Virus, trojaner och maskar

Datorvirus har funnits i årtionden och är bland de mest mytomspunna företeelserna i it-säkerhetsvärlden. I otaliga filmer och tv-serier har de framställts som datorvärldens monster, en slags ondsinta varelser som på egen hand kan sprida sig från dator till dator och ställa till problem. Som om de hade en egen vilja.

Verkligheten är, som så ofta, lite mindre dramatisk. Men vad som stämmer är att datorvirus mycket riktigt kan ställa till med rejäl skada.

Först några ord för att undvika begreppsförvirring. Ordet datorvirus används ofta, lite slarvigt, som benämning på alla typer av skadlig kod. Det är vanligt inte minst i tidningarnas rubriker. Men faktum är att verkliga virus har försvunnit nästan helt. Istället har andra, liknande typer tagit över, till exempel trojaner och maskar. Här ska vi gå igenom hur de skiljer sig från varandra. Därför kommer vi att använda “skadlig kod” som sammanfattande benämning, en översättning av de engelska begreppen “malware” och ”malicious code”.

Olika typer – samma syfte

Man ska inte blanda ihop virus, trojaner och maskar som om de vore samma sak. Rent tekniskt skiljer de sig rejält från varandra. De sprids på olika sätt och kräver olika mycket resurser att utveckla. Däremot har de mycket gemensamt. Alla utnyttjar de säkerhetshål i din dator för att lura sig in och ta kontroll över den. Väl inne försöker de ofta göra två saker: Utnyttja din dator för att sprida sig själva vidare till andra, eller utnyttja din dator för sina egna syften. Oftast handlar det i slutändan om att tjäna eller stjäla pengar. Senare i kapitlet går vi igenom hur det går till i närmare detalj.

Här följer kortfattade beskrivningar av de tre vanligaste typerna av skadlig kod: virus, trojaner och maskar.

Virus

Att datorvirus kallas som de gör är ingen slump. De beter sig nämligen på ett sätt som påminner om virus i naturen, trots att de är skapade av programmerare.

Datorvirus “infekterar” ett program genom att hänga sig fast vid det, ungefär som naturens virus angriper ett djurs eller en människas kropp. När datorn är infekterad kan information på hårddisken raderas, avlyssnas eller ändras. Dessutom kan viruset utnyttja datorns beräkningskraft utan att användaren märker det. Många av de tidiga exemplen på virus tycktes vara skapade av personer som mest ville visa upp hur skickliga programmerare de var. Därför gjorde vissa av dem ingen skada på den infekterade datorn. Sådana virus har dock blivit mindre vanliga med tiden.

Verkliga virus är mycket komplicerade att programmera ihop. Dessutom har antivirusprogrammen blivit skickligare på att upptäcka dem. Det har fått kriminella att överge virus till förmån för de andra typerna av skadlig kod, framförallt trojaner och maskar.

Trojaner

Trojaner har fått sitt namn efter legenden om den trojanska hästen. Där gömde sig grekerna inne i en trähäst för att lura sig in i staden Troja. Trojanen lurar sig in på datorn på ett liknande sätt, ofta dolda i ett annat program eller i en fil.

Till skillnad från virus, som infekterar vanliga program, kan trojanen existera helt för sig själv. Men det som har fått kriminella att välja trojaner framför virus är framförallt en sak: De är enklare att programmera och väl så effektiva.
När en trojan har fått fäste på ens dator kan den användas för en hel del. Till exempel kan den avlyssna det du skriver på tangentbordet för att komma över dina lösenord, kontokortsnummer eller annan känslig information. Informationen som snappas upp kan skickas vidare till personen som styr trojanen – helt utan att du märker det.

En annan vanlig funktion är att en infekterad dator kan kapas och fjärrstyras. Det kallas ofta att den ingår i ett botnät (där bot är en förkortning av robot), det vill säga ett stort nätverk av kapade datorer som kontrolleras av en person eller grupp. Ett omfattande botnät är värt stora pengar. Det kan exempelvis användas för att skicka ut gigantiska mängder oönskad reklam, bedrägeriförsök via e-post, eller rikta överbelastningsattacker mot webbplatser. En sådan går ut på att mängder med infekterade datorer på kommando börjar skicka skräpinformation mot en webbplats, tills den inte klarar av mer och slutar fungera. Tänk själv vilken makt det skulle innebära om man kunde få tiotusentals datorer att utföra nästan vilken handling som helst på kommando.

Trojaner brukar ha fantasifulla namn och benämningar, Haxdoor eller Zeus för att ta två vanliga exempel. Namnen har antingen bestämts av trojanens skapare, eller kommer från antivirusföretaget som upptäckte dem.

Maskar

Till skillnad från virus är maskar fristående program som inte behöver infektera en viss fil för att infektera en dator. Namnet kom- mer från dess förmåga att sprida sig själv – man brukar säga att masken kryper sig fram mot nya datorer att ta kontroll över.

Olika maskar tar sig fram på olika sätt. Vissa kan kopiera sig över ett nätverk, andra lägger sig på usb-minnen som flyttas mellan datorer och en tredje typ sprider sig genom att själv börja skicka e-postmeddelanden från den dator den har tagit över.

När en mask har infekterat en dator kan den göra ungefär samma skada som en trojan. Men genom åren har det också dykt upp maskar utan tydligt syfte – allt de verkar göra är att sprida sig vidare och ta över fler datorer. Ändå har de ställt till rejäl skada eftersom de sprider sig med sådan fart att de tynger nätverk och över- belastar e-postservrar.

Vad kan de ställa till med?

En dator som har infekterats av en trojan, en mask eller ett virus fortsätter ofta fung- era som om ingenting hade hänt. Möjligtvis går den lite långsammare än tidigare eftersom datorns prestanda och uppkoppling till nätet används till annat än vad du sysslar med. Så vad är då problemet?

En hel del, och inte bara för dig själv. Vi nämnde tidigare att tangentbordet kan avlyssnas. Det är något av en standardfunktion i moderna trojaner, och den kan anpassas för speciella syften. Till exempel kan den reagera när du får upp ett inloggningsformulär på skärmen. När du knappar in användarnamn och lösenord snap- pas de upp och skickas vidare till den som kontrollerar trojanen.

Mest eftertraktade är de lösenord som angriparen kan använda för att tjäna pengar, till exempel inloggning på konton som Paypal eller andra som är kopplade till ett kontokort. Även internetbanker har drabbats av den här typen av inloggning, framförallt på den tiden då engångskoder på plastbrickor (så kallade skrapkoder) användes för att logga in. I dag har bankerna börjat ta säkerheten på större allvar och det krävs mer avancerade trojaner för att stjäla pengar. Se kapitel 7: ”Så skyddar du dina pengar”, för en närmare beskrivning.

Men datorer som har kapats med trojaner används inte bara för att komma över ägarens konton och känsliga information. En angripare kan också vilja utnyttja din dator för helt andra syften. Ett är utskick av skräppost. Sådana utskick förenklas med tillgång till ett par tusen (eller ännu fler) kapade datorer, eftersom källan blir svårare att spåra.

Om du skulle drabbas av en trojan är det möjligt att du inte ens själv märker det. Men i bakgrunden pågår handlingar som du troligtvis inte vill ha något att göra med.

Hur blir du infekterad?

För att smyga in en trojan eller mask på din dator måste angriparen ta till speci- ella metoder. De kan se mycket olika ut, men har alla en sak gemensam: Antingen lurar de din dator eller så lurar de dig. Att lura din dator innebär att angriparen känner till en säkerhetslucka i till exempel Windows som hen kan utnyttja. Att lura dig är precis vad det låter som. Det kallas social ingenjörskonst och är minst lika effektivt.

Social ingenjörskonst

När du sitter vid din dator, inloggad med rätt lösenord och därmed med full tillgång till alla funktioner kan du själv ställa till en hel del skada. I sig är det helt i sin ordning – du ska ju kunna radera filer, installera program och till och med fjärrstyra din egen dator.

Men det för också med sig en fara. Om en angripare kan lura dig att utföra en handling är det som om hen satt vid tangentbordet själv. Många har begripit att det är enklare att lura personen vid datorn än att hacka själva datorn.

E-postmeddelanden med falsk avsändare är en variant av social ingenjörskonst. Ibland är de utformade för att se ut att ha en bank som avsändare. Andra gånger använder de formuleringar som angriparen förstår att mottagaren kommer att ha svårt att motstå.

Säkerhetsluckor

Även om social ingenjörskonst är effektiv så utnyttjar bedragare också rent tekniska svagheter i program och operativsystem för att plantera trojaner och föra in maskar. Inför sådana hot vilar det största ansvaret på företagen som utvecklar operativsystemen och programmen. Men som vanlig användare finns det ett par nödvändiga åtgärder som man måste vidta. Följande tre råd är en bra grund för vardaglig it-säkerhet. De kommer ursprungligen från Brian Krebs som är en välkänd skribent inom it-säkerhet.

överkursÖverkurs!

E-postmasken som blev film

Ett tidigt exempel är e-postmasken ILOVEYOU (ibland kallat Love Letter) som började sprida sig på nätet år 2000. Det spreds genom ett mejl med ämnesraden “ILOVEYOU” och en bifogad fil som såg ut att vara ett kärleksbrev. Men när man klickade på filen installerade man istället den skadliga koden. Därefter plockade masken fram ens kontaktlista i e-postprogrammet och skickade sig själv vidare till de 50 första adresserna. Med andra ord spreds ILOVEYOU från vän till vän. Inte konstigt att många gick på bluffen – det såg ju ut att vara ett kärleksbrev från någon de kände. Tiotals miljoner datorer infekterades innan masken kunde stoppas.

Exemplet är gammalt, men bedragare använder fortfarande metoder som bygger på samma princip: Locka med någonting mottagaren har svårt att stå emot (sex eller pengar, ofta i form av lotterivinster är två favoriter) och lägg till en uppmaning att klicka på en fil eller besöka en webbadress.

Just masken ILOVEYOU har gått till historien även av andra anledningar. År 2011 förevigades historien om den i den romantiska thrillern “Subject: I love you”.

E-post är inte det enda sättet att sprida skadlig kod. Samma trick har börjat användas på sociala medier i takt med att användarna har flyttat dit. Förbluffande ofta använder angriparna till och med telefonen. En bedrägerimetod går ut på att någon ringer upp och utger sig för att vara supportpersonal, ofta från Microsoft. Därefter lotsas användaren genom åtgärder på datorn som i själva verket innebär att hen lämnar ifrån sig känslig information som inloggnings- och bankuppgifter.

Det är svårt att helt skydda sig från social ingenjörskonst. Då och då måste man trots allt lita på en avsändare. Men du kommer en bit på vägen med två grundregler.

  • För det första – om det låter för bra för att vara sant så är det förmodligen så. Nej, du har inte vunnit stora pengar på ett lotteri du inte har deltagit i.
  • För det andra – seriösa företag använder aldrig e-post för att sprida uppdateringar till din dator. Dubbelkolla med källan, läs på den officiella hemsidan eller ring och fråga om du är osäker. Du kan också använda Google för att söka på formuleringar i ett mejl. Ofta har någon annan redan skrivit om bluffen.

Om du inte letade efter ett program, installera det inte

Surfar du runt på måfå och plötsligt får upp ett fönster som uppmanar dig att rensa din dator? Kanske ett fejkat meddelande om att du har fått virus som måste tas bort? Eller löften om bättre kvalitet på strömmad film?

I sådana lägen ska man direkt stänga fönstret utan att installera något program. Med stor sannolikhet rör det sig om en ren bluff. Programmet kommer inte utföra vad det utlovar. Det kommer kanske kräva dig på pengar och kan mycket väl installera skadlig kod på din dator, just det som programmet lovar att rensa bort.

Så tänk efter innan du installerar ett program: Letade jag efter just det här? Om inte, hur gick det till när det hamnade på min skärm?

Om du har installerat det, uppdatera det

Nya säkerhetshål upptäcks hela tiden. Det gäller både operativsystem som Windows eller Mac OS och enskilda program. Det har mjukvaruföretagen insett och därför skickar de regelbundet ut uppdateringar som täpper till luckorna, förhoppningsvis innan kriminella kan utnyttja dem.

Sådana uppdateringar är gratis och ska installeras så snart de finns tillgängliga. Visst kan det kännas tröttsamt med ständiga meddelanden om uppdateringar, men se till att omedelbart installera åtminstone de som handlar om säkerhet. Det finns gott om exempel på vad som kan hända annars. För några år sedan var pdf-filer bland de mest populära för att infektera datorer med trojaner. Det kunde ske på grund av ett säkerhetshål i Adobe Reader, programmet som många använder för att läsa pdf-filerna. Adobe fick kritik för att företaget dröjde med att släppa lagningar, men även när de fanns tillgängliga så kunde attackerna fortsätta eftersom inte alla uppdaterade.

I dag har de flesta program funktioner som automatiskt kontrollerar om det finns uppdateringar tillgängliga. Se till att aktivera den!

Om du inte behöver programmet, avinstallera det

Varje installerat program är en potentiell genväg in till din dator. Ju färre program du har installerade desto svårare blir det att ta sig in. Gör det därför till en vana att ta bort program som du bestämmer dig för att du inte behöver. Som en bonus sparar du därmed på hårddiskutrymme. Tänk på att principen inte bara ska gälla vanliga program, utan också insticksprogram (“plugins” eller “extensions” som de kallas på engelska) i webbläsare.

Hur upptäcker man att man är infekterad?

Skapare av trojaner och maskar lägger ner ofantliga resurser på att hålla sina program osynliga efter att de har infekterat en dator. Därför är det mycket svårt att upptäcka dem på egen hand som vanlig användare.

Det är här antivirusprogram kommer in i bilden. De använder ett par metoder för att upptäcka skadlig kod. Dels innehåller de en lista med “signaturer”, som kan liknas vid den skadliga kodens fingeravtryck. Genom att jämföra datorns filer med signaturerna kan man upptäcka skadlig kod, och förhoppningsvis ta bort den. Dessutom spanar den efter program som beter sig märkligt i största allmänhet, eftersom det kan vara ett tecken på infektion.

Förutom att granska filer på hårddisken brukar antivirusprogrammen blockera falska webbsidor som försöker stjäla dina uppgifter och kontrollera inkommande e-post. Därför marknadsförs de inte alltid som antivirusprogram utan som heltäckande säkerhetsprogram. Men inte desto mindre är ett av deras viktigaste syften fortfarande att upptäcka och ta bort skadlig kod.

tipsTips!

Antivirus för Mac?

De flesta antivirusprogram riktar sig till Windowsanvändare, eftersom majoriteten av all skadlig kod angriper just Windows. Men även om Mac-användare fortfarande är tryggare så har ett antal hot även mot Mac dykt upp på senare år, och det finns säkerhetsprogram med antivirusfunktioner att tillgå även där. Tänk på att även om du som använder Mac inte smittas av skadlig kod skriven för Windows, så kan du av misstag föra smittan vidare till pc-användare genom att vidarebefordra e-post med skadliga filer, bedrägliga webbadresser och så vidare.

Uppdatera, uppdatera, uppdatera

Eftersom ny skadlig kod upptäcks hela tiden är det viktigt att antivirusprogram- met hålls uppdaterat. I regel säljs de med en prenumeration för nya signaturfiler. Genom att regelbundet ladda hem nya lär sig programmet vad det ska leta efter. När programmet är inställt att hämta nya filer behöver du inte tänka mer på det, uppdateringen sker i regel automatiskt i bakgrunden.

En rad företag säljer antivirusprogram. Symantec, McAfee, Kaspersky, F-Secure och Sophos är några av de mest kända. De varierar både i pris och funktioner, så vilket som passar dig bäst är svårt att säga. Många finns i en gratis testversion som kan laddas hem och användas under en kortare tid. Testa dig gärna fram! Utöver detta så har de senaste versionerna av Windows och Mac OS X säkerhetsfunktioner som du bör ha aktiverade.

tipsVarning!

”Antivirus håller mig säker mot allt!”

  • Det finns inget hundraprocentigt skydd mot skadlig kod, inte ens för den som köper dyra säkerhetsprogram och betalar för regelbundna uppdateringar.
  • Ny skadlig kod kan spridas på nätet och ställa till med skada innan de identifieras av säkerhetsföretagen och programmen lär sig känna igen dem. Om du hör till de första att bli infekterad av ny skadlig kod finns det därför risk att din dator skadas.
  • Därför gäller det att vara försiktig med att ladda hem program och klicka på bifogade filer eller länkar i e-post om du inte är helt säker på att de kommer från en trygg avsändare. I kombination med antivirus kommer sådan försiktighet räcka långt för att hålla datorn fri från infektioner.