Hva betyr skadevare?
Ordet "skadevare" er en forkortelse av "skadelig programvare". Skadevare er inntrengende programvare som er utviklet for å forårsake skade på datamaskiner og datamaskinsystemer. Som kontrast kalles programvare som forårsaker utilsiktet skade vanligvis en programvarefeil.
Noen ganger spør folk om forskjellen på et virus og skadevare. Forskjellen er at skadevare er et sekkebegrep for en serie nettrusler, inkludert virus, spionprogramvare, annonseprogram, løsepengevirus og andre typer skadevare. Et datavirus er ganske enkelt én type skadevare.
Skadevare kan føres inn i et virus gjennom phishing, skadelige vedlegg, skadelige nedlastinger, sosial manipulering eller en USB-brikke. I denne oversikten ser vi på vanlige typer skadevare.
Typer skadevare
Det er viktig å forstå de ulike typene angrep med skadevare for å beskytte seg. Noen kategorier skadevare er godt kjent (iallfall ved navn), noen er mindre kjent:
Annonseprogram
Annonseprogram, viser uønsket og noen ganger skadelig annonsering på en dataskjerm eller mobilenhet, omdirigerer søkeresultater til annonsenettsteder og innhenter brukerdata som kan selges til annonsører uten brukerens samtykke. Ikke alle annonseprogrammer er skadevare, noen er lovlige og trygge å bruke.
Brukere kan ofte påvirke hyppigheten av skadevare eller hva slags nedlastinger de tillater ved å behandle pop-up-kontroller og preferanser i nettleserne sine eller med en annonseblokkerer.
Eksempler på annonseprogrammer:
- Fireball– Fireball havnet i overskriftene i 2017 da et israelsk programvareselskap oppdaget at 250 millioner datamaskiner og en femtedel av selskapsnettverk over hele verden var infisert av det. Når Fireball rammer datamaskinen din, tar den over nettleseren din. Den forandrer hjemmesiden din til en falsk motor – Trotus – og setter påtrengende annonser inn på alle nettsteder du besøker. Det hindrer også at du endrer nettleserinnstillingene dine.
- Appearch – Appearch er et annet vanlig annonseprogram som fungerer som nettleser-kidnapper. Det er vanligvis koblet sammen med annen gratis programvare og setter så mange annonser inn i nettleseren at det blir vanskelig å surfe. Når du prøver å gå inn på et nettsted, føres du til Appearch.info istedenfor. Klarer du å åpne et nettsted, forvandler Appearch tilfeldige tekstblokker til lenker, slik at når du velger teksten, inviterer et pop-up-vindu deg til å laste ned programvareoppdateringer.
Spionvare
Spionvare er en type skadevare som skjuler seg på enheten din, overvåker aktivitet og stjeler sensitiv informasjon som økonomiske data, kontoinformasjon, innloggingsdata og mer. Spionvare kan spres ved å utnytte sårbarheter i programvaren eller settes sammen med lovlig programvare eller trojanske hester.
Eksempler på spionvare:
- CoolWebSearch – Dette programmet utnyttet svake punkter i sikkerheten til Internet Explorer for å kapre nettleseren, endre innstillingene og sende nettleserdata til utvikleren sin.
- Gator – Dette programmet er vanligvis koblet til fildelingsprogrammer som Kazaa og overvåker offerets nettsurferaktiviteter og bruker informasjonen til å gi dem ulike annonser.
Løsepengevirusangrep og skadelig krypteringsvirus
Løsepengevirus er skadevare utviklet for å stenge brukerne ute av systemet deres eller nekte adgang til data før det betales løsepenger. Krypto-skadevare er en type løsepengevirus som krypterer brukerfiler og krever betaling innen en bestemt tidsfrist, ofte med digital valuta som Bitcoin. Løsepengevirus har vært en vedvarende trussel for organisasjoner i mange bransjer i årevis. Idet stadig flere bedrifter går over til digital drift, har sannsynligheten for at de blir mål for løsepengeangrep vokst betydelig.
Eksempler på skadevare:
- Cryptolocker er en type skadevare som var framtredende i 2013 og 2014 og som datakriminelle brukte til å få tilgang til og kryptere filer på et system. Datakriminelle brukte sosial manipulering til å lure ansatte til å laste skadevaren ned på datamaskinene sine og slik skade nettverket. Når den var lastet ned, viste CryptoLocker en melding med tilbud om å dekryptere data om man betalte i kontanter eller Bitcoin innen en angitt tidsfrist. Selv om CryptoLocker nå er borte, tror man at personene bak presset rundt tre millioner dollar fra ulike organisasjoner.
- Phobos– en type løsepengevirus som forekom i 2019. Denne typen skadevare er basert på det tidligere kjente skadevarefamilien Dharma (alias CrySis).
Trojanere
En trojaner (eller trojansk hest) skjuler seg som en lovlig programvare for å lure deg å kjøre skadelig programvare på datamaskinen. Fordi den virker pålitelig, laster brukerne den ned og slipper utilsiktet skadevare inn på datamaskinene. Trojanerne er en portal. Til forskjell fra en orm, trenger de en vert for å fungere. Når en trojaner er installert på enheten, kan hackere bruke den til å slette, endre eller innhente data og bruke enheten din i et botnett, spionere på enheten din eller få adgang til nettverket ditt.
Eksempler på trojanere:
- Qbot, også kjent som "Quakbot" eller "Pinkslipbot" er en bantrojaner som har vært aktiv siden 2007 og fokusert på å stjele brukerdata og bankopplysninger. Skadevaren har utviklet seg til å omfatte nye leveringsmekanismer, kommando- og kontrollteknikker og antianalyse-funksjoner.
- TrickBot– først identifisert i 2016 – er en trojaner utviklet og drevet av sofistikerte aktører innen datakriminalitet. TrickBot ble først utviklet som en banktrojaner for å stjele økonomiske data, og har blitt til en modulær programvare i flere trinn som gir operatørene et fullt sett av redskaper til å utføre flere ulovlige dataaktiviteter.
Ormer
En av de vanligste typene skadevare, ormer, sprer seg over datanettverk ved å utnytte svake punkter i operativsystemet. En orm er et enkeltstående program som kopierer seg selv for å infisere andre datamaskiner uten at noen trenger å gjøre noe. Siden de kan spres fort, brukes ormer ofte til å kjøre en last – en kode utviklet for å skade et system. Laster kan slette filer på et vertssystem, kryptere data for et løsepengeangrep, stjele informasjon, slette filer og opprette botnett.
Eksempel på en orm:
- SQL Slammer var en kjent dataorm som ikke brukte tradisjonelle spredningsmetoder. I stedet genererte det tilfeldige IP-adresser, sendte seg ut til dem og lette etter dem som ikke var beskyttet av antivirus-programmer. Like etter at det rammet i 2003, førte det til mer enn 75 000 infiserte datamaskiner som ble involvert i DDoS-angrep på flere viktige nettsteder. Selv om relevante botemidler har vært tilgjengelig i mange år, kom det en ny bølge med SQL Slammer i 2016 og 2017.
Virus
Et virus er et stykke kode som trenger inn i et program og kjøres når programmet brukes. Virus i et nettverk kan brukes til å stjele sensitive data, starte DDoS-angrep eller utføre løsepengeangrep. Virus spres vanligvis via infiserte nettsteder, fildeling eller e-postvedlegg og er inaktive til den infiserte vertsfilen eller programmet aktiveres. Når det skjer, kan viruset kopiere seg selv og spre seg gjennom systemene dine.
Viruseksempel:
- Stuxnet – Stuxnet dukket opp i 2010, og mange trodde det hadde blitt utviklet av amerikanske og israelske myndigheter for å forstyrre Irans atomprogram. Det spres med en USB-brikke, rettet seg mot Siemens' industrielle kontrollsystemer og fikk sentrifuger til å svikte eller selvødelegges i rekordfart. Man tror at Stuxnet infiserte over 20 000 datamaskiner og ødela over en femtedel av Irans atomsentrifuger – noe som satte programmet tilbake mange år.
Tastaturloggere
En tastaturlogger er en type spionvare som overvåker brukeraktivitet. Tastaturloggere kan brukes til lovlige formål – for eksempel familier som bruker dem til å holde rede på barnas nettaktiviteter eller organisasjoner som brukes dem å overvåke ansatteaktivitet. Men når de installeres for å skade, kan dataloggere brukes til å stjele passorddata, bankinformasjon og annen sensitiv informasjon. Dataloggere kan også føres inn i et system gjennom phishing, sosial manipulering eller skadelige nedlastinger.
Eksempel på tastaturlogger:
- I 2017 ble en student på Universitetet i Iowa arrestert etter å ha installert dataloggere på personaldatamaskiner for å stjele innloggingsakkreditiver og endre karakterer. Studenten ble funnet skyldig og dømt til fire måneders fengsel.
Boter og botnett
En bot er en datamaskin som har blitt infisert av programvare slik at den kan fjernkontrolleres av en hacker. Boten – av og til kalt zombiedatamaskin – kan så brukes til å starte flere angrep eller blir del av en samling boter kalt et botnett. Botnet kan omfatte millioner av enheter mens de spres uoppdaget. Botnet hjelper hackere med mange skadelige aktiviteter, inkludert DDoS-angrep, det å sende spam og phishing-meldinger og spre andre typer skadevare.
Eksempler på botnett:
- Andromeda – Botnettet Andromeda ble forbundet med 80 ulike skadevarefamilier. Det ble så stort at det på ett tidspunkt infiserte en million nye maskiner i måneden, og spredte seg via sosiale medier, instant messaging, spam-e-post, exploit kits og mer. Virksomheten ble avslørt og stoppet av FBI, Europols senter for europeisk datakriminalitet og andre i 2017 – men mange PC-er blir stadig infisert.
- Mirai – I 2016 ødela et enormt DDoS-angrep mye av interntettilgangen på USAs østkyst. Angrepet, som myndighetene først trodde ble utført av en fiendtlig nasjon, ble forårsaket av Mirai-botnettet. Mirai er en type skadevare som automatisk finner enheter i Tingenes Internett (IoT) for å infisere dem og gjøre dem til del av et botnett. Så kan denne IoT-hæren brukes til DDoS-angrep der målets servere oversvømmes av enorme mengder skadelig trafikk. Mirai skaper fortsatt problemer.
PUP-skadevare
PUP-er – "potentially unwanted programs" (potensielt uønskede programmer) – er programmer som kan omfatte annonser, verktøylinjer og pop-up-er som ikke er relatert til programvaren du lastet ned. Strengt tatt er ikke PUP-er alltid skadevare – PUP-utviklere påpeker at programmene deres lastes ned med brukernes samtykke, til forskjell fra skadevare. Men folk laster hovedsakelig ned PUP-er fordi de ikke forstår at de har samtykket til det.
PUP-er settes også sammen med mer legitim programvare. De fleste ender opp med en PUP fordi de har lastet ned et nytt program og ikke leste den lille skriften da de lastet de ned – og derfor ikke skjønte at de valgte formålsløse tilleggsprogrammer.
Eksempel på PUP:
- Mindspark – dette var en lett installerbare PUP som endte på brukernes maskiner uten at de merket nedlastingen. Mindspark kan endre innstillinger og utløse aktivitet på enheten uten brukerens kjennskap. Det er notorisk vanskelig å fjerne.
Hybrider
I dag er det meste av skadevaren en kombinasjon av ulike typer skadevare, ofte inkludert deler av trojanere og ormer og av og til et virus. Vanligvis virker skadevaren som en trojaner på sluttbrukeren, men når det kjøres, angriper det andre ofre over nettverket som en orm.
Eksempel på hybrid-skadevare:
- I 2001 lanserte en skadevareutvikler som kalte seg "Lion" et hybridskadevare – en kombinasjon av orm og rootkit. Rootkit lar hackere manipulere operativsystemefiler, mens ormer er kraftige vektorer for kodestykker som sprer seg raskt. Denne skadelige kombinasjonen skapte store problemer: den skadet mer enn 10 000 Linux-systemer. Kombinasjonen orm/rootkit ble kun utviklet for å utnytte de svake punktene i Linux-systemer.
Filløs skadevare
Filløs skadevare infiserer en datamaskin med legitime programmer. Den baserer seg ikke på filer og etterlater seg ingen avtrykk, så det er vanskelig å finne og fjerne den. Filløs skadevare dukket opp i 2017 som en mainstream angrepstype, men mange av angrepsmetodene har eksistert en stund.
Filløse infeksjoner lagres ikke på en fil eller direkte på en maskin, men går rett inn i minnet, og det skadelige minnet berører aldri harddisken. Datakriminelle har i økende grad brukt skadevare som en effektiv alternativ angrepstype, slik at de blir vanskeligere for tradisjonelle antivirus å oppdage på grunn av det lille fotavtrykket og at det ikke er filer å skanne.
Eksempler på filløs skadevare:
- Frodo, Numer og the Beast og The Dark Avenger var alle tidlige eksempler på denne typen skadevare.
Logikkbomber
Logikkbomber er en type skadevare som kun aktiveres når de utløses, f.eks. på en bestemt dato og klokkeslett eller på den 20. innloggingen på en konto. Virus og ormer inneholder ofte logikkbomber som skal levere lasten (f.eks. skadelig kode) på et forhåndsbestemt tidspunkt eller når nok en betingelse er oppfylt. Skaden forårsaket av logikkbomber varierer, fra å skifte databyte til å gjøre harddisker uleselige.
Eksempel på logikkbombe:
- I 2016 fikk en programmerer regneark til å feilfungeremed jevne mellomrom på en Siemens-avdeling. Dermed måtte de stadig ansette ham for å fikse problemet. I dette tilfellet mistenkte ingen noe til en tilfeldighet avslørte den skadelige koden.
Hvordan spres skadevare?
De vanligste spredningsmåtene for skadevare omfatter:
- E-post: Hvis e-posten din har blitt hacket, kan skadevare tvinge datamaskinen din til å sende e-poster med infiserte vedlegg eller lenker til skadelige nettsteder. Når en mottaker åpner vedlegget eller klikker på lenken, installeres skadevaren på datamaskinen, og syklusen gjentas.
- Fysiske medier: Hackere kan laste skadevare på en USB-pinne og vente på at uvitende ofre plugger dem til datamaskinene sine. Denne teknikken brukes ofte i industrispionasje.
- Pop-up-varsler: Dette omfatter falske sikkerhetsvarsler som lurer deg til å laste ned falske sikkerhetsprogrammer, som i noen tilfeller kan være skadevare.
- Svake punkter: En sikkerhetsdefekt i programvaren kan la skadevaren få uautorisert tilgang til datamaskinvare eller nettverket.
- Bakdører: En tilsiktet eller utilsiktet åpning i programvare, maskinvare, nettverk eller systemsikkerhet.
- Drive-by-nedlastinger: Utilsiktet nedlasting av programvare med eller uten sluttbrukerens kjennskap.
- Utarting av privilegier: En situasjon der en angriper får økt tilgang til en datamaskin eller nettverk og så starter et angrep med det.
- Homogenitet: Om alle systemer bruker samme operativsystemer og er koblet til samme nettverk, økes faren for at ormen spres til andre datamaskiner.
- Sammensatte trusler: Skadevarepakker som kombinerer egenskaper fra flere typer skadevare slik at de blir vanskeligere å oppdage og stoppe fordi de kan utnytte ulike sårbarheter.
Tegn på en skadevareinfeksjon
Har du sett noe av det følgende, kan du ha skadevare på enheten din:
- En datamaskin som krasjer eller fryser langsomt
- Den beryktede "dødens blå skjerm"
- Programmer som åpnes og lukkes automatisk eller endrer seg
- Mangel på lagringsplass
- Flere pop-up-vinduer, verktøylinjer og andre uønskede programmer
- E-poster og meldinger som sendes ut uten at du står bak
Beskytt deg mot skadevare med antivirus
Du beskytter deg selv best mot skadevare og mulig uønskede programmer med et omfattende antivirus-program. Kaspersky Total Security beskytter mot hackere, virus og skadevare døgnet rundt – for å beskytte dataene og enhetene dine.
Relaterte artikler: