© tangen.se

Exempel på virustyper:

Tillbaka till innehållsförteckningen!Bootvirus: bootsektor, FAT och partitionstabeller blir infekterade. Disketter och hårddiskar innehåller en bootsektor som läses först av allt. Bootsektorn används för att avgöra om exempelvis en diskett är en startdiskett. Enda sättet att infektera en dator med ett bootvirus är att starta datorn med en infekterad diskett i. Är det inte en startdiskett som glömts kvar i datorn dyker meddelandet "Non-system disk eller disk error" upp. Om disketten då är infekterad är skadan redan skedd! Viruset läses sedan in i minnet vid varje uppstart och sprider sig vidare till andra disketter och hårddiskar.

Tillbaka till innehållsförteckningen!Smygande bootsektor-virus: Detta virus kan vara stealthy dvs smygande. När antivirusprogrammet kollar bootsektorn så skickar stealth-viruset en bild av bootsektorn som den borde se ut (vilket den i högsta grad inte gör!).

Tillbaka till innehållsförteckningen!Programvirus:
 När ett smittat program körs aktiveras viruset och läses in i minnet. Så länge viruset finns i minnet infekteras alla programfiler som används. Det smittade programmet fungerar oftast som vanligt, men förr eller senare uppstår problem. Infekterar körbara filer (=exekverbara=program) som .exe .com .drv .dll .sys .bin .ovl .386

Tillbaka till innehållsförteckningen!Multipartite är en kombination av ovanstående. Det vill säga det infekterar både bootsektor och program!

Tillbaka till innehållsförteckningen!polymorfa virus: Vissa virus krypterar sig och ändrar karaktär för varje gång de reproducerar sig. Tanken är att antivirusprogrammet inte skall upptäcka alla olika varianter av viruset. Viruset krypterar sig självt med en variabel krypteringsnyckel. Då de alltid använder samma dekrypteringskod är de lätta att upptäcka.

Det finns en mer sofistikerad metod att få viruset att ändra karaktär: Med hjälp av "The Mutation Engine" (MtE) kan man ta vilket virus som helst, lägga till dess assemblerkällkod och länka dessa till muteringsmotorn och en slumptalsgenerator. Detta blir svårare för virus- programmet att genomskåda.

Tillbaka till innehållsförteckningen!Macrovirus: macrovirus sprids med dokument i Word. Ett macro är ett inspelat kommando som man använder ofta i ett dokument. Det är skrivet i Visual Basic. När du öppna ett smittat dokument gör viruset ändringar i Normal.dot sedan kommer alla dokument som du skapar att infekteras.

Vilken skada ett macro gör beror på vilken typ av macro det är. De kan aktiveras på olika sätt genom olika tangent- bordskombinationer eller inbyggda kommandon.

Vanliga macron: Macron som man gör själv och namnger själv får oftast unika namn och det är inte i dessa macron som macrovirus gömmer sig. De gömmer sig i första hand i System-macron och Automacron.

System macron: De aktiveras när användaren använder spara-funktionerna Arkiv/Spara, sparknappen i verktygsfältet eller Ctrl + S

Automacros är ett macro som körs när man använder en speciell typ av kommando som t.ex. AutoOpen. När man öppnar ett dokument så aktiveras även de macro som man spelat in, om inte AutoOpen funktionen är avaktiverad.

Det finns fem olika s.k. Automacros i Word:
AutoExec: När man öppnar Word /standardmall
AutoNew: När man man skapar ett nytt dokument
AutoOpen: När man man öppnar ett bef. dokument
AutoClose: När man man stänger ett dokument
AutoExit: När man man stänger Word /standardmall

Språkberoende macron: De flesta macron är språkberoende. Ett macro skrivet i den tyska versionen av Word fungerar bara där. Ett undantag är Automacron som har samma namn i alla språk-versionerna!

Tillbaka till innehållsförteckningen!Macrovirus med stealthfunktioner: Ett macrovirus kallas stealthy när det försöker gömma sig. Man kan använda Verktyg/Macro för att se vilka macron man har.

Macroviruset kan gömma denna funktion för att man inte skall kunna se vilka macron som finns. Det händer ingenting när man försöker använda den funktionern. Ibland kan det istället dyka upp en falsk dialogbox och där finns inget okänt macro listat.

Viktigt! Om man märker misstänkta beteenden när man försöker använda kommandot Verktyg/Macro ska man undvika att använda det. Det finns en chans att man vid upprepade försök triggar igång en explosion! (Detonatorn aktiverar en s.k. Payload = last.)

Tillbaka till innehållsförteckningen!Nodvirus: (peer to peer) Utnyttjar de säkerhetsluckor som finns i serverlösa Windows nätverk. NOD = knutpunkt i ett nätverk.

Tillbaka till innehållsförteckningen!Dropper: (injector) En dropper är egentligen en Trojan vars uppgift är att installera ett virus i ett system.

Tillbaka till innehållsförteckningen!Ansibomber: En ANSI-bomb är en följd av tecken, vanligen inbäddade i en textfil. Den programmerar om tangenbords-funktionerna på datorer med ANSI-drivrutiner. Det är mycket ovanligt att dagens datorer kräver en ANSI-kontroll. Men efter en omprogrammering skulle exempelvis Enter-knappen kunna betyda Format C: (=raderar hela hårddisken).

Det går att uppdatera ANSI-drivrutiner som stänger av möjligheten att programmera om tangentbordet.

Tillbaka till innehållsförteckningen!Kernelvirus: inriktar sig på speciella funktioner i de program som innehåller "kärnan" eller kerneln i ett operativsystem och drar nytta av en specifik funktion i kernelfiler. Exempel på ett kernelvirus är 3APA3A:

Tillbaka till innehållsförteckningen!Filssystem och klustervirus: Dessa virustyper modifierar startordningen på filer så att viruset laddas och körs före den efterfrågade filen. Programmet i sig ändras inte.

Tillbaka till innehållsförteckningen!Kompanjon-virus: I stället för att ändra i existerande filer, skapas ett nytt program som får filändelsen .com men med samma namn som det verkliga programmets .exe fil. Det är .com filen som är infekterad.

Tillbaka till innehållsförteckningen!Hoax: är egentligen inget virus utan ett falskt rykte om virus. Ordet hoax är engelska och betyder skämt. Men det kan göra skada genom att skrämma upp människor och kanske få dem att radera någon fil i datorn de lurats tro är ett virus men som i själva verket är en riktig och kanske viktig fil. Ofta kan man känna igen ett hoax på virusbeskrivningen, som ofta är dramatisk i överkant. Man uppmanas alltid att skicka varningen vidare till så många som möjligt.

Just nu härjar en ny, tråkig typ av hoax. Följer man anvisningarna som ryktet lurar en att följa, får hoaxen samma verkan som ett riktigt virus. De varnar för filer som ingår i Windows ordinarie filsystem, och uppmanar den "drabbade" att snarast möjligt ta bort filen, och föra varningen vidare. Tar man bort filen som påstås vara ett virus, kan datorn bli obrukbar eller åtminstone sluta fungera på ett tillfredsställande sätt.

Två hoax av den här typen som fått stor spridning är sulfnbk.exe och jdbgmgr.exe Båda dessa är filer som ingår normalt i Windows. sulfnbk.exe har med hanteringen av långa filnamn att göra, jdbgmgr.exe är en Java felsökningshanterare. Se alltså upp med falska virusvarningar för de här filerna, och ta inte bort dem från datorn!

Tillbaka till innehållsförteckningen!Maskar: Kallas även Worms. Till skillnad från virus behöver en mask inte infektera andra program. Mask är när en process i ett system startar andra processer. I en dator eller lokalt nätverk är det inga större problem, det är bara att stänga av alla datorer. I ett globalt nätverk är det svårt att bekämpa dem. Maskar har väldigt stor spridningshastighet från några minuter till några sekunder. Den sprider sig själv, oftast genom att skicka sig själv vidare med e-post.

Många maskar skickar ut dokument från offrets dator till mottagare i adressboken. Detta gör det svårare för mottagaren att förstå att mailet är farligt, det verkar som att någon skickat något, på rikigt!

Det finns även maskar, KlezH är en av dem, som inaktiverar datorns antivirusprogram och förstör dess filsystem.

Tillbaka till innehållsförteckningen!Typer av maskar:
Värddatormaskar ligger helt och hållet på den dator den körs på och använder nätverket för att kopiera sig till andra datorer. Rabbits (Kaniner) kallas maskar som avslutar sig själv efter att ha startat en kopia av sig själv på en annan dator.

Nätverksmaskar består av olika delar som arbetar på olika datorer och använder nätverket för att kommunicera. Octopuses (Bläckfiskar) har en huvuddel som dirigerar andra delar på andra datorer.

Tillbaka till innehållsförteckningen!Trojaner är ett program som utför en avsedd funktion och kan även innehålla en dold del. Med trojan menas ett program, som utger sig för att vara ett oskyldigt och nyttigt sådant, men innehåller kod som gör att det blir möjligt att ta kontroll över den drabbade datorn.

Den dolda delen kan vara ett virus, logisk bomb eller en funktion som raderar trojanen för att sopa igen spåren. Den kan söka på hårddisken efter lösenord. När den hittar något försöker den använda modemet för att sända iväg dem.

Trojaner kan man få in i sin dator tillsammans med program som man installerar. De kan också ingå i virus och även vara en komponent i en annan trojan. En illasinnad hemsidesägare kan placera trojaner hos sina besökare genom att lägga in dem i en Java applet, ett Java script, en ActiveX control eller något annat som körs på datorn när man besöker hemsidan.

Ett annat sätt att placera en trojan i en dator är de populära elektroniska gratulationskorten, elektroniska jul-, nyårs- och påskhälsningar och liknande varianter. Många av dessa innehåller små program som åstadkommer olika effekter i hälsningen. Det är lätt att gömma en trojan i all kod... Om så skulle vara fallet och mottagaren startar den trevliga hälsningen, ger han samtidigt avsändaren fri tillgång till sin dator. Alternativt släpper loss en mask eller ett virus.

Tillbaka till innehållsförteckningen!Netbus och Backorifice: Kan fjärrstyra datorer. Programmen kan säljas/presenteras som nyttoprogram, i många fall är det ju så att man VILL fjärrstyra sin(a) egna dator(er) och därför helt legitimt.

Men om programmet döljs kan det användas som en trojan. Någon som fjärrstyr din dator kan göra det på ett handfast sätt genom att exempelvis köra CD-ROM släden in och ut eller på andra sätt visa sin oönskade närvaro. Det har ju den fördelen att användaren snabbt förstår att man drabbats, värre är det om den som fjärrstyr datorn skickar lösenord och annat viktigt ut från din dator. Att någon annan styr det ingående och utgående dataflödet från ens dator kan få tråkiga konsekvenser..

Tillbaka till innehållsförteckningen!Kidnappat modem:


Om man surfar på skumma hemsidor utan att kolla så noga när man klickar bort olika pop-upfönster, reklamrutor och falska Windsowsskyltar, kan man riskera att drabbas av uppkopplingsbyte. Bland alla olika små upphoppande fönster kan det nämligen dölja sig en förfrågan om programnedladdning och beställning av en eller flera tjänster. När den ouppmärksamme klickar på fönstret för att få bort det, utan att läsa texten, godkänns avtalet, ett program laddas ned och börjar utföra sitt arbete. Detta kan ske utan att någonting märks för datorägaren.

Därför är det viktigt att hålla koll på vilket nummer modemet ringer upp! Börjar den vanliga internetuppkopplingen plötsligt tjuv-koppla ner sig och man får meddelanden av typen "Vill du koppla upp automatiskt?" Bör man neka och använda sin vanliga fjärruppkoppling (kolla modempolsnumret!) I vissa fall kan modemet börja koppla upp sig utan att man bett om det, så behåll ljudet påslaget på modemet, då märker du om den plötsligt börjar agera "på egen hand".

Att tänka på: Om modemet kopplar ner sig och man får en fråga om man vill koppla upp sig automatiskt kan detta, av misstag, nedladdade program, byta telefonnummer som kopplas upp och man riskerar att komma till dyra betalnummer och får en saftig telefonräkning!

Missbruk modem/kidnappade modem:
Dra ut telesladden från modemet så bryts kopp- lingen.


Tillbaka till innehållsförteckningen!Spionprogram:


Spionprogram kan vara en rad olika saker;
gemensamt för dem är en oönskad, inkapslad funktion som inte "annonserats ut" öppet. Spioner kan placeras i vissa program som man lockas att ladda ner eller i mail. De innehåller en dold funktion som kan vara allt från harmlösa reklamrutor som poppar upp till att kartlägga surfvanor eller annan integritetskränkande verksamhet.

Hur skyddar man sig mot spionprogram?
Ladda ner Ad-aware och/ eller Spybot! Med dessa program kan du scanna igenom datorn och alla "skumma" saker hittas och presenteras i en lista! Du markerar vilka saker du vill ta bort (eller sätta i karantän). Genom att regelbundet uppdatera anti-spionprogrammet och scanna igenom dator skyddar du dig mot att få oönskade intrång i ditt liv!

För att få ett heltäckande skydd:
Tänk på att ha ett vanligt virusskydd installerat samtidigt, som du också uppdaterar och scannar igenom datorn med, med jämna mellanrum! En brandvägg är ett måste, allra helst om du har bredbandsuppkoppling! Detta måste också uppdateras och hållas i skick!

Som tur är kan de flesta program ställas in så att uppdateringen sköts automatiskt så fort man har kontakt med internet (är uppkopplad) och man kan t.o.m. schemalägga dessa scanningar efter virus och spioner om man vill jämte det vanliga diskunderhållet! (Defragmenering etc)

Som komplettering till ovanstående skydd kan man skaffa ett filter för att sålla bort oönskade mail (spam). Skräpposten är en stor spridare av virus och annat otyg, och MailWasher m.fl. program finns för att skydda mot sådant! Virusprogram, brandväggar, antispion-program och spamfilter kan laddas ner och uppdateras gratis från nätet! Kolla länkarna på denna hemsida, CD-skivor som följer med datatidningar innehåller också ofta sådana program. Man kan också för några hundralappar köpa bra program i butiken också!

Hur avslöja och neutralisera guardpuppy och readnotify-trojanen m.fl.?

Med MailWasher eller liknande program kan man scanna igenom mailen innan man tar emot dem - som du kan ladda ner från www.mailwasher.net - kan du kolla mailen innan den hämtas hem.

Kolla misstänkta mail:
Headern i meddelandet (=dokumenthuvud som oftast inte syns) avslöjar var meddelandet kommer ifrån. Man kan avslöja att ett mail innehåller ett spionprogram, om man har POP3-konto för e-posten. Högerklicka på ett mail, välj "view complete header". Hittar man då readnotify, guardpuppy.com eller andra skumma saker kan man vara utsatt för spioneri.

Utsätts man för kränkande eller hotfulla mail är det viktigt att spara originalmailet för att kolla i headern! Därifrån kan man spåra avsändaren (i vissa fall krävs polisanmälan och hjälp av polisen för operatören skall kolla i sina loggar vem som är den skyldige). Många tror dock att de är osynliga på nätet och inser inte hur lätt det är att spåras även av en "lekman" med små medel.