Yhä enemmän haittaohjelmia netistä ladatessa
Millaista on ladata ohjelmia netistä? Aikaisemmin netistä lataaminen oli suhteellisen harmitonta kunhan vain katsoi, mitä oli lataamassa. Mutta sitten on tilanne muuttunut. Yhä useammin voikin netistä lataaja saada koneeseen viruksia ja vaarallisia haittaohjelmia. Pienemmät haitakkeet, seurantaohjelmat ja muut ovat jo lähes vakiokamaa.
Tämä artikkeli on eräänlainen netistä lataajan kauhukabinetti. Tähän on koottu ja kuvitettukin erilaisia tapauksia, jolloin testattavaa ohjelmaa ladattaessa onkin sen lisäksi tullut jotakin aivan muuta. Mitä kaikkea ja mitä sitten tapahtui?
Turhat ohjelmat, työkalupalkit ja kotisivukaappaukset
Aloitetaan hankalista, mutta kuitenkin vaarattomimmasta päästä. Eli mahdollisuuksista saada koneeseen jokin aivan turha ohjelma, mainosvälineeksi tehty työkalupalkki tai lataaja huomaa selaimen kotisivunsa muuttuneet joksikin aivan muuksi.
Nämä on useimmiten torjuttavissa ennakolta jos lukee tarkkaan jokaisen pienen apuruudun, joka ohjelmaa ladattaessa ja asennettaessa tuleen näyttöön. Siellä on oletusarvoisesti kruksattu yhdessä tai useammassa kohdassa, että asenna myös se ja se ohjelma tai työkalupalkki. Niinkin yleiset ja suuret ohjelmatalot kuin Oracle tarjoaa Java-latauksissaan Ask-työkalupalkkia (uusista jo poistettu!) ja Nero Media Home SpeedUpMyPC haitaketta. Ihmekös tuo sitten onkaan jos käyttäjillä on koneissaan ylimääräistä ja hidastavaa kuormitusta.
Seuraava vaihe hankalampaa suuntaan on, jos valmiiksi kruksattu ”tilaus” on sijoitettu apuruuduissa johonkin erikoiseen paikkaan tai yhteyteen. Erikoisin näkemäni paikka oli huomaamaton rivi käyttöoikeussopimuksen ruudun yläpuolella (kuva alempana). Painikkeiden käyttö voi olla myös ovelasti suuniteltu: Saattaa olla, että normaali lataus tuo niitä ja pitäisikin huomata tehdä ohjelman erikoisasennus (custom).
Monilla voi olla koneessaan SpeedUpMyPC -ohjelma. Tämä jopa virukseksi luokiteltu ohjelma leviää juuri latausten myötä. Täysin tarpeeton, ei nopeuta konetta, huono rekisterin puhdistaja, joka yrittää myydä maksullista versiotaan. Poista haitake.
Tässä joukko kuvia latausten turhakkeista, jotka eivät edusta kauhukabinetin vaarallisinta puolta. Mutta turha on aina turhaa ja nämä voivat avata tietoturva-aukkoja varsinaisille haittaohjelmille. Klikkaa pikkukuvat näkyviksi.
Kuva 1 Ohjelman asennus käynnissä. On huomattava poistaa kruksi haitakkeen asennuksen kohdalta.
Kuva 2 Tässä tarjotaan oletusarvoisesti Ask-työkalu(mainos-)palkkia ja Ask’ia kotisivuksi.
Kuva 3 Tässä taas ovela asetelma: On huomattava asentaa Mukautettu (edistynyt) asennus eikä Pika, mikäli haluaa välttää SpeedUpMyPC -haitakkeen.
Kuva 4 Turhakkeelle on löytynyt uusi paikka asennuslapussa. Huomaatko katsoa käyttöoikeussopimuksen kohdan yläpuolelle?
Kuva 5 Jos tällainen pelitarjous pamahtaa ruudullesi vaikka et ole mitään pelejä lataamassa, niin pysäytä koko lataus ja tee virus- ja haittaohjelmatarkistukset.
Kuva 6 Kuvan mukaisia amattimaisten lataussivustojen varoituksia toivoisi olevan käytössä enemmän. Olisi hyvä kilpailukeino lataussivustoille. Vai eikö ole resursseja tarkastaa mitä muille tarjotaan?
Myös kotisivujen kaappaajia voi saada jos ei ole tarkkana mitä lataa. Sen lisäksi kotisivukaappari voi yllättää muullakin tavalla, jopa pelkästään kun käy lataussivulla.
Vaikka ladattaessa ei näitä turhakkeita huomaisikaan, ne saa poistettua ja tulisikin poistaa mahdollisimman pian. Turhat ohjelmat ja lisäkkeet Windowsin Ohjelmat ja toiminnot kohdasta. Samassa listassa näkyvät myös useimmat työkalupalkit. Kotisivun saa ennalleen selaimen asetuksista tai lisäksi poistamalla lisäke Ohjauspaneelin kautta.
Ohjelmia varsinaisten haittaohjelmien ja vakoiluelementtien rajamailla
Tässä kohdin tulevat mukaan myös kohteet, jotka liikkuvat turhakkeiden ja varsinaisten haittaohjelmien rajamailla. Niitä ei näe koneestaan ilman torjuntasoftia. Samoin on puhuttava myös lataussivustoista.
Aikaisemmin oli erittäin harvinaista, että arvostaan kiinni pitäviltä ammattimaisilta lataussivustoilta olisi saanut joitakin turhia ohjelmia puhumattakaan sitten jo varsinaisista haittaohjelmista. Nyt se on ehkäpä jo aivan yleistä. Lataussivustot katsovat, että jos ladattavaan kohteeseen ei sisälly selvää virusta tai vaarallista haittaohjelmaa, niin se saa olla eikä lataajia mitenkään huomauteta näistä turhakkeista.
On tultu tulokseen, että maksuttomien ohjelmien kehittäjät voivat saada joitakin lisätuloja kun myyvät ohjelmien latausten yhteyteen tilaa muunlaiselle softalle. Ja nyt on jo selvästi tapauksia, joissa esim. aikaisemmin kunnolliseen ohjelmaan on sen uusiin versioihin kytkeytynyt jo vaarallisia elementtejä. Lataussivustojen mahdollinen kontrolli – jos sitä edes on – pettää.
Ollaan vaarallisella tiellä. Missä on nyt ja tulevaisuudessa raja harmiton turhake/vaarallinen haittaohjelma? Pitääkö heti välittömästi aina ohjelmalatauksen jälkeen ajaa haittaohjelmien ja virusten skannerit?
Vaaralliset haittaohjelmat ja virukset
Entä sitten jos jo huomaa, että jotakin muutakin on tullut kuin pelkkiä turhakkeita? Jos virustorjuntaohjelma jo ladatessa tai heti sen jälkeen reagoi, kuuluu KLING! ja ohjelma ilmoittaa että Virus poistettu. Torjuntaohjelma on poistanut abc-everybodyfrend-PUP troijalaisen koneesta.
Vaikka olisi miten hyvä virustorjuntaohjelma, ei tule jättää asiaa sen varaan, että virus nyt on poistettu niin tapaus on selvitetty. Niin voi olla – riippuu aivan tapauksesta ja torjuntaohjelmista – mutta kaikkein vaarallisimmat tai uusimmat haittaohjelmat eivät lähde niin vaan. Se on saattanut jo tunkea lonkeronsa koneessa moneen paikkaan.
Kun virus iskee ja torjuntaohjelma kertoo sen nimen, olisi hyvä heti laittaa se muistiin. Tietysti aika hurskas neuvo, sillä käyttäjä on yleensä säikähtänyt, eikä tule muistiin merkitsemistä edes ajatelleeksi. Mutta se olisi hyvä muistaa. Jotkin torjuntaohjelmat merkitsevät poiston myös lokiinsa, josta se on nähtävissä myöhemminkin. Koskaan ei voi heti tietää, mitä erilaisia toimenpiteitä haittaohjelman kaikkien juurien poisto tulee vaatimaan.
Seuraavan toimenpiteen tulisi olla haittaohjelmien poisto. Ne ovat hyvin todennäköisiä viruksen seuralaisia. Tai vaikka ei viruksia tullutkaan, niin hiukankin epäilyttävien latausten jälkeen on haittaohjelmien poisto mitä suositeltavin (ks. edellä: Ohjelmia varsinaisten haittaohjelmien ja vakoiluelementtien rajamailla).
Siihen on useita mahdollisuuksia, joita yksi parhaista jos ei aivan paras on Malwarebytes AntiMalware ohjelma. Sen selkeästä käyttöliittymästä artikkelin otsikkokuva, klikkaa näkyväksi.
Tässä yksi esimerkki, johon Neptunetti törmäsi ladatessa ohjelmia testattavaksi. Se kertoo omaa kieltään, miten monimutkaisia koneen infektiot voivat olla ja miten haittaohjelmien lonkerot ulottuvat aivan uskomattomiin paikkoihin.
Tässä kuva kyseisestä tapauksesta, sen näkyvin muoto, selamien kotisivu joka näyttää hakuelementiltä Kuva ei ole aivan samanlainen kuin mikä neptunin koneeseen tuli – sen verran hämmästynyt olin, että ei tullut otettua kuvakaappausta. Ensioire oli siis virustorjuntaohjelman poistoilmoitus. Seuraava havainto oli, että kaikkiin koneen selaimiin kotisivuksi oli tullut My Search näkymä.
Pian havaitsi, että kotisivua ei saa selaimien asetuksista millään keinolla pois. Poistin ohjelman ohjauspaneelin listasta. Seuraavaksi katsoin My Search -poistamisen ohjeita netistä. Heti löytyi yksi suomenkielinen. Siinä ensimmäisiä tehtäviä oli ajaa sivuston linkin takana oleva poisto-ohjelma. OK, hyvä niin. Mutta linkin takana olikin maksullinen poisto-ohjelma. Homma uusiksi. Muut ohjeet netissä sanoivatkin, että parhaisiin poistajiin kuuluu Malwarebytes Anti Malware.
Ajoin sen. Se löysi 6 kpl erilaisia kohteeseen liittyviä PUP-nimettyjä haittaohjelmia ja poisti ne. Jokohan kotisivu tulisi takaisin? Mutta ei se tullut, minkä saattoi arvatakin. Lueskelin taas ohjeita, joista tässä paras ja vieläpä suomenkielinen -> täällä. Kumma juttu kun luulin jo tehneeni kaikki mahdolliset toimenpiteet. Mutta yhtä vain en ollut huomannut, eikä tosiaan tule ajatelleeksikaan. Tätä:
Selainhan aukeaa siltä, mihin työpöydällä, käynnistysvalikossa tai tehtäväpalkissa oleva pikakuvake sen osoittaa. Pikkukuva Firefoxin pikakuvakkeesta, klikkaa näkyväksi. Kursorin osoittamalla osoiterivillä on avattavan osoite. Haittaohjelma oli lisännyt kaikkien selaimien ja kuvakkeiden osoiteriville sen loppuun oman nettiosoitteensa. Vasta sen poistaminen jokaisesta kuvakkeesta palautti kotisivun.
Vaaravyöhykkeessä erityisesti maksuttomien ohjelmien lataukset
Riskeille alttiimpia ovat maksuttomien ohjelmien, näytönsäästäjien ja säköpostin lisäelementtien lataukset. Ohjelmien haitakkeiden syistä on kerrottu artikkkelissa jo aikaisemmin. Maksullisiin softiin sen sijaan aniharvoin sisältyy haitallisia elementtejä. Sen sijaan latausten kylkiäisenä voi kyllä tulla muita lisäohjelmia tai niiden trial-versioita. Jää jokaisen harkittavaksi poistaako heti kaikki ylimääräiset, vaikka ne eivät haittaohjelmia olekaan.
Lataamisia varmistaa, että koneessa on kunollinen ja riittävän monipuolinen turvaohjelmisto. Mutta silti on latauksissa mahdollisuus saada tuholaisia. Haittaohjelmien kehitys on aina hiukan edellä niiden torjujia. Siksi ole ladatessa tarkkana. Päivitä aina tuvaohjelmat. Ja hanki itsellesi valmiudet – tieto, kanavat – ylimääräsiin torjuntatoimiin.
Linkit
F-Secure online skanneri (maksuton)
Asiaan liittyvää
Mitä ovat haittaohjelmat (malware)
Ohjelman lataus ei onnistu – lataa tehokkaammin
Ladattavien ohjelmien maksuluokat
Mistä voin ladata turvallisesti ohjelmia
Tagit: Nettitietoa, Ohjelmat, Ohjelmien lataus, Tietokone, Tietoturvauhat