You are here: TUTWiki>Tietoturva/Tutkielmat>TyoLuettelo?>2005-21

Harri Ruuttila

Vakoiluohjelmien poistaminen

Johdanto

Haittaohjelmat ovat tulleet viimeisen viiden vuoden aikana tietokoneiden käyttäjien riesaksi virusten ohella. Siinä missä virus on helposti rajattavissa oleva kokonaisuus, on haittaohjelma huonosti rajattavissa.

Haittaohjelma saattaa olla osa jotain toista hyödyllistä sovellusta ja sen poistaminen ei välttämättä onnistu ilman isäntäsovelluksen poistamista. Nykyisin ohjelmistotalot sijoittavat tuotteisiinsa haittaohjelmina pidettäviä ominaisuuksia erilaisista syistä. Tuoreena esimerkkinä otettakoon vaikkapa Sonyn musiikki cd:iltä löytynyt rootkit kopionsuojaus, joka täyttää haittaohjelman määritelmät. Myös pelimaailmassa suuren suosion saavuttaneen World of Warcraft -Internet-moninpelin sisältämät koneen valvomisprosessit voidaan luokitella haittaohjelmiksi.

Haittaohjelmat ovat miltei ainoastaan Windows-käyttöjärjestelmien ongelma ja tässä harjoitustyössä keskitytäänkin Windows XP -ympäristössä toimiviin haitta- eli vakoiluohjelmien poistajiin. Harjoitustyön tarkoitus on verrata neljää vakoiluohjelmanpoistajaa.

[Ficora] [Sektori] [BBC]

Haittaohjelmat

Spyware- eli vakoiluohjelmistot

Spywarella tarkoitetaan ohjelmaa, joka käyttää erilaisia menetelmiä käyttäjän koneella olevan informaation tai koneelta lähtevän informaation tutkimiseen. Tietoja tai tietoliikennettä valvotaan käyttäjältä salaa ja sitä välitetään eteenpäin mahdollisimman huomaamattomasti. Tietojen valvontaa tehdään monista eri syistä. Vakoilulla voidaan esimerkiksi havitella koneella sijaitsevia arkaluonteisia tietoja tai seurata käyttäjän käyttäytymistä verkosta.

On myös olemassa vähemmän pahantahtoisia "haittaohjelmia". Esimerkkinä World of Warcraft, jossa varsinaiseen peliin rakennettu ohjelma valvoo ettei, ettei koneella ole käynnissä tunnettuja huijausohjelmistoja, kun peliä pelataan. Käyttäjällä ei kuitenkaan ole valtaa tämän lisukkeen toimintaan, joten se voidaan joiltakin osin luokitella haittaohjelmaksi. Spyware-ohjelmistot ovat ohjelmistojen valmistajien lisäksi verkossa saatavilla olevan ns. kielletyn aineiston tuottajien suosiossa. Esimerkkiä ohjelmien ja pelien crack-tiedostot (kopiosuojauksen kierto) tai internetin pornoteollisuuden tarjoamat sivustot. Usein tällaisilta sivustoilta voi tarttua koneelle spyware-ohjelmia tai ne voivat sijaita sivustolta ladattavassa sisällössä.

Spyware-ohjelmat asentuvat koneelle joko ilman käyttäjän tietämystä tai huijaamalla käyttäjän asentamaan ohjelman. Joskus myös suurten ohjelmien sisältämä spyware jää käyttäjältä huomaamatta, vaikka siitä kerrotaankin ohjelman lisenssissä, mikä käyttäjän tarvitsee hyväksyä. Lisenssit ovat kuitenkin niin pitkiä, että harva oikeasti lukee niitä. Isäntäohjelma ei kuitenkaan usein toimi ilman spyware-komponenttia, joten käyttäjälle ei jää vaihtoehdoksi kuin hyväksyä lisenssiehdot, mikäli kyseistä ohjelmaa halutaan käyttää.

Spyware-ohjelmia ei voida poistaa suoraan Windows-koneen ohjelmien lisäys- ja poistotoimenpiteillä, vaan poistoon tarvitaan erillinen ohjelmisto, joka tutkii Windowsin rekisteriä ja poistaa sieltä vakoiluohjelman komponentteja ja siivoaa ne myös tiedostoista. Poikkeuksena ovat ohjelmat, jotka sisältävät spyware-komponentteja ja tiedottavat niistä. Nämä poistuvat koneelta isäntäohjelman poistuessa.

[MB1/05] [MB1/06] [BBC] [Ficora]

Hoax ja phishing

Vakoiluohjelmana tai sen sukulaisena voidaan pitää myös ns. Hoax-ketjukirjeitä tai uudempana esimerkkinä phishing-huijauksia.

Hoax-huijauksella tarkoitetaan sähköpostiin saapuvaa viestiä, jossa varoitetaan jostain olemattomasta uhkasta tai viruksesta. Hoax on itsessään harmiton, mutta se usein kehottaa käyttäjät esimerkiksi vierailemaan sivustolla, josta tarttuu koneelle spyware-ohjelma tai virus.

Phishing eli suomeksi khalastus tarkoittaa toimintaa, jossa pyritään hankkimaan laittomasti taloudellinen hyöty mielessä ihmisten henkilötietoja, pankkitunnuksia tai muita tärkeitä tietoja. Hoax-viestit ovat usein hyvin yksinkertaisia ja pelkistettyjä tekstin pätkiä, mutta phishing-viestit pyrkivät näyttämään mahdollisimman vakuuttavilta, jotta käyttäjää saataisiin huijattua. Lisäksi phishing-viesteissä olevat linkit ohjaavat usein sivustolle, joka näyttää täsmälleen tai lähes samalta kuin yrityksen, jonka edustaja viestin lähettäjä väittää olevansa.

Suomessakin on nähty ensimmäiset suomalaisia pankkeja koskevat khalastus-huijaukset. Nordean asiakkaita on ollut khalastus-huijauksen kohteena, mutta onneksi sivustot ovat olleen tökerösti tehtyjä. SIvustoilla on esimerkiksi käytetty englanninkieltä ja huonoja suomennoksia. Lisäksi Suomen median ripeä tiedotus khalastus-huijauksista on suurilta osin säästänyt suomalaiset huijaukselta.

[Hoax] [Phis] [MB1/05] [Sektori2]

Mainosohjelmat

Mainosohjelmat saastuttavat koneen yleensä nettiselaimen kautta sen heikkouksia hyväksikäyttäen. Mainosohjelmat saattavat ilmaantua koneelle myös Internetistä ladattavien ohjelmien mukana. Useimmat ohjelmat jotka sisältävät mainoskomponentteja kertovat tästä lisenssiehdoissaan, mutta tunnetusti harva käyttäjä lukee ohjelmien asennuksessa esitetyn pitkän lakitekstin. Ohjelmien tekijät perustelevatkin mainoskomponentin olemassaoloa ohjelmiston ilmaisuudella, ja mainostajilta saatavilla tuloilla katetaan ohjelman kehittämisen kuluja. Esimerkkinä voidaan ottaa vaikka Operan nettiselainm joka ennen oli saatavissa ilmaiseksi netistä, mutta se sisälsi mainostusta.

Mainosohjelmat saattavat kaapata selaimen aloitussivun ja ohjata selaimen aina jollekin tietylle mainossivustolle, kun selain käynnistetään. Tällaista browser hijackin -huijausta vastaan jotkut virustorjunta- ja vakoiluohjelmien poisto-ohjelmat osaavat suojata koneen. Myös erillisten mainos popuppien (ponnahdusikkuna) ilmestyminen selainta käytettäessä on merkki koneen saastumisesta. Useimmat selaimet osaavat nykyisin kyllä estää popupit, mutta tästä on myös haittaa, sillä jotkut palvelut on toteutettu popupeilla.

[Ficora] [MB1/05] [Opera]

Muut Haittaohjelmat

Muita haittaohjelmia ovat mm. ns. hakkerityökalut, joilla annetaan käyttäjän tietämättä pääsy koneelle jollekin ulkopuoliselle tai ohjelmat, jotka muuttavat koneen roskapostipalvelimeksi.

Myös joitain p2p (Peer-to-Peer, vertaisverkko) ohjelmia voidaan pitää haittaohjelmien kaltaisena. Vaikka ne eivät suoranaisesti toimi haittaohjelman tavoin, antavat ne ulkopuolisille mahdollisuuden päästä koneelle. Varsinkin yrityksissä tämä tuottaa uhkan arkaluontoisen tiedon vuotamiseen.

[MB1/05]

Tunnistaminen

Vakoiluohjelmat aiheuttavat tartutetussa koneessa monenlaista oireilua. Yksittäinen vakoiluohjelma ei välttämättä aiheuta suurtakaan kuormaa tietokoneen kapasiteetille, mutta varsin usein vakoiluohjelmia on koneessa useita samaan aikaan, koska esimerkiksi vanhemmissa Windows-versioissa haittaohjelmat saattavat asentua lähes itsestään ja huomaamattomasti. Seuraavassa on listattu joitakin tavanomaisimpia piirteitä, jotka saattavat olla seurausta koneella pesivistä vakoiluohjelmista:

  • Internet-selaimeen ilmestyy uusia työkaluvalikkoja tai hakukenttiä: Tälläiset Internet-selaimen lisäosat asentuvat usein jonkin muun ohjelmiston mukana. Käyttäjältä saatetaan jopa kysyä, että haluaako tämä asentaa jonkin "kätevän" lisäosan, joka auttaa jossakin asiassa. Lisäosa saattaa pääasiassa tehdä juuri sitä mitä väittääkin tekevänsä, mutta hyvin suurella todennäkäisyydellä se voi lisäksi esimerkiksi lähettää tietoa käyttäjän selailutottumuksista.
  • Ponnahdusikkunat: Jos selainta käytettäessä ruudulle avautuu ylimääräisiä ja odottamattomia ponnahdusikkunoita riippumatta sivustosta, niin kannattaa tarkistaa, ettei näiden takana ole jokin vakoiluohjelmisto. Jotkin sivustot avaavat ponnahdusikkunoita tarkoituksella ja hyvissä aikeissa, joten vakoiluohjelmaa ei aina osaa epäillä syylliseksi.
  • Tietokoneen hidastuminen: Jos tietokoneen suorituskyky vaikuttaa normaalia hitaammalta, saattaa se olla seurausta useiden vakoiluohjelmien aiheuttamasta kuormasta.
  • Sovellusten kaatuilu: Jotkin haittaohjelmat tekevät järjestelmästä epävakaan, joka saattaa aiheuttaa sen, että tietyt virhetilanteet näyttävät siltä niin kuin syypäänä olisikin tietokoneen laitteisto. Käyttöjärjestelmien kehittyessä turvallisemmiksi tälläinen epämääräinen kaatuilu tosin on vähentynyt huomattavasti.
  • Uudet kuvakkeet ilmaisinalueella (engl. system tray): Windows-ympäristössä jotkin vakoiluohjelmat näkyvät käyttöjärjestelmän ilmaisinalueella. Usein ne yrittävät naamioitua joksikin hyödylliseksi ohjelmaksi, jotta käyttäjä ei osaisi epäillä mitään. Jos ilmaisinalueelle ilmestyy uusia kuvakkeita, on syytä tarkistaa, että kuvakkeita vastaavat sovellukset on asennettu tarkoituksella.

[OnGuard]

Vakoiluohjelmien poistajat (yleinen esittely)

Lavasoft Ad-Aware

Nimi: Lavasoft Ad-Aware
Valmistaja: [Lavasoft | http://www.lavasoftusa.com]
Saatavuus: [Freeware | http://www.download.com/3000-2144-10045910.html?part=69274&subj=dlpage&tag=button] (ei kaikillaominaisuuksilla)
Hinta: 27e/vuosi kaikilla ominaisuuksilla

Lavasoftin Ad-Aware on varmasti tunnetuimpia haittaohjelmien poistajia Windows-maailmassa. Ohjelman suosioon on vaikuttanut sen ilmaisuus, sillä ilmaiseksi ladattavalla versiolla voidaan tehokkaasti tarkastaa kone ja poistaa mahdollisesti löytyvät haittaohjelmat. Ohjelma on hyvin helppokäyttöinen ja helposti hallittavissa.

Ohjelman käyttöliittymä on selkeä ja se ilmoittaa heti aloitusvalikossaan ohjelman tilan, eli koska viimeisimmät päivitykset ohjelman tietokantaan on ladattu sekä yleistä statistiikkaa ohjelman käytöstä. Valikoita löytyy useita, jotka kaikki eivät ole ilmaisversiossa käytössä.

Ad-Awaren tarkistus toiminnoissa on muutamia valmiita tarkistustapoja, kuten systeemin älykäs tarkistus, eli ohjelma tarkistaa vain yleisesti havaitut paikat, jonne haittaohjelmat pesiytyvät tai täysi järjestelmän tarkistus, jossa ohjelma käy läpi koko rekisterin ja kaikki kiintolevyt. Myös omia mukautettuja tarkistuksia saa luotua, jolloin saa vaikka tarkistettua jonkin tietyn kansion, eikä koko konetta tarvitse tarkistaa.

Asetuksia Ad-Awaresta löytyy vaikka muille jakaa, mutta yleisesti käyttäjän ei tarvitse puuttua ohjelman asetuksiin. Ohjelma toimii oletusasetuksilla aivan mainiosti. Asetuksista on mahdollista muokata ohjelman toimintaa niin tarkistuksen kuin yleisen ulkonäönkin suhteen.

Ohjelmasta löytyy myös erillinen "karanteeni" -valikko, jossa pääsee katsomaan mitä tiedostoja ohjelma on asettanut karanteeniin. Karanteenilla tarkoitetaan sitä, ettei tiedostoa poisteta koneelta vaan se laitetaan tietyksi ajaksi karanteeniin, jolloin se ei pysty vaikuttamaan ulkomaailmaan ja siihen ei voida vaikuttaa. Jos huomataan että jokin sovellus ei toimi ilman tiedostoa on se mahdollista palauttaa karanteenista, mutta yleisesti kun kaikki toimii kuten pitääkin, karanteenissa olevat tiedostot poistetaan ajan mittaan.

Ohjelman päivittämisvalikko on pelkistetyn yksinkertainen. Kuitenkin ohjelmaan on lisätty mahdollisuus päivittää spyware-tietokanta myös välityspalvelimen läpi. Päivitysvalikko kertoo, onko olemassa uudempaa tietokantaa päivitettäessä.

Ad-Awareen on saatavilla muitakin kieliä kuin englanti. Nämä kuitenkin pitää ladata erillisenä kielipakettina. Kielipaketit mahdollistavat ohjelman käytön muilla kielillä, jos englanti ei ole niin tuttu. Muita tuettuja kieliä ovat mm. tanska, hollanti, suomi, ranska, saksa, italia, norja, portugali, espanja ja ruotsi.

[LAVA]

Spybot Search & Destroy

Nimi: Spybot Search & Destroy
Valmistaja: [Safer Networking | http://www.safer-networking.org]
Saatavuus: [Freeware | http://www.download.com/Spybot-Search-Destroy/3000-8022_4-10401314.html?tag=lst-0-1]

Spybot Search & Destroy on toinen hyvin tunnettu ilmainen haittaohjelmien poistaja. Se on kokonaisuudessaan ilmainen ja kaikki ohjelman ominaisuudet ovat käytettävissä heti ilman mitään maksuja. Ohjelma tarjoaa kuitenkin mahdollisuuden lahjoittaa rahaa ohjelman ylläpidon hyväksi.

Ensimmäisenä kun spybot käynnistetään, huomauttaa se käyttäjää siitä, että joidenkin haittaohjelmien poistaminen saattaa vaikuttaa isäntäohjelman toimintaan. Samalla kehotetaan myös lukemaan isäntäohjelman lisenssiehdot, jotta tällaista tilannetta ei pääsisi sattumaan.

Täysin ilmaiseksi ohjelmaksi Spybot on toteutettu erittäin ammattimaisesti ja selkeästi. Suurimpana erona Ad-Awareen voidaan pitää sitä, että se tukee suoraan useita eri kieliä, aina arabiasta utsbeekkiin. Toinen eroavaisuus on immuniteettivalinnat. Spybot osaa suojata käyttäjän koneen noin 8000 tunnettua nuuskijaa tai spyware-ohjelmaa vastaan, jotka tarttuvat selaimen tunnettuja heikkouksia käyttäen. Tuettuja selaimia ovat Internet Explorer sekä Opera.

Ohjelma sisältää myös karanteeni-toiminnon kuten Ad-Awarekin. Spybotissa se kuitenkin kulkee nimellä Recovery mikä kuvaakin toimintoa osuvasti. Kaikki poistettu on mahdollista palauttaa tai poistaa lopullisesti. Se siis toimii kun Windowsista tuttu roskakori ja voikin pelastaa käyttäjän ohjelmien uudelleenasennukselta.

Spybotissa on mukana ominaisuus, joka tarkkailee rekisterissä tapahtuvia muutoksia ja ilmoittaa käyttäjälle asiasta. Vastaava ominaisuus on saatavissa Ad-Awareen vain maksullisessa versiossa. Spybotin TeaTimer toimiikin hyvin ja ilmoittaa aina, kun jokin ohjelma asentuu ja muuttaa rekisteriä. Käyttäjän tulee hyväksyä muutos tai kieltäytyä tästä. Tällä tavoin pyritään estämään epäilyttävien ohjelmien asentuminen. Tämä kuitenkin vaatii käyttäjältä tietoisuutta ohjelmista ja niiden komponenteista.

Spybotin päivitysvalikko on selkeä - aluksi valitaan päåivitysten etsiminen, jolloin ohjelma kertoo mitä mahdollisia päivityksiä on saatavilla. Listasta käyttäjä saa valita mitä päivityksiä haluaa ladata ja mistä haluaa ladata päivitykset. Ohjelmalla on 5 päivitystä maailmalla: neljä Euroopassa ja yksi maailmanlaajuinen palvelin. Päivitykset latautuvat hyvin ja ohjelma ilmoittaa kun se on valmis. Jos jokin menee vikaan, on mahdollista tutkia myös ohjelman pitämää päivityslogia, jossa kerrotaan päivitystapahtumien kulku.

[SPY]

eTrust PestPatrol AntiSpyware

Nimi: eTrust PestPatrol AntiSpyware
Valmistaja: [Computer Associates |http://www.pestpatrol.com/]
Saatavuus: [Shareware | http://www.download.com/eTrust-PestPatrol-Anti-Spyware/3000-8022_4-10345714.html?tag=lst-0-1] 30 päivän kokeilu
Hinta: 24$

eTrusting PestPatrol antaa heti ensi näkemältä itsestään asiallisen ja ammattimaisen kuvan. Ohjelman käynnistyessä se informoi käyttäjää koneen haittaohjelmasuojauksen tilasta eli onko reaaliaikainen suojaus päällä ja koska spyware tietokanta on viimeksi päivitetty. Aloitusikkunassa on myös muistutus rekisteröidä tuote ja lisäksi laskuri siihen, montako päivää kokeilua on jäljellä.

Skannausvalikossa on valittavana vain ohjelman standardi skannaus tai itse määriteltävä tarkistus. Hyvänä ominaisuutena Ad-Awareen ja Spybotiin verrattuna on se, että ohjelmaan on helppo ajastaa tarkistus tapahtumaan vaikka päivittäin, jos niin haluaa.

Ohjelman asetukset-valikossa asetukset on vielä jaettu pienempiin kokonaisuuksiin, joita on helppo hallita. Asetus-valikosta saa mm. reaaliaikaisen suojauksen kytkettyä päälle sekä määriteltyä ohjelman päivitystoimenpiteet. Asetusvalikon takaa löytyy myös karanteeni-valikko, jossa saa tutkia ohjelman karanteeniin asettamia haittakomponentteja.

Heikkoutena verrattuna Ad-Awareen ja Spybottiin on se, ettei PestPatrolia saa kuin englanninkielisenä.

[PEST]

Microsoft Windows Antispyware Beta (Giant Antispyware)

Nimi: Microsoft Windows Anti-spyware Beta
Valmistaja: [Microsoft | http://www.microsoft.com/]
Saatavuus: [Freeware | http://www.microsoft.com/downloads/details.aspx?FamilyID=321cd7a2-6a57-4c57-a8bd-dbf62eda9671&displaylang=en]
Toimii vain tietyn aikaa kerrallaan.
Hinta: -

Ohjelman nimi on nykyisin Microsoft Windows Anti-spyware ja syy siihen, miksi otsikossa on toinenkin nimi (Giant Antispyware) on se, että sama ohjelma tunnettiin ennen tällä nimellä, ennen kuin Microsoft osti koko ohjelman itselleen. Giant Antispyware voitti useita vertailuja (mm Mikrobitti 1/05) ja nykyisin MS Windows Antispyware toimii ihan samalla tavalla kuin vanha Giant. Juurikaan muutoksia ei ole tullut.

Heti ensi näkemältä ei välttämättä huomaa, että Microsoftin vakoiluohjelmien poistaja on selkeästi vertailun monipuolisin ja tarkimmin säädettävä ohjelma. Ohjelma toimii kuten hyvän vakoiluohjelman kuuluunkin - se on helppokäyttöinen peruskäytössä, mutta tarvittaessa asiantunteva henkilö saa säädettyä hyvin tarkkaan ohjelman toimintoja.

Kuten kaikissa muissakin vertailun ohjelmissa, ohjelman käynnistyessä avautuvassa näkymässä kerrotaan heti suoraan kaikki oleellinen informaatio ohjelmasta ja tarkistuksista. Käyttäjän ei tarvitse kahlata valikkojen loputtomassa suossa etsiessään vastausta. Informaatio valikko toimii myös kätevästi kaikkien yleisimpien toimintojen aloituspaikkana. Jos haluaa päivittää itse vakoiluohjelma tietokannan ohjelmaan, riittää että valitsee informaatiosivulta viimeksi päivitetty kohdan. Samalla tavalla voi myös suorittaa koneen tarkistamisen yms.

Microsoftin ohjelmisto on jaettu selkeästi kolmeen eri kokonaisuuteen: Tarkistustoimintoihin, Reaaliaikaisen suojauksen hallintaan ja Työkaluihin.

Tarkistusosio kertoo viimeisen tarkistuksen statistiikat ja antaa käyttäjälle mahdollisuuden muokata tarkistuksen optiota. Samaiselta sivulta pääsee kätevästi tutkimaan ohjelman karanteeniin asettamia tiedostoja, tarkistushistoriaa sekä tarkistuksen ajoitukseen liittyviä asetuksia. Ohjelman saa säädettyä tekemään halutuilla optioilla tarkistuskoneeseen haluttuun kellonaikaan halutulla toistumisvälillä. Tarkistuksen voi ajoittaa aina päivittäisestä vaikka kerran kuukaudessa tapahtuvaksi. Ajoituksen voi laittaa myös vain joillekin päiville viikossa tai sen voi tarvittaessa kytkeä myös kokonaan pois päältä.

Toinen tärkeä ominaisuus Microsoftin ohjelmassa on sen reaaliaikaiset suojaukset. Vertailun ohjelmista Microsoftin ohjelmassa on kaikkein monipuolisimmat reaaliaikaiset suojaukset ja niiden hallinta. Hallintaa helpottaakseen Microsoft on jakanut hallintotoimet kolmeen eri osa-alueeseen: Internet, Järjestelmä ja Sovellukset. Internet suojaus sisältää kaikkea tietoliikenteeseen liittyvää haittaohjelmatoimintaa. Ohjelman saa mm. valvomaan sitä, että koneesta ei tule roskapostittajien spam zombie -konetta. Jokaisesta suojauksesta annetaan lyhyt ytimekäs kuvaus ja kaikista saa vielä avattua erillisen lisätietosivun. Järjestelmä-osiossa saa säädettyä sen, mitä osia järjestelmää ohjelma tarkkailee mahdollisten haittaohjelmien tekemien muutosten varalta. Sovellukset-osiossa taasen säädetään se, mitä muita kuin järjestelmä sovelluksia tarkkaillaan. Kaiken kaikkiaan Microsoftin reaaliaikaiset suojaustoimet on toteutettu helposti lähestyttävästi ohjelmaan ja niitä on hyvien informaatioiden vuoksi helppo säätää.

Kolmantena ja viimeisenä pääkategoriana Microsoftin tuotteesta löytyy työkalut-valikko. Työkalut on jaettu muutamaan kokonaisuuteen. Järjestelmään pääsee vaikuttamaan monilla eri tavoilla, mm. mitä prosesseja on käynnissä ja mitä käynnistetään käynnistyksen yhteydessä. Microsoftin ohjelma tukee myös selaimenkaappausratkaisua, eli kaapattu selain on mahdollista palauttaa oikeille arvoilleen. Harmillisesti ainoa tuettu selain on Microsoftin oma Internet Explorer. Työkaluista löytyy myös käyttäjän jälkienpoistaja, jossa on mahdollista hävittää jälkiä käyttäjän toiminnasta järjestelmässä. Ohjelma osaa hävittää käyttäjän käyttöhistorian useasta tunnetusta ohjelmasta kuten mm. ICQ, WinRAR ja Wordpad.

Microsoft peri myös ostossaan Giantilta ohjelmaan kuuluvan SPYnet-verkostoteknologian, jossa käyttäjät liittyvät eräänlaiseen verkostoon vakoiluohjelmia vastaan. Käyttäjät raportoivat verkostoon uusista tuntemattomista uhkista ja tieto täten leviää nopeasti käyttäjien kesken, jotka ovat osa verkostoa. Verkkoa ei ole pakko käyttää, sillä ohjelman toiminta ei esty, vaikkei verkostoa käyttäisikään.

Päivitykset saa ohjelmassa ajastettua tapahtumaan automaattisesti. Täydellisessä tilanteessa ohjelmaa ei tarvitse hoitaa yhtään,kun sen kerran on ajastanut päivittymään ja tarkistamaan koneen aika-ajoin.

Microsoft ei tiettävästi tarjoa kyseistä ohjelmaa kuin englanninkielisenä.

Ohjelma toimii aina tietyn mittaisen ajan kerrallaan. Ajan umpeuduttua tulee Microsoftin sivuilta hakea uusi asennuspaketti, jotta sovellus jatkaisi toimimista. Asennuspaketin hakemiseen vaaditaan nykyisin validointi, jolla varmistetaan, että käyttäjällä on aito Windows eikä piraattikopio.

[MSAB]

Ohjelmien käyttö ja testaus

Hyvän vakoiluohjelman poistajan kriteerit

Hyvän vakoiluohjelman poistajan tulee olla nopea ja tarkka etsinnässään. Jos ohjelma on kovin hidas, on sen käyttäminen heikkoa ja jos se on epätarkka, jää koneelle haittakomponentteja.

Ohjelman tulisi erottaa oikeat haittaohjelmat sellaisista, jotka vain näyttävät haittaohjelmilta eli oikeasti hyödylliset ohjelmat eivät tulisi poistetuksi. Ohjelman tulisi myös huomauttaa haittaohjelman poistamisen riskeistä, sillä jotkin sovellukset eivät enää toimi, jos niiden sisältämät haittaohjelmakomponentit poistetaan.

Ohjelman tulisi olla huomaamaton ja helppokäyttöinen, sillä jos ohjelmasta on käyttäjälle ainaista vaivaa, on sen käyttökynnys korkea. Työkalun tulisi olla myös huomaamaton kuten virustutka, joka taustalla valvoo konetta ja ilmoittaa vasta kun jotain epäsovinnaista tapahtuu. Ohjelman tulisi myös osata päivittää itse itsensä tietyin väliajoin, jotta se pysyisi haittaohjelmien kehityksen mukana.

Kun ohjelma löytää haittaohjelman, tulisi käyttäjää informoida tarpeeksi tarkasti löydetystä haittaohjelmasta, jotta käyttäjä osaa tehdä oikean päätöksen toimenpiteistä.

Tässä työssä olen näiden kriteerien pohjalta arvioinut testattavia ohjelmia.

[MB1/05]

Testitulokset

Testausympäristö ja kokoonpano

Ohjelmien testausympäristö:

AMD 3200+ 64 Venice 1024mb 400mhz DDR Asus A8N-SLI 120gt Seagate Barracuda Windows XP Professional (SP2)

Kone tarkistettiin aluksi kaikilla testin ohjelmilla ja todettiin mahdollisimman puhtaaksi, eli koneelta ei löytynyt ainoatakaan haittaohjelma komponenttia.

Puhtaaksi toteamisen jälkeen koneelle asennettiin kaksi tunnettua haittaohjelma komponentteja sisältävää ohjelmaa. Testaamiseen käytettiin Download Accelerator Plus ja Kazaa ohjelmia.

Koneen kokoonpano on esitelty, jotta tuloksia voidaan verrata erilaisiin koneisiin.

Yleistä

Heti aluksi kun koneelle asennettiin testaamiseen käytetyt ohjelmistot huomattiin koneen toiminnassa lievää hidastumista sekä käynnissä olevien prosessien kasvamista. Lisäksi selaimiin ilmestyi ylimääräisiä komponentteja, jotka asentuivat ilman käyttäjälle asiasta tiedottamista. Koneella oleva virustutka (Symantec Antivirus) ilmoitteli koneelle olevasta uhkasta. Jotkin spyware-komponentit tunnistuvat myös troijalaisiksi, jotka Symantecin uusin Antivirus osaa tunnistaa. Uusimman Symantecin version pitäisi löytää myös spyware komponentteja.

Skannerit suoriutuivat testistä hyvin vaihtelevasti. Toisilla skannereilla syvällisen skannaamisen ajaminen kesti huomattavasti toisia pitempään ja toiset löysivät enemmän objekteja koneelta. Hidas skannaaminen ei kuitenkaan tarkoita sitä, että ne löytäisivät enemmän spyware komponentteja, vaan myös nopea skannaus saattaa löytää paljon komponentteja, kuten MS:n skanneri osoittaa. Silti testissä kannattaa pitää mielessä, että skannerit luokittelevat eritavalla löytämänsä haittaohjelma komponentit. Ne saattavat laskea komponentit kokonaisuuksiksi, joita testissä ei verrattu tai sitten ne saattavat laskea jokaisen komponentin erilliseksi. Tässä testissä vertailutuloksiin on otettu huomioon ohjelmien ilmoittamat kokonaisobjektimäärät.

vakohpo-aika.gif

vakohpo-kaavio.gif

Tulokset ohjelmakohtaisesti

Lavasoft Ad-Aware

Etsintä
Koneen syvällinen tarkistaminen Ad-Awarella kesti 5 min 40 sek. Tarkistuksen tuloksena löydetyt 117 objektia halusi Ad-Aware asettaa oletuksena karanteeniin.

Ad-Awaren yleisyys tuottaa ongelmia, sillä useat haittaohjelmat osaavat kiertää sen ja asettaa itsensä ohjelman ignore-listalle, jolloin ohjelma ei huomio niitä. Yllättäen testissä Ad-Aware löysi vähiten objekteja kaikista testatuista skannereista. Tämä saattaa yllättää suurimman osan Windows maailman käyttäjistä, sillä Ad-Awarella on hyvä maine ja monelle käyttäjälle se on synonyymi vaikoiluohjelmanpoistajalle. Useat eivät siis todella tiedä, että on olemassa muitakin ilmaiseksi saatavia parempia skannereita.

Poistaminen
Ad-Aware asettaa löytämänsä objektit viisaasti karanteeniin, josta se sitten poistaa objektit tietyn ajan kuluttua, kun on todettu, ettei niiden poistaminen aiheuta koneen toiminnassa ongelmia. Poistaminen sujui adawarelta nopeasti ja tehokkaasti, ei vaadittu uudelleen käynnistämisiä eikä muitakaan erityisiä toimenpiteitä. Ad-Aware osasi poistaa kaikki löytämänsä komponentit, eikä puhdistamisen jälkeen löytynyt enää lisää objekteja.

Arvostelu

Ad-Aware on hyvin tunnettu vakoiluohjelmien poistaja Windows maailmassa. Tämä on hyvä ja huono asia ohjelmalle. Päivityksiä tulee säännöllisesti ja ohjelma toimii vakaasti. Tunnettavuus tuottaa myös ongelmia, sillä vakoiluohjelmien kirjoittajat osaavat välttää ad-awaren nykyisin. Ohjelma ei löytänyt kovinkaan paljoa objekteja testikoneesta, mutta löydetyt objektit osattiin poistaa.

Hyvää
  • Ilmainen

Huonoa
  • Hidas
  • Ei löydä objekteja

Arvosana: 2/5

Spybot Search & Destroy

Etsintä

Spybot suoriutui koneen tarkistamisurakastaan kolmessa minuutissa ja neljässäkymmenessä sekunnissa. Objekteja Spybot löysi 132 kappaletta, mikä oli testin toiseksi huonoin suoritus.

Spybot on ehkä toiseksi tunnetuin ilmainen skanneri Ad-Awaren jälkeen. Etsimisessä se suoriutui kutakuinkin samalla tasolla testistä kuin Ad-Awarekin, mutta löysi huomattavasti lyhyemmässä ajassa muutaman objektin enemmän kuin Ad-aware. Siltikään Spybot ei vakuuta löydöillään, kun verrataan parempiin ohjelmiin kuten MS:n skanneriin. Muista eroten Spybot ei kerro käyttäjälle mitä levyn osaa tai tiedostoa se tarkistaa vaan se kertoo käyttäjälle, mitä haittaohjelmakomponenttia se etsii. Etsinnän jälkeen spybot kertoo löytämänsä komponenttien tyypit, mutta käyttäjä ei saa valita mitä komponentille tehdään. Käyttäjä voi valita vain tehdäänkö sille jotain vai ei.

Poistaminen
Spybot suoriutuu poistamisesta erittäin heikosti. Joissakin tapauksissa poistaminen ei onnistu ollenkaan ja tiedosto pitää poistaa joko manuaalisesti tai jollain toisella skannerilla. Usein spybot vaatii myös koneen uudelleen käynnistämisen, jonka jälkeen se tutkii koneen uudestaan ja poistaa löytämänsä komponentit ennen kuin käyttöjärjestelmä käynnistää kaikki prosessinsa. Tämäkään ei vakuuta toimivuudellaan ja jälkeenpäin löytyykin vielä uusia komponentteja.

Arvostelu
Spybot ei ole todellakaan hyvä vakoiluohjelmanpoistaja. Se on suhteellisen ripeä toiminnassaan, mutta sen poisto ominaisuuksissa on huomattavia puutteita. Monikielisyys on positiivista, mutta sekään ei tuo paljoa iloa, kun ohjelma ei tee tehtäväänsä kunnolla.

Hyvää
  • Ilmainen
  • Monikielituki

Huonoa
  • Ei löydä objekteja
  • Ei osaa poistaa objekteja
  • Vaatii uudelleen käynnistyksiä

Arvosana: 1/5

eTrust PestPatrol

Etsintä
PestPatrol suoriutui urakasta 6min 15 sek. eTrustin PestPatrol osoitti olevansa hyvä ohjelma, sillä se onnistui löytämään koneelta 290 objektia. Testin tulos oli selkeästi toiseksi paras koko testissä, vaikka se jäikin testin voittajasta ylivoimaisen paljon.

eTrustin skanneri yllätti positiivisesti toimivuudellaan. Etsintä sujui kohtuullisen verkkaasti, mutta vastapainona ohjelma myös löysi hyvin objekteja ja myös sellaisia objekteja, joita muut ohjelmat eivät löytäneet ollenkaan.

vakohpo-etrust.gif

Poistaminen
eTrustin ohjelmassa poistamista ei voi suoraan tehdä löytämisen jälkeen. Objektit tulee asettaa karanteeniin ja sitten käydä erikseen poistamassa ne sieltä. Ohjelman saa kuitenkin säädettyä tuhoamaan karanteeniin asetetut objektit tietyn ajan kuluttua. Ohjelma osaa toimia kaikkien löytämiensä objektien kanssa eikä ongelmia esiinny. Karanteenista tuhoaminen sujuu nopeasti.

Arvostelu
eTrust yllätti positiivisesti. Se ei ole kaikkein tunnetuimpia vakoiluohjelman poistajia, mutta testissä toimi luotettavasti ja hyvin. Ainoana miinuksena ohjelmasta toteaisin sen löytämien haittaohjelmakomponenttien määrän, mutta toisaalta se löysi sellaisia komponentteja, joita muut eivät

Hyvää
  • Löysi monipuolisesti objekteja

Huonoa
  • Hitaahko
  • Ei voi suoraan poistaa, pitää asettaa karanteeniin

Arvosana: 3/5

MS Windows Antispyware

Etsintä
Testin ehdoton ykkönen oli Microsoftin ohjelmisto. Se onnistui normaalilla skannauksella löytämään 1min 50sek ajassa 1086 objektia koneelta. MS:n ohjelmistolla on mahdollista ajaa myös huomattavasti enemmän aikaa vievä syväskannaus, joka kesti noin 10 minuuttia, muttei löytänyt enempää haittaohjelmakomponentteja kuin perustarkistus.

MS:n skanneri on ehdottomasti huippuluokkaa ja se onkin perinyt Giantilta kaikki hyvät ominaisuudet joita on kehitetty eteenpäin. Tulevaisuudessa MS aikoo sisällyttää spyware-tutkansa kiinteästi Windowsiinsa. Luultavasti jo Vista sisältää ohjelmiston osana itse käyttöjärjestelmää.

vakohpo-ms.gif

Poistaminen
MS:n ohjelma kertoo objektit kokonaisuuksina johon ne liittyvät. Yksi kokonaisuus saattaa sisältää siis satoja erillisiä objekteja koneella. MS:n ohjelmassa käyttäjä saa halutessaan säätää jokaiselle kokonaisuudelle haluamansa toimenpiteen tai luottaa koneen suositukseen ja toimia sen mukaan. Ohjelma suosittelee erilaisille kokonaisuuksille toimenpiteitä aina poistamisesta välittämättömyyteen asti. Kriittisimmät uhat halutaan heti poistaa, mutta yleisimmin kokonaisuudet halutaan asettaa karanteeniin myöhempää poistamista varten. Kaikkein lievimmät uhat kuten piparitiedostot voidaan jättää käyttäjän halutessa koskemattomaksi.

Arvostelu
MS:n vakoiluohjelman poistaja vakuuttaa kaikilla tavoilla. Tämä ehkä kuitenkaan ei ole itse MS:n ansiota vaan ohjelman kehittäjä Giantin, jonka MS osti Giantin Antispywaren voitettua useita vertailuja maailmalla. Ohjelmaan on saatavilla usein päivityksiä ja se toimii nopeasti ja tehokkaasti. Se myös informoi testatuista sovelluksista selkeimmin käyttäjää löytämistään uhista. Etuina MS:n ohjelmassa on myös sen ilmaisuus Windows käyttäjille. Ohjelma on saatavilla MS:n sivuilta ilmaiseksi aidon Windowsin käyttäjille.

Hyvää
  • Nopea
  • Löysi paljon objekteja
  • Ilmainen
  • Poistotoimet

Huonoa
  • Joitain objekteja jäi huomaamatta

Arvosana: 4/5

Yhteenveto

Testatuista ohjelmista mikään ei suoriutunut testistä täysin puhtaasti. Kaikilla jäi joitain objekteja huomaamatta - toisilta enemmän kuin toisilta ja ne löysivät ristiin joitain objekteja. Poistajien kirjo on laaja ja testatuistakin poistajista löytyi huomattavia eroja tehossa ja nopeudessa. Testin voittaja MS Windows Antispyware suoriutui hyvin ja löysi enemmistön haittaohjelmakomponenteista.

Käyttäjän tulisikin testin perusteella käyttää rinnakkain vähintään kahta eri vakoiluohjelmanpoistajaa saavuttaakseen parhaan mahdollisen tuloksen. Testin perusteella suosittelisin ilmaisia ohjelmia. Pääasiallisena poistajana kannattaisi käyttää MS Windows Antispyware ohjelmistoa ja tämän tukena joko Ad-Awarea tai Spybottia.

Jos käytössäsi on uusi viruksentorjuntaohjelmisto, on siinä luultavasti myös haittaohjelmanpoistaja. Tämä ja sen lisäksi vaikka testissä esitelty MS Windows Antispyware riittävät suojaamaan koneen haittaohjelmilta.

Ohjeita haittaohjelmien välttämiseen

  • Käytä useampaa kuin yhtä haittaohjelmanpoisto ohjelmaa rinnakkain
  • Päivitä ja aja tarkistus säännöllisesti
  • Käytä ohjelmien järjestelmän tarkkailu ominaisuutta, jolloin vakoilukomponentit saadaan karsittua jo niiden yrittäessä asentua.
  • Virustutka ei aina riitä suojaamaan haittaohjelmilta. Tutustu virustutkasi ominaisuuksiin, jos se ei sisällä haittaohjelmia poistavia ominaisuuksia käytä erillistä haittaohjelmanpoistajaa.
  • Älä käytä Internet Exploreria, varsinkaan Exploreriin asennettavia ylimääräisiä työkalupalkkeja.
  • Älä käytä tunnettuja vakoiluohjelmia sisältäviä ohjelmia (esim. KaZaa), jos et ole varma asian voi tarkistaa internetistä. Esimerkiksi http://www.spywareguide.com/
  • Älä surffaa epämääräisillä sivustoilla, kuten pornosivustoilla tai kopioinnineston kiertämiseen työkaluja tarjoavilla sivuilla.

Lähteet

  • [MB1/05] Mikrobitti 1/2005

  • [MB1/06] Mikrobitti 1/2006

Print version |  PDF  | History: r4 < r3 < r2 < r1 | 
Topic revision: r4 - 11 Nov 2009 - 12:19:11 - TeemuP?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback