En computervirus er en form slags skadelig software, der som en lille pakke bliver båret rundt på en legitim applikationskode for at sprede og reproducere sig selv.
Ligesom andre typer malware implementeres en virus af cyberkriminelle for at beskadige eller tage kontrol over en computer. Dets navn kommer fra den metode, hvormed det inficerer sine mål. En biologisk virus som HIV eller influenza kan ikke reproducere sig selv; det er nødvendigt at kapre en celle for at gøre det arbejde og for at skabe kaos på den inficerede organisme i processen. På samme måde er en computervirus ikke i sig selv et selvstændigt program. Det er et kodestykke, der indsætter sig selv i et andet program. Når denne applikation kører, den udfører viruskoden, med resultater, der spænder fra det irriterende til det katastrofale.
Virus vs. malware vs. trojan vs. orm
Først lidt terminologi før vi fortsætter. Malware er en generel betegnelse for skadelig computerkode. En virus, som nævnt, er specifikt en slags malware, der inficerer andre applikationer og kun kan køre, når de kører. En orm er et malware-program, der kan køre, reproducere og sprede sig alene, og en trojansk er malware, der narrer folk til at starte det ved at forklæde sig som et nyttigt program eller dokument. Du vil nogle gange se virus brugt i flæng til at henvise til alle typer malware, men vi bruger den mere begrænsede forstand i denne artikel.
Hvad gør computervirus?
Forestil dig, at et program på din computer er blevet inficeret af en virus. (Vi vil diskutere de forskellige måder, der kan ske om et øjeblik, men for nu, lad os bare tage infektion som en given hændelse.) Hvordan gør virussen sit bestilte arbejde? Bleeping Computer giver et godt overblik over, hvordan processen fungerer. Den inficerede applikation udføres (normalt på brugerens anmodning), og viruskoden indlæses i CPU-hukommelsen, før nogen af de legitime koder udføres.
På dette tidspunkt formerer virussen sig ved at inficere andre applikationer på værtscomputeren, indsætte sin skadelige kode, hvor den kan. (En hjemmehørende virus gør dette til programmer, når de åbnes, mens en ikke-hjemmehørende virus kan inficere eksekverbare filer, selvom de ikke kører.) Boot-sector vira bruger en særlig skadelig teknik på dette stadium. De placerer deres kode i boot-sector på computerens systemdisk, hvilket sikrer, at det vil blive udført, selv før operativsystemet er fuldt indlæst, hvilket gør det umuligt at køre computeren på en “ren” måde. (Vi kommer nærmere ind på de forskellige typer computervirus lidt senere.)
Når virussen har sat sine kroge ind på din computer, kan det begynde at udføre sin payload (nyttelast), hvilket er betegnelsen for den del af viruskoden, der gør det skadelige arbejde, som dets skabere byggede det til. Det kan omfatte alle mulige grimme ting: Virus kan scanne din computers harddisk for bankoplysninger, logge dine tastetryk for at stjæle adgangskoder, gøre din computer til en zombie, der lancerer et DDoS-angreb mod hackerens fjender, eller endda kryptere dine data og kræve en bitcoin-løsesum for at gendanne adgangen. (Andre typer malware kan have lignende payload.)
Hvordan spredes computervirus?
I de tidlige dage før internettet spredte vira sig ofte fra computer til computer via inficerede disketter. SCA-virussen spredes for eksempel blandt Amiga-brugere på diske med piratkopieret software. Det var for det meste harmløst, men på et tidspunkt var så mange som 40% af Amiga-brugerne inficeret.
I dag spredes vira via internettet. I de fleste tilfælde overføres applikationer, der er blevet inficeret med viruskode, fra computer til computer ligesom enhver anden applikation. Fordi mange vira inkluderer en logisk bombe – kode, der sikrer, at virussens payload kun udføres på et bestemt tidspunkt eller under visse betingelser – brugere eller administratorer kan være uvidende om, at deres applikationer er inficeret og vil overføre eller installere dem ustraffet. Inficerede applikationer kan blive sendt via e-mail (utilsigtet eller bevidst – nogle vira kaprer faktisk en computers mail-software til at e-maile kopier af sig selv); de kunne også downloades fra et inficeret kodelager eller kompromitteret appbutik.
En ting skal bemærkes, at de alle kræver, at offeret udfører den inficerede applikation eller kode. Husk, at en virus kun kan udføre og reproducere, hvis dens værtsprogram kører! Stadig med e-mail som en almindelig malware spredningsmetode er spørgsmålet ofte: Kan jeg få en virus fra at åbne en e-mail? Svaret er, at du næsten helt sikkert ikke kan bare ved at åbne en besked; du skal downloade og udføre en vedhæftet fil, der er blevet inficeret med viruskode. Derfor er de fleste sikkerhedseksperter også insisterende på, at man skal være meget forsigtig med at åbne vedhæftede filer i e-mails, og hvorfor de fleste e-mail-klienter og webmail-tjenester som standard inkluderer virusscanningsfunktioner.
En virus kan også inficere en computer, hvis den inficerede kode kører som JavaScript inde i en webbrowser og formår at udnytte sikkerhedshuller til at inficere programmer, der er installeret lokalt. Nogle e-mail-klienter udfører HTML- og JavaScript-kode indlejret i e-mail-meddelelser, så strengt taget kan åbning af sådanne meddelelser inficere din computer med en virus. Men de fleste e-mail-klienter og webmail-tjenester har indbyggede sikkerhedsfunktioner, der forhindrer dette i at ske, så dette er ikke en infektionsvektor, der bør være den primære frygt.
Kan alle enheder få vira?
Virus skabere fokuserer deres opmærksomhed på Windows-maskiner, fordi de har en stor angrebsoverflade og bred installeret base. Men det betyder ikke, at andre brugere skal lade paraderne falde. Virus kan ramme Mac’er, iOS- og Android-enheder, Linux-maskiner, og endda IoT-gadgets. Hvis den kan køre kode, kan denne kode inficeres med en virus.
Typer af computervirus
Symantec har en god oversigt over de forskellige typer vira, du kan støde på, kategoriseret på forskellige måder. De vigtigste typer at vide om er:
- Residente vira inficerer programmer, der i øjeblikket udføres.
- Ikke-hjemmehørende vira kan derimod inficere enhver eksekverbar kode, selvom den ikke kører i øjeblikket
- Boot-sektorvirus inficerer sektoren på en computers startdisk, der læses først, så den udføres før noget andet og er svært at slippe af med
- En makrovirus inficerer makroapplikationer indlejret i Microsoft Office- eller PDF-filer. Mange mennesker, der er forsigtige med aldrig at åbne mærkelige applikationer, glemmer, at denne slags dokumenter selv kan indeholde eksekverbar kode. Lad ikke paraderne falde!
- En polymorf virus ændrer lidt sin egen kildekode, hver gang den kopierer sig selv for at undgå detektion fra antivirussoftware.
- Web scripting virus udføres i JavaScript i browseren og forsøge at inficere computeren på den måde.
Husk, at kategoriskemaer er baseret på forskellige aspekter af en viruss adfærd, og derfor kan en virus falde ind under mere end en kategori. En hjemmehørende virus kan også være polymorf.
Sådan forebygges og beskyttes mod computervirus
Antivirussoftware er det mest kendte produkt i kategorien malware-beskyttelsesprodukter. CSO har samlet en liste over de bedste antivirusprogrammer til Windows, Android, Linux og macOS, men husk på, at antivirus ikke er en alt-ende-alle-løsning. Når det kommer til mere avancerede virksomhedsnetværk, giver slutpunktssikkerhedstilbud et dybtgående forsvar mod malware. De giver ikke kun den signaturbaserede malware-detektion, men antispyware, personlig firewall, applikationskontrol og andre former for forebyggelse af værtsindtrængen. Gartner tilbyder en liste over sine topvalg i dette rum, som omfatter produkter fra Cylance, CrowdStrike og Carbon Black.
Generelt udnytter vira sårbarheder i operativsystemet eller applikationskode til at inficere systemer og fungere frit; hvis der ikke er huller at udnytte, kan infektion undgås, selvom man udfører viruskode. Til det formål holdes alle systemer patchet og opdateret, holde en fortegnelse over hardware, som man har brug for at beskytte, og udføre løbende sårbarhedsvurderinger på infrastrukturen.
Computervirus symptomer
Hvordan kan du se, om en virus er gledet forbi dit forsvar? Med nogle undtagelser er vira ikke ivrige efter at advare dig om, at de har kompromitteret din computer. Ligesom en biologisk virus ønsker at holde sin vært i live, så den kan fortsætte med at bruge den som et middel til at reproducere og sprede sig, så forsøger en computervirus også at gøre sin skade i baggrunden, mens din computer stadig halter med. Der vil dog oftest være indikationer på, at du er blevet smittet. Norton har en god liste; symptomerne omfatter:
- Usædvanlig langsom ydeevne
- Hyppige nedbrud
- Ukendte eller ukendte programmer, der starter, når du tænder computeren
- Masse-e-mails, der sendes fra din e-mail-konto
- Ændringer af din startside eller adgangskoder
Hvis du har mistanke om, at din computer er blevet inficeret, er en computervirusscanning i orden. Der er masser af gratis tjenester til at starte dig på din udforskning: Safety Detective har en oversigt over de bedste.
Fjern computervirus
Når et virus er installeret på din computer, vil processen med at fjerne det svarer til at fjerne enhver anden form for malware – men det er ikke let.
CSO har oplysninger om, hvordan du fjerner eller på anden måde gendanner fra rootkits, ransomware og cryptojacking.
Tech Radar har en god sammenfatning af gratis tilbud, som indeholder nogle velkendte navne fra antivirusverdenen sammen med nybegyndere som Malwarebytes. Det er et smart træk at altid lave sikkerhedskopier af dine filer, så man kan gendanne fra en kendt sikker tilstand i stedet for at forsøge at udrydde viruskode fra din boot record eller betale en løsesum til cyberkriminelle.
Computervirus historie
Den første ægte computervirus var Elk Cloner, udviklet i 1982 af femtenårige Richard Skrenta som en prank. Elk Cloner var en Apple II boot sektor virus, der kunne hoppe fra diskette til diskette på computere, der havde to diskettedrev (som mange havde). Hver 50. gang et inficeret spil blev startet, ville det vise et digt, der annoncerede infektionen.
Andre store vira i historien omfatter:
- Jerusalem: En DOS-virus, der lurede på computere, lanceret på en hvilken som helst fredag den 13. og slettede applikationer.
- Melissa: En masse-mailende makrovirus, der bragte den underjordiske virusscene til mainstream i 1999. Det tjente sin skaber 20 måneders fængsel.
Men det meste af den store malware, vi har hørt om i det 21. århundrede, har strengt taget været orme eller trojanske heste, ikke vira. Det betyder dog ikke, at vira ikke er derude – så vær forsigtig med, hvilken kode der udføres.
Kilde: CSOonline
Foto: Pexels