<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=244692402885131&amp;ev=PageView&amp;noscript=1">

Hva er egentlig malware?

Netsecurity 05. mai 2021


Malware blir ofte nevnt i samtalen om cyberkriminelle og hvilke metoder de tar i bruk for å komme seg inn i systemene dine. Uttrykket malware er sammensatt av mal for malicious, altså det engelske ordet for ondsinnet, og ware som i soft- eller hardware. Det vil si at dette dreier seg noe større og mer sammensatt enn et virus.

Malware, en definisjon

Når vi snakker om malware så er det gjerne en programvare med onde intensjoner som har kommet seg inn i en maskin. Angrepet kan aktiveres for eksempel ved at en bruker trykker på en lenke i en e-post. Det trykket setter i gang en rekke destruktive funksjoner, både internt på telefonen, maskinen eller tableten som er under angrep, men også med gode muligheter for at malwaren spres videre.


Hva er vanskelig med malware?

Utfordringen med malware er at de som designer disse aggressive programmene blir stadig bedre på å lage dem slik at de fremstår legitime, noe som kan lure selv svært erfarne brukere. Dette betyr at selv om du passer på å installere maskinvare kun fra det som anses som en trygg tilbyder, er det likevel en mulighet for at malware kan snike seg inn Enkelte typer malware har kode som overstyrer sikkerhetsfunksjoner, blant annet for å få et bedre fotfeste. Er du ikke spesielt våken og oppmerksom da, skal det ikke mer enn ett trykk til før du har godtatt at programmet får tilgang til e-posten din, eller at en ekstra programvaredel skal installeres.

Ondsinnet programvare kan beskrives som uønsket programvare som er installert i systemet uten ditt samtykke. Det kan feste seg til lovlig kode og forplante seg, det kan lure seg inn i nyttige applikasjoner eller replikere seg over internett.


Ulike typer malware

I det følgende kommer en oversikt over noen av de vanligste formene for malware:

Makrovirus

Disse virusene smitter gjennom applikasjoner som Microsoft Word eller Excel. Makrovirusene knyttes til en applikasjons initialiseringssekvens. Det vil si at når programmet åpnes, utfører viruset instruksjoner som overfører kontrollen på applikasjonen. Deretter kloner eller kopierer viruset seg selv, og fester seg videre til annen kode i datasystemet.

Filinfektorer

Filinfeksjonsvirusene legger seg vanligvis til kjørbar kode, for eksempel .exe-filer. Viruset er installert når koden er lastet. En annen versjon av en filinfektor knytter seg til en fil ved å lage en virusfil med samme navn, men med en .exe-utvidelse. Så fort filen åpnes, vil viruskoden utføres, og angrepet er i gang.


System- eller boot-record-virus

Et boot sector-virus er eksempel på malware som infiserer maskinas lagringssektor, der startfilene ligger. Boot-sektoren inneholder for eksempel filene som trengs for å starte og gjenopprette operativsystem som OS og andre.

Et boot-record-virus festes til boot-sektoren på harddisker. Når systemet startes, vil det laste viruset inn i minnet, der det kan forplante seg til andre disker og datamaskiner.

Polymorfe virus

Disse virusene skjuler seg gjennom varierende krypterings- og dekrypteringssykluser. Det krypterte viruset og en tilhørende mutasjonsmotor dekrypteres først av et dekrypteringsprogram. Viruset fortsetter deretter å infisere et område med kode. Mutasjonsmotoren utvikler deretter en ny dekrypteringsrutine, og viruset krypterer mutasjonsmotoren og en kopi av viruset med en algoritme som tilsvarer den nye dekrypteringsrutinen. Den krypterte pakken med mutasjonsmotor og virus er festet til ny kode, og prosessen gjentar seg.

Slike virus er vanskelige å oppdage, men har et høyt nivå av entropi på grunn av de mange modifikasjonene som etter hvert finnes av kildekoden. Antivirus-programvare eller gratis verktøy spesiallaget for dette kan brukes for å oppdage polyforme virus.


Stealth-virus

Stealth-virus tar over systemfunksjonene for å skjule seg selv. Dette gjør det ved å kompromittere verktøy for skadelig programvare, slik at programvaren vil rapportere et infisert område som faktisk ikke er infisert. Dermed sendes makinas oppmerksomhet til et område der den ikke finner noe feil, og stealth-viruset kan folde seg ut i fred og ro.

Disse virusene er i stand til å skjule enhver økning i størrelsen på en infisert fil, og kan endre filens dato og tidspunkt for siste endring. Denne manipulasjonen gjør det svært utfordrende å oppdage stealth-virusene.

Trojanere

En trojaner eller en trojansk hest er et program som gjemmer seg i et nyttig program, og som vanligvis har en ondsinnet funksjon. En stor forskjell mellom virus og trojaner er at trojanere ikke kloner eller kopierer seg selv.

I tillegg til å starte angrep på et system, kan en trojaner etablere en bakdør som kan benyttes av angripere. For eksempel kan en trojaner programmeres til å åpne en høyt nummerert port, slik at hackeren kan bruke den til å lytte og deretter utføre et angrep.

Logiske bomber

En logisk bombe er en type ondsinnet programvare som er vedlagt et program, og som utløses av en bestemt forekomst. Den utløsende faktoren kan for eksempel være en helt logisk tilstand, eller noe så enkelt som en bestemt dato og klokkeslett.


Ormer

Ormer skiller seg fra virus ved at de ikke knytter seg til en vertsfil, men derimot er selvforsynte programmer som sprer seg over nettverk og datamaskiner. Ormer spres vanligvis gjennom e-post-vedlegg. Ormeprogrammet aktiveres når vedlegget åpnes.

En typisk ormeutnyttelse (worm infection) innebærer at ormen sender en kopi av seg selv til alle kontaktene i en infisert datas e-postadresse.

Droppers

En dropper er et program som brukes til å installere virus på datamaskiner. I mange tilfeller er droppers ikke smittet med ondsinnet kode, og kan derfor ikke oppdages av virusskanningsprogramvare. En dropper kan også koble seg til internett og laste ned oppdateringer til virusprogramvare som er bosatt på et kompromittert system.

Ransomware

Ransomware er en type malware som blokkerer tilgangen til offerets data og truer med å publisere eller slette det, med mindre en løsepengesum betales.

Tradisjonell ransomware har utviklet seg til å bli mer "ransomware as a service" de siste årene, hvor angripere manuelt tar seg inn i systemer ved en kombinasjon av teknikker og malware, for å så utløse ransomware når de har oppnådd nok privileger.

Adware

Adware er et program som brukes av bedrifter til markedsføringsformål. I praksis foregår dette ved at annonsebannere vises når et program kjører. Dermed er det lett å tro det er uskyldig reklame som dukker opp.

Adware kan automatisk lastes ned til systemet ditt mens du surfer på et nettsted, og kan vises via popup-vinduer eller via en linje som vises automatisk på skjermen.

Spyware

Spyware er en type program som er installert for å samle informasjon om brukere, datamaskinene eller vanene deres. Den sporer alt du gjør, uten at du vet om det, og sender dataene til en ekstern bruker.

Spyware kan også laste ned og installere andre ondsinnede programmer fra internett. Ofte fungerer spyware som en adware, og installeres uten din viten, for å utføre andre funksjoner, som et call-home til en angriper.

 

New call-to-action



NO|EN