Poikkeuksellisen nopeasti leviävä makrovirus liikkeellä



Viime viikonlopulla lähti liikkeelle poikkeuksellisen nopeasti leviävä virus, nimeltään W97M/Melissa. Se levittää itseään sähköpostin välityksellä ja käyttää hyväkseen Microsoft Word 97, Microsoft 2000 tai Microsoft Outlook -ohjelmistoja. Vaarassa ovat niin Windows- kuin Macintosh-käyttäjätkin.


Virus on peräisi Saksasta ja se saattaa olla jo Suomessa. Maailmalta on kuulunut tietoja siitä, että virus on onnistunut tukkimaan mm. Microsoftin ja Intelin sähköpostijärjestelmiä.

Virus levisi ympäri maailman tunneissa

Suomalaisen virustentorjunta- ja salausohjelmistojen valmistajan DataFellowsin tiedotteen mukaan viruksen liikkeellelähtö oli heti maailmanlaajuinen, sillä se tapahtui alt.sex -uutisryhmässä, jonka jälkeen se levisi hetkessä ympäri maailmaa.

Virus lähetettiin ryhmään tiedostossa, jonka nimi on LIST.DOC, ja joka sisälsi pornoaiheisten www-sivustojen salasanoja. Kun käyttäjät imuroivat tämän tiedoston ja avasivat sen Wordissä, tiedoston sisältämä makro käynnistyi ja lähetti sähköpostilla LIST.DOC -tiedoston 50:lle käyttäjän osoiteluettelossa olevalle henkilölle. Sähköposti oli seuraava:

        From: (name of infected user)
        Subject: Important Message From (name of infected user)
        To: (50 names from alias list)

        Here is that document you asked for ... don't show anyone else ;-)

        Attachment: LIST.DOC

Melissa lähettää itseään sähköpostitse käyttäjän tietämättä

Virus tartuttaa Word-tiedostoja ja saattaa lähettää sähköpostitse niitä edelleen käyttäjän siitä mitään tietämättä. Tämä voi olla varsin ikävää, sillä tällä tavoin voi luottamuksellista aineistoa joutua organisaation ulkopuolelle.

Virus lisää Word-tiedostoihin kommentteja Simpsonit -televisiosarjasta. Sähköpostiosoitteet virus saa Outlook-sähköpostiohjelmasta. Sähköpostin liitetiedostoissa levitessään on se hankala, sillä saastunut viesti näyttää usein tulevan vastaanottajalle tutulta henkilöltä, jolloin vastaanottaja usein avaa liitetiedoston ja samalla käynnistää viruksen.

Lähetettyään itsensä 50 ensimmäiselle osoitekirjasta löytyvälle henkilölle, virus jatkaa käyttäjän avaamien Word-dokumenttien saastuttamista.

Virus aktivoituu, jos se suoritetaan, kun tietokoneen kellon osoittamat minuutit ovat samat kuin meneillään olevan kuukauden päivä, esimerkiksi klo 18:27 kuukauden 27. päivänä. Virus kirjoittaa sillä hetkellä aukiolevaan Word-tiedostoon: "Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here". Teksti sekä viruksen kirjoittajan salanimi "Kwyjibo" viittaavat Simpsonit -televisiosarjaan.

Kokonaiset sähköpostijärjestelmät saattavat tukkeutua

Kokonaisille sähköpostijärjestelmille viruksesta voi olla paljonkin haittaa, jos suuren organisaation tietokoneet saastuvat ja alkavat lähettämään käyttäjien tietämättä toisilleen tai organisaation ulkopuolelle suuria määriä liitetiedostoja. Tällöin palvelimet ruuhkautuvat ja saattavat jopa kaatua.

Mikäli saastuneessa tietokoneessa ei ole Outlook-ohjelmaa tai Internet-yhteyttä ollenkaan, virus jatkaa leviämistään koneessa käyttäjän avaamissa tiedostoissa ja saastuttaa Word-tiedostoja.

Virustartuntoihin voi varautua

Virustartuntoihin voi varautua oli kyse sitten perinteisistä viruksista tai nykyään nopeaa tahtia lisääntyvistä makro-viruksista. Eräs tapa on hankkia viruksentorjuntaohjelma ja päivittää se riittävän usein, jotta uusimmatkin virukset tulee ohjelmalla torjutuksi.

Ilman torjuntaohjelmaakin voi tehdä paljon. Käyttäjän omissa käsissä on monasti, tarttuuko virus omiin tiedostoihin vai ei. Tavanomaisten virusten torjunnassa on esimerkiksi huomattava, ettei tietokonetta kannata käynnistää levyke asemassaan sisällä.

Myös erilaisten ohjelmien lähde on syytä olla tiedossa ja ohjelman levittäjän luotettava. Mistään keskusteluryhmistä tai epämääräisiltä www-sivuilta ei ohjelma- tai Word-tiedostoja pitäisi imuroida omalle koneelle. Samoin oman organisaation ulkopuolelelta tulevia tiedostoja on syytä tarkkailla ja päästää omaan järjestelmään vasta, kun ne on tutkittu virusohjelmalla.

Makrovirusten leviämisen kohdalla olisi taas syytä välttää Word- tai Excel-liitetiedostoja. Liitetiedostoja voi toki lähettää, mutta tällöin olisi syytä käyttää jotakin muuta tallennusmuotoa kuin oletusmuotoja. Word-dokumenttien kohdalla käyttökelpoinen tallennusmuoto on esim. Rich Text Format - RTF. Myös pelkkä teksti on usein toimiva.

Monta kertaa on käytännöllisintä, jos sähköpostiviestiin ei liitä mukaan mitään liitetiedostoa, vaan sisällyttää asian sähköpostiviestiin kirjoitettavaan tekstiin. Tällä tavalla eivät virukset voi levitä. Samalla tiedostoista tulee pienempiä ja ne vaativat vähemmän sähköpostipalvelimilta resursseja.

W97M/Melissa -viruksen kohdalla suojautuminen on myös mahdollista, jos suhtautuu kriittisesti Word-dokumentteihin liitetiedostoissa. Tällaisia viestejä, joissa on liitteenä LIST.DOC-niminen tiedosto, pitää käsitellä varoen eli liitetiedostoa ei ainakaan pidä aukaista.

Melissa-virus käyttää myös Outlook-sähköpostiohjelmaa itsensä levittämiseen, joten on syytä harkita olisiko jokin muu sähköpostiohjelma parempi.

Entä jos virus on jo iskenyt?

Mikäli tietokone käyttäytyy kummallisesti ja kirjoittaa esimerkiksi tiedostoihin outoja tekstejä, ei missään tapauksessa ensimmäisenä kannata alkaa summittaisesti tuhoamaan tiedostoja. Tällä tavalla voidaan tuhota korvaamatonta tietoa tuhoamatta itse virusta.

Jos epäilee virustartuntaa, on ensin varmistuttava siitä, että tällaisesta on todella kyse. Eri ohjelmien kaikki kummalliset toiminnot ja häiriöt eivät ole viruksia.

Kun virustartunta on varmistettu esimerkiksi virusohjelmistolla tai esimerkiksi DataFellowsin virustietokannasta saadulla informaatiolla, on virus poistettava. Käytännössä se vaatii viruksentorjuntaohjelmiston hankintaa, ellei sellaista ole olemassa. Työpaikoilla yleensä viimeistään tässä vaiheessa kannattaa kääntyä mikrotuen puoleen, mikäli itse ei osaa asiaa hoitaa.

W97M/Melissa -virus on siitä kavala, että se saattaa levittää tietokoneessa olevia tietoja pitkin Internetiä, jolloin on syytä harkita koneen irroittamista Internetistä, kunnes virus on poistettu. On myös hyvä muistaa, etteivät virukset voi levitä sammutetusta tietokoneesta.

Ruuhkaa, huhuja ja hermostuneisuutta

Virukset herättävä hermostuneisuutta tietokoneiden käyttäjissä. Paniikin ei kuitenkaan pitäisi päästä valloilleen, sillä se vain aiheuttaa lisää hermostuneisuutta ja ruuhkaa. Yrityksen virustartunnoista tiedottaminen kannattaa jättää esimerkiksi mikrotuen tehtäväksi, sillä usein tieto uusista viruksista leviää 'virallisia' tietä nopeammin kuin huhuina.

Maailmalla on useita hoax-viruksiksi kutsuttuja huijauksia liikkeellä, joissa kerrotaan, että siinä nimenomaisessa viestissä on virus, ja sitä ei missään tapauksessa pidä avata ja viesti pitäisi lähettää kaikille jotka tuntee, mutta mukana ei ole mitään liitetiedostoa.

Nuo ovat vain huijauksia, joiden tarkoituksena on kiertää mahdollisimman monta kertaa maailman ympäri.

Tyypillisiä tällaisia huijauksia ovat sähköpostiviestit nimeltään Good Times, Bud Frogs warning tai esimerkiksi WIN A HOLIDAY. Tällaisia on liikkeellä useita ja ne ovat jokseenkin harmittomia.

Virukset eivät leviä pelkässä tekstimuotoisessa sähköpostissa; se vaatii mukaansa liitietiedoston tai jonkin ajokelpoisen ohjelman.

Lisätietoja

Lisätietoja W97M/Melissa -viruksesta:
http://www.Europe.DataFellows.com/news/pr/eng/19990327.htm

Lisätietoja viruksista yleensä:
http://www.Europe.DataFellows.com/vir-info/

Lisätietoja virushuijauksista:
http://www.Europe.DataFellows.com/news/hoax/

VILLE TENHUNEN
28.3.1999


AJASSA -SIVULLE