Mis on arvutiviirused ja kuidas nad töötavad
Kui arvutid esmakordselt massidesse jõudsid tegi paljudele nalja kontseptsioon, et masin võib “haigeks jääda”. Arvutiviirusi ei peetud tõsiseltvõetavaks riskiks. Tänapäeval ei suhtu ilmselt keegi arvutiviirustesse küüniliselt – tegemist on tõsise ohuga, mida meedia pahatihti võimendab. Vaatame järgnevalt mis on arvutiviiruste erinevad vormid ning kuidas nad töötavad ja levivad.
Arvutiviiruste lühiajalugu
Arvutiviiruste teoreetiliseks alguseks loetakse John von Neumanni poolt 1966. aastal avaldatud raamatut “Theory of Self-Reproducing Automata”. Raamat oli sellel ajal küll kõigest mõtteeksperiment – Neumanni käe all valmis esimene aatompomm, kuid mitte arvutiviirus. Sellest hoolimata käsitleti seal võimalust, et arvutiprogramm võiks end ise levitada ja arvuteid kahjustada, mis oli varasemalt täiesti mõeldamatu. Raamat on pühendunud huvilistele tasuta saadaval siin, kuid see pole just kerge lugemine.
Esimene viirus, mis oskas end levitada ning kahjustas nakatunud arvutit, oli “Elk Cloner”. Aasta oli 1982 ja keskkooli õpilane Rich Skentra kirjutas ise end kopeeriva programmi ning peitis selle mängu sisaldavale disketile. Mäng oli mõeldud Apple II arvutitele. Kui disketil olnud mäng avati kirjutas Elk Cloner end arvuti kõvakettale. Nakatunud arvuti kopeeris viiruse igale disketile, mis sinna sisestati. Elk Cloner polnud oma olemuselt pahatahtlik – ta proovis ennast ainult kopeerida. Kuna failisüsteemid olid tollal palju primitiivsemad, võis ta seda tehes kogemata nakatunud arvutis olevaid andmeid üle kirjutada. Täiesti tahtmatult lõi Skentra esimese kõigile tänapäevastele tingimustele vastava arvutiviiruse ning sai kõigest 15 aastaselt pahavara vaderiks. Korrektsuse huvides tuleb öelda, et ka enne Elk Clonerit oli loodud programme, mis oskasid end kas kopeerida või arvutit kahjustada – nad ei teinud lihtsalt mõlemat korraga.
Irooniliselt loodi esimene trooja hobune kaks aastat enne esimest viirust. See ei teinud muud, kui kopeeris end igasse kataloogi arvutis, olles peidetud teise programmi. Programmi sisu oli sarnane tänapäevasele Facebookis levivatele küsimustikele. Vastades 20 küsimusele ütles see sulle, millst looma kõige enam meenutad. Viiruste ja trooja hobuste vahest (ja sarnasusest) saad lugeda hilisemas peatükis.
Kaks aastat peale Elk Clonerit kasutas Ameerika arvutiteadlane Frederick Cohen ennast klooniva programmi kirjeldamiseks terminit “viirus”. Enne seda olid nad tuntud lihtsalt “kloonijatena”, nagu võib näha eelmainitud Elk Cloneri nimest.
Kaheksakümnendad olid arvutiviiruste jaoks eneseavastamisea aeg. Just sellel ajal loodi mõned ikoonilisemad arvutiviirused nagu “Cascade”, mis põhjustas kogu ekraanil oleva teksti alla äärde “kukkumise” ning Jeruusalema viirus, mis kustutas kõik arvutis olevad failid igal 13. kuupäevale langeval reedel.
2. novembril 1988 pääses valla esimene interneti teel leviv ussviirus “Morris”. Selle looja Robert Tappan Morrise sõnul polnud ta eesmärk tekitada kahju vaid kombata interneti (mis oli tollal märgatavalt väiksem) piire. Ükskõik mis antud ussviiruse eesmärgid ka polnud, levis see väga agressiivselt ning Robert Tappan Morrisest sai ajaloo esimese kriminaalkaristuse pahavara loomise eest.
Kaheksakümnendatel loodud viirused ei teinud üldjuhul muud, kui kahjustasid nakatunud arvutit ühel või teisel viisil. Viiruste autorid ei teeninud oma loominguga sentigi. See muutus detsembris 1989, kuid tuhandetele “PC Business World” ajakirja tellijatele saadeti diskett, mis sisaldas esimest krüptoviirust, mis kunagi avastatud on. Sellest, mis on krüptoviirus ehk lunavara olen juba pikemalt kirjutanud sellekohases artiklis ega siin pikemalt ei peatu.
Loomulikult loodi kaheksakümnendatel ka antiviiruse tarkvara, kuid see olid reeglina suunatud ühe konkreetse viiruse vastu. Esimese universaalse viirusetõrje tarkvara tõi turule Symatec aastal 1990 ning see kandis nime “Norton Antivirus”. Norton Antivirus on sama nime all, loomulikult kaasajastatud kujul, saadaval tänase päevani.
Üheksakümnendatel jõudsid viirused massidesse. Ilmselt tuntuim 90. aastatel loodud viirus oli nn “Tšernobõli viirus”, millega nakatunud arvutid muutusid pahatihti täiesti kasutuskõlbmatuks. Viiruse poolt tekitatud kahju on hinnaguliselt enam, kui miljard dollarit ning mõned selle tüved liiguvad tänase päevani. Selle looja Chen Ing-hau pääses puhta nahaga, kuna ta kodumaal Taiwanis polnud sellel hetkel küberkuritegevuse teemalisi seadusi.
Kahetuhandendatel oli internet juba igas arvutis, mistõttu levisid eriti agressiivselt ussviirused. Mäletamisväärseimad neist on “Ma armastan sind” viirus, mis levis täpselt selle sisuga e-kirjadega. Loetud päevad pärast “ILOVEYOU” viiruse vallapääsemist oli nakatunud juba miljoneid arvuteid. Mõned aastad hiljem loodi “MyDoom” ussviirus, millest sai ajaloo kõige kiiremini levinud pahavara. Oma kõrghetkel sisaldas iga 12. saadetud e-kiri MyDoom viirust – rekord, mis püsib löömatuna tänapäevani.
Kui “ILOVEYOU” viirus ei teinud muud, kui kustutas arvutist pildi- ja helifaile, siis MyDoomi eesmärk oli nakatud arvutit Ddos rünnakuteks kasutada (ddos rünnakutest olen pikemalt kirjutanud siin). Viiruse autorid on tänase päevani teadmata.
Sellest hetkest edasi on ohtlike ja kiirelt levivate viiruste arv kasvanud massiliselt. Neid on liiga palju, et kõik nimeliselt ära tuua. Viirused on muutunud järjest professionaalsemaks. Kui kaheksakümnendatel oli enamik viiruseid loodud piire kompavate üliõpilaste poolt, siis 21. sajandil kirjutavad viiruseid juba organiseeritud kuritegelikud grupeeringud. Viiruste eesmärk on teenida raha ning teha seda kiirelt. Sellepärast on viimasel ajal loodud eriti palju lunavara.
Kuidas arvutiviirused levivad?
Viirused levivad kas interneti või andmekandjate kaudu.
Interneti kaudu levivad viirused kõige tihedamini e-kirja manustena. Kui viirus on su arvuti nakatanud otsib ta üles aadressiraamatu või e-kirja kliendi nagu Outlook, Thunderbird või Mail Mac’i puhul. Sealt saab ta kõigi su kontakide e-maili aadressid ning saadab end neile edasi, enamasti kasutades selleks sinu e-maili aadressi.
Manus võib jätta mulje täiesti tavalisest ja ohutust failist. Tihti maskeerivad viirused end pdf või pildifailideks. Kirja sisu ja manuse formaat võivad olla erinevad. Enimlevinud on maksetähtaja ületanud arvete teatiste simuleerimine. Kirja sisuks on, et arve on maksetähtaja ületanud ning seal juures võib olla inkasso/kohtu ähvardus. See hirmutab naiivse kasutaja manustatud arve (mis on tegelikult viirus) koheselt avama.
Kui viirus võtab üle su e-maili konto võib tekst olla erinev. Tihti üritatakse jätta mulje legitiimsest kirjast, mis sõbrad üksteise vahel saatnud on. Näiteks “Ma sorteerisin eile oma pilte ja leidsin sust väga hea kaadri, sa tahad seda kindlasti näha!” koos pildifaili meenutava manusega, mis on tegelikult viirus.
Järjest enam levivad viirused internetis nakatunud veebilehtede kaudu. Veebileht võib olla viirusega nakatunud tahtlikult või rünnaku kaudu. Tahtlikult nakatatud veebilehed on enamasti nn valgustkartva sisuga nagu piraatlus või pornograafia. Näiteks võidakse pakkuda võimalust vaadata uusimaid filme internetist tasuta, kui laed alla nende veebilehitseja laienduse. Tegelikult mingeid filme seal pole – tegemist on lihtsalt viirusega, mille ise oma arvutisse paigaldad.
Teine võimalus on, et kodulehte on rünnatud ning see on pandud pahavara levitama. Tihti piisab viirusega nakatumiseks ainult veebilehe külastamisest. Selle juures on kõige ohtlikum, et ka sulle tuntud veebilehed võivad rünnaku ohvriks langeda. Sellise rünnaku vastu saab sind kaitsta ainult tasemel viirusetõrjetarkvara ning lehe omaniku hoolikus. Kuidas kaitsta oma kodulehte rünnaku vastu olen pikemalt kirjutanud siin.
Arvuti võib viirusega nakatuda ka ainult võrku ühendades. Eriti haavatavad on vanemad operatsioonisüsteemid, kuid risk on ka uuematel. Näiteks levis sellisel viisil 2017. aastal tuhandeid arvuteid nakatanud krüptoviirus WannaCry. Oht nakatuda on igas võrgus, kuid see on märgatavalt suurem avalikes WiFi võrkudes. Avalikest võrkudest tulenevat riski ei saa nulli viiia, kuid seda saab märgatavalt vähendada. Olen kirjutanud avalike WiFi võrkude turvalisest kasutamist siin.
Loomulikult on võimalik pahavaraga nakatuda ka internetist tarkvara installides. Viirus võib kaasa tulla muidu täiesti toimiva tarkvaraga. Seetõttu peab olema eriti ettevaatlik tarkvara alla laadimisel. Piraatlusel on peaaegu alati hind ning selleks on oma arvuti pahavaraga nakatamine. Vabavara tasub alla laadida ainult selle ametlikult kodulehelt.
Ettevaatlik peab olema Skype’s või mujal vestlusprogrammis saadetavate failide osas. Kui su kontakt saadab sulle lingi või faili täiesti ootamatult peaksid kindlasti üle küsima, millega tegemist on. Paljud viirused kasutavad just selliseid suhtlusvahendeid levimiseks. Paljud kasutajad ei oska kahtlustada, et saadetud faili taga võis olla viirus, mitte sõber või tuttav, kelle konto alt see tuli.
Teine viis viiruste levimiseks on andmekandjate kaudu. Kui varasemalt võisid andmekandjad olla disketid, CD plaadid jms siis nüüdseks on selleks reeglina mälupulgad/kaardid. Andmekandja kaudu levivad viirused arvutisse, kuhu see ühendatakse. Arvuti omakorda nakatab järgmised mälupulgad, mis sinna ühendatakse. Sellised viirused levivad tihti avalikult kasutatavates kohtades nagu raamatukogud ja kooli arvutiklassid, kus paljud inimesed oma mälupulgalt dokumente prindivad. Seetõttu ei ole soovitatav mälupulka ühendada avalikult kasutatavasse arvutisse.
Kuidas töötavad arvutiviirused?
On olemas mitut erinevat tüüpi arvutiviiruseid, mida liigitatakse enamasti levimismehhanimi järgi. Erinevate viiruse tüüpide definitsioon on viimasel ajal hägustunud, kuna enamikul pahavaral on mitme liigi tunnused.
Tavapäraselt nimetatakse viiruseks arvutiprogrammi, mis on peidetud mingi teise faili või rakenduse sisse.
Näiteks loetakse klassikaliseks viiruseks pahavara, mis nakatab su arvuti, kui avad sellega nakatunud programmi. Programm võib tõrgeteta toimida, kuid muuhulgas käivitub ka viirus. Tarkvara ega fail ei nakatu viirusega kogemata. See on sinna reeglina kas tahtlikult pandud või on viirus end sinna külge pookinud. Viimase eelduseks on, et arvuti peab nimetatud viirusega juba nakatunud olema.
Gripiviirusega nakatumiseks piisab sellega kokku puutumisest. Arvutiviirused tuleb enamasti nakatumiseks avada. Kui sulle saadetakse viirust sisaldava manusega e-kiri, ei nakatu su arvuti enne, kui oled manuse alla laadinud ja avanud. Siinkohal on rõhk sõnal “enamasti”, kuna mõnel puhul võib viirus kohe allalaadimise hetkel käivituda.
Teekonda, kuidas jõuab viirus sinu arvutisse nimetatakse ründevektoriks. Keerulisema ründevektori korral võib juhtuda, et viirus nakatab arvuti ka ilma ühtegi konkreetset faili avamata. Kui kasutad vanemat veebilehitsejat võib seal olla turvaauk, mida on võimalik ära kasutada külastatava veebilehe koodi kaudu. Sellisel juhul võib piisata lehe külastamisest, et su veebilehitseja tõmbaks alla viiruse ning selle ka kohe käivitaks. Selline ründevektor on pigem haruldane, enamasti on kasutaja viiruse ise avanud ja talle kõik vajalikud õigused andnud.
Viirus võib ennast peituda iga faili sees, mis su arvutis avatakse. Muuhulgas võib viirus olla pildifaili, Excel’i tabeli või PDF dokumendi sees.
Kui viirus on juba arvutisse jõudnud on ta programm nagu iga teine, lihtsalt olemuselt pahatahtlik. Täpselt nagu sa saad muuta failide sisu tekstiredaktoriga nagu Microsoft Word või Apple Page’s, saavad seda teha arvutisse installeeritud viirused. Võib juhtuda, et arvutisse installeeritud viirus kasutab ära mõnd turvaauku, mis annab talle veelgi rohkem õigusi, kui on legitiimisetel rakendustel.
Mis on ussviirused?
Viirus nakatab arvuti peaaegu alati kasutaja süü tõttu – ta on avanud nakatanud faili, rakenduse või veebilehe. Nad vajavad levimiseks kasutajapoolset tegevust, olgu selleks manuse allalaadimine või mälupulga arvutiga ühendamine.
Ussviirused on klassikalistest arvutiviirustest ohtlikumad, kuna levivad iseseisvalt. Ussviirused levivad peaaegu alati arvutivõrkude kaudu ning kasutavad arvutisse jõudmiseks ära mõnda turvaauku. Seetõttu nakatavad ussviirused enamasti just vananenud operatsioonisüsteemiga arvuteid. Enamasti ei saa kasutaja arugi, et on ussviirusega nakatunud.
Tihti levivad ussviirused ka tavapärase viiruse kombel, näiteks e-kirja või Skype kaudu. Olles nakatanud ühe arvuti otsivad nad selle võrgust haavatavaid arvuteid ning nakatavad need koheselt.
Eriti ohtlik on ussviirus, kui ta on samal ajal ka lunavara. Just selletõttu halvas WannaCry lunavara mitmete ettevõtete töö täielikult. Kui ettevõttes olid kasutuses vananenud Windows’iga arvutid, piisas, et üks kasutaja viiruse alla laeks. Seejärel nakatas see ettevõtte sisevõrgu kaudu kõik sinna ühendatud arvutid.
Mis on trooja hobused?
Trooja hobune oli legendi kohaselt suur puust hobune, mille Kreeka väed kinkisid Trooja linnale, kui neil seda tavapäraste vahenditega vallutada ei õnnestunud. Küll polnud tegemist heasüdamliku kingitusega, vaid seal sees olid sõdurid, kes ööpimeduse saabudes ülejäänud armeele linna väravad avasid. Trooja viirused käituvad oma olemuselt samamoodi. Tegemist on enamasti programmiga, mis lubab midagi teha, kuid sisaldab sealjuures ka pahavara.
Klassikalise definitsiooni järgi on trooja hobuse ja viiruse vahe see, et troojalane ei ürita ennast levitada. Nad vajavad samuti kasutajapoolset tegevust, et arvuti nakatada, mistõttu on troojalased vähem ohtlikud, kui ussviirused.
Mis on nuhkvara (spyware)?
Nuhkvara on pahavara vorm, mis ei kahjusta otseselt nakatunud arvutit. Selle asemel jälgib ta kasutaja tegevust ning kogub isikuandmeid. Nuhkvara teeb seda reeglina ilma kasutaja nõusoleku ja teadmiseta.
Populaaresim rakendus nuhkvarale on krediitkaardi andmete varastamine. Samuti kasutatakse nuhkvara sotsiaalmeedia ja e-maili kontode üle võtmiseks, mida hiljem spam’i või petukirjade saatmise eesmärgil kasutatakse.
Nuhkvara teeb seda jälgides su internetiliiklust või klahvivajutusi. Klahvivajutusi jälgivat nuhkvara kutsutakse ka “keylogger’iks”. See saadab kurjategijale kas kõik su arvutiga tehtud nupuvajutused või nupuvajutused konkreetsetel veebilehtedel.
Mis on hirmutusvara (scareware)?
Hirmutusvara on üks uuemaid pahavara vorme. Irooniliselt levib hirmutusvara peamiselt jättes endast mulje kui viirusetõrje tarkvarast/tulemüürist/nuhkvara eemaldajast. Hirmutusvara üritab jätta muljet, et su arvuti on nakatununud/ohus ning ainult antud programm võib selle päästa. Seejärel nõuab hirmutusvara tasulise versiooni ostmist või reaalse pahavara allalaadimist.
Enamasti ei tee hirmutusvara seda, mida lubab. Selle eesmärk on ainult su raha kätte saada – ta ei paku tegelikul kaitset. Vastupidi – see võib sisaldada veel teisi viiruseid. Kunagi ei tasu uskuda ühtegi hüpikakent, mis väidab, et su arvuti on ohus või viirustega nakatunud. Kui sul peaks endal sellekohane kahtlus tekkima tasub arvuti üleskanneerida mõne usaldusväärse viirusetõrje programmiga. Sobiva võid näiteks leida siit nimekirjast.
Mis on reklaamvara (adware)?
Reklaamvara eesmärk on kasutajale näidata reklaame, mida ta tavaolukorras nägema ei peaks. Enamasti on reklaamid hüpikakende vormis ning neid põhjustavad veebilehitsejate laiendused. Kõige levinumad näited reklaamvarast on igasugusesd “otsingu ribad”, mis lisatakse veebilehitsejale.
Reklaamvara erineb oma olemuselt teistest pahavara vormidest, kuna selle installeerib kasutaja enamsti täiesti legaalselt, kuid kogemata. Näiteks võib mõne programmi installimise viimases vaates olla linnuke mõne otsinguriba lisamiseks koos kasutustingimustega. Kui sinna linnuke jätta annad sa antud reklaamvarale õiguse omale reklaame näidata.
Kuidas kaitsta end arvutiviiruste eest?
Tänapäeval peab igas arvutis olema viirusetõrje tarkvara. Ükskõik, millise antiviiruse kasuks otsustad, peab see olema uusimale versioonile uundatud. Viirusetõrje tarkvara ei pea olema tingimata tasuline, ka tasuta antiviirus on parem, kui mitte midagi. Olen kirjutanud ka ülevaate parimatest tasuta viirusetõrjetest Windows’ile.
Samuti ei tohiks kasutada vananenud tarkvara. Arvuti operatsioonisüsteemile peaks paigaldama uuendused kohe, kui need saadavale tulevad. Samuti tuleks operatsioonisüsteem alati uuema vastu vahetada, kui see välja tuleb. Nii minimeerid võimaluse, et ussviirused su arvutit rünnata võiks. Kui su arvuti kasutab siiani Windows XP’d, Windows 7’t või isegi Windows 8’t peaksid selle esimesel võimalusel Windows 10 vastu vahetama. Mac’i versiooniuuendused on juba pikemat aega tasuta, mistõttu pole mingit põhjust neid mitte paigaldada.
Alati peab olema ettevaatlik e-kirja manuste avamisel. Kui manus tundub kahtlane – näiteks tegemist on ootamatu arvega, tasub see üle kontrollida. Isegi, kui oled manuse saatjas ja sisus kindel, tuleks see viirustõrje tarkvaraga üle skanneerida. Sama ettevaatlik peab olema Skype’s ja Facebook’is saadetud failide osas – kunagi ei tohi avada faili, mille sisus ja päritolus sa täiesti kindel pole.
Kui installeerid tarkvara ei tohiks kunagi lihtsalt “next” vajutada vaatamata, mis igal vaatel kirjas on. Nii võid lisaks soovitud programmile installeerida reklaamvara. Reklaamvara vältimiseks tuleks vabavaralisi programme alla laadida ainult nende ametlikelt kodulehtedelt. Isegi pealtnäha turvalised tarkvara agregeerivad saidid võivad pahavara sisaldada.