(C) Olavi Kanervisto & Tietotila Oy 1995

Tietokonevirusten uhka kasvaa

Tietokoneviruksella tarkoitetaan ilkivaltaista ohjelmaa, joka käyttäjän huomaamatta lisääntyy kopioimalla koodiaan muihin ohjelmiin, kiintolevyn ja levykkeiden käynnistysalueille tai muihin käyttäjälle näkymättömiin kohtiin.

Osa viruksista ainoastaan leviää. Monet on kuitenkin ohjelmoitu aiheuttamaan vahinkoa, kuten tiedostojen sotkemista tai koko kiintolevyn sisällön tuhoutumisen.

Modeemilla imuroitavien julkisohjelmien mukana voi periaatteessa saada viruksen. Hyvämaineiset sähköpostit tarkistavat kuitenkin kaikki ohjelmat virusten varalta, ennen kuin ne laitetaan jakeluun. Luvattomia kopioita jakavat ns. piraattipurkit eivät aina menettele näin.

Viruksia on tavattu myös kaupasta ostettavissa ohjelmissa, jopa CD-tietolevyillä eli rompuilla. Todennäköisyys viruksen saamiseen laillisen ohjelman mukana on kuitenkin pieni.

Varmimmin viruksen saa laittomasta ohjelmakopiosta. Erityisesti peliohjelmien hakkeroidut versiot saattavat olla tartutettuja. Olen tavannut myös WordPerfect-kopion, jonka INSTALL-asennusohjelma sisälsi viruksen. Siten jokainen luvatonta ohjelmaa asentava sai tuholaisen mikroonsa.

Uudet virukset yhä katalampia

Kaksi vuotta sitten 30 lukijaa tilasi mikropalstalla suositellun shareware-virustentorjuntaohjelman. Vain kaksi Form-virustartuntaa löytyi, ja ne saatiin poistetuksi onnistuneesti. Tilanne ei siis vaikuttanut kovin huolestuttavalta.

Mutta virusten määrä kasvaa koko ajan, ja uusimmat virukset on koodattu yhä taitavammin. Osa niistä pystyy muuttamaan muotoaan joka tartunnan yhteydessä, ja jotkut osaavat hämätä tunnettuja torjuntaohjelmia. Mm. DOS-käyttöjärjestelmän VSAFE (CPAV) -ohjelma osataan tehdä tehottomaksi. Microsoft onkin äskettäin hankkinut käyttöönsä vaikeammin huijattavan islantilais-suomalaisen F-Prot-ohjelmiston.

Jos uusia ohjelmia asentaessasi mikrossasi on virus, myös asennuslevykkeet saattavat saastua. Siksi ohjelmalevykkeet on aina kirjoitussuojattava ennen kopiointia! (Diskcopy-kopiot voivat saada tartunnan, mutta näin ainakin alkuperäiset säilyvät puhtaina.)

Markkinoilla on myös ohjelmia, joiden asentaminen ei onnistu varmuuskopiosta, vaan ainoastaan kirjoitussuojaamattomalta levykkeeltä. Asennusohjelma näet "pilaa" ohjelmalevykkeen niin, että uusi asennus ei onnistu, ennen kuin ohjelma on "palautettu" sille. Jos laitteessa on virus, asennuslevyke saa tartunnan asennuksen tai palautuksen yhteydessä.

Karta ohjelmia, joiden asennuslevykkeistä ei voi tehdä toimivaa varmuuskopiota! Mikäli asennukseen sisältyy ohjelmalevykkeelle kirjoittavia kopiosuojausrutiineja, vaadi mukaan virustenetsintäohjelma ja käytä sitä ennen asennusta. Ellei myyjä suostu tähän, valitse jokin muu ohjelma.

Tyhjäkin levyke voi sisältää viruksen

Suomessakin yleiset Form- ja Michelangelo-nimiset maanvaivat ovat ns. käynnistyslohkoviruksia. Ne voivat siirtyä kiintolevylle ainoastaan kytkettäessä virta päälle saastuneen levykkeen ollessa A:-asemassa.

Mikäli käyttöjärjestelmätiedostoja ei löydy, tietokone tulostaa virheilmoituksen:

"Non-System disk or disk error

Replace and strike any key when ready"

(Ei järjestelmälevy tai levyvirhe. Vaihda levy ja paina mitä tahansa näppäintä.)

Jokaiselle on varmaan joskus käynyt näin. Samalla on opittu, että levykkeen poistamisen jälkeen mikro käynnistyy normaalisti painettaessa jotakin näppäintä. Mutta siten ei missään tapauksessa pidä menetellä, vaan aina on käytettävä virtakytkintä!

Vaikka tietokone ei käynnistykään "tyhjältä" levykkeeltä, käynnistyslohkoviruksen koodi siirtyy kuitenkin keskusmuistiin odottamaan komentotulkin lataamista kiintolevyltä. Sen jälkeen virus kirjoittaa koodinsa kiintolevyn käynnistyslohkoon varmistaen sen, että vastedes viruskoodi luetaan aina käynnistettäessä keskusmuistiin. Tässä vaiheessa virran katkaisemisesta ei siis enää ole apua!

Keskusmuistissa vaaniva käynnistyslohkovirus tarttuu ja leviää kaikille kirjoitussuojaamattomille levykkeille. (Kirjoitussuojan ollessa päällä ei virus pysty kopioitumaan.) Levykkeille ei tarvitse edes tallentaa mitään – jopa "DIR A:" -komento saa aikaan tartunnan. Ja alustettaessa levykkeitä FORMAT-komennolla käynistyslohkovirus asentuu samalla.

Vaarallinen virus kaupan Helsingissä

Helsinkiläinen tietokonetarvikemyymälä ilmoitti viime vuoden lopulla myyneensä erän levykkeitä, joihin sisältyi erittäin vaarallinen "LZR"-käynnistyslohkovirus. Tuholainen leviää kuten Form, mutta sen vaikutukset ovat pirullisempia.

LZR-virus muuttaa käsiteltävästä tiedostosta satunnaisin väliajoin yhden merkin kerrallaan. Esimerkiksi kirjanpidosta saattaa yksi numero vaihtua toiseksi, tai ohjelmakoodista voi muuttua vain yksi ainoa tavu. Viruksen vaikutukset ovat siten täysin ennalta-arvaamattomia. Kirjanpidon tietokanta voi muuttua siten, että yhteenlaskut eivät enää täsmää. Myös itse ohjelma voi alkaa toimia virheellisesti.

Virustentorjuntaohjelmat osaavat poistaa LZR-viruksen. Mutta jos se on saanut toimia huomaamatta pitkän ajan, monta tiedostoa voi olla sekaisin. Varmuuskopion palauttaminenkaan ei välttämättä korjaa tilannetta, koska osa virheistä on saattanut olla olemassa jo kopiota tehtäessä.

Edes levykkeen alustaminen ei aina tuhoa viruksen koodia: DOS 6:n FORMAT-komento tehoaa vain /U-valitsimen kera. Ainoa varma tapa välttyä LZR:n ja muiden tiedostoja rappeuttavien virusten tuhoilta on olla saamatta tartuntaa.

Takaisin juttuluetteloon

Tietotila Oy:n pääsivulle