Skadlig kod
En generisk term för skadliga datorprogram är ”skadlig kod” och kommer av det engelska orden Malicious Software (Malware), och är ett samlingsbegrepp för datorprogram som installeras på en dator eller ett datornätverk utan administratörens samtycke.
Olika typer av skadlig kod (Malware)
Datorvirus Sprider sig till filer lagrade på den infekterade datorn och följer med infekterade filer när de överförs till andra datorer.
Spionprogram/Spyware Spionerar på privat information på infekterade datorer, och skickar informationen över internet.
Annonsprogram/Adware Visar annonser på infekterade datorer.
Internetmask/Worm Sprider sig via datornätverk mellan datorer.
Trojansk häst/Trojan Utger sig för att göra en sak, men utför andra saker vanligen dolda för en användare, t.ex nedladdning av spionprogram.
Spökprogram/Rootkit Är program som döljer saker för användaren.
Tangentläsare/Keylogger Registrerar information om de tangenter som trycks på datorn, till exempel lösenord, och lagrar informationen lokalt för senare åtkomst eller skickar den via internet.
Logisk bomb Utför en (skadlig) handling under speciella villkor, till exempel att ett visst datum infinner sig.
Datorvirus
Datorvirus eller datavirus är små datorprogram som sprider sig genom att lägga en kopia av sig själva inuti andra program, värdprogram, på sådant sätt att koden körs då värdprogrammet körs. Då ett infekterat värdprogram körs kan dess virus spridas ytterligare och även utföra annat som viruset har konstruerats för att göra. I dagligt tal kallar man ofta alla typer av skadlig programkod för virus.
För att de egentliga virusen skall kunna spridas krävs dels att infekterade program kopieras till andra datorer, dels att programmen körs med tillräckliga rättigheter för att kunna infektera andra program. De egentliga virusen är numera ovanliga och deras roll har övertagits dels av makrovirus, som bifogar sin kod till olika typers dokument i form av så kallade makron, dels av trojanska hästar, där den skadliga koden är inarbetad i, inte bara bifogad, ett annat program, om inte hela programmet skrivet för ändamålet.
Spridning via e-post
Såväl virus som makrovirus och trojanska hästar sprids ofta genom e-post, så att programmet eller det infekterade dokumentet skickas som en bilaga eller genom en länk i själva brevet. En oförsiktig användare kan då lätt komma att köra koden. Ibland utnyttjas svagheter i operativsystemet eller e-postprogrammet så att koden körs mer eller mindre automatiskt.
Ofta innehåller programmet kod för att leta rätt på e-postadresser på den drabbade datorn och skicka koden vidare till dessa. För att göra meddelandet mer personligt kan en del virus använda dokument eller dokumentfragment de hittar på datorn.
Virus och operativsystem
Intrång av datorvirus förebyggs genom att undvika att köra främmande program, och genom uppdatering och val av operativsystem, e-postprogram, webbläsare och andra program som kan komma i kontakt med främmande filer. För att upptäcka och avlägsna virus finns antivirusprogram.
Majoriteten av dagens datorvirus är skrivna för Microsoft Windows. Orsakerna är flera: En del på månganvändarsystem självklara begränsningar saknades länge i Windows och Windows körs fortfarande ofta så. Windows-användare är vana med att rekommenderas att ladda ner installera främmande program, medan användare av många andra operativsystem är vana att få de allra flesta av sina program från en central pålitlig källa. Windows skiljer i användargränssnittet inte mellan att öppna och köra en fil, vilket gör det lätt att lura användare att köra främmande kod. Slutligen är Windows det mest populära operativsystemet.
Det finns virus även till DOS och gamla Mac OS, men det finns ytterst få Unix-virus. I Unix distribuerades programvaran ofta som källkod, användare har skrivrättigheter bara till program han installerat för sig själv och användarna var tekniskt kunnigare än PC-användarna. Allt detta bidrog till att virus hade svårt att sprida sig. Interaktiva inbrottsförsök, rootkits och internetmaskar fanns och finns också för olika Unix-varianter.
Med GNU/Linux ökande popularitet, mindre kunniga administratörer och de nya skrivbordsomgivningarna finns det en risk för epidemier med framförallt makrovirus också i Unix-liknande system.
Datorvirusens upphovsmän
Personerna som står bakom spridandet av datorvirus har på senare år ändrat karaktär. Från att ha varit duktiga programmerare som vill testa sina kunskaper och se hur snabbt deras harmlösa program kan spridas över världens datorer så är det nu till stor del organiserade ligor som tjänar pengar på virusspridningen. Vissa datorvirus öppnar i samband med infektering tjänster på de drabbade datorerna vilket gör att de fungerar som en knytpunkt och fjärrstyrd datorslav i vid överbelastningsattacker. Se botnet.
Några kända datorvirus
Idag har flera stora antivirus leverantörer rapporterat in mer än 300000 kända antivirus några av de mer kända är dessa är, Elk Cloner (Sägs vara det första datorviruset.) 1982, (c)Brain (Sägs vara det första datorviruset för PC.) 1986, Michelangelo 1992, CIH (Sv. Tjernobyl) 1998, Melissa 1999, Love letter 2000, Nimda 2001.
Spionprogram
Spionprogram (eng. spyware) är program som oftast följer med mindre pålitliga program och ingår i kategorin malware. Dessa program ser på ytan ut att var nyttiga och/eller roliga, de distribueras oftast som gratisprogram (eng. freeware). Men inbyggt finns funktioner för att snoka i användarens dator, antingen enbart för att till exempel rapportera användarens surfvanor på Internet för upprättande av statistik vars syfte ofta är direktreklam (vilket kan uppfattas som en kränkning av den personliga integriteten). Även mer illasinnade ändamål, som att snappa upp till exempelvis inloggningsuppgifter, kontonummer och kreditkortsnummer som sedan skickas till upphovsmakaren eller annan intresserad.
Även tracking cookies går ibland under benämningen spionprogram, trots att de inte handlar om programvara. Istället handlar det om textfiler med information om vilka internetsidor som användaren besökt. Företag kan använda sig av tracking cookies för att kartlägga surfvanor hos enskilda användare.
Man kan skydda sig genom att använda en brandvägg på sin dator. Dessa ger dock inte något fullständigt skydd och bör därför kombineras med program som förhindrar många spionprogram.
Annonsprogram
Annonsprogram (eng. adware) är samlingsnamnet på program som mot att användaren får använda programmet visar reklam på datorn. Det är inte alltid uppenbart för användaren att programmet är adware, utan oönskade applikationer kan installeras (dolt) i samband med att man installerar det önskade programmet.
I samband med utvecklingen av adwareprogrammen så tas liten hänsyn till kompatibilitet med andra program. Så förutom irritationen användaren av datorn känner för den extra reklamen som dyker upp så kan datorn bete sig konstigt och kännas seg.
Internetmask
Internetmask (eng. worm) är en form av omformaterings datorprogram som själv sprider sig från dator till dator över Internet, utan att behöva hjälp från någon oförsiktig användare. Detta är vad som skiljer en mask från ett datorvirus. Maskar är därför oftast beroende av någon form av säkerhetshål för att kunna spridas.
Många maskar gör inget annat än att sprida sig själva, men har i princip full kontroll över den infekterade datorn. Bara genom sin spridning kan de dock orsaka stor skada och höga kostnader. Ibland har maskar använts för att utföra överbelastningsattacker mot stora webbplatser från infekterade datorer.
Den första Internetmasken var den så kallade Morrismasken, som spreds den 2 november 1988 några andra kända internetmaskar är Code Red, Blaster och Mydoom.
Trojansk häst
En trojansk häst eller trojan är ett datorprogram som utger sig för att vara till nytta, men som orsakar skada när det lurat en användare att installera det. Det kan vara frågan om ett program skrivet för ändamålet eller en modifierad version av ett annat program.
Trojanska hästar kan spridas t.ex. via e-post och suspekta webbsidor eller så att ett legitimt program byts ut mot den modifierade versionen hos en distributör i samband med dataintrång – eller så att spridaren själv uppträder som distributör.
Funktion
Termen syftar på myten om den trojanska hästen och alltså på det att programmet körs eller installeras frivilligt i god tro. Programmets oönskade funktion kan vara vad som helst, men vanliga funktioner är en bakdörr, som tillåter distributören att logga in på datorn eller ta kontroll över den (se också botnet) spionprogram, som följer med och rapporterar om användarens aktiviteter eller samlar användarnamn och lösenord skräppost- eller fildelningsprogram spridning, t.ex. så att den trojanska hästen skickas med e-post till adresser programmet hittar på datorn selektiv förstörelse av filer på datorn, t.ex. så att virusskyddet helt eller delvis slås ut eller så att programmet förstör filer som anses olämpliga
Skydd mot trojanska hästar
Eftersom en trojansk häst aktiveras genom att en datoranvändare eller administrator installerar eller kör programmet kan man undvika trojanska hästar genom att aldrig köra programkod som härstammar från eller kan ha kommit via en icke betrodd källa. Man kan också välja operativsystem, e-postprogram och webbläsare som gör det lätt att skilja mellan att öppna en fil och att köra den och se till att programmen inte är inställda så att de kör kod utan explicit tillåtelse; många trojanska hästar utger sig för att vara ofarliga dokument medan de i själva verket är datorprogram.
Vem man skall lita på som ursprung eller distributör till datorprogram är en avvägningsfråga. Stora företag har distribuerat spionprogram och t.o.m. direkt skadlig programkod som Sonys rootkit tillsammans med legitima produkter. Som tumregel kan man säga att åtminstone program man får via e-post eller vars ursprung är okänt alltid skall betraktas som suspekta. Om man kan lita på att ursprunget är det som det utger sig vara är man någorlunda trygg, då få vill distribuera skadlig kod i eget namn.
Program som laddats ner med fildelningsprogram är problematiska, då man sällan vet via vem man fått programmet. Om man känner till ursprunget eller någon som har en ursprunglig version av programmet kan man använda kryptografiska kontrollsummor (t.ex. MD5) för att försäkra sig om att programmet inte har modifierats. Programfiler kan också kontrolleras med antivirusprogram, som åtminstone avslöjar litet äldre allmänt spridd skadlig kod, förutsatt att virusprogrammet uppdaterats tillräckligt nyligen.
Eftersom ens e-postprogram kan lura en att köra skadlig kod i tron att det är frågan om vanliga textdokument kan det vara nyttigt att kontrollera e-posten med något antivirusprogram. Uppdatering av e-postprogram och webbläsare hjälper i de fall luckor i dessa hjälper den trojanska hästen att dölja sin rätta natur (och mot maskar som utnyttjar luckor för att sprida sig automatiskt).
Spökprogram
Spökprogram (eng. Rootkits) är program som döljer saker för användaren. Ett rootkit kan dölja allt från filer och registernycklar till processer och trådar. Att få reda på om en dator blivit infekterad med ett rootkit är oftast omöjligt, eftersom rootkittet gömmer sig själv för alla de vanliga antivirusprogrammen, likväl som från användaren.
På senare tid har rootkits blivit väldigt uppmärksammande i media och det mest kända fallet i nuläget var när Sonys Music-cd med kopieringsskyddet Extended Copy Protection från First 4 Internet innehöll en rootkit som var mycket svår att kunna detektera på en drabbad dator.
Tangentläsare
Tangentläsare (eng. Keylogger) menas en datorprogramvara eller hårdvara med syfte att registrera (logga) tangenttryckningar på en dator. Syftet är ofta att stjäla viktig information, som till exempel lösenord, av datoranvändare. Keyloggers installeras oftast på en dator med hjälp av en fjärrstyrd trojansk häst.
Logisk bomb
Logisk bomb är en typ av datorvirus som utlöses vid särskilda tillfällen, antingen vid en bestämd tidpunkt, eller då en bestämd omständighet inträffar. En logisk bomb ligger passiv tills villkoren för att den ska "explodera" uppfylls. En logisk bomb kan vara en trojansk häst och ett av syftet med en logisk bomb kan vara att förstör innehållet på datorn eller stör nättrafik vid en förprogrammerad tidpunkt. Ett annat syfte kan vara att förändra webbläsarens funktion så att förbindelser till banken kapas och pengar betalas in på konton kontrollerade av dem som står bakom bomben.
|
