Siirry pääsisältöön

Haittaohjelman määritelmä

Haittaohjelma tarkoittaa nimensä mukaisesti haitallista ohjelmaa. Haittaohjelma on aggressiivinen ohjelmisto, joka on suunniteltu nimenomaisesti aiheuttamaan vahinkoa tietokoneille ja tietokonejärjestelmille. Jos ohjelmisto aiheuttaa vahinkoa tahattomasti, kyseessä on ohjelmistovirhe eli bugi.

Virusten ja haittaohjelmien välinen ero saattaa olla epäselvä monille. Haittaohjelma on yleiskäsite erilaisille verkkouhille, kuten viruksille, vakoiluohjelmille, mainosohjelmille, kiristysohjelmille ja muille haitallisille ohjelmistoille. Tietokonevirus on siis yksi haittaohjelmien alatyypeistä.

Haittaohjelmia voidaan levittää tietokoneverkkoihin tietojenkalastelua, haitallisia liitteitä, haitallisia latauksia, sosiaalista manipulointia ja Flash-muistitikkuja käyttämällä. Tässä yleiskatsauksessa tutustutaan erilaisiin haittaohjelmien alatyyppeihin.

Haittaohjelmatyypit

On tärkeää tunnistaa erilaisten haittaohjelmien hyökkäystavat, jotta osaat suojautua niiltä. Osa haittaohjelmista on tunnettuja (ainakin nimeltään), mutta osa niistä on puolestaan suhteellisen tuntemattomia:

Mainosohjelmat

Mainosohjelmat ovat nimensä mukaisesti mainosrahotteisia ohjelmia, jotka näyttävät ei-toivottuja ja joskus jopa vahingollisia mainoksia tietokoneessa tai mobiililaitteessa, ohjaavat hakutulokset mainossivustoille ja keräävät käyttäjätietoja, jotka voidaan myydä mainostajille ilman käyttäjän lupaa. Kaikki mainosohjelmat eivät ole haittaohjelmia. Osa niistä toimii lakien mukaisesti, ja niiden käyttö on turvallista.

Käyttäjät voivat usein vaikuttaa mainosohjelmien esiintymistiheyteen ja sallittuihin latauksiin Internet-selaimien ja ponnahdusikkunoiden esto-ohjelmien asetusten avulla.

Esimerkkejä mainosohjelmista:

  • Fireball – Fireball pääsi otsikoihin vuonna 2017, kun israelilainen ohjelmistoyritys havaitsi sen levinneen 250 miljoonaan tietokoneeseen ja viidennekseen maailman yritysverkoista. Tietokoneelle päästessään Fireball ottaa selaimen hallintaansa. Se vaihtaa kotisivuksesi väärennetyn Trotus-hakuohjelman sivun ja lisää häiritseviä mainoksia kaikille verkkosivustoille, joita käytät. Lisäksi se estää selainasetusten muuttamisen.
  • Appearch – Appearch on toinen yleinen mainosohjelma, joka ottaa selaimen hallintaansa. Se leviää yleensä muiden ohjelmistojen yhteyteen paketoituna ja lisää selaimeen niin paljon mainoksia, että Internetin käyttö vaikeutuu huomattavasti. Kun yrität siirtyä jollekin verkkosivustolle, se ohjaa sinut sen sijaan Appearch.info-sivustolle. Jos onnistut avaamaan jonkin verkkosivun, Appearch muuntaa sivulla näkyviä tekstielementtejä satunnaisesti linkeiksi, joiden valitseminen tuo näkyviin ohjelmistopäivityksen latauskehotuksen ponnahdusikkunassa.

Vakoiluohjelmat

Vakoiluohjelmalla tarkoitetaan haittaohjelmaa, joka piiloutuu laitteeseesi, alkaa seurata toimintaasi laitteella ja varastaa tärkeitä tietoja, kuten taloustietoja, tilitietoja ja kirjautumistunnuksia. Vakoiluohjelmat leviävät hyödyntämällä ohjelmistojen haavoittuvuuksia. Niitä voidaan levittää myös oikeiden ohjelmistojen tai troijalaisten yhteyteen paketoituna.

Esimerkkejä vakoiluohjelmista:

  • CoolWebSearch – Tämä Internet Explorer -selaimen tietoturvahaavoittuvuuksia hyödyntämällä levinnyt ohjelma otti selaimen hallintaansa, muutti sen asetuksia ja lähetti kaikki selaimen käyttäjän selaustiedot ohjelman laatijalle.
  • Gator – Tätä ohjelmaa levitetään yleensä Kazaan kaltaisten tiedostonjako-ohjelmien mukana. Gator valvoo uhrin toimintaa verkossa ja käyttää kerättyjä tietoja kohdistettujen mainosten näyttämiseen käyttäjälle.

Kiristysohjelmat ja salaushaittaohjelmat

Kiristysohjelma on haittaohjelma, joka on suunniteltu lukitsemaan käyttäjät ulos järjestelmistään tai estämään tietojen käyttö, kunnes käyttäjä maksaa vaaditut lunnaat. Salaushaittaohjelmat ovat kiristysohjelmien alatyyppi. Ne salaavat käyttäjien tiedostot ja vaativat salauksen purkamisesta maksua määräaikaan mennessä. Yleensä lunnasmaksu vaaditaan suoritettavaksi digitaalisessa valuutassa, kuten Bitcoineina. Vakoiluohjelmat ovat olleet jatkuvasti läsnä oleva uhka eri alojen organisaatioille jo monien vuosien ajan. Koska yhä useampi yritys on siirtymässä digitaaliseen toimintaan, kiristysohjelmahyökkäysten uhriksi joutumisen riski on kasvanut merkittävästi. 

Esimerkkejä kiristysohjelmista:

  • CryptoLocker oli vuosina 2013 ja 2014 laajasti esiintynyt haittaohjelma, jonka avulla kyberrikolliset pystyivät salaamaan tietokonejärjestelmissä olevia tiedostoja. Kyberrikolliset huijasivat uhrinsa lataamaan kiristysohjelman tietokoneelleen sosiaalisen manipuloinnin keinoin. Kun kiristysohjelma pääsi tietokoneelle, se tartutti koko verkon. CryptoLocker näytti uhreille satunnaisesti viestin, jossa tietojen salaus tarjouduttiin purkamaan määräaikaan suoritettua käteis- tai Bitcoin-maksua vastaan. CryptoLocker-kiristysohjelma on saatu eliminoitua, mutta sen käyttäjien on arvioitu keränneen noin kolmen miljoonan dollarin lunnaat pahaa-aavistamattomilta organisaatioilta.
  • Phobos-haittaohjelma– Vuonna 2019 ilmaantunut kiristysohjelma. Tämä kiristysohjelma perustuu aiemmin Dharmana (eli CrySiksenä) tunnettuun vakoiluohjelmaperheeseen.

Troijalaiset

Troijalainen (tai troijan hevonen) on haittaohjelma, joka yrittää saada käyttäjän asentamaan itsensä käyttäjän tietokoneeseen tekeytymällä oikeaksi ohjelmistoksi. Käyttäjät lataavat sen, koska se näyttää luotettavalta, ja päästävät näin tahtomattaan haittaohjelman laitteeseensa. Troijalaiset itsessään ovat vain portti altistuneeseen laitteeseen. Toisin kuin madot, troijalaiset toimivat vain isäntälaitteeseen asennettuna. Kun troijalainen on asennettu laitteeseen, hakkerit voivat sen kautta poistaa, muokata ja kerätä tietoja, käyttää laitettasi osana bottiverkkoa, vakoilla laitettasi tai päästä käsiksi verkkoosi.

Esimerkkejä troijalaisista:

  • Qbot-haittaohjelma, joka tunnetaan myös Qakbot- ja Pinkslipbot-nimillä, on vuodesta 2007 asti toiminnassa ollut troijalainen, joka keskittyy käyttäjän tietojen ja pankkitunnusten varastamiseen. Haittaohjelma on kehittynyt aikojen kuluessa. Sen leviämismekanismit, komento- ja ohjaustekniikat ja tunnistuksen esto-ominaisuudet ovat muuttuneet jatkuvasti.
  • TrickBot on vuonna 2016 ensimmäisen kerran havaittu troijalainen, jonka kehittäjät ja käyttäjät ovat erittäin kehittyneitä kyberrikollisia. TrickBot kehitettiin alun perin varastamaan pankkitunnuksia mutta se on muuntunut modulaariseksi ja monivaiheisesti toimivaksi haittaohjelmaksi, jonka kautta rikolliset tehdä monenlaisia kyberrikoksia erilaisten työkalujen avulla.

Madot

Tietokoneverkoissa käyttöjärjestelmien haavoittuvuuksia hyödyntämällä leviävät madot ovat yksi yleisimmistä haittaohjelmatyypeistä. Mato on itsenäinen ohjelma, joka pystyy tartuttamaan tietokoneita itsenäisesti ilman käyttäjän toimia kopioimalla itsensä uusiin tietokoneisiin. Madot leviävät nopeasti, joten niitä käytetään usein järjestelmälle vahingollisen koodisisällön suorittamiseen. Tällainen koodi voi poistaa isäntäjärjestelmästä tietoja, salata tietoja kiristysohjelmahyökkäyksiä varten, varastaa tietoja, poistaa tiedostoja tai luoda bottiverkkoja.

Esimerkkejä madoista:

  • SQL Slammer oli tunnettu tietokonemato, joka ei käyttänyt mitään perinteisiä leviämismenetelmiä. Sen sijaan se muodosti satunnaisia IP-osoitteita ja lähetti itsensä niihin. Tavoitteena oli löytää järjestelmiä, joita ei oltu suojattu virustentorjuntaohjelmistolla. Vuonna 2003 iskenyt mato levisi nopeasti yli 75 000 tietokoneeseen, jotka päätyivät osallisiksi useisiin tunnettuihin sivustoihin kohdistuneisiin palvelunestohyökkäyksiin. SQL Slammerilta suojaava tietoturvapäivitys on ollut saatavana jo vuosien ajan, mutta siitä huolimatta sen esiintyvyydessä ilmeni piikki vuosina 2016 ja 2017.

Virukset

Virus on pieni ohjelma, joka lisää itsensä erilaisiin sovelluksiin ja alkaa toimia, kun tällainen isäntäsovellus suoritetaan. Kun virus pääsee verkkoon, sitä voidaan käyttää tärkeiden tietojen varastamiseen, palvelunestohyökkäyksien käynnistämiseen tai kiristysohjelmahyökkäyksiin. Virukset leviävät yleensä tartutettujen verkkosivustojen, tiedostonjakopalvelujen tai sähköpostiliitteiden kautta. Virukset ovat vaarattomia, kunnes niiden isäntätiedosto tai -ohjelma aktivoidaan. Kun se tapahtuu, virus voi monistaa itsensä ja levitä järjestelmiisi.

Esimerkkejä viruksista:

  • Stuxnet – Vuonna 2010 ilmaantuneen Stuxnetin uskotaan yleisesti olevan Yhdysvaltojen ja Israelin hallintojen yhdessä Iranin ydinohjelman häiritsemistä varten kehittämä virus. USB-muistitikun kautta levinnyt virus otti kohteekseen Siemensin teolliset ohjausjärjestelmät ja aiheutti sentrifugien pettämisen ja tuhoutumisen itsekseen ennätysajassa. Stuxnetin uskotaan tartuttaneen yli 20 000 tietokonetta ja tuhonneen viidenneksen Iranin ydinlaitosten sentrifugeista, mikä aiheutti vuosien takapakin Iranin ydinohjelmassa.
Erilaisten haittaohjelmien tunteminen auttaa suojautumaan niiltä. Kuva miehestä, jolla on huppu päässään ja naamio kasvojensa alaosan suojana ja jonka edessä on näyttö, jossa lukee ”pääsy annettu”.

Näppäilyn tallentimet

Näppäilyn tallennin on vakoiluohjelma, joka valvoo käyttäjän toimintaa. Näppäilyn tallentimia käytetään myös laillisiin tarkoituksiin. Esimerkiksi vanhemmat voivat valvoa niiden avulla lastensa toimintaa verkossa ja organisaatiot voivat käyttää niiden työntekijöiden valvomiseen. Haitallisessa tarkoituksessa asennettuja näppäilyn tallentimia voidaan käyttää salasanojen, pankkitunnusten ja muiden arkaluonteisten tietojen varastamiseen. Näppäilyn tallentimet voivat levitä järjestelmiin tietojenkalastelun, sosiaalisen manipuloinnin tai haitallisten latausten kautta.

Esimerkkejä näppäilyn tallentimista:

Botit ja bottiverkot

Botti tarkoittaa tietokonetta, johon on tartutettu haittaohjelma ja jota hakkeri voi etäohjata tämän haittaohjelman kautta. Myös zombietietokoneiksi kutsuttaja botteja voidaan käyttää uusien hyökkäysten tekemiseen ja bottiverkkojen muodostamiseen. Bottiverkkoon voi kuulua miljoonia laitteita, jos haittaohjelma pääsee leviämään havaitsematta. Bottiverkkojen avulla hakkeroijat voivat tehdä monenlaisia haitallisia toimia. He voivat esimerkiksi tehdä palvelunestohyökkäyksiä, lähettää roskaposti- ja tietojenkalasteluviestejä massapostituksina ja levittää muun tyyppisiä haittaohjelmia.

Esimerkkejä bottiverkoista:

  • Andromeda – Andromeda-bottiverkkoon kuului 80 erilaista haittaohjelmaperhettä. Se kasvoi niin laajaksi, että yhdessä vaiheessa se tartutti miljoona uutta konetta kuukaudessa levittämällä haittaohjelmiaan sosiaalisen median, pikaviestien, roskapostiviestien ja muiden jakelualustojen kautta. FBI, Europolin kyberrikoskeskus ja muuta viranomaiset saivat verkoston toiminnan lakkautettua vuonna 2017, mutta bottiverkkotartunta löytyy edelleen useasta PC:stä.
  • Mirai – Vuonna 2016 tapahtunut massiivinen palvelunestohyökkäys esti Internetin käytön suuressa osassa Yhdysvaltojen itärannikkoa. Viranomaiset pelkäsivät aluksi hyökkäyksen olleen vihamielisen valtion alkuun panema, mutta syylliseksi paljastui Mirai-bottiverkko. Mirai on haittaohjelma, joka etsii ja tartuttaa automaattisesti IoT (esineiden Internet) -laitteita ja tekee niistä osan bottiverkkoa. Tämän IoT-laitearmeijan avulla voidaan tehdä tehokkaita palvelunestohyökkäyksiä ohjaamalla kohdepalvelimiin suunnaton haitallisen tietoliikenteen vyöry. Mirai aiheuttaa ongelmia vielä tänäkin päivänä.

Mahdollisesti ei-toivotut ohjelmat

Mahdolliseti ei-toivotut ohjelmat ovat ohjelmia, joissa käytetään varsinaiseen ladattuun ohjelmistoon liittymättömiä mainoksia, työkalupalkkeja ja ponnahdusikkunoita. Mahdollisesti ei-toivotut ohjelmat eivät ole kirjaimellisesti katsottuna haittaohjelmia, sillä kuten niiden kehittäjät ovat kärkkäitä kertomaan, niitä ei ladata laitteisiin ilman lupaa vaan ainoastaan käyttäjän suostumuksella. On kuitenkin selvää, että monet ihmiset lataavat mahdollisesti ei-toivottuja ohjelmia vain, koska he eivät ole tietoisia, mihin kaikkeen he antavat suostumuksen niitä ladatessaan.

Mahdollisesti ei-toivotut ohjelmat paketoidaan usein oikeiden ohjelmistojen yhteyteen. Mahdollisesti ei-toivotut ohjelmat päätyvät ihmisten tietokoneisiin yleensä siksi, että käyttäjä lataa uuden ohjelman eikä lue sen lisenssisopimuksen pientä pränttiä ja ei tämän vuoksi tajua suostuneensa asentamaan lisäohjelmia, joista ei ole mitään hyötyä käyttäjälle.

Esimerkkejä mahdollisesti ei-toivotuista ohjelmista:

  • Mindspark – Tämä helposti asennettava mahdollisesti ei-toivottu ohjelma päätyy käyttäjien tietokoneisiin usein ilman, että käyttäjät huomaavat ladanneensa sen. Mindspark voi muuttaa laitteen asetuksia ja aktivoida sen toimintoja käyttämän tietämättä. Ohjelma on tunnettu siitä, että siitä on vaikea päästä eroon.

Hybridihaittaohjelmat

Nykyään monet haittaohjelmat ovat yhdistelmä eri haittaohjelmatyyppejä. Niissä on usein ominaisuuksia sekä troijalaisista että madoista ja satunnaisesti myös viruksista. Haittaohjelma näkyy käyttäjälle tavallisesti troijalaisena, mutta kun se suoritetaan, se hyökkää muita uhreja vastaan verkon kautta madon tavoin.

Esimerkki hybridihaittaohjelmista:

  • Vuonna 2001 Lion-nimellä tunnettu haittaohjelmien kehittäjä julkaisi hybridihaittaohjelman, joka toimi madon ja rootkit-ohjelman tavoin. Rootkit-ohjelmat ovat haittaohjelmia, joiden avulla hakkeroijat voivat käsitellä käyttöjärjestelmän tiedostoja. Madot puolestaan ovat haittakoodia nopeasti levittäviä ohjelmia. Tämä haittaohjelmayhdistelmä aiheutti kaaoksen vahingoittamalla yli 10 000 Linux-järjestelmää. Matojen ja rootkit-ohjelmien ominaisuuksia yhdistävä haittaohjelma oli kehitetty nimenomaisesti hyödyntämään Linux-järjestelmien haavoittuvuuksia.

Tiedostottomat haittaohjelmat

Tiedostoton haittaohjelma on haitallinen ohjelma, joka tartuttaa tietokoneen laillisen ohjelman välityksellä. Se ei tarvitse tiedostoja eikä jätä mitään jälkiä itsestään, joten sen tunnistaminen ja poistaminen on erityisen haastavaa. Tiedostottomat haittaohjelmat alkoivat yleistyä hyökkäystyyppinä vuonna 2017, mutta monet käytetyistä hyökkäystyypeistä ovat olleet olemassa jo jonkin aikaa.

Tiedostottomasti leviävät tartunnat eivät tallennu tiedostoon tai asennu tietokoneeseen, sillä ne siirtyvät suoraan koneen muistiin eikä haitallisesta sisällöstä jää näin mitään jälkeä kiintolevylle. Kyberrikolliset ovat yhä enenevässä määrin alkaneet käyttää hyökkäyksiinsä tiedostottomia haittaohjelmia, koska perinteisillä virustentorjuntaratkaisuilla on vaikeuksia tunnistaa niitä niiden jättämien vähäisten jälkien ja tiedostottomuuden takia.

Esimerkkejä tiedostottomista haittaohjelmista:

  • Frodo, Number of the Beast ja The Dark Avenger ovat varhaisia esimerkkejä tämän tyyppisistä haittaohjelmista.

Logiikkapommit

Logiikkapommit ovat haittaohjelmia, jotka aktivoituvat vain tietyn ehdon täyttyessä, kuten tiettyyn kellonaikaan määrättynä päivänä tai 20:nnellä kirjautumiskerralla. Virukset ja madot käyttävät usein (haitallisen) koodinsa levittämiseen logiikkapommeja, jotka aktivoituvat määrättyyn aikaan tai jonkin muun ehdon täyttyessä. Logiikkapommien aiheuttamat vahingot vaihtelevat muutamasta muuttuneesta datatavusta kiintolevyjen muuttumiseen käyttökelvottomiksi.

Esimerkki logiikkapommista:

  • Vuonna 2016 ohjelmoijan havaittiin aiheuttaneen Siemensin toimipisteen laskentataulukoissa toimintahäiriön muutaman vuoden välein, jotta hänet palkattaisiin korjaamaan ongelma kerta toisensa jälkeen. Kukaan ei epäillyt mitään ennen kuin haitallinen koodi paljastui erään yhteensattuma johdosta.

Haittaohjelmien leviämistavat

Haittaohjelmien yleisimpiä leviämistapoja ovat seuraavat:

  • Sähköposti: Jos sähköpostisi hakkeroidaan, haittaohjelma voi pakottaa tietokoneesi lähettämään sähköpostiviestejä, joissa on tartutettuja liitteitä tai linkkejä haitallisille verkkosivustoille. Kun vastaanottaja avaa liitteen tai napsauttaa linkkiä, haittaohjelma asennetaan vastaanottajan tietokoneelle ja ketju alkaa alusta.
  • Fyysiset tallennusvälineet: Hakkeri voi ladata haittaohjelmansa USB Flash -muistitikulle ja odottaa sitten, että joku kytkee sen tietokoneeseensa. Tätä tekniikkaa käytetään usein yritysvakoilutapauksissa.
  • Ponnahdusikkunahälytykset: käyttäjä voidaan huijata lataamaan vilpillinen suojausohjelmisto, joka itse asiassa levittää uusia haittaohjelmia, näyttämällä käyttäjälle väärennettyjä tietoturvahälytyksiä.
  • Haavoittuvuudet: haittaohjelmat voivat päästä tietokoneisiin, laitteisiin ja verkkoihin luvatta eri ohjelmistoihin jääneitä tietoturvavirheitä hyödyntämällä.
  • Takaovet: ohjelmistoon, laitteistoon, verkkoon tai järjestelmän suojausratkaisuun tarkoituksella jätetty tai tahattomasti jäänyt aukko.
  • Tahattomat lataukset: ohjelmisto voidaan ladata käyttäjän tietämättä tai käyttäjää harhauttaen.
  • Käyttöoikeuksien eskalointi: hyökkääjä voi saada laajennettua käyttöoikeuttaan tietokoneeseen ja verkkoon niin, että hän pääsee käynnistämään hyökkäyksiä sen kautta.
  • Järjestelmien yhtenäisyys: jos kaikissa järjestelmissä käytetään samaa käyttöjärjestelmää tai niitä käytetään samassa verkossa, se lisää riskiä siitä, että mato pääsee leviämään muihin tietokoneisiin.
  • Sulautetut uhat: erityyppisiä haittaohjelmia sisältävät tai niiden ominaisuuksia yhdistelevät haittaohjelmapaketit ovat vaikeita tunnistaa ja pysäyttää, koska ne voivat hyödyntää useita erilaisia haavoittuvuuksia.

Haittaohjelmatartunnan oireet

Jos olet havainnut jotakin seuraavista oireista, se saattaa olla merkki siitä, että laitteellasi on haittaohjelma:

  •  Tietokone on hidastunut tai kaatuu tai jumiutuu usein.
  •  Pahamainen sininen virhenäyttö tulee näkyviin.
  •  Ohjelmat avautuvat, sulkeutuvat tai muuttuvat automaattisesti.
  •  Tallennustilan puute.
  •  Ponnahdusikkunoiden, työkalupalkkien ja muiden ei-toivottujen ohjelmien määrän lisääntyminen.
  •  Sähköposteja ja viestejä lähetetään ilman, että teet mitään.

Haittaohjelmauhilta suojautuminen virustentorjunnan avulla:

Tehokkain keino haittaohjelmahyökkäyksiltä ja mahdollisesti ei-toivotuilta ohjelmilta suojautumiseen on kattavan virustentorjuntaratkaisun käyttäminen. Kaspersky Total Security antaa jatkuvatoimisen suojan hakkereita, viruksia ja haittaohjelmia vastaan ja auttaa pitämään tietosi ja laitteesi turvassa.

Aiheeseen liittyvät artikkelit:

Millaisia haittaohjelmia on olemassa?

Haittaohjelma on haitallinen tietokoneohjelma, joka on suunniteltu aiheuttamaan vahinkoa. Tässä artikkelissa kerrotaan, miten haittaohjelmat eroavat viruksista ja millaisia haittaohjelmia on olemassa, ja annetaan esimerkkejä erilaisista haittaohjelmista.
Kaspersky Logo