Ebatavaline viirus W32.Induc.A

Viimasel ajal on paljudes  kodudes kui töökohtades arvuteid valvavad viirusetõrjed löönud häirekella. Loomulikult niisugused tõrjed, mis on sätitud automaatselt  uuendama pahavaravastaseid andmebaase või on neid värskendatud  käsitsi.  Kindlasti on paljud kasutajad üllatunud, kuna omateada pole otseselt põhjust antud, et arvuti võiks olla nakatunud – pole käidud pahelistel netilehtedel, pole midagi arvutisse tiritud, pole käivitatud kahtlasi faile.

Samasugune üllatus tabas ka mind. Tehes arvutis tavapäraseid toimetusi, viskas mu viirusetõrje ootamatult lahti hoiatusakna ja hakkas paaniliselt teatama viiruse leidmisest. Just nimelt paaniliselt, kuna kurjamit edukalt karantiini suunates leidis ta selle üha uuesti ja uuesti.  Loomulikult asusin kohe uurima, mis viirusega tegu.

Esmapilgul tundus tegemist olema anomaaliaga, võib ka öelda valehäirega, kuna viirusekandjaks nimetati programm, mida mu arvutis polnud olemaski. Kui siis ehk katsetasin seda programmi vast umbes kuu või paar tagasi, aga ebasobivusel kustutasin  koos registrivõtmete ja –väärtustega. Ent asja edasi uurides selgus, et selle viiruse puhul polnudki tegu valehäirega (false positive). Viirus oli suutnud  kohe peale programmi nakatamist teha sellest tagavarakoopia ja peita selle nutikalt ära.

Viirus avastati alles paar päeva tagasi Sophos Labs viirusteanalüütiku Richard Cohen poolt. Õelvara nakatab rakendusi, mis on kirjutatud programmeerimiskeeles Delphi (üks versioon programmeerimiskeele Pascal edasiarendusest).  Lihtsa ja mugava kirjutamiskeele tõttu kasutatakse seda  paljudes Windows keskkonna programmides, näiteks andmebaase abistavates rakendustes. Viirus otsib nakatunud arvutist  Delphit kasutavad programmid, sisestab neisse pahatahtlikku koodi ning seejärel koostab iseendale uue täitmiskoodi (.exe).

Väljavõtteid viiruse kohta erinevatelt tõrjelehtedelt:

• Arvatakse, et viirus on takistamatult tegutsenud juba pikemat aega, kuna tagasisidena on saadud väga suur hulk nakatunud faile. Kuid needki andmed on saadud kõigest esimese paari päeva kohta. Näiteks peale seda, kui viirusetõrje Avast! lisas signatuuri viirusevastasesse  andmebaasi, leiti esimese 12 tunniga umbes 200 000 nakatunut faili.

• Viirus levib väga kiiresti iseenda paljundamise teel ja seetõttu nimetavad mõned tõrjespetsialistid  seda ka epideemiaks. Spetsialistide sõnul  kasutatakse  paljunemiseks uuenduslikku ja haruldast tehnoloogiat.

• Kuigi viirust ei peeta hetkel eriti ohtlikuks, siis tegelikult veel ei teata, mis otstarbel see kirjutati ja mis on selle eesmärgid. Põhimõttelist kahju see otseselt ei tee, ent viiruse uurimine ja analüüsimine alles jätkub.  Igal juhul kinnitatakse, et veel pole maailmast avastatud sellist viirust, mis oleks kasutajatele täiesti ohutu.
• Nakatunud faile kustutades jääb siiski mõningane võimalus, et mõne programmi töö saab häiritud.  Nagu öeldud, viirus võib nakatada kõiki ehtsaid ja häid programme, mis kasutavad Delphit. Delphi programmeerimiskeelt kasutatakse palju ka näiteks pankade- ja teiste suurettevõtete andmebaaside rakendustes, mis nõuavad suurel hulgal andmete töötlemist.

• Arvatakse, et viirusetõrje tootjad saavad kasutajatelt lähiajal hulga teateid valepositiivsetest failidest, mida nende tõrjevahendid on avastanud. See tekitab paju nördimust ka originaal-tarkvara müüjates, kuna nende tooteid kompromiteeritakse,  justkui oleks need viirusekandjaid. Halvemaks aga tuleb pidada olukorda, mil ehtsast programmist viirust leides arvatakse kohe, et tegu on valehäirega  ning välistatakse see viirusetõrje edasisest kontrollist. Sellega antakse viirusele võimalus edasi paljuneda.

• Nakatumise sümptomid sõltuvad vastavalt nakatatava programmi ülesannetest. Eemaldamine võib olla suhteliselt kerge, ent kui viirus  töötab mäluprotsessides, siis tuleb rakendada täiendavaid abinõusid selle kustutamiseks.
• Iroonilisel kombel nakatab viirus ka teisi kuritahtlikke programmijuppe, näiteks pangandusliinis levivaid troojaid, mis on kirjutatud Delphit kasutades.

• Nakaunud võivad olla süsteemid , milles kasutatakse programme, mis on kirjutatud Delphi koostamisversioonides 4-7  (Delphi Compiler).

  Tulles tagasi minu arvutitest leitud viiruste juurde,  siis ühes neist töötas viirus mäluprotsessides, aktiveerudes kohe peale arvuti alglaadimist. Viirusetõrje küll avastas selle, kuid suutis kustutada vaid pärast arvuti taaskäivitamist. Teises arvutis oli aga viirus peitnud ennast ka süsteemidraivi kausta (System Volume Information), mida kasutatakse süsteemisätete taastamiseks varasemasse aega.  Mõlemal juhul pidin viiruse eemaldamiseks süsteemitaaste välja lülitama.

  Viiruse eemaldamine

  • Lülita välja  System Restore. Vali  Start – Settings – Control Panel – System – System restore , märgi linnukesega ruuduke Turn off System Restore on all drives, vajuta Apply ja OK.

  

  • Uuenda viirusetõrje või teiste tõrjeprogrammide andmebaase.
  • Otsi viirusetõrjega  läbi kogu arvuti kasutades käsitsi skänneerimisvõimalust.
  • Vajadusel, kui viirust ei suudeta eemaldada, sisene Safe Mode (õpetus  siin) ja korda eelnevat tegevust.
  • Kui kurivara on eemaldatud, taaskäivita arvuti ja kontrolli mõttes skänneeri arvuti teistkordselt üle.

  Täiendavat lugemist:

  http://www.sophos.com/blogs/gc/g/2009/08/19/w32induca-spread-delphi-software-houses/

  http://www.sophos.com/security/analyses/viruses-and-spyware/w32induca.html

  http://www.scmagazineuk.com/Anti-virus-vendors-warn-over-Win32Induc-virus-that-attacks-the-Windows-based-development-environment-Delphi/article/146957/

  http://news.bitdefender.com/NW1116-en–BitDefender-Finds-Win32.Induc.A-Puts-Delphi-Compilers-at-Risk-and-Compromises-Legitimate-Applications.html