Jokainen sähköpostin käyttäjä muistaa sen paskamaisen torstain, 21. päivän elokuuta. Oma postilaatikko tukkiutui kymmenistä, sadoista, jopa tuhansista ‘Thank You’-, ‘Re: Details’- ja ‘Re: Your application’-sähköposteista. Postinvälityspalvelimet tukkeutuivat, ja sähköpostin lähettäminen oli mahdotonta. Liikkeellä oli SoBig.F-virus. Se tulppasi Washington D.C:n tietoliikenneyhteydet ja piti lentoyhtiö Air Canadan lentokoneet maassa. Virus iski lähes puoleen miljoonaan tietokoneeseen ja generoi yli 300 miljoonaa viruspostia miljoonien koneiden sähköpostilaatikkoihin. Suomessa SoBig.F aiheutti kymmenen miljoonan euron vahingot, Yhdysvalloissa lähes miljardin euron tappiot.
Kun virustutkijat torjuivat helposti tammikuussa SoBig.A-viruksen, heillä ei ollut aavistustakaan, että se olisi yhden virushistorian pahimman vittupääötökän esiaste. Kesäkuussa viruksen viides versio, SoBig.E, sai aikaan paniikkia Yhdysvalloissa ja Isossa-Britanniassa. Mutta vasta SoBigin F-versio aiheutti maailmanlaajuisen kaaoksen.
Tiistai 19. elokuuta
Kolea, loppukesän aamu Ruoholahdessa, kello on hieman yli yhdeksän. F-Securen virustentutkimusyksikkö saa epäilyttävän sähköpostinäytteen operaattoriasiakkaaltaan Englannista. Joka kymmenes operaattorin asiakkaista on lähettänyt viimeisen viidentoista minuutin sisällä sähköpostin, joka sisältää samannäköisen liitetiedoston. Vaikka viestistä ei löydy tunnettua virusta, se herättää kummastusta. Vain reilua viikkoa aiemmin ryhmä oli taistellut Nordean tietokoneetkin kaataneen Blaster-viruksen kimpussa.
Yhdeksän hengen virusryhmä selvittää kahdessa tunnissa, että juuri saatu näyte sisältää SoBig-viruksen viimeisimmän version. F-Securessa hälytysvalmius nostetaan heti toiseksi ylimmälle tasolle. Näin tehdään aina, kun huolena on, että virus saattaa tartuttaa suuren määrän koneita paikallisesti.
Klo 12.45. SoBig.F leviää raivoisasti sähköposteissa. Esimerkiksi viruksentutkimusyksikön johtajan, Mikko Hyppösen, suojaamattoman testikoneen sähköpostiosoitteeseen tulee ensimmäisen tunnin aikana sata SoBig.F:n saastuttamaa viestiä, ja tahti kiihtyy. Alkuillasta yhdysvaltalainen operaattori American Online ilmoittaa suodattaneensa jo 12 miljoonaa viruspostia. F-Secure nostaa hälytystasonsa korkeimmaksi mahdolliseksi. Sitä käytetään vain, jos virusepidemiasta on muodostumassa maailmanlaajuinen uhka.
Kerrokseen, jossa F-Securen virustorjuntayksikkö sijaitsee, on turha yrittää ilman tunnisteavainta. Tässä kaikkien virustehtailijoiden vihaamassa toimistossa on kuusi tylsännäköistä toimistokoppia, joiden pöydät ovat vääränään papereita, ja seiniä koristavat halvat julisteet. Jokaisessa 10 neliön kopissa on kaksi tietokonetta ja niiden kimpussa monikansallinen joukko itseoppineita, alansa parhaita työntekijöitä: Venäjältä, Unkarista, Espanjasta. Vain kolme yhdeksästä työntekijästä on suomalaisia.
Kaikkein pyhin, viruslaboratorio, sijaitsee vielä yhden lukitun oven takana. Noin 20 neliön kokoiseen huoneeseen on kulkulupa vain tutkimusryhmän kahdeksalla jäsenellä. Huoneessa on kymmenen tietokonetta, kymmeniä metrejä tietokonekaapelia ja puolisen tusinaa monitoria, joilla luodaan internetiä vastaava suljettu ympäristö. Kone, jolla virustorjuntaohjelmat päivitetään sijaitsee kaltereiden takana. Häkkiavain on vain kahdella ihmisellä. Uudet viruspäivitykset lähetetään tiettyä tunnisteavainta käyttämällä. Tunnisteavain on suljettu huoneen kassakaappiin, jonka yhdistelmä on niin ikään vain kahden ihmisen tiedossa. Vaikka joku kusipää yrittäisi hakkeroida F-Securen koneelle, ei virusta voi levittää päivitysohjelmassa ilman, että murtautuu myös kassakaappiin.
Torstai 21. elokuuta
Jo keskiviikkona yhdysvaltalaisen American Onlinen suodattaman viruspostin määrä nousee yli 30 miljoonaan. Torstaiaamu alkaa katastrofilla. Yritysten sähköpostipalvelimet tukkeutuvat. Palvelimien ylläpitäjät purkavat miljoonien lähettämättömien sähköpostien jonoja yksi kerrallaan ympäri maailmaa. Suomalaisten operaattorien palvelimiin tulee kymmenen kertaa enemmän sähköposteja kuin normaalisti. Kukaan ei tiedä, kuinka monta konetta virus on saastuttanut, sillä se sotkee sähköpostien lähetystiedot. Suurin osa tartunnan saaneista on tavallisia kotikoneen käyttäjiä.
Iltapäivällä F-Securen virusryhmä saa purettua osan SoBig.F:n koodista. Viruksen on määrä aktivoitua perjantaina Suomen aikaa klo 22, jolloin saastuneet koneet ottavat yhteyden kahteenkymmeneen edellisen SoBig-version saastuttamaan koneeseen. Puoli miljoonaa saastunutta konetta vastaanottaa ohjelman, jolla viruksentekijä saa koneet hallintaansa ja muuttaa ne roskapostin levittämiseen sopiviksi palvelimiksi. Esimerkiksi, jos Eurassa asuvan isoäidin Pentium III on valloitettu roskapostipalvelimeksi, mummi huomaa vain, että kone raksuttaa tavallista enemmän ja modeemin valo vilkkuu. Isoäidillä ei aavistustakaan, että koneen kautta lähetetään kymmeniä miljoonia roskaposteja.
Nyt F-Securessa on kiire, aikaa aktivoitumiseen 30 tuntia. Virusyksikkö saa selville välikätenä käytettyjen kahdenkymmenen koneen osoitteet. Yksikkö saa koneisiin yhteyden, ja selviää, että ainoa keino estää viruksen aktivoituminen on kaataa nämä 20 konetta. Tieto välitetään Suomen viestintävirastolle, koska vain viranomaisten avulla voidaan saada kyllin nopeasti kaadettua Yhdysvalloissa, Kandassa ja Etelä-Koreassa sijaitsevat koneet. Koska sähköpostijärjestelmät ovat tukossa, lista tietokoneiden osoitteista toimitetaan puolen kilometrin päähän jalkaisin. Viestintävirasto saa yhteyden muiden maiden viranomaisiin, jotka alkavat välittömästi sulkea listalla olevia koneita.
Kuka sen teki?
Yleensä viruskoodaajat haluavat aiheuttaa kaaosta. Mikko Hyppösen mukaan tekijät ovat pääsääntöisesti 12–30-vuotiaita, turhautuneita miehiä. Yli 90 prosenttia löydetyistä viruksista on amatöörien tekemiä. Ei ole harvinaista, että koodista löytyy surullisia tarinoita siitä, kuinka viruksentekijällä ei ole töitä tai kuinka hän joutuu elättämään vanhempansa.
Sobig.F:n motiivi on kuitenkin selvä: raha. Viruskoodareiden tarkoitus on myydä lista vallatuista roskapostipalvelimista roskapostin lähettäjille eli spämmereille. Tavalliselle sähköpostin käyttäjälle tämä merkitsisi yhä huikaisevampaa vyöryä Viagra-, kasvuhormoni- ja peniksenpidennystarjouksia. Lista kiinnostaa spämmeriä, sillä välityspalvelimen kautta lähetetyn postin alkuperää ei voi selvittää. Toisaalta vain viruksentekijät tietävät, missä koneissa on toimiva välityspalvelin.
Kauppa on käynyt hyvin. Kesäkuussa jo 15 prosenttia kaikesta netissä liikkuneesta roskapostista tuli aiempien SoBig-versioiden saastuttamista koneista.
SoBigin kirjoittajat eivät ole amatöörejä. Viruksen takana on organisaatio tai ryhmä, jonka kiinni saaminen on lähes mahdotonta. Asiantuntijoiden mukaan internetin kautta tekijöitä tuskin saadaan kiinni, sillä he osaavat hävittää hyvin jälkensä. He eivät ole tyhmiä, kuten viruksen kirjoittajat monesti. Nämä virustehtailijat saadaan kiinni vain, jos he puhuvat ohi suunsa.
Perjantai 22. elokuuta
F-Securen masinoima vastahyökkäys onnistuu. Iltapäivällä jo yksitoista konetta kahdestakymmenestä on kaadettu. Virustutkimusyksikön johtaja Hyppönen pyytää lisäapua Yhdysvaltain viranomaisilta. Klo 18.17 hän saa yhteyden henkilöön FBI:ssä, joka pystyy auttamaan tietokoneiden kaatamisessa.
Kello 19 enää kolme konetta on pystyssä. Hyppönen ottaa yhteyden vielä Microsoftin sisäisen turvallisuuden yksikköön. Siellä on töissä entisiä CIA:n ja NSA:n agentteja, jotka pystyvät sulkemaan koneita lyhyessä ajassa.
Kun virus aktivoituu iltakymmeneltä, enää yksi kone on pystyssä. Se sijaitsee Yhdysvalloissa. Kone kaatuu itsestään, kun puoli miljoonaa saastunutta tietokonetta koettaa ottaa yhteyden siihen. SoBig.F on epäonnistunut tehtävässään. Se ei saanut aikaan yhtään uutta sähköpostin välityspalvelinta.
Loppu hyvin, kaikki hyvin?
Ei niinkään. Me emme ole turvassa. SoBig.F-viruksen tarina päättyy 10. päivä syyskuuta, jolloin se on ohjelmoitu tuhoamaan itsensä. Virus tekee tilaa uudelle, parannetulle versiolle.
Keskiviikko 3. syyskuuta
Mikko Hyppönen on esitelty edellisellä viikolla maailman medioissa suurena virusmetsästäjänä. Sotkuisessa, mutta modernissa työhuoneessaan istuva poninhäntäinen rillipää on flunssassa ja väsyneen näköinen. “Koodarin prototyyppi”, joku voisi ajatella. Hyppösellä ei ole torjuntavoitosta huolimatta hyvää kerrottavaa:
“Saatamme nähdä SoBig.G:n jo ennen kuin tämä artikkeli on julkaistu. Miksi tekijät odottaisivat siihen asti, koska F-versio epäonnistui? Seuraavassa versiossa testataan taas jotain uutta toiminnallisuutta ja parannellaan ideaa. Jos joku asia edellisessä versiossa ei toiminut, se ei ole mukana seuraavassa. Ensi kerralla meillä ei välttämättä ole niin paljon aikaa toimia kuin nyt.”
SoBig.F saastutti noin puoli miljoonaa konetta. Se ei ole vielä paljon, sillä vuonna 2001 Nimda-virus saastutti 2,5 miljoonaa konetta. Silti SoBigia voi pitää sähköpostihistorian pahimpana viruksena. Sen aiheuttama sähköpostikuorma oli valtaisa, kymmenen kertaa suurempi kuin mikään aiempi virus on koskaan saanut aikaan. Vuosi sitten harmia aiheuttaneen Melissa-viruksen kirjoittaja sai tihutöistään 20 kuukauden vankeustuomion. Jos SoBigin tehtailijat jäävät kiinni, kakku lasketaan vuosissa.
Inhokkivirukset ja roskapostin alle kaatuvat postilaatikot ovat väistämätöntä arkipäivää.
“SoBig on alkusoittoa nykyisen sähköpostijärjestelmän kuolemalle. Ennen pitkää sähköposti ei ole enää käyttökelpoinen nykymuodossaan”, Hyppönen ennustaa, kättelee ja häipyy seuraavaan palaveriin.
Miten SoBig iskee?
SoBigit ovat sähköpostin liitetiedoston kautta koneelle tarttuvia matoja. Virus tarttuu vain, jos liitetiedosto avataan. SoBigin B-versiosta lähtien viruksen perusidea on pysynyt samana.
Tietyllä kellonlyömällä saastuneet koneet ottavat yhteyttä virusten tekijöiden hyväksikäyttämään nettipalveluun, josta koneeseen ujutetaan tekstitiedosto. Tiedostossa on linkki nettiosoitteeseen, josta koneelle imuroituu ohjelma, joka poistaa viruksen jäljet. Tässä vaiheessa mikään virustorjuntaohjelma ei voi enää auttaa. Virus asentaa koneelle samalla myös kaksi muuta ohjelmaa. Toinen niistä seuraa näppäimistön painalluksia sekä tallentaa kaikki salasanat ja toinen asentaa koneelle roskapostin välityspalvelun.
Yksinkertainen ohje Sobig.G:n varalle: älä avaa sähköpostin liitetiedostoja, joiden sisällöstä ja lähettäjästä et ole varma.
17 kommenttia
Hehheh
12.9.2003 00:47
Missasinkohan jotain? No, okei tottahan toki minä kuulin tuttavien ruikutusta ja valitusta "virustartunnoista", mutta ei minun mieleeni ainakaan mitään unohtumattomia päivämääriä syöpynyt. Miksikö? Ensinnäkään en avaa mitään liitetiedostoja, jos lähettäjä ei ole vaivautunut sen sisältöä edes parilla sanalla kuvaamaan. Ehkä tärkeämpi syy on kuitenkin se, että tietokoneissani - niin työmaalla kuin kotonakin - pyörii joko Unix tai Linux-käyttöjärjestelmä. Massoilla on massojen murheet.
Vastaa kommenttiinVastaa kommenttiin
elven
12.9.2003 05:39
Ei voi olla niin helvetin vaikeaa olla avaamatta niita liitetiedostoja. Luulisi vahitellen tajuavan.
Vastaa kommenttiinVastaa kommenttiin
n-gam
12.9.2003 13:23
Jep,
Vastaa kommenttiinMulla myös Linux, eikä ongelmia viiruksista. Vaatii ihan pikkuisen enemmän ajattelua käyttäjältä, muttei mitenkään liikaa etteikö osa MS-massastakin voisi Linuxiin siirtyä.
Vastaa kommenttiin
DocIt
12.9.2003 16:58
Eikö kannattaisi pitää pää kiinni siitä, että teillä on linukat/uniksit. Kohta suurin osa ihmisistä siirtyy käyttämään mainittuja käyttöjärjestelmiä ja sitten olette yhtä kusessa kuin muutkin, kun virusnikkarit alkavat tekemään viruksia ko. k.järjestelmille.
"..mutta mullapa onkin C64... eipä oo vielä haittaa ollut viruksista ..jee hyvä mä. Toivottovasti muutkin tajuaa alkaa käyttämään vain C64:sta. NiiKErta."
Vastaa kommenttiinVastaa kommenttiin
jerkka
15.9.2003 12:11
Vaikkakin tähän virus-asiaan voi vaikuttaa käyttämällä muita alustoja kuin MS niin silti suurin vika on yleensä aina käyttäjässä.
Niin paljon voit säästää itseäsi näiltä kaikilta viruksilta kun opettelet käyttämään konettasi ja mailiohjelmaasi.
Tosin se on helppoa sanoa näin mac/unix käyttäjänä kun niistä viruksista ei tosiaankaan ole pelkoa. Mutta oman koneen tunteminen ja päivitysten ajan tasalla pitäminen auttaa kummasti.
Mutta voisi se MS vähän mennä itseensä ja miettiä monienko miljardien tuhot on sen käyttöjärjestelmän/mailiohjelmien aukkojen takia saatu aikaan. Surullista.
-jerkka k.
Vastaa kommenttiinVastaa kommenttiin
jerkka
15.9.2003 12:12
[LAINAUS]DocIt kirjoitti 12.09.2003 klo 16:58:
Eikö kannattaisi pitää pää kiinni siitä, että teillä on linukat/uniksit. Kohta suurin osa ihmisistä siirtyy käyttämään mainittuja käyttöjärjestelmiä ja sitten olette yhtä kusessa kuin muutkin, kun virusnikkarit alkavat tekemään viruksia ko. k.järjestelmille.
"..mutta mullapa onkin C64... eipä oo vielä haittaa ollut viruksista ..jee hyvä mä. Toivottovasti muutkin tajuaa alkaa käyttämään vain C64:sta. NiiKErta."[/LAINAUS]
Se ei nyt ihan ole niin että ne virukset vaan siirtyvät unix/linux alustoille noin vaan. Näissä järjestelmissä ei ihan rällästetä yhtä avoimesta kaikkien prosession toimesta kuin MS-alustalla.
Joten ei nyt maalailla olemattomia piruja seinille.
-jerkka k.
Vastaa kommenttiinVastaa kommenttiin
Sarana2
15.9.2003 14:15
Artikkeli vaikuttaa teini-ikäisen kirjoittamalta, tämäntyyppiset heitot esimerkkinä:
"Vaikka joku kusipää yrittäisi hakkeroida F-Securen koneelle..."
"Esimerkiksi, jos Eurassa asuvan isoäidin Pentium..."
Lisäksi artikkelin juoni hyppelehtii sinne tänne. En ole loistokirjoittaja mutta ei ole Juhani Sirenkaan. Tiedän että City on ilmaisjakelulehti mutta tätä tasoa ei sentään odottaisi.
Sinänsä mielenkiintoinen aihe.
Vastaa kommenttiinVastaa kommenttiin
Windypistefi
16.9.2003 12:35
[LAINAUS]Sarana2 kirjoitti 15.09.2003 klo 14:15:
Artikkeli vaikuttaa teini-ikäisen kirjoittamalta, tämäntyyppiset heitot esimerkkinä:
"Vaikka joku kusipää yrittäisi hakkeroida F-Securen koneelle..."
"Esimerkiksi, jos Eurassa asuvan isoäidin Pentium..."
Mitäs vikaa värikkäässä ilmaisussa on? Lue Hesaria niin ei ärsytä.
Vastaa kommenttiinVastaa kommenttiin
Corwin
17.9.2003 09:28
[LAINAUS]jerkka kirjoitti:
Se ei nyt ihan ole niin että ne virukset vaan siirtyvät unix/linux alustoille noin vaan. Näissä järjestelmissä ei ihan rällästetä yhtä avoimesta kaikkien prosession toimesta kuin MS-alustalla.
Joten ei nyt maalailla olemattomia piruja seinille.[/LAINAUS]
Vastaa kommenttiinEivät ne virukset MS alustoillekaan ilmesty noin vaan. Käsi ylös kaikki, jotka osaisivat etsiä mistä tahansa käyttöjärjestelmästä vian, jonka avulla saisi viruksen toimimaan. Jos massat käyttäisivät *nixia, niin virustehtailijat etsisivät sieltä aukkoja, ja aivan varmasti onnistuisivat. Kai Jerkka muista kuinka luottavasta suomalaistuotteesta nimeltä SSH löytyi turva-aukko?
Vastaa kommenttiin
angelette
17.9.2003 15:55
Ihmettelen näiden virusten leviämistä. Jos kyse on nimenomaan liitetiedostojen mukana leviävistä viruksista, niin on se kumma, että ihmiset availevat kaiken maailman tiedostot tietämättään. HALOO????
Vastaa kommenttiinItse en avaa mitään, mitä en tiedä.
Vastaa kommenttiin
spip
18.9.2003 02:25
Olipa paska artikkeli, Tom Clancy potenssiin -10.
Toisekseen, artikkelissa ei puututtu ollenkaan siihen,
Vastaa kommenttiinettä virusohjelmat lähettävät alkuperäiselle viestin lähettäjälle ilmoituksen siitä, että tämän viestissä on virus, näin siitäkin huolimatta, etta SoBig.F väärentää lähettäjän tiedot. Tästä seuraa se, että jokaista huomattua viruspostia kohti on vähintään yksi "virusilmoitus"-posti, joka lisää entisestään verkon kuormitusta. Olisi ollut mielenkiintoista kuulla F-Securen kommentti tähän.
Vastaa kommenttiin
Juuso
18.9.2003 12:10
Ketkähän niitä viruksia sitten todellisuudessa kyhäilee?ainakin
Vastaa kommenttiinviruksentorjujat niistä eniten hyötyy..
Vastaa kommenttiin
Sarana2
18.9.2003 14:13
[LAINAUS]Windypistefi kirjoitti 16.09.2003 klo 12:35:
Mitäs vikaa värikkäässä ilmaisussa on? Lue Hesaria niin ei ärsytä.[/LAINAUS]
Värikkäissä ilmaisuissa ei minunkaan mielestäni ole mitään vikaa - huonoissa taas on, nämä kuullostivat jonkun 12-vuotiaan teinin kirjoittamilta, siksi ärsytys.
Vastaa kommenttiinVastaa kommenttiin
MikkoAN1
18.9.2003 14:51
Mä luulin että kirjoittaja yritti matkia nörttien puheenpartta - tuollaisena muistan sen nuoruuteni tietokoneharrastuksen ajoilta.
Eivätkä ne ihmiset vaikuttaneet siltä että he alkaisivat sosiaalisilta taidoiltaan kovin pian kehittyä...
Ja mitä tulee liitetiedostojen availuun, niin työelämässä sähköpostia käyttävänä toteaisin että usein työnteon kannalta tärkeät viestit on laatinut joku tiedottajatörppö, joka ei ilmoita firmaansa, otsikkoa tai oikeastaan mitään muutakaan oleellista itse sähköpostissa, vaan minun pitää jännittää liitetiedoston avautumiseen tietääkseni onko viesti tärkeä vai virus. (kärjistäen toki - tietenkin kaikki .exet sunmuut jää avaamatta)
Vastaa kommenttiinVastaa kommenttiin
pelse puupi
19.9.2003 09:05
F-Securen kurssi on taas nousussa, kun ne löytää ekana näitä viruksia. Mitähän se virustiimi siellä lukituissa kopeissaan oikeen duunaa...
Vastaa kommenttiinVastaa kommenttiin
Salix
21.9.2003 18:07
Artikkeli voisi tehdä selväksi sen, että kyseinen virus toimii vain Microsoft Windowsissa. Liian moni ihminen puhuu "tietokoneviruksista" kuvitellen, että ne koskevat tietokoneita yleensä, vaikka ongelma on vain tietyissä ohjelmissa ja käyttöjärjestelmissä. Syynä ovat ainakin osittain tällaiset artikkelit, ja ne nakertavat entisestään ihmisten luottamusta tekniikkaa kohtaan.
Pakollinen autovertaus: Volvon airbagista löytyy vika, ja kohta lehdistö kertoo että kaikki autot ovat viallisia.
Vastaa kommenttiinVastaa kommenttiin
Hannumuh
21.4.2006 09:51
Hannuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuu
Vastaa kommenttiinVastaa kommenttiin