Hem

Nyheter

Produkter och tjänster

Virus och säkerhet

Support

Ladda hem

Partner

Köp

Välj land

Välj produkt

Virus och säkerhet » Säkerhetsartiklar » Articles previous years » Virus och andra skadliga program – en beskrivning

Virus och andra skadliga program – en beskrivning

Lägg till Mina Norman Bokmärken

Här beskrivs olika typer av virus och andra skadliga programvaror som du som datoranvändare kan utsättas för. Här definieras och diskuteras de olika hoten och du hittar även rekommendationer om hur du undviker att smittas.

1. Definition av ett virus

I definitionen för vad ett datavirus är fastställs att du inte är infekterad även om du har en fil med ett virus på din hårddisk. Du infekteras först när du öppnar filen eller dokumentet och viruset sprider sig.

Ett virus definieras enligt följande kriterier:

Det har förmågan att kopiera sig självt. Kopieringen kan ske på olika sätt, beroende på typ av virus. Dessa beskrivs senare i dokumentet.
Ett virus behöver en värd för att kunna sprida sig. En sådan värd kan vara en fil på en server/arbetsstation/diskett, ett dokument, en Master Boot Record eller en System Boot Record. (Master Boot Record och System Boo trecord beskrivs senare i dokumentet.)
Någon typ av aktivitet måste ske, en aktivitet som användaren inte hade för avsikt att framkalla. Detta kan vara ett meddelande, radering av filer, ändring av lagrad data eller bara kopiering. Det sistnämnda använder källor som diskutrymme, CPU tid eller nätverks resurser.

En enkel definition av ett virus skulle kunna vara denna: det kopierar sig, det inkluderar sig självt i programkoder utan tillåtelse och det kan skada den smittade datorn.

Virusinfektioner sker inte ofta. När de dock inträffar måste de behandlas korrekt och snabbt. Vid misslyckade försök att ta bort virus som tros finnas på en dator kan skadan bli ännu större. Ett virus kan spridas från program till program, och från system till system, utan användarens vetskap. Man behöver inte medvetet göra något för att sprida viruset, utan bara förse det med en värd. Spridningen sköter viruset självt.

De flesta användare vet inte att de är infekterade av ett virus. Upptäckten sker ofta genom en tillfällighet, exempelvis genom att användaren märker att filer saknas, eller att datorn plötsligt beter sig konstigt. Under tiden mellan det att datorn blivit infekterad och att användaren upptäcker det, kan andra datorer hinna bli smittade, genom användning av samma disketter eller genom att filer och dokument delas. De flesta virusattacker syns inte när de sker.

Kunskap är nyckeln!

Ju tidigare infektionen upptäcks, ju snabbare kan fortsatt spridning stoppas. Det är viktigt att komma ihåg att en källa kan bestå av flera olika virus som infekterar på olika sätt. En del av bekämpningen av virus är att identifiera möjliga källor för viruset. Dessa källor kan vara fullt lagliga, såsom "shrink-wrapped" program från en distributör eller olagliga, såsom kopieringsapplikationer som är licensierade till andra användare.

Risken att bli infekterad genom lagligt köpta program - licenserade eller shareware - är mycket liten.

2. Olika typer av virus

2.1 Fil virus

Ett fil virus är bifogat till en programfil, vanligtvis en *.EXE eller *.COM fil. Det använder olika tekniker för att infektera andra programfiler. Filvirus kan även infektera *.SYS, *.DRV, *.BIN, *OVI. Och *.OVY filer.

De flesta filvirusen är resistenta, vilket gör det möjligt för viruset att styra all aktivitet och infektera andra programfiler utan att själv attackeras. Andra filvirus infekterar genom "direkt aktivitet", vilket innebär att de infekterar ett eller flera programfiler när användaren öppnar/kör filen.

Den här typen av virus kan överföras till och från alla typer av lagringsmedia (endast från CD-ROM) och spridas i ett nätverk.

Tre huvudtekniker används för att infektera filer som kan köras: överskrivning, inmatning i början och som tillägg.

Ett överskrivande virus placeras i början av ett program, över den ursprungliga programkoden, vilket resulterar i att denna förstörs. När man försöker köra programmet händer inte det som normalt ska ske, utan viruset infekterar en eller flera andra filer eller upphör och förblir resisten.
Virus som matar in sig själva i början av ett program, lämnar det ursprungliga programmet intakt. När du kör ett program infekterat med denna typ av virus, körs virusprogrammet och sedan startas originalprogrammet.
Tilläggsvirus matar in sig själva i slutet av filen. Dessutom pekar en instruction ut att viruset ligger i början av filen. Programmet körs sedan som vanligt och användaren märker inte att viruset är närvarande.

2.2 Systemvirus

Systemvirus eller boot-virus ligger ofta på disketter utan att användaren är medveten om det. När en användare startar eller startar om datorn infekterar systemviruset Master Boot sektorn (MBS) och System Boot sektorn (SBS) om den infekterade disketten sitter i diskettenheten. Du kan bara infekteras av systemvirus via diskett.

MBS: Master Boot Sector är en liten del av hårddisken som innehåller information om hur hårddisken är organiserad. Alla fysiska hårddiskar har en MBS. Denna inkluderar ett program som läser delningstabellen och tolkar informationen för att finna System Boot Sectorn. De flesta virus infekterar MBS.
SBS: System Boot Sectorn är en del i hårddisken som innehåller flera typer av data, inkluderande ett program som hittar och kör operativsystemet.
Avläsandet av dessa systemområden är en del av startup-processen på alla IBM-kompatibla datorer. Alltså är inte systemvirus beroende av operativsystem, vilket gör spridningen lättare genom disketter, dock inte genom nätverk.

2.2.1 Startprocessen

För att förstå hur ett systemvirus verkar bör du vara medveten om hur boot-processen på en PC fungerar. BIOS (Basic Input/Output System), hanterar boot-processen som startar när PC’n sätts på. Nästa process kallas POST (Power On Self Test) vilken försäkrar att datorn fungerar på rätt sätt. En av POST-funktionerna som de flesta användare är bekant med är kontrollen av hur mycket RAM-minne som finns tillgängligt. Avslutningsvis kör POST startup-processsen. Först kontrolleras om det finns någon diskett i diskettenheten. Om så är fallet avläses SBS på disketten, och PC’n försöker starta från den. Om det inte är en startdiskett visas meddelandet:

Invalid system disk (ogiltig system disk)
Insert another disk and press any key (Sätt i en ny disk och tryck på valfri tangent)

Vanligtvis finns det ingen diskett i diskettenheten. I detta fall avläses MBR på hårddisken före SBS på hårddisken. Slutligen startas operativsystemet. Denna process är densamma oberoende av om operativsystemet är DOS/Win 3.1, Windows 95/98, Windows NT, eller OS/2. Olikheterna dyker upp då operativsystemet laddas.

2.2.2 Kontroll av systemvirus

Ett enkelt sätt att kontrollera om delar av systemet är smittat är att använda sig av kommandot “CHKDSK". Detta kommando visar vanligtvis "655.360 total bytes memory". Om talet är mindre kan det vara en indikation på att det finns virus i minnet. Observera dock att ett minskat DOS-minne kan ha naturliga orsaker.

2.3 Droppervirus

En “dropper" är ett program som skapats eller modifierats till att “installera" ett virus på den drabbade datorn. Droppern är som ett kuvert i vilket viruset ligger. När man smittas första gången installeras viruset på datorn. Det är viruset självt som sprider sig, inte droppern. Viruset i droppern kan vara vilken typ av virus som helst.
Droppern kan ha ett namn såsom Readme.exe (användaren blir nyfiken och öppnar filen), eller så kan det vara överskrivet på Command.com och sedan aktiveras när detta program körs. Viruskoden kan vara programmerad på ett sådant sätt att en virusscanner inte hittar det. De flesta upptäcks dock.

En dropper är i själva verket en Trojansk häst som har för avsikt att installera ett virus. Se "Trojansk häst."

2.4 Companionvirus

Den här typen av virus söker efter *.EXE filer för att skapa en *.COM kopia att placera viruset i. Anledningen till detta är att *.COM filer körs innan *.EXE filer. Programmet körs som vanligt och allting verkar normalt i användarens ögon.

2.5 Multi partity virus

Ett Multi partity-virus är en kombination av olika typer av virus. Dessa kan infektera startområden och exekveringsfiler samt att de kan infektera genom nätverk.

3. Makrovirus

Makrovirus har blivit ett växande problem för datoranvändare. Då användningen av Internet och e-post har ökat - och delandet av resurser blivit vanligare - är risken att infekteras högre än någonsin. Nedan följer en översiktlig beskrivning av Makrovirus och skadorna de kan orsaka i en dator.

3.1 Vad infekterar makro virus?

Ett makrovirus kan inkluderas i alla filer som använder ett makro språk, exempelvis dokument från Word, Excel, Access och WordPro. Enligt definitionen infekteras man inte förrän dokumentet öppnas. Viruset sprider sig från ett dokument till ett annat och kan också överföras mellan olika dokument genom OLE2.

3.1.1. OLE2

Datafiler som skapats med Microsoft-applikationer lagras i så kallade OLE2 filer. OLE (Object Linking and Embedding) är ett sätt att lagra olika länkar i en fil, och på det sättet göra det möjligt att dela data mellan applikationer. En OLE2 fil kan ha flera olika "självständiga" länkar, t.ex. en textlänk, en bildlänk, en ljudlänk etc. - alla i samma fil.

Exempel 1: Du har ett Word-dokument med en bild i. Du kan sedan göra ändringar i bilden direkt i Word istället för att använda ett bildbehandlingsprogram. OLE2 hanterar kommunikationen mellan Word och grafikbehandlingsprogrammet, vilket är vad du egentligen använder för att göra ändringar i bilden.

Exempel 2: Du har ett Word dokument som innehåller en tabell från Excel. Du gör ändringar i tabellen i Word, medan OLE2 (i bakgrunden) tar hand om kommunikationen med Excel som gör den verkliga redigeringen.
Man kan se OLE2 som ett separat filsystem. Filen startar med en speciell signatur, en FAT (File Allocation Table) och en katalog. OLE2. DLL används för att komma in i OLE2 filer. Detta program sätts igång genom funktionsanrop från ett program. (t.ex. Word). DLL innehåller alla funktioner som behövs för att arbeta med en OLE2 fil (Add/Delete/Modify stream, Read/Write OLE2 och flera).

3.2 Hur smittar ett makrovirus mina dokument?

Vi använder Word som ett exempel. Makrovirus för Word smittar de flesta dokument på följande sätt: Makroviruset i det öppnade dokumentet tar kontroll, vanligtvis genom att använda auto-makron (d.v.s makron som körs när särskilda händelser sker, t.ex. när man öppnar (AutoOpen) och stänger (AutoClose) dokument). Automakrot kopierar sedan virusmakrot/virusmakrona till den globala template (Normal.dot.).

Template Normal.dot används när Word startas och innehåller information om teckensnitt, snabbkommandon, färger och så vidare. Makron som skapats och använts i en verksamhet kan också finnas i Normal.dot.
Om Normal.dot infekteras av virusmakrot AutoClose, körs det varje gång ett dokument stängs. Andra makrovirus infekterar andra filer och lämnar Normal.dot orört.

3.3 Makrovirus och menyval

Ett flertal virus är länkade till menyval. Resultatet blir att de körs varje gång användaren väljer en utvald del av en meny. Ett exempel är virusmakrot FileSaveAs, vilket verkar genom menyvalet File\Save As. Makroviruset kan även förflytta och gömma menyval. Exempel på sådana menyval är Tools\Macro och Tools\Customize. Att gömma eller ta bort dessa gör det svårare för användaren att kontrollera makron som finns i ett document för att möjligtvis radera dem.

3.4 Vad är “Stealth" I samband med makrovirus och vad händer om makroviruset krypteras?

Makroviruset Stealths funktion betyder att viruset tar sig in i funktioner i dokumentet som gör det svårt att se de infekterade makrona. Exempel på detta är när Tools\Macro och Tools\Customize-menyerna göms, såväl som att sätta menyvalet File\Templates ur funktion. Ett annat sätt för viruset att skydda sig är att visa dialogrutor istället för de ursprungliga/korrekta dialogrutorna.

Om du upptäcker att vissa menyval saknas eller om du ser tomma dialogrutor, kan det vara ett tecken på att du blivit smittad av ett makrovirus.

Makrovirus kan lagras krypterade. Krypterade makron är inte svåra att skanna, eftersom nyckeln för att kryptera makrot finns tillgängligt i själva filen.

4. Andra virusliknande program

4.1 Mask

En mask behöver ingen värd och klassas därför inte som ett virus trots att det uppfyller alla övriga kriterier. Mainframes? är de datortyper som oftast attackeras av maskar. En mask överförs till andra datorer genom nätverk. De orsakar överlastning i systemen genom att konstant sprida sig genom nätverk.

4.2 Trojansk häst

En trojansk häst sprider sig inte och är alltså inget virus. Den infekterar datorer genom filer som ser ofarliga ut för den naive användaren. En trojan "låtsas" vara någonting spännande eller obetydligt, när den i själva verket kan vara skadlig. (T.ex. överskriver FAT eller formaterar hårddisken).

5 Ett virus karaktärsdrag.

5.1 Polymorfism (månggestaltade) karaktärsdrag

Temen polymorfism används för virus som har flera olika “förklädnader", d.v.s. ändras från en smittotillfälle till en annat. Macro, fil- och systemvirus kan alla vara polymorfiska.

5.2 STEALTH karaktärsdrag

Ett stealth-virus är utformat för att gömma sig så att det inte går att upptäcka. Ett sätt att uppnå detta kan vara att förändra filstrukturen för att gömma den tillagda programkoden på ett sådant sätt att filstorleken inte ändras efter att filen infekterats. Ett annat sätt är att använda markörer som gör att virusskannern ser den "friska" delen och inte den smittade.

5.3 Logisk bomb eller tidsinställd bomb

Dessa är beroende av vissa kriterier som alla måste finnas närvarande för att programmet ska kunna utföra vad det avsetts för. Fram till dess är viruset gömt.

6. Hur infekteras en dator av virus?

En dator kan smittas av virus på flera olika sätt. Varje gång en applikation eller program körs finns risken att smittas.

Exempel på förstagångs situationer:

Disketter som används av utomstående som har tillgång till datorn/datorerna
Disketter som används på en infekterad PC i hemmet.
E-postbilagor.
Program som kommer från utvecklare som infekterats av virus.
Program nedladdade från Internet.
Program som utvecklats av en missnöjd anställd eller tidigare medarbetare.
Disketter som använts på en smittad dator och senare distribuerats.

7 Slutsatser och rekommendationer

Det är ingen tvekan om att datavirus är ett hot mot säkerheten av program och data. Lyckligtvis kan användare vidta vissa åtgärder för att minska de här riskerna. Några av dessa nämns nedan.

Virus utgör ett hot mot systemsäkerhet. De kan spridas oavsiktligt, och de kan spridas inom en verksamhet såväl som från en verksamhet till en annan. De kan i princip göra vad som helst som dess programmerare vill.

Risken med virus kan minskas genom att:

Ha en bra säkerhetspolicy
Informera användare om säkerhetshot - virusrelaterade sådana inräknade.
Om möjligt, isolera kritiska system från möjliga smittkällor såsom nätverk, Internet och program som inte är nödvändiga. Begränsa möjligheten att installera nya program på datorer.
Se till att nödvändiga kontrollfunktioner finns på plats. Detta inkluderar administrationen av system och viruskontroll. Man bör även försäkra sig om att virusinfektioner upptäcks och rapporteras så tidigt som möjligt, genom att skaffa sig ett viruskontroll program som uppdateras genom nya virus-definitionsfiler när de publiceras.
Göra användare uppmärksamma på de olika varningar ett virus kontrollprogram använder för att informera om möjliga virus som finns närvarande.
Vidta nödvändiga åtgärder för att begränsa spridandet av virus som upptäcks. T.ex. genom att kontrollera alla disketter som har använts på den infekterade datorn, dokument och servern/servrar.
Försäkra dig om att alla vet hur de ska handla om han/hon får en infektion på sin dator. Alla användare måste veta till vem problemet ska rapporteras. Det kan också vara lämpligt att ha ett kris-team för backup.
Se till att du kan återinstallera kritiska program och data från en backup som inte är smittad. Om en sådan backup inte existerar, lär dig hur man gör sig av med virus.
Håll utkik efter nya infektioner från virus som troddes vara borttagna.

AKTUELLA VIRUS HOT

Medium risk
15	Aug	08	AntiVirus 2008
24	Oct	07	Pidief.A
24	Jan	07	Tibs
25	Sep	06	Stration
18	Jan	06	Small.KI
12	Sep	05	Bagle.CS
17	Aug	05	Zotob.B
08	Jun	05	Mytob
17	Feb	05	MyDoom.AQ
26	Jul	04	MyDoom.L
25	Mar	04	Netsky.P
Low risk
05	Mar	07	Viking.GT
27	Jan	06	Feebs
16	Jan	05	MyDoom.AH
22	Apr	04	SDBot
30	Mar	04	Netsky.Q

Senaste publicerade virusdefinitioner

>>	2008-11-22

Säkerhetsinformation

>>	Fighting malware on two ends
>>	Ghosts from the past resurface through USB sticks

Säkerhetsnyheter och råd

>>	One critical update for Microsoft systems in November 2008
>>	Unscheduled update for Microsoft systems

Norman är ett av världens ledande företag inom IT-säkerhetsområdet. Med produkter som viruskontroll och nätverkssäkerhet spelar företaget en viktig roll i IT-industrin.