Pandeemia virtuaalmaailmas
Veiko Tamm
04.08.2011

„Sitikad ja satikad ja sabadega täid tulid minu arvutisse, kuhu nad ka jäid” – nii võiks tuntud pilavärssi parafraseerida praegusel pahavara aktiivsuse uue tõusu ajal. Viirustest ja nende tõrjest on ju nii palju räägitud, milleks korrata?

Aga kordamine pidigi see (tagantjärele) tarkuse ema olema. Ja kordab ju telereklaamgi igal suve hakul – ärge istuge joobes rooli, ärge hüpake täis peaga vette… Nõnda pean minagi vajalikuks üle korrata mõnele juba teada olevat ja teiste jaoks uut ning valgustada uusi rünnakuvorme meie arvutite ja informatsiooni vastu.
Alles hiljaaegu tõusis arvutikuritegevuses liikuvate summade maht lähedale kuulsale tippkolmikule – illegaalsele relva-, narko- ja prostitutsiooniärile. Peagi oli porno selja taha jäetud ning eelmise aasta suvekuudel möödus arvutipättide käive hinnanguliselt ka kogu maailma narkokäibe mahtudest, jäädes veel alla vaid relvakaubandusele. Kus aga liigub suur raha, seal nähakse ka vaeva selle saamiseks vajalike vahendite loomisel ja levitamisel.

Libaturvavara
Üks just viimastel aastatel laiemat levikut leidnud pahavara (malware) liike on libaturvavara (rogue antivirus, rogue security software). Pahavara on üldine ja laiem nimetus kogu kasutaja arvuti- ja infosüsteeme kahjustava tarkvara kohta, millest viirused moodustavad vaid ühe vähese ja kaasaja vahenditega suhteliselt kergesti tõrjutava osa. Libaturvavara aga suudab pahaaimamatu kasutaja masinat rünnata ka seal töötavale antiviirustarkvarale ehk viirustõrjele vaatamata. Loomulikult ei toimu see iseenesest, vaid ikka kasutaja teadmatul kaasabil. Ent siin ei saa kohe irvitades tõtata süüdistama „tihendit ekraani ja tooli vahel”. Mai lõpul–juuni algul tuli mul paari nädala jooksul ravida kümnete tuttavate arvuteid neid tabanud „katkust” ja need inimesed polnud sugugi masinaga esimest korda kokku puutunud nn tädi-maalid maalt, vaid ennast IT-vallas küllalt kodus tundvad kasutajad. Lisagem siia, et neist vaid ühel puudus viirustõrje tarkvara (ta sülearvutiga kaasa tulnud Mcafee viirustõrje oli juba aasta tagasi aegunud). Küll oli kasutuses NOD32 tasuline versioon, küll Kaspersky antiviirus, küll Avira tasuta antiviirus. Ja tegu polnud sugugi virtuaalmaailma porno- ja piraadimülgastes ringikaevajatega.
Levinuim juhtum on selline. Avate brauseris mõne veebilehe ning kui see on nakkust levitav (kas teadlikult ohvreid otsiv või mõni nakatatud tavaleht), siis hüppab lahti eraldi aken pealkirjaga Security Shield, Online Virus Scanner vm ja siis hakkab toimuma visuaalselt tuttav viiruste otsimise protsess. Failid sibavad suurel kiirusel silme eest läbi ja juba mõned sekundid hiljem kuvatakse teile tulemus, kus veripunaselt kirendab nimekiri teie arvutist leitud „tohutult ohtlikest viirustest ja troojalastest”. Ning pakutakse võimalust paigaldada viiruste eemaldamise tarkvara, või küsitakse lihtsalt, et kas tahate leitud viirused eemaldada? Vastuseks pakutakse YES või NO. Kui te vajutate nüüd YES-nuppu, ongi teie masinasse paigaldatud troojalane. Kui te vajutate nuppu NO, toimub ikka täpselt sama. Ja kohe tuvastab see pahalane teie masina kaitsevara, kõrvaldab ta tunnusstringidest viited endale ning asub ettenähtud pahandusi ellu viima.
Kuna kasutajaid on õpetatud neid nuppe mitte vajutama, siis on kelmid läinud veelgi kavalamaks. Kui varem sai ettehüpanud akna ülalt paremast nurgast punast ristikest vajutades sulgeda, siis nüüd pole ka sellest enam abi – terve see ekraanile karanud aken on nagu üks suur nupp YES, ja sellele ükskõik millise hiirenupuga vajutamine loeb troojalase arvuti mällu.
Meenutagem veel kord – ÜKSKI veebileht ei suuda näha teie arvutis ühtegi viirust ilma vastavat moodulit käivitamata! Kuigi paljud on kuulnud veebi-antiviirustest ja veebi-skanneritest, siis tegelikult iga selline skanner küsib teilt esmalt luba paigaldada pisike moodul, mis seejärel laaditakse alla uuritavasse arvutisse. Seal sooritab see sooritab oma nuuskimistöö ning saadab tulemused tagasi veebis asuvasse uuringukeskkonda, seega analoog teie arvuti antiviirusele, ainult andmebaasid ja uuriv mootor on kuskil veebipilves. Pahalasi arvutisse toovad hüpikaknad on sageli kopeeritud tuntud turvavarafirmade disaini jäljendavatena ja esmapilgul näib kõik õige.
Sellisesse olukorda sattununa tuleb aken sulgeda klahvikombinatsiooni Alt-F4 abil või käivitada tegumihaldur (Task Manager) ja sealt protsess sulgeda. Või arvuti kiiresti vooluvõrgust välja lülitada. Miks ei aita siin antiviirus ehk viirustõrje? Asi on selles, et antiviirus skaneerib arvuti kettale salvestatud ja sealt käivitatavaid faile. Näiteks te sikutate netist alla mõne nakatunud programmi ja tahate seda käivitada. Antiviirus kontrollib seda, leiab viiruse ja takistab programmi käimatõmbamist ning püüab viirust eemaldada. Tänapäeval see enamalt jaolt ei õnnestu ja ainsaks võimaluseks pakutakse nakatatu kustutamist. Ja seda PEAB ka tegema, olgugi et see oli ainus „keygen”, mille te leidsite. Eelkirjeldatud libade korral aga ei kirjutagi see kägulind end kettale, vaid loeb end kohe arvuti mällu ja sinna vahele tavaline viirustõrje oma kätt panema ei ulatu. Mälus sooritab pahavara juba eespool kirjeldatud antiviiruste „pimestamise” enda (ja plaanitavate pahavaraliste „sõprade”) suhtes ning teie viirustõrjeprogramm on näiliselt töös ja korras. Ka uuendused ei aita, sest taas kõrvaldab pahalane talle ebameeldivad viited. Kui puust ja punaselt selgitada, siis oleks tegu nagu politseijaoskonna korrumpeerunud ja pättide heaks töötava ametnikuga, kes seinalt „Neid otsib politsei” kõrvaldab oma tuttavate pildid ja saab esimesena uutele lisandunud piltidele juurdepääsu.

Õnnitlused – te olete nakatatud!
Vaatame nüüd aga, mis juhtub, kui te siiski vajutasite NO või aktiveerisite muul viisil pahalase. Sümptomid võivad olla väga varieeruvad (nagu päris nakkuste puhul) ja sõltuvad rünnaku eesmärkidest. Enimlevinud on pättide n-ö ratsa-rikkaks lahendused, mis teatavad pärast edukat masina ülevõtmist, et jah, uuring oli tasuta, aga eemaldamise eest peate maksma ning teid visatakse n-ö tootja veebilehele. Ent uurige palju tahate, te ei leia viidet tarkvara tootvale firmale, selle ametlikule veebile või muule olulisele infole. Ainus, mis teile pakutakse, on võimalus sisestada oma krediitkaardi andmed ja „sooritada ost 99 €”. Heal juhul jääte te vaid ostusummast ilma, halvemal juhul aga tehakse teie krediitkaart nii puhtaks, kui vaid saab. Mõnel korral näidatakse teile suhteliselt talutavat numbrit, nt 2 €, millele aga troojalane panka edastamisel ise nulle otsa laob või mõne Tambovi konstandiga läbi korrutab.
Teine, kavalam nn lüpsilehma meetod võib juba olla ka oma ametliku veebilehega ja teile pakutakse muidu nt 49 € hinna asemel „ainult täna ja sulle” sooduspakkumist vaid 1,2 € eest soetada kõikvõimas kaitsevara. Mõnigi võib sel hetkel mõelda, et ah mis ikka, see mind vaeseks veel ei tee, ja sooritab makse, lugemata läbi makse sooritamisele eelnevat kümneleheküljelist „litsentsilepingut”. (Kes neid ikka on kunagi viitsinud lugeda?) Aga sealt oleks selgunud, et te ostsite 1,2 € eest kahepäevase prooviversiooni ning kui te ei katkesta tellimust, hakatakse teilt iga nädal/kuu maha võtma tavakaardikasutaja jaoks silmatorkamatuid summasid. Ka meil Eestis ei torka paljudele mõnekümne eurone kadu alati silma, kui just igat kaardikulurida näpuga taga ei aja. Ent miljardite veebikodanike hulgast isegi sada tuhat ohvrit kindlustavad pätile miljonilise igakuise sissetuleku. Sama meetodit on kasutanud ka mitmed piraatfilmide levitajad, kelle film mõnekümne sekundi pärast on krüpteeritud ja teid saadetakse ostma „pleierit”.

Kes liigub, korjab nakkusi
Ühest samuti viimasel ajal suureks ohuks kasvanud saastast tahaks veel lühidalt rääkida – need on kõvakettaviirused. Kuigi juba ammu, flopiaegadel ilmunud pahalased tegid omal ajal palju kurja, olid nad vahepeal suisa varjusurmas ning kurikaelad neid tegema ei vaevunud. Kui aga hakkasid levima USB- või muu liidesega irdseadmed (USB-mälupulgad, välised kõvakettad jne), siis taasavastati kiirelt nende „meeldiv” omadus saastvara ja viiruste levitamiseks. Nimelt on Windowsil rumal komme irdseadme ühendamisel see kohe autostartida ning kui seadmes leitakse INF-laiendiga fail, siis see silmapilk ka käivitada, enne ligipääsu arvutis olevale antiviirusele, ja pahalane võtab endale ka administraatori õigused. Ja taas on meil viirus arvuti mälus ja toimub juba eelmainitud kaitsevara „pimestamise” ning viiruse igasse võimalikku kohta levitamise protseduur. See viirusfail on tehtud ka varjatud (hidden) failiks ning tavaliselt Explorer või muu failihaldur seda ei näe ega näita. Ja edaspidi nakatatakse sellega iga arvutiga ühendatud irdseade.
Sarnaselt viidi Iraani internetti mitteühendatud arvutitesse nakkus nimega Stuxnet, mis lõi rivist välja olulised tuumaseadmed. Edasi levis ta vähehaaval irdseadmete kaudu netti ja laialt paljudesse Aasia riikidesse, põhjustades suurt kahju.
Teie aga saate oma süsteemi kindlustada: minge juhtpaneelile (Control Panel), valige sealt Hardware and Sound ning sealt edasi AutoPlay. Avanenud aknas eemaldage linnuke kõige ülal asuva valiku Use AutoPlay for all media and devices kastikesest. Nüüd kinnitage oma toiming all paremal nupuga Save ja enam teil masinasse ühendatud irdseadmed ja CD/DVD-plaadid automaatselt ei käivitu.

Kus on ravim – mu arvuti köhib?
Kuidas sellisest saastast vabaneda, kui oli õnnetu juhus see endale hankida? Nagu mainitud, nakatatud arvuti viirustõrje enam oma jõududega hakkama ei saa, sest isegi kui ta näeks viirust ja selle eemaldaks, kirjutab viirus end mälust kohe tagasi. Siin tuleks kasutada nt CD-le (või uuemal ajal ka USB-mälupulgale) eelinstalleeritud opsüsteemi koos sinna paigaldatud pahavaratõrje tarkvaraga ja soovitatavalt ka võrgutoega uusimate stringide allalaadimiseks. Ning loomulikult peab see CD olema valmistatud nn puhtas masinas. Paljud turvatarkvara firmad pakuvad selliste nn Rescue-CD-de allalaadmisvõimalusi. Nüüd tuleb käivitada arvuti sellelt puhtalt andmekandjalt kas BIOSis (esimeseks stardiseadmeks siis vastavalt CD või USB-Drive valides), või siis buutimise ajal F12-klahvi vajutades esile manada stardiseadmete menüü ning sealt valida teile vajalik seade.
Teine võimalus on nakatunud ketas masinast välja võtta ja mingisse teise, puhtasse ja kaitstud arvutisse, kus on korralik ja uuendatud turvatarkvara, skaneerimisse saata. Seal arvutis peab olema keelatud irdseadmete autostart! Ning seal tuleb uut ketast avamata kohe sellele kallale lasta kindel pahalasetõrje. Mina olen sooritanud alati kahekordse kontrolli – esmalt Kaspersky Internet Security abil ja seejärel just selliste libavarade osas väga tugeva programmiga Malwarebytes Anti-Malware. Üks oluline asi veel – enne kui te asute ristisõtta pahalas(t)e (sageli on esmane veebist/irdseadmelt sisenenud troojalane juurde kutsunud hulganisti teisi pahavarasid) vastu, kopeerige oma olulised failid kuhugi varuks, sest nii mõnigi pahalane rikub pärast kustutamist (eriti just ketta bootsektori viirused) teie ketta failisüsteemi ja hilisem info taastamine on palju keerulisem ning kallim.
Kui te aga pole just teab kui suur arvutispetsialist, siis kogu eelnev jutt võib jääda suhteliselt arusaamatuks. Siin oleks soovitus – leidke endale tuttav itimees, kes aitaks teil probleemist jagu saada. Või pöörduge mõnda arvutifirmasse, kust alati leiab sellise spetsialisti. Kui kerget külmetust võite te pärnaõieteega või Coldrexiga ravida, siis nii lihtsat operatsiooni nagu pimesoolelõikus ei hakka te ju ise peegli ees tegema.

Sarnased artiklid