Matovirukset

Madot ovat ohjelmia, jotka levittävät itseään tunkeutumalla toisiin järjestelmiin niiden tietoturva-aukkojen kautta. Madon perusideana on levitä mahdollisimman moneen koneeseen. Vaikka matoa ei lasketa tietokonevirukseksi, niin nykyisistä viruksista suurin osa leviää matojen tavalla. Windows ympäristön tekee nykyisille matoviruksille erityisen otollisiksi Windowsin VBScript-ohjelmointikieli, jolla pystytään tekemään Windows-ympäristössä melkein mitä tahansa.

Nykyiset matovirukset ovat todella kehittyneitä. Niissä on käytössä monimutkaisia ja monipuolisia leviämismekanismejä, joiden avulla ne pystyvät saastuttamaan mahdollisimman monta järjestelmää lyhyessä ajassa. Muutamista tämän luvun vanhemmasta matoviruskuvauksista löytyy lyhyt tekninen selitys viruksen leviämisestä. Kuvauksista saa hieman käsitystä matovirusten monimutkaisuudesta ja vaarallisuudesta. Suuri osa matoviruksista leviää edelleen sähköpostin liitetiedostojen välityksellä. Lisäksi matovirusten tiedetään levittäneen itseään lähiverkon levyjakojen, toisten virusten tekemistä aukkojen, tietoturva-aukkojen, www-sivujen ja erilaisten tiedostojen mukana. Mahdollisuuksia on siis monia, mutta kannattaa muistaa "ideaalisen" leviämisen tarvitsevan "otolliset" olosuhteet.

Sähköpostitse leviäviä matovirukset on kohtuullisen hankala havaita, koska postitusmekanismi on varsin monimutkainen. Seuraavaan on koottu muutamia nykyisille massapostittaville matoviruksille tyypillisiä ominaisuuksia.

Sobig

Alun perin Sobig-mato havaittiin vuoden 2003 alussa. Sobigista levisi vuoden aikana useita versioita, jotka olivat toinen toistaan laajemmalle levinneita. Erityisesti Sobig.F-mato aiheutti ennen kokemattoman virusaallon elokuussa 2003. Virus ehti levitä niin nopeasti, että kaikkien viruksentorjuntaohjelminen virustietokannat eivät pysyneet perässä. Ikävä kyllä monet avasivat saamansa liitetiedoston asiaa juuri ajattelematta.

Virus massapostitti itseään kaikkiin saastuneesta koneesta löytyneisiin sähköpostiosoitteisiin väärentäen sähköpostin lähettäjätiedon saastuneesta koneesta löytyneillä tiedoilla. Tämän vuoksi viruksen jälkimainingeissa tuli minullekin muutaman päivän ajan paljon postia (kymmeniä päivässä) sähköpostipalvelimen ylläpidolta. Sähköpostipalvelimen virussuojaus oli havainnut nimissäni lähetettyjen sähköpostien liitetiedostoissa viruksen.

Aiemmat Sobigin versiot ovat levinneet sähköpostin ja levyjakojen kautta. Tyypillisesti sähköpostin liitteenä on ollut kaksoispäätteinen (.doc.pif), pif tai scr-päätteiset tiedostot. Tyypillisesti madon eri versiot ovat ladanneet saastuneelle koneelle takaportin avaavan eli järjestelmään tunkeutumisen mahdollistavan ohjelman tai käyttäjän tunnus ja salasanatietoja tarkkailevan ohjelman.

Sobig.F-madon leviämisen oli tarkoitus huipentua yhteydenottoon kahteenkymmeneen eri puolilla maailmaa sijaitsevaan koneiseen. Tarkkaan ei tiedetä mitä yhteydenoton jälkeen olisi tapahtunut, koska suurin osa kyseisistä palvelimista saatiin suljettua ennen kyseistä ajankohtaa.

Lovsan

Lovsan eli Msblast -mato käytti hyväkseen jo hetken aikaa tunnettua Microsoftin RPC/DCOM-haavoittuvuutta, jonka avulla se levisi itsenäisesti verkossa. Alttiina tartunnalle olivat (ikävän monet) järjestelmät, joiden tietoturvapäivitys oli ajastaan jäljessä. Mato ei varsinaisesti vahingoittanut järjestelmää, johon se tarttui. Se pyrki leviämään entistä laajemmalle kyseisen järjestelmän kautta saavuttaakseen lopullisen päämääränsä. Madon tarkoituksena oli tehdä laaja palvelunestohyökkäys windowsupdate.com -osoitetta vastaan. Hyökkäys kuitenkin epäonnistui (riippuen päämäärästä), koska Microsoft kytki kyseisen palvelimen kokonaan irti.

Welchi

Welchi eli Nachi-mato edustaa toista ääripäätä matovirusten toiminnassa. Mato on hyvin samankaltainen kuin Lovesan-mato leviämismekanisminsa suhteen. Madossa on muutama erikoispiirre, joka erottaa sen muista madoista. Järjestelmään päästessään Welchi tappaa Lovasan.A -madon ja asentaa sen jälkeen Microsoftin tietoturvapäivityksen, joka on mahdollistanut Lovesan.A- ja Welchi-madon leviämisen. Tämän jälkeen mato jää odottamaan tammikuun ensimmäistä päivää vuonna 2004, jolloin se kuolee. Vaikka Welchi-mato onkin "viruksentappajavirus", niin sen toiminta on arveluttavaa!

Bugbear

Bugbear/Tanatos on sähköpostimato, joka levisi nopeasti ja laajalle vuoden 2002 lokakuussa. Mato levisi sähköpostin liitetiedostona käyttäen hyväksi tunnettuja tietoturva-aukkoja. Mato tartutti itsensä käyttäjän koneelle, jolloin se pystyi seuraamaan näppäimistöä ja saamaan selville käyttäjän salasanoja. Lisäksi mato mahdollistaa saastuneeseen tietokoneeseen tunkeutumisen takaoven avulla. Mato levisi sähköpostitse laajalle sen lähettämien sähköpostiviestien monipuolisuuden vuoksi. Sähköpostin otsikko ja sisältö vaihtelivat ja viestin lähettäjätiedot oli väärennetty. Nämä yhdistettynä tietoturva-aukkojen hyväksikäyttöön tekivät Bugbearista aikansa levinneimmän madon.

Madon saa pois sitä varten erikseen tehdyllä ohjelmalla. Lisätietoja madon poistamisesta löytyy seuraavasta osoitteesta: <URL: http://www.f-secure.fi/fin/support-page_2002100300.shtml >

Nimda

Nimda on syyskuussa 2001 havaittu mato, joka aiheutti kohtuullisen suuria tuhoja yrityksissä, joissa tietoturvaa oli laiminlyöty. Nimda pystyy leviämään seuraavilla tavoilla:

Nimdan monipuolinen leviämismekanismi vaatii onnistuakseen tiettyjä tietoturvapuutteita palvelimissa tai käyttäjän koneissa ja tiettyjen ohjelmien käyttöä. Tällaisia yhdistelmiä tuntuu kuitenkin löytyneen, koska Nimda levisi todella nopeasti.

SirCam

SirCam on loppuvuodesta 2001 havaittu mato, joka levittää itseään sekä sähköpostin, että Windowsin jaettujen resurssien kautta. Kun käyttäjä käynnistää madon, niin se levittää itsestään kopioita eri puolille järjestelmää. Mato tekee pahimmillaan muun muassa seuraavia asioita:

SirCam-mato saadaan poistettua erillisen poisto-ohjelman avulla. Poisto-ohjelma on saatavilla osoitteessa <URL: ftp://ftp.europe.f-secure.com/anti-virus/tools/antisirc.exe>. Ennen ohjelman ajamista kannattaa lukea viruksen tarkempi kuvaus esimerkiksi F-Securen sivuilta.

LoveLetter

LoveLetter on VBScript-mato, joka havaittiin loppuvuodesta 2000. LoveLetter madosta on liikkunut useita erilaisia variaatioita. LoveLetter käyttää MS-Outlook sähköpostiohjelmaa itsensä levittämiseen ja se voi levitä myös mIRC-keskusteluohjelman välityksellä.

Käyttäjien kommentit

Kommentoi tätä sivua Lisää uusi kommentti
Kurssimateriaalien käyttäminen kaupallisiin tarkoituksiin tai opetusmateriaalina ilman lupaa on ehdottomasti kielletty!
http://appro.mit.jyu.fi/doc/tyovaline/virus/index3.html
© Antti Ekonoja (anjoekon@jyu.fi) <http://users.jyu.fi/~anjoekon/>
Tommi Lahtonen (tommi.j.lahtonen@jyu.fi) <http://hazor.iki.fi/>
Jukka Mäntylä (jmantyla@iki.fi) <http://www.iki.fi/jmantyla/>
2003-09-23 15:25:33
Informaatioteknologia - Jyväskylän yliopiston IT-tiedekunta ja avoin yliopisto