Kuvat
Emilia Kangasluoma / Sanoma-arkisto
Virustotalia voi käyttää kuka tahansa maksutta, mutta sinne ei kannata ladata mitä tahansa tiedostoja.
Virustotalia voi käyttää kuka tahansa maksutta, mutta sinne ei kannata ladata mitä tahansa tiedostoja.

Virustotal tarjoaa noin 70 virustorjuntaohjelmiston analyysin.

Oletko saanut sähköpostissa liitetiedoston ja haluat varmistua siitä, että se ei sisällä viruksia tai muita haittaohjelmia? Tai oletko avannut nettisivuston, jonka sisältö vaikuttaa epäilyttävältä?

Netistä löytyy tilanteeseen apua. Virustotal on Googlen emoyhtiö Alphabetin omistama ja ylläpitämä englanninkielinen sivusto, jossa voi maksutta testata, onko tiedostoissa ja nettisivustoilla haitallista sisältöä.

Se löytyy osoitteesta virustotal.com.

Sisältö jatkuu mainoksen jälkeen

Mutta ennen kuin lähetät mitään tiedostoja analysoitavaksi ohjelmassa, lue juttua eteenpäin, koska on tiedostoja, joita ei missään nimessä kannata lähettää Virustotaliin.

Sisältö jatkuu mainoksen alla

Netissä on myös muita vastaavanlaisia palveluita, mutta Virustotal on suosituin ja tunnetuin sekä ollut olemassa jo 15 vuotta. Kun Virustotaliin lähettää tiedoston, se käy läpi noin 70 eri virustorjunta- ja palomuuriohjelmiston analyysin.

– Tavallisesti käyttäjällä on omalla koneellaan tasan yksi antivirusohjelmisto, jos sitäkään. Virustotalissa pystyy testaamaan sen, mitä kaikki muut ohjelmistot ovat asiasta mieltä, sanoo tietoturva-asiantuntija Ville Kontinen Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksesta.

Kyberturvallisuuskeskus ei anna suosituksia käytön osalta kaupallisista tai vapaista palveluista, ja jättää palveluiden käyttöpäätöksen jokaisen omalle vastuulle.

Kontisen mukaan kyseessä on kuitenkin palvelu, jota myös tietoturva-alan ammattilaiset käyttävät.

Tiedostojen lähettäminen Virustotaliin onnistuu yksinkertaisesti avausnäkymän File-valikosta klikkaamalla ”Choose file” ja valitsemalla sitten tutkittavaksi haluamansa tiedoston koneeltaan tai raahaamalla tiedosto.

Nettiosoitteiden kohdalla sama tapahtuu kopioimalla osoiterivi selaimesta ja liittämällä se Virustotalin URL-valikossa näkyvään tekstikenttään.

Tämän jälkeen Virustotal käy läpi, mitä eri ohjelmistot kertovat kyseisestä nettisivustosta tai tiedostosta. Lopputuloksena käyttäjä saa listauksen, jossa jokainen noin 70 eri ohjelmistosta ilmoittaa tiedoston tai sivuston olevan joko vihreällä ”Clean” (eli puhdas) tai punaisella ”Unsafe” (epäluotettava).

Kun Virustotaliin latasi analysoitavaksi niin sanotun kannettavan Opera-nettiselaimen, yksi 68:sta ohjelmistosta ilmoitti, että se on epäluotettava. Ilmoituksen teki tekoälyyn pohjautuva Cylance. (Kuvassa näkyvät analyysin tehneet virustorjuntaohjelmistot C-kirjaimeen saakka.)
Kun Virustotaliin latasi analysoitavaksi niin sanotun kannettavan Opera-nettiselaimen, yksi 68:sta ohjelmistosta ilmoitti, että se on epäluotettava. Ilmoituksen teki tekoälyyn pohjautuva Cylance. (Kuvassa näkyvät analyysin tehneet virustorjuntaohjelmistot C-kirjaimeen saakka.)

Voi siis käydä niin, että virustorjunta- tai palomuuriohjelmistojen tulokset poikkeavat toisistaan.

– Virustotal ei lähtökohtaisesti anna absoluuttista vastausta kyllä-ei-tyylisesti. Mutta se tarjoaa suuntaa-antavaa tietoa, josta pystyy sitten itse päättelemään enemmän, Kontinen kertoo.

Jos esimerkiksi lähes kaikki ohjelmistot ilmoittavat, että jokin tiedosto on ”Unsafe”, niin erittäin todennäköisesti se myös sitä on, eikä ohjelmistoa kannata silloin avata.

Jos taas kaikki ohjelmistot kertovat, että jokin tiedosto tai nettiosoite on ”Clean”, niin hyvin todennäköisesti se myös on.

Virustotal kertoo analysissaan myös runsaasti muuta tietoa kuin vain puhtauden tai epäluotettavuuden – esimerkiksi sen, milloin kyseinen tiedosto on arvioitu Virustotalissa ensimmäisen ja milloin edellisen kerran.

Nämä tiedot löytyvät Details-valikosta kohdasta History.

Niistä voi arvioida, kuinka ajantasaista saatavilla oleva tieto on. Huolestuttavin tilanne on silloin, jos jotain tiedostoa ei ole analysoitu lainkaan.

– Jos olet uhri aivan uudessa haittaohjelmakampanjassa ja työnnät tiedoston Virustotaliin, kaikki antivirusohjelmat saattavat sanoa, että kyseessä on puhdas tiedosto. Pari tuntia myöhemmin muutama ohjelma saattaa kertoa, että se ei olekaan puhdas tiedosto. Kaksi päivää myöhemmin taas kaikki ohjelmat kertovat, että ohjelma on haitallinen.

Tavalliselle netinkäyttäjälle ei kuitenkaan ole kovin todennäköistä, että hän olisi aivan ensimmäisiä uhreja jossain uudessa kampanjassa.

Virustotalin analyyseissa on joka tapauksessa muitakin mutkia. Ne kertovat ainoastaan sen, tunnistavatko virustorjuntaohjelmat, yrittääkö tiedosto tehdä jotain haitallista. Ne eivät paljasta tietojenkalasteluyrityksiä.

Eli sähköpostin liitetiedosto saattaa olla esimerkiksi kaikin tavoin puhdas ja normaali pdf-tiedosto. Mutta jos klikkaa tiedostosta löytyviä linkkejä, ne vievät sivuistoille, joilla rikolliset yrittävät kalastella esimerkiksi käyttäjätunnuksia.

Näitä sivustojakin voi tarkistella Virustotalissa.

– Mutta jos sivuilla ei ole teknisesti mitään epäilyttävää, ja niillä vain yritetään huijata sinua ihmisenä, niin nekään eivät välttämättä näy Virustotalissa haitallisina.

– Ne näkyvät ainoastaan silloin, jos Virustotalissa olevat palomuurivalmistajat ovat raportoineet sivuja epäilyttäviksi tai esimerkiksi Googlelle on tullut raportteja niiden haitallisuudesta.

Tätä juttua varten menimme sivustolle gmai.com. Nettiosoite on siis lähes sama kuin kuin Gmail-sähköpostiohjelmalla, vain yhden puuttuvan l-kirjaimen erolla.

Kyseinen osoite ohjaa sivustoille, jotka vaikuttavat ilmiselviltä huijauksilta.

Virustotalissa ainoastaan viisi ohjelmistoa vajaasta 70:stä kertoo, että gmai.com ei ole turvallinen osoite.

Mutta se on saanut Virustotalin käyttäjäyhteisöltä runsaasti merkintöjä haitallisuudesta.

Virustotalissa kuka tahansa voi kirjautua maksutta rekisteröityneeksi käyttäjäksi. Silloin käyttöön saa lisää toimintoja ja pääsee osallistumaan keskusteluun.

Kontinen kuvailee yhteisön arvioita yleensä kohtuullisen oikeiksi, koska moderointi on tiukkaa.

Yhteisön jäsenet voivat myös ladata itselleen Virustotaliin lähetettyjä tiedostoja tutkiakseen niitä tarkemmin.

Tästä päästään siihen, millaisia tiedostoja Virustotaliin ei kannata ladata.

– Henkilökohtaista materiaalia sinne ei kannata ladata missään tapauksessa, esimerkiksi tiliotetta pdf:nä. Lähtökohtaisesti pitää olla aina vahva pohjaepäilys jonkin tiedoston haitallisuudesta, jos sitä lähtee työntämään Virustotaliin.

Kontinen kertoo, että edistyneemmillä käyttäjillä ensimmäinen vaihtoehto on yleensä hyödyntää niin sanottuja tiivisteitä, jotka on muodostettu tiedostoista.

Niiden avulla epäilyttävistä tiedostoista voi hakea muiden tekemiä latauksia ja havaintoja Virustotalista.

– Silloin näkee, löytyykö kyseisellä tiivisteellä jo osuma. Jos löytyy, ei tarvitse itse työntää lainkaan materiaalia jakoon.

Virustotal herättää myös kysymyksen, hyödyntävätkö verkkorikolliset sitä yrittäessään kehittää entistä vaikeammin havaittavia haittaohjelmia?

Kontisen mukaan Virustotalia pystyy käyttämään rajallisesti myös siihen, mutta samalla ”tulee paljastaneeksi vastapuolelle pelikorttejaan”.

– Muistetaan tosiaan se, että aina kun työntää Virustotaliin tiedoston, sitä ei saa sieltä pois, ja joku muu pystyy lataamaan sen. Käytännössä se tarkoittaa sitä, että jos hyökkääjä yrittää luoda uuden haittaohjelman ja haluaa testata sitä kymmeniä antivirusohjelmistoja vastaan nähdäkseen, meneekö se läpi, hän tulee samalla näyttäneeksi, millainen haittaohjelma hänellä on.

Sisältö jatkuu mainoksen alla