Der er tusindvis af computervirusser i omløb og de er alle forskellige. Men de indeholder potentielt de samme grundlæggende funktioner: Smittemetode, Spredningsmetode, Skjulemetode og Skademetode.
Smittemetoden – eller den oprindelige indtrængning – er det man først og fremmest skal beskytte sig imod. Nu om dage er de hyppigste angrebsformer i form af vedhæftede filer i mails og skjulte funktioner på hjemmesider, men der findes flere, fx virus i interessante programmer, typisk gratis eller “gratis at prøve” programmer, som man finder på internettet, men der er også eksempler på virus i helt officielle, normalt glimrende programmer (her har den kriminelle så benyttet sig af et andet af hans værktøjer: hackning. Han har hacket sig ind på producentens system, eller på et system hos en underleverandør til producenten, og lagt sit skadelige program, så det udgives som en del af det officielle program). Du kan også blive udsat for helt åbne opfordringer på internettet til at hente og installere en virus – fx en “troværdig” besked om, at der er fundet virus på din PC: Klik her for at fjerne den. Når du så får forskellige advarsler fra Windows under installationen svarer du troskyldigt “Ja” fordi du tror, du er ved at fjerne en virus. Annoncer af den type blev faktisk vist på Jyllands Postens avishjemmesider (incl. Ekstra Bladet) for nogle år siden. Og så er der en af de mere eksotiske smittemetoder: “usbnøgle på parkeringspladsen”-metoden: Den kriminelle efterlader en inficeret USB nøgle på parkeringspladsen udenfor et firma, som han vil angribe og finderen skal så “lige se” om han kan regne ud om det er en kollega, der har tabt den. Ups: Der var et autoexecute program på USB’en og det er allerede kørt og har slettet sig selv inden brugeren får adgang til et par uskyldige dokumenter eller billeder. Samme metode har været brugt på “tomme” CD’er.
Uanset metoden, så er der ingen fil, der kan gøre nogen skade på din PC medmindre den bliver “kørt”. Virusser er derfor typisk programfiler, der kan “køres” og så laver et eller andet. Ofte skjult eller som led i et tilforladeligt program (på et tidspunkt var screensavers – pausebillede programmer – en del brugt). Visse filer kan indehold virus selv om de ikke i sig selv er et program: De indeholder informationer, som får det program (helt officielle og godkendte program, som du har i forvejen på din PC) til at udføre informationerne som så skader din PC. Fx er et Word dokument uskadeligt og kan ikke selv “køre” noget, men hvis det indeholder en makro, så vil Word (forsøge at) udføre makroen. Af samme grund ændrede Microsoft deres filnavne for en del år siden: “I gamle dage” var en .doc fil et Word dokument med eller uden makro, men siden 2003 har et Word dokument med en makro skullet hedde .docm, så det er lettere at skelne fra det almindelige .docx. Tilsvarende opdagedes det for nylig at brugertilpasningsinformationer i et Linux dokument, der blev åbnet med tekstredigeringsprogrammet vim kunne indeholde skadelig kode. Og det er også dette, der ligger bag “database injektion”: Et databaseprogram, der fx kan være offentligt tilgængelig på nettet, bliver udsat for bestemte forkerte kommandoer, så den (ved en fejl) reagerer ved at videresende noget ubehageligt kode til operativsystemet, som så kan blive inficeret.
Så ud over et opdateret antivirus program (se artikel i næste nyhedsbrev) tilrådes forsigtighed og omtanke – antivirus er en stor hjælp, men det kan ikke beskytte dig mod dig selv. Og den allerenkleste form for forsigtighed er altid at benytte en brugerkonto uden fulde rettigheder: På de fleste Linux distributioner er dette standard og på Windows kan du enkelt oprette en ekstra bruger uden administrator rettigheder og så bruger du kun dette brugernavn. Husk at gøre det, inden du har fået tilpasset mail og gemt dokumenter i dokumentmappen o.s.v. – det er nemmest på den måde.
Spredningsmetoden er ikke altid til stede i en virus, men de mere ondsindede af slagsen har mulighed for, når først en PC er blevet smittet, at sprede sig med egen kraft uden at det kræver andet end at PCen er tændt. En tidligere ret almindelig metode, var at virusprogrammet installerede en mailserver og et mailprogram, som begyndte at sende morsomheder til alle i din kontaktdatabase. Metoden var så udbredt, at TDC blokerede port 25 (mail-afsendelsesport) på alle deres internetforbindelser til private brugere. I øvrigt uden at fortælle særligt tydeligt om det, så det gav andre problemer. Sidste år så vi hvordan en Ransomware virus (WannaCrypt) brugte et program fra NSA (EternalBlue) til at sende det skadelig program automatisk videre via SMB protokollen: En inficeret PC forbundet til en filserver ville sende virus ned på filserveren, der derefter ville sende den videre til alle andre PC’er, der var forbundet til filserveren. Det lagde store dele af sundhedsvæsenet i UK ned i et par dage (altså kun deres computere – de kunne selvfølgelig stadig udlevere piller og skære i folk. Surt hvis de kom til at skære i nogen, der skulle have haft piller og omvendt).
Hvis du får mistanke om, at der sendes inficerede mails ud fra din PC til dine kontakter, så hiv internet stikket ud, hent Malwarebytes på en anden PC og få den til at skanne din PC. Eller brug en OffLine virus scanner. Automatisk udbredelse over nettet har bl.a. Sophos forsøgt at bekæmpe ved at udvikle routere med indbygget Firewall – ikke alene mod omverdenen men også mod alle andre computere på eget net.
Skjulemetoden er i dag vigtig for de fleste virusser. Da en virus mest var drengestreger (og det er længe siden) skulle den nærmest være så synlig som mulig – nu drejer det sig om, at den kan arbejde i det skjulte. En rimelig enkel metode til at skjule sig selv er at virusprogrammet omdøber sig selv hver gang PC’en startes (ofte i kombination med et program, der kan genhente/genoprette virussen, hvis du sletter den). De mere komplicerede varianter piller ved dit filsystem, så når din antivirus beder om den fysiske placering af virusprogrammet, så bliver den sendt hen til noget uskyldigt. Eller virus kan lægge sig i harddiskens bootsektor, hvor antivirus ikke tjekker (bootsektor bruges ikke når først maskinen er færdig med at starte op). Hvis du får mistanke om, at din PC sløves ned på grund af en arbejdende virus, så kan du se hvilke programmer er kører i joboversigten (Ctrl+Alt+Delete på en Windows PC), men dels så kræver det en del kendskab til, hvad der normalt skal køre (eller kontrolsøgning på internettet) og dels så er det i de fleste tilfælde Microsoft, der låner din computerkraft for at downloade og installere den nyeste version af Windows eller et andet af dine programmer. Selv joboversigten kan snydes af virusprogrammer, hvis de har særlige adgangsrettigheder: De såkaldte rootkit. Den slags kan du desværre kun finde ved at foretage en offline scanning.
Et andet aspekt af skjulemetoden er at køre det vanskeligere at spore, hvor virus kom fra. Et meget tidligt eksempel på dette var den berygtede Fredag d. 13 virus: Uanset hvornår og hvor du var blevet smittet, så gav den sig først til kende fredag d. 13, så det var vanskeligere at regne ud, hvor du havde fået slæbt en ind.
Skademetoden angriber typisk din pengepung eller din identitet. Den første virus, jeg stiftede bekendtskab med fik bogstaverne på skærmen til at falde ned og lægge sig i en bunke nederst på skærmen og i sammenligning med det, der sker nu om dage, så var det ganske uskyldigt. Det var i øvrigt på en Mac, ca i 1990. Den mest almindelige skadevirkning er ransomware: Alle dine dokumenter, regneark, billeder bliver krypteret så de kun kan læses, hvis du køber krypteringsnøglen og bruger den til at dekryptere filerne. Pris fra 3.000 kr og opad, men lad være med det: Det er bidrag til yderligere finansiering af kriminelle aktiviteter. En anden udbredt skadevirkning er en cryptominer: Programmet stjæler din computerkraft til at lede efter bitcoins (den slags kræver mange beregninger og er dermed dyrt i elforbrug, så hvorfor ikke få nogle andre til at betale) og botnet er en anden form for tyveri af computerkraft: Du får installeret et lille program, som den kriminelle kan styre fra sit Command Center og få til at lave lidt af hvert; dels får den kriminelle adgang til mere computerkraft uden at skulle betale selv og dels så bliver hans identitet skjult fordi det er din computer, der står bag et eller andet angreb. Jeg har tidligere beskrevet et eksempel.
En stribe af skadevirkninger har været kendt længe før de ovennævnte og benyttes stadig: Keylogger, der sender dine tasteanslag til en server i Politifristan (incl. passwords), Dokumenttyve, der kopierer dine dokumenter eller fx din kontaktdatabase, Trojanere, der muliggør at din PC kan fjernstyres af den kriminelle, Addware som viser annoncer på din PC, Spyware, der filmer dig med dit eget kamera og mange flere. De kriminelles fantasi og virkelyst fejler ingenting. Og desværre er der tilsyneladende så mange penge i det, at der ikke er problemer med at rekruttere nogle afsindigt dygtige programmører. Det gør helt ondt, når jeg en enkelt gang imellem forsøger at sætte mig ind i deres programmer – de er dygtige! Og så bruger de deres evner kriminelt!