillisiä piirteitä:
– tarkka kuvaus viruksesta puuttuu
– pyydetään lähettämään varoitus mahdollisimman
monelle
– vedotaan johonkin arvovaltaiseen organisaation
– viruksen löytämisaika puuttuu tai on epämääräinen
– uskotellaan, että virukseen ei ole olemassa
vastalääkettä
(C) Marko Helenius

LAINSÄÄDÄNTÖ
Ennaltaehkäisevä vaikutus, mutta ei voi täysin
ratkaista ongelmaa
Lainsäädäntö on maakohtaista, vaikka ongelma on
kansainvälinen
Suomessa virusten kirjoittaminen, virusten tahallinen
levittäminen sekä virusten laittaminen julkisesti
saataville on rangaistavaa
Ei ennakkotapauksia virusten kirjoittamisesta
Järjestelmiin tunkeutumisesta (eli “hakkeroinnista”)
on kuitenkin ennakkotapauksia
– Ovat osoittaneet, että rangaistukset voivat olla ankarat
(C) Marko Helenius

VIRUSTEN KIRJOITTAJAT
Virusten kirjoittajista tiedetään vähän
Usein murrosikäikäisiä, jotka lopettavat virusten
kirjoittamisen vanhetessaan.
Aikuiset eivät kuitenkaan todennäköisesti lopeta
Jotkut virusten kirjoittajat ohjelmoivat työssään
(C) Marko Helenius

MIKSI
Sarah Gordon on löytänyt virustenkirjoittajia
haastattelemalla seuraavia syitä:
– Sosiaalinen arvostus
– Jännityksen etsiminen
– Kuuluisuuden etsiminen
– Tutkiminen / Uteliaisuus
– Ilkivalta
– Ystäväpiirin painostus
– Torjuntaohjelmien haastaminen
– Ympäristön hiljainen hyväksyminen
– Turvallisuusaukkojen paljastaminen
– Ajattelemattomuus
– Helppous, (esim. makrokielet)
(C) Marko Helenius

YHTEENVETO
Internetin kautta leviävien virusten nopea leviäminen
ongelmana
Linux-virukset
Takaportit osana viruksia
Virusten aiheuttama luottamuksellisen tiedon
paljastuminen
Palvelunestohyökkäykset osana viruksia
– Käyttäjillä on supertietokoneita nopeilla verkkoyhteyksillä ja
suojaus on puutteellinen
– Pelkkä leviäminenkin aiheuttaa palveluiden estymistä
Virusten aiheuttama Internetin kuormitus
Viruksia käytetään roskapostin levittämisen apuna
Virusten ja Troijan hevosten massapostitukset
Pahin on todennäköisesti vielä näkemättä
(C) Marko Helenius