Printtaa tämä artikkeli Printtaa tämä artikkeli

Vapaa tuholainen

 

 

Yhä enemmän haittaohjelmia netistä ladatessa

 

Malwarebytes AntiMalware
 

Neptunettiä varten joutuu lataamaan koneelleen monenlaisia ohjelmia netistä.  Jos jostakin aikoo kirjoittaa niin softa on ensin perusteellisesti kokeiltava.

Aikaisemmin netistä lataaminen oli suhteellisen harmitonta kunhan vain katsoi, mitä oli lataamassa.  Viime aikoina on tilanne muuttunut.  Yhä useammin voikin netistä lataaja saada koneeseen viruksia ja vaarallisia haittaohjelmia.  Pienemmät haitakkeet, työkalupalkit ja muut ovat jo lähes vakiokamaa.

Tämä artikkeli on eräänlainen netistä lataajan kauhukabinetti.  Tähän on koottu ja kuvitettukin erilaisia tapauksia, jolloin testattavaa ohjelmaa ladattaessa onkin sen lisäksi tullut jotakin aivan muuta.  Mitä kaikkea ja mitä sitten tapahtui?

 

Turhat ohjelmat, työkalupalkit ja kotisivukaappaukset

Aloitetaan hankalista, mutta kuitenkin vaarattomimmasta päästä.  Eli mahdollisuuksista saada koneeseen jokin aivan turha ohjelma, mainosvälineeksi tehty työkalupalkki tai lataaja huomaa selaimen kotisivunsa muuttuneet joksikin aivan muuksi.

Nämä on useimmiten torjuttavissa ennakolta jos lukee tarkkaan jokaisen pienen apuruudun, joka ohjelmaa ladattaessa ja asennettaessa tuleen näyttöön.  Siellä on oletusarvoisesti kruksattu yhdessä tai useammassa kohdassa, että asenna myös se ja se ohjelma tai työkalupalkki.  Niinkin yleiset ja suuret ohjelmatalot kuin Oracle tarjoaa Java-latauksissaan Ask-työkalupalkkia (uusista jo poistettu!) ja Nero Media Home SpeedUpMyPC haitaketta.  Ihmekös tuo sitten onkaan jos käyttäjillä on koneissaan ylimääräistä ja hidastavaa kuormitusta.

Seuraava vaihe hankalampaa suuntaan on, jos valmiiksi kruksattu ”tilaus” on sijoitettu apuruuduissa johonkin erikoiseen paikkaan tai yhteyteen.  Erikoisin näkemäni paikka oli huomaamaton rivi käyttöoikeussopimuksen ruudun yläpuolella (kuva alempana).  Painikkeiden käyttö voi olla myös ovelasti suuniteltu:  Saattaa olla, että normaali lataus tuo niitä ja pitäisikin huomata tehdä ohjelman erikoisasennus (custom).

Monilla voi olla koneessaan SpeedUpMyPC -ohjelma.  Tämä jopa virukseksi luokiteltu ohjelma leviää juuri latausten myötä.  Täysin tarpeeton, ei nopeuta konetta, huono rekisterin puhdistaja, joka yrittää myydä maksullista versiotaan.  Poista haitake.  Tarkemmin Virukset.fi sivustolla ->täällä.

Tässä joukko kuvia latausten turhakkeista, jotka eivät edusta kauhukabinetin vaarallisinta puolta.  Mutta turha on aina turhaa ja nämä voivat avata tietoturva-aukkoja varsinaisille haittaohjelmille.  Klikkaa pikkukuvat näkyviksi.

Vältä ladatessa 1Vältä ladatessa 2Vältä ladatessa 3

 

 

 

 

Vältä ladatessa 4Vältä ladatessa 5Softpedia varoittaa

 

 

 

 

 

 

 

 

 

Kuva 1 Ohjelman asennus käynnissä.  On huomattava poistaa kruksi haitakkeen asennuksen kohdalta.

Kuva 2  Tässä tarjotaan oletusarvoisesti Ask-työkalu(mainos-)palkkia ja  Ask'ia kotisivuksi.

Kuva 3 Tässä taas ovela asetelma:  On huomattava asentaa Mukautettu (edistynyt) asennus eikä Pika, mikäli haluaa välttää SpeedUpMyPC -haitakkeen.

Kuva 4  Turhakkeelle on löytynyt uusi paikka asennuslapussa.  Huomaatko katsoa käyttöoikeussopimuksen kohdan yläpuolelle?

Kuva 5  Jos tällainen pelitarjous pamahtaa ruudullesi vaikka et ole mitään pelejä lataamassa, niin pysäytä koko lataus ja tee virus- ja haittaohjelmatarkistukset.

Kuva 6 Kuvan mukaisia amattimaisten lataussivustojen varoituksia toivoisi olevan käytössä enemmän. Olisi hyvä kilpailukeino lataussivustoille.  Vai eikö ole resursseja tarkastaa mitä muille tarjotaan?

 

Myös kotisivujen kaappaajia voi saada jos ei ole tarkkana mitä lataa.  Sen lisäksi kotisivukaappari voi yllättää muullakin tavalla, jopa pelkästään kun käy lataussivulla.

Vaikka ladattaessa ei näitä turhakkeita huomaisikaan, ne saa poistettua ja tulisikin poistaa mahdollisimman pian.  Turhat ohjelmat ja lisäkkeet Windowsin Ohjelmat ja toiminnot kohdasta (Win7ssä ja muissa vastaavista ohjauspaneelin kohdasta).  Samassa listassa näkyvät myös useimmat työkalupalkit.  Kotisivun saa yleensä ennalleen selaimen asetuksista tai lisäksi poistamalla lisäke Ohjauspaneelin kautta.

 

Ohjelmia varsinaisten haittaohjelmien ja vakoiluelementtien rajamailla

Tässä kohdin tulevat mukaan myös kohteet, jotka liikkuvat turhakkeiden ja varsinaisten haittaohjelmien rajamailla.  Niitä ei näe koneestaan ilman torjuntasoftia.  Samoin on puhuttava myös lataussivustoista.

Aikaisemmin oli erittäin harvinaista, että arvostaan kiinni pitäviltä ammattimaisilta lataussivustoilta olisi saanut joitakin turhia ohjelmia puhumattakaan sitten jo varsinaisista haittaohjelmista.  Nyt se on ehkäpä jo aivan yleistä.  Lataussivustot katsovat, että jos ladattavaan kohteeseen ei sisälly selvää virusta tai vaarallista haittaohjelmaa, niin se saa olla eikä lataajia mitenkään huomauteta näistä turhakkeista.  

On tultu tulokseen, että maksuttomien ohjelmien kehittäjät voivat saada joitakin lisätuloja kun myyvät ohjelmien latausten yhteyteen tilaa muunlaiselle softalle. Ja nyt on jo selvästi tapauksia, joissa esim. aikaisemmin kunnolliseen ohjelmaan on sen uusiin versioihin kytkeytynyt jo vaarallisia elementtejä.  Lataussivustojen mahdollinen kontrolli – jos sitä edes on – pettää.

Ollaan vaarallisella tiellä.  Missä on nyt ja tulevaisuudessa raja harmiton turhake/vaarallinen haittaohjelma?  Pitääkö heti välittömästi aina ohjelmalatauksen jälkeen ajaa haittaohjelmien ja virusten skannerit?

 

Vaaralliset haittaohjelmat ja virukset

Entä sitten jos jo huomaa, että jotakin muutakin on tullut kuin pelkkiä turhakkeita?  Jos virustorjuntaohjelma jo ladatessa tai heti sen jälkeen reagoi, kuuluu KLING! ja ohjelma ilmoittaa että Virus poistettu.  Torjuntaohjelma on poistanut abc-everybodyfrend-PUP troijalaisen koneesta.

Vaikka olisi miten hyvä virustorjuntaohjelma, ei tule jättää asiaa sen varaan, että virus nyt on poistettu niin tapaus on selvitetty.  Niin voi olla – riippuu aivan tapauksesta ja torjuntaohjelmista – mutta kaikkein vaarallisimmat tai uusimmat haittaohjelmat eivät lähde niin vaan.  Se on saattanut jo tunkea lonkeronsa koneessa moneen paikkaan.

Kun virus iskee ja torjuntaohjelma kertoo sen nimen, olisi hyvä heti laittaa se muistiin.  Tietysti aika hurskas neuvo, sillä käyttäjä on yleensä säikähtänyt, eikä tule muistiin merkitsemistä edes ajatelleeksi.  Mutta se olisi hyvä muistaa.  Jotkin torjuntaohjelmat merkitsevät poiston myös lokiinsa, josta se on nähtävissä myöhemminkin.  Koskaan ei voi heti tietää, mitä erilaisia toimenpiteitä haittaohjelman kaikkien juurien poisto tulee vaatimaan.

Seuraavan toimenpiteen tulisi olla haittaohjelmien poisto. Ne ovat hyvin todennäköisiä viruksen seuralaisia.  Tai vaikka ei viruksia tullutkaan, niin hiukankin epäilyttävien latausten jälkeen on haittaohjelmien poisto mitä suositeltavin (ks. edellä: Ohjelmia varsinaisten haittaohjelmien ja vakoiluelementtien rajamailla).  

Siihen on useita mahdollisuuksia, joita yksi parhaista jos ei aivan paras on Malwarebytes AntiMalware ohjelma.   Sen selkeästä käyttöliittymästä artikkelin otsikkokuva, klikkaa näkyväksi.  

mywebsearch

Tapaus My Search

Tässä yksi esimerkki, johon neptunetti törmäsi ladatessa ohjelmia testattavaksi.  Se kertoo omaa kieltään, miten monimutkaisia koneen infektiot voivat olla ja miten haittaohjelmien lonkerot ulottuvat aivan uskomattomiin paikkoihin.

Tässä kuva kyseisestä tapauksesta, sen näkyvin muoto, selamien kotisivu joka näyttää hakuelementiltä  Kuva ei ole aivan samanlainen kuin mikä neptunin koneeseen tuli – sen verran hämmästynyt olin, että ei tullut otettua kuvakaappausta.  Ensioire oli siis virustorjuntaohjelman poistoilmoitus.  Seuraava havainto oli, että kaikkiin koneen selaimiin kotisivuksi oli tullut My Search näkymä.  

Pian havaitsi, että kotisivua ei saa selaimien asetuksista millään keinolla pois. Poistin ohjelman ohjauspaneelin listasta.  Seuraavaksi katsoin My Search -poistamisen ohjeita netistä.  Heti löytyi yksi suomenkielinen. Siinä ensimmäisiä tehtäviä oli ajaa sivuston linkin takana oleva poisto-ohjelma.  OK, hyvä niin.  Mutta linkin takana olikin maksullinen poisto-ohjelma.  Homma uusiksi.  Muut ohjeet netissä sanoivatkin, että parhaisiin poistajiin kuuluu Malwarebytes Anti Malware.

Ajoin sen.  Se löysi 6 kpl erilaisia kohteeseen liittyviä PUP-nimettyjä haittaohjelmia ja poisti ne.  Jokohan kotisivu tulisi takaisin?  Mutta ei se tullut, minkä saattoi arvatakin.  Lueskelin taas ohjeita, joista tässä paras ja vieläpä suomenkielinen -> täällä. Kumma juttu kun luulin jo tehneeni kaikki mahdolliset toimenpiteet.  Mutta yhtä vain en ollut huomannut, eikä tosiaan tule ajatelleeksikaan. Tätä:

Pikakuvakkeen muutokset

Selainhan aukeaa siltä, mihin työpöydällä, käynnistysvalikossa tai tehtäväpalkissa oleva pikakuvake sen osoittaa. Pikkukuva Firefoxin pikakuvakkeesta, klikkaa näkyväksi.  Kursorin osoittamalla osoiterivillä on avattavan osoite.  Haittaohjelma oli lisännyt kaikkien selaimien ja kuvakkeiden osoiteriville sen loppuun oman nettiosoitteensa.  Vasta sen poistaminen jokaisesta kuvakkeesta palautti kotisivun.


Vaaravyöhykkeessä erityisesti maksuttomien ohjelmien lataukset

Riskeille alttiimpia ovat maksuttomien ohjelmien, näytönsäästäjien ja säköpostin lisäelementtien lataukset.  Ohjelmien haitakkeiden syistä on kerrottu artikkkelissa jo aikaisemmin.  Maksullisiin softiin sen sijaan aniharvoin sisältyy haitallisia elementtejä.  Sen sijaan latausten kylkiäisenä voi kyllä tulla muita lisäohjelmia tai niiden trial-versioita.  Jää jokaisen harkittavaksi poistaako heti kaikki ylimääräiset, vaikka ne eivät haittaohjelmia olekaan.

Lataamisia varmistaa, että koneessa on kunollinen ja riittävän monipuolinen turvaohjelmisto.  Mutta silti on latauksissa mahdollisuus saada tuholaisia.  Haittaohjelmien kehitys on aina hiukan edellä niiden torjujia.  Siksi ole ladatessa tarkkana. Päivitä aina tuvaohjelmat. Ja hanki itsellesi valmiudet – tieto, kanavat –  ylimääräsiin torjuntatoimiin.

 


Linkit

Malvarebytes AntiMalware 

ESET online haittaohjelmien skanneri (maksuton)

F-Secure online skanneri (maksuton)

F-Securen maksuton palvelu hakutulosten tuvallisuuden selvittämiseksi  

 


Asiaan liittyvää

Mitä ovat haittaohjelmat (malware) 

Virus koneessa?! – mitä tehdä

Ohjelman lataus ei onnistu – lataa tehokkaammin

 

Kokemuksia?  Kysyttävää?  Laita kommenttia tähän.

 

 

 

 

EmailFacebookTwitterGoogle+LinkedInShare

Tagit: , , ,

Jätä kommentti

Voit käyttää näitä tageja: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>