Begrepet virus brukes ofte om alle typer skadelig programkode. Mer korrekt er det å snakke om skadevare, en samlebetegnelse på kode som uten tillatelse utfører ondsinnete handlinger med brukernes systemer eller informasjon. Bak skadevaren står et bredt spekter av folk, som vandaler, svindlere, utpressere og andre kriminelle. Som oftest er det for å tjene penger ulovlig, men motivene kan være alt fra spøk og aktivisme til nett-tyveri, spionasje og andre alvorlige forbrytelser.
Skadevare
Skadevare er en sammentrekning av ordene skadelig og programvare. Som regel er den bygget opp av fire komponenter – ikke helt uten militære konnotasjoner:
- Stridshode (warhead) – metoden som infiserer et system
- Spredningsmåte (propagation) – mekanisme som sprer infeksjonen videre til andre systemer
- Kamuflasje (stealth) – teknikken som holder skadevaren skjult
- Nyttelast (payload) – det skadevaren utfører eller har som mål
Måten skadevarer spres på varierer. Datavirus krever en brukerhandling. Ormer er selvreplikerende. Trojanere benytter legitime programmer som kamuflasje. Men inndelinger kan raskt føre til overlapp og tvilstilfeller. Nyttelasten – som ofre vil oppfatte som genuint unyttig – kan være en bakdør, mens spredningsteknikken en orm. Motivene kan grovt sett inndeles i:
- Hærverk og status for opphavspersonen, noe som er typisk for script kiddies
- Aktivisme, også omtalt som hacktivisme, for å fremme oppmerksomhet rundt et standpunkt
- Økonomisk vinning i regi av organisert kriminalitet
- Spionasje, sabotasje og datatyveri finansiert av fremmede nasjoners etterretningstjenester
De som utvikler skadevare, vil ikke ønske at den skal oppdages med det samme, noe som kan stanse videre spredning og utførelse. Skadevare som driver hærverk eller er ute etter oppmerksomhet, har som regel en inkubasjonstid. Det legges mye arbeid i å gjøre skadevaren mest mulig usynlig. Derfor er det vanskelig for bruker å skjønne at hun eller han er infisert. Antivirus, som av historiske grunner ikke kalles antiskadevareprogram, kan beskytte mot mange former for skadevare, men ikke alle. Her må det sterkere lut til, som omfattende brukeropplæring og et lagdelt dybdeforsvar med overvåking og automatisering. Sikkerhet i en virksomhet er alles ansvar.
Datavirus
Et datavirus kjennetegnes ved at det automatisk sprer seg fra en maskin til en annen. Men det kreves en handling fra brukers siden for at viruset skal bli installert og replikere, som å klikke på en kobling eller et e-postvedlegg. Betegnelsen er overtatt fra medisinen fordi det i virkemåte minner om et ekte biologiske virus som har sin DNA- eller RNA-kode og infiserer en celle. Så vil det benytte denne vertscellen for videre spredning til andre celler. På samme måte er et datavirus avhengig av en vert. Det reproduserer seg selv ved å kopiere programkoden inn i utførbare filer, oppstartssektorer på disker og i Office-makroer. Spredningsmåten er:
- En infisert datafil blir kopiert til en maskin.
- Datafilen utføres.
- Viruset aktiveres og kopierer seg inn i nye vertsfiler.
- Vertsfilen kopieres til en ny maskin osv.
I løpet av kort tid kan flere tusentalls maskiner være rammet. Antivirusprogrammer gir beskyttelse så sant viruset er kjent og kan identifiseres av virusdefinisjoner. En annen metode som benyttes, er heuristisk analyse, som er i stand til å oppdage nye virus og varianter av nåværende virus, men er begrenset til velkjente operasjonsmetoder. Det gir en forholdsvis lav effekt og kan føre til et høyt antall falske positive. Best er det å kombinere antivirus med endepunktsdeteksjon og -respons (se nedenfor om Defender for Endpoint).
Løsepengevirus
Krypto-skadevare eller løsepengevirus er ondsinnete applikasjoner som skremmer eller lurer brukere til å foreta en eller annen form for handling. Oppfordringen er å betale opphavspersonene en sum i kryptovaluta for å fjerne den og dekryptere filer.
Én av de mest omtale variantene er WannaCry (Wcrypt), som dukket opp i mai 2017 og bokstavelig talt tok PCer som gissel. Angrepet spredte seg til over 150 land og infiserte mer enn 200 000 datamaskiner med Windows i løpet av få dager. Den utnyttet en sårbarhet omtalt som EnternalBlue og i flere år var kjent av det amerikanske etterretningsbyrået National Security Agency (NSA). Der valgte man imidlertid å holde kunnskapen for seg selv for å kunne utnytte den.
Meldingen er klar: Filene dine er kryptert. Det haster med å betale. Skurkenes forretningsmodell er at de som regel vil sende deg en gyldig dekrypteringsnøkkel etter at de har mottatt pengene, ellers ødelegger de for seg selv i lengden. Men det finnes andre løsninger. Søk på nettet om noen har lagt ut en nøkkel. Gode rutiner for sikkerhetskopiering og gjenoppretting er ditt beste forsvar. Angrepene kjennetegnes ved plutselige gigantiske utbrudd. Så er det over, lenge før du har virusdefinisjoner som kunne ha avverget dem. En relativt ny variant er menneske-plantede virus som følge av et innbrudd.
Filløse virus
Angrep med filløse virus øker stadig i omfang. Det er skadevare som opererer i minnet, typisk i kjernen, og ikke etterlater seg et avtrykk i form av signaturer som kan fanges opp av antivirus. Vanligvis har de hektet seg fast i helt legitime verktøy som PowerShell og Windows Management Instrumentation (WMI). Eksempler på rammeverk for filløse virus er Empire, PowerSploit, MetaSploit og CobaltStrike.
Endepunktsdeteksjon og respons (EDR) i Microsoft Defender for Endpoint klarer å utføre avanserte analyser av skriptatferd før og etter utføring for å fange opp avanserte trusler som filløse angrep og minne-angrep. EDR overvåker kontinuerlig en myriade av aktiviteter på endepunkter og sender telemetrien til skytjenesten for videre analyse, som på sin side responderer når mulig ondsinnete aktiviteter oppdages.
Trojaner
En trojaner eller trojansk hest er et tilsynelatende nyttig program som inneholder skjult ondsinnet programkode. Betegnelsen skriver seg fra beretningen om Trojakrigen i mytologisk tid. Etter å ha beleiret byen Troja i ti år bygger grekerne en hul hest av tre og tømmer og skjuler en utvalgt styrke soldater inni den og later som de seiler av sted. Trojanerne trekker hesten innenfor bymuren som et krigstrofé. Om natten kryper grekerne ut, åpner byportene, og den greske hæren strømmer inn. De ødelegger byen og vinner krigen. Trojanere kan inneholde eller laste ned spionvare, virus som sprer seg, og verktøy for fjerntilgang som åpner en bakdør for hackerne. Eksempler er Project BioNET, Back Orifice, Beast og Lost Door.
Ormer
Ormer er selvreplikerende, selvstendige programmer som kan spre seg uten brukerinteraksjon. Det er to typer ormer. Nettverksormer utnytter sårbarheter i nettverket for å utbre seg og infisere andre. Masseutsendelsesormer utnytter e-postsystemer og foretar oppslag i adressebøker for å forplante seg raskt over Internett. Ormene kan være alt fra harmløse til destruktive ved å slette alle data.
Potensielt uønskede programmer
Dette er applikasjoner som vanligvis lastes ned fra Internett som del av et annet program, så som en Torrent-klient, en musikkapp eller et gratis tegneprogram. Plutselig har du reklamevare – i verre tilfeller spionvare – på maskinen din. De kan forandre valg av søkemotor og foreta andre endringer du ikke ønsker. Antivirusprogrammer vil som regel hindre dette. Ellers kan blant annet Malwarebytes anbefales for å fjerne disse uønskede programmene og rette opp i skadene de har forårsaket.
Botnett
Betegnelsen botnett er en sammentrekning av robotic network. Det er en samling datamaskiner som uten eiernes viten deltar i et større nettverk. Botnett kan bestå av alt fra noen hundre til flere titalls millioner maskiner og styres av hackere som har fått tittelen gjetere. En maskin blir del av et botnett ved å bli infisert med skadevare som representerer nyttelasten. Bakmennene benytter så maskinene i botnettet til å utføre oppgaver som masseutsendelse av søppelpost, tjenestenektangrep, knekking av kryptering og drift av fildelingsnettverk.
I mange tilfeller utføres tjenestene mot økonomisk kompensasjon fra oppdragsgivere. Maskinenes eiere kan være fordelt over hele verden og vil ikke vite eller merke at dette foregår, men alle spor av handlingene peker mot dem. Ved distribuert tjenestenektangrep (Distributed Denial of Service el. DDoS) sender hackere ut enorme mengder forespørsler til et nettsted, som dermed blir overbelastet og ikke klarer å håndtere trafikken. Tjenestene blir utilgjengelige.
Logisk bombe
En logisk bombe er ondartet programkode som utløses etter en tidsperiode basert på en dato eller en spesifikk aktivitet. Den kan for eksempel slette alle filene dine.
Spionvare
Spionvare er programmer som registrerer brukeraktivitet og rapporterer tilbake, så som tastetrykk og nettsurfing.
Tastaturloggere
Tastaturloggere er ondsinnet applikasjoner som kan fange opp alle tastetrykk. De kan plukke opp sånt som brukernavn og passord, følsom informasjon du skriver i e-post eller arbeidsdokumenter. Dataene hentes av eller sendes til bakmennene.
Bakdører
Bakdører er applikasjoner som sikrer at angriperne får et fotfeste, åpner porter og sørger for at mer skadelig programvare installeres.
Rootkits
Rootkits er ondartet kode som installerer seg selv på kjernenivå for å unngå å bli oppdaget. Det lastes inn før operativsystemet og kan deaktivere antivirus. De kan være fryktelig vanskelig å bli kvitt. Ofte må man gå til en leverandør av antivirus for å finne spesialisert programvare, som for eksempel Kaspersky.
Rootkits kjennetegnes ved at de benytter administratortilgang for å installeres og utføre uønskede handlinger. I Unix-baserte systemer heter admin-kontoen ofte root, derav navnet. Heldigvis ser man mindre til rootkits i dag. Sikker oppstart i Windows 10 og 11 hjelper en datamaskin med å motstå angrep og infeksjoner fra skadelig programvare. UEFI, som erstatter det gammeldagse BIOS, har en liste over nøkler som identifiserer klarert maskinvare, fastvare og operativsystemets lastingskode. Det hindrer rootkits i å bli lastet inn.
Avsluttende ord
Det er ikke tegnet opp direkte lystige scenarioer. Og det omfatter bare skadevare. Angrepsmetoder, som i liten grad er berørt her, er minst like utkrøpen slue og forslagne. Samtidig er det mye du kan gjøre for å beskytte deg. Hovedtyngden av angrepene går mot Windows-baserte maskiner. Windows 10 og 11 er sikre operativsystemer, men standardinnstillingene rett ut av boksen kunne vært bedre. Du kan konfigurere en rekke mekanismer for angrepsflatereduksjon og utnyttelsesbeskyttelse som gjør deg motstandsdyktig mot tekniker som benyttes ved cyberangrep. Du bør utbedre sårbarheter i programvare og feilkonfigurasjoner og holde enhetene oppdatert.
Antivirus hjelper et stykke på vei. Bedre er en omfattende løsning for endepunktsbeskyttelse. Her kommer nå Defender for Business integrert i Microsoft 365 Business Premium. Endepunktsdeteksjon og respons (EDR) er en av kjernefunksjonene. Den overvåker det meste av det som skjer på maskinen din, og responderer når (mulig) ondsinnete aktiviteter oppdages. Hendelsene omfatter oppretting av prosesser og nettverksaktiviteter, inkludert vellykkede og mislykkede tilkoblinger. Det registreres når filer lages, slettes, endres eller omdøpes; det samles også inn informasjon om utbredelsen av en fil, ulike hasher og anvendte sertifikater. EDR overvåker pålogginger, endringer i registeret, imager og drivere som lastes inn, pluss installasjonen av tjenester.
Det hører med i oversikten at Mac-enheter med macOS er langt mindre utsatt for skadevare. Det finnes lite av det og enda mindre som er utbredt ute i det fri. Samtidig er Macer sikre fra grunnen av.
Øverste bilde er hentet fra Kaspersky, trojansk hest er fra BBC.
