Till startsidan för Jonas Webresurs

Virus & datorsäkerhet
0. Ingång
1. Lite om virus och andra sjukdomar

2. Tänk säkert!
3. Länkar

0. Ingång

Hösten 1997 var jag på en konferens som några datasäkerhetsföretag anordnade. Där berättades det att man i början av 90-talet kände till något hundratal datavirus. Sju år senare fanns det c:a 30.000 virus och man räknade med att det skapas några hundra nya varje år. Idag, 1999, är antalet kända virus uppe i c:a 40.000 och man räknar med att det tillkommer några tusen nya virus varje år. Det finns inga skäl att tro att virusen kommer att försvinna, alltså.

Därför tänkte jag skriva lite om virus och berätta lite om vad de är och hur man upptäcker dem. Jag skall också försöka ge lite anvisningar om hur man arbetar säkert vid sin dator, men jag kommer att koncentrera mig på hur man undviker virus, och säger inget om säkerhetstänkande i andra sammanhang.

Av förhoppningsvis ganska förståeliga skäl säger jag inte heller något om hur man gör egna virus.

1. Lite om virus och andra sjukdomar

I den här sektionen skall jag först berätta lite om hur man upptäcker virus, sedan lite om vilka typer av virus man känner till och dessutom lite om hur de sprids.

Hur man upptäcker virus

Ordet "virus" har en motsvarighet inom medicinen. Ett virus är något som inte syns med blotta ögat, men där man upptäcker det på att kroppen (organismen) blir sjuk. Virus kan alltså spåras efter vilka symtom de ger. Vilka är symtomen? Här är några möjliga fall:

  • Du kan inte längre öppna vissa filer eller program.
  • Datorn kraschar och går inte att starta om.
  • Diskettstationen eller CD-läsaren startar utan anledning.
  • Du får upp textmeddelanden på skärmen om att du drabbats av ett virus. Meddelanden är ofta gjorda av de som skapat viruset och kan vara hånfullt formulerade.
  • Dina utskrifter ser konstiga ut.
  • Det händer "konstiga saker" med datorn, t.ex att du får underliga felmeddelanden eller kommandon som inte fungerar som de skall.

Men vanligast är ändå att man inte märker någonting, eftersom de flesta virus är ganska harmlösa. Det gör också att de vars datorer är smittade ofta kan föra viruset vidare till många andra användare. Detta har också gett upphov till en slags "virus", som brukar kallas datamaskar (worms), som jag skall berätta lite om senare.

De flesta virus är alltså ofarliga, men ett fåtal ställer till stora problem för användaren. Därför skall man använda sig av ett bra antivirus-program och uppdatera det ofta. En infekterad dator går oftast att rädda, när antivirus-programmet körs, men inte alltid. Därför bör man se till att alltid ha säkerhetskopior på de viktigaste filerna.

Vad är ett virus?

Datorvirus har funnits nästan lika länge som det har funnits datorer. Jag hörde talas om virus redan i början av 80-talet, men virusen var ganska få på den tiden. Uttrycket "virus" är också ganska brett och används idag om en mängd olika företeelser, alltså även sådant som egentligen inte är några virus. I en bok som heter "Dataorden" (av Jerker Thorell, 1991) beskrivs virus som...

    "...olika typer av störande, förstörande eller falska program som avsiktligt läggs in i datorer eller datasystem. Virus kan ha många olika former och läggas in på många olika sätt. Ett vanligt sätt är självförökande program som växer automatiskt eller som leder till att data förstörs."

Enkelt uttryckt är ett virus alltså ett program som reproducerar sig själv när det startas. Det aktiveras normalt inte av sig självt, utan startar eftersom det ligger kopplat till ett annat program, t.ex Word, och sedan aktiveras när Word startas. Det är nämligen så att ett program ofta består av ett huvudprogram och flera mindre hjälpprogram. Plug-ins, som man använder till webläsarna är exempel på sådana. Det finns också en massa små tilläggsprogram till Word och andra vardagsprogram, som sköter rättstavning, typsnittshantering, utskrifter, filkonvertering, m.m. De här programmen startar automatiskt när man klickar på huvudprogramikonen. På samma sätt kan alltså ett virusprogram startas.

Ett virusprogram kan ligga inne i ett annat program, men kan också ligga inne i en fil. När du läser filen startas virusprogrammet, som är en uppsättning instruktioner till datorn, och så kopieras viruset till andra filer på hårddisken. Vad händer då? Jo, programmet kopierar först av allt sig själv, men kan dessutom göra andra saker, som att förstöra filer eller visa elaka textmeddelanden.

Man brukar dela in viruset efter var de lägger sig. Ett virusprogram som infekterar bootsektorn (startsektorn) på en diskett eller hårddisk och sprids när datorn startas eller när datorn läser en diskett, kallas bootvirus. Ett virus som sprider sig till datorns systemfiler (och ibland även till andra filer) och infekterar program och inställningar, kallas filvirus.

Ett virus kommer normalt in i din dator utifrån: t.ex när du läser en diskett eller när du öppnar en fil som skickats till dig med e-posten eller som laddats ner från internet. Förr var det vanligt att virusen spreds med disketter, men idag är det oftast via datornätverken, internt på företag och på internet, som virusen sprids.

Det viktiga att komma ihåg är dock att virusen oftast kommer in i datorn genom att du själv öppnar smittade program eller filer. Ett vanligt sätt idag är att skicka virusprogram som bifogade filer i e-posten. Slänger du den bifogade filen händer ingenting, men om du klickar på filen så att den startas, kan du få in ett virus i datorn, om filen är smittad.

Makrovirus

Under 90-talet har det börjat dyka upp en ny typ av virus, som kallas makrovirus. De utgör idag mer än 80% av alla virus! Vad är ett makro? Tillbaka till "Dataorden" (av Jerker Thorell, 1991) igen:

    "Makro: någonting av större omfång som ersätter flera mindre delar eller uttryck. I många program kan man bygga upp makrosatser som då ger större enheter med endast några få tangenttryckningar..."

Med ett makro kan man alltså skapa genvägar för sitt arbete. Man kan t.ex lägga in ett makro i Word, Excel och flera andra program, så att man med ett par enkla knapptryckningar formaterar ett dokument efter en viss mall, sparar det i ett visst, komprimerat format och sedan skickar det till en viss mottagare. Makrot underlättar på så vis arbetet, i synnerhet det rutinmässiga, och sparar en massa tid.

Tyvärr finns det en hel del problem förknippade med makron. De skrivs nämligen i särskilda makrospråk och dessa är idag så kraftfulla, att de lätt kan användas för att skapa elaka virus! Det är till och med så, att makrospråken i Word, Excel och andra Windows-program, kan användas för att programmera om delar av operativsystemet! Detta betyder att en Word-fil som skickas till dig kan innehålla ett makrovirus. När du försöker öppna filen i Word, läser Word makrot och viruset aktiveras. Konsekvenserna kan tyvärr vara ganska allvarliga. Själv har jag vid ett par tillfällen fått in makrovirus i datorn och då har jag inte kunnat öppna Word efteråt. Dessutom har jag fått ett stort jobb med att återställa inställningar och annat. Vid ett tillfälle blev jag tvungen att radera hårddisken.

Melissa är exempel på makrovirus som sprids via Word och Papa sprids via Excel, men det finns många, många fler.

Jag har också hört att makrovirus kan uppstå av sig själva. Till skillnad från andra virus finns det alltså ingen elak person som har tillverkat dem. Och det är ju i och för sig ganska troligt, eftersom det idag finns så fruktansvärt många makrovirus. Och det är ju naturligtvis allvarligt om sådana här "sjukdomar" kan uppstå av sig själva!

Trojanska hästar

På 1300-talet före vår tideräknings början, belägrade grekerna staden Troja i mer än tio år, innan de lyckades inta staden. Och när det skedde var det genom en välplanerad krigslist: de tillverkade en stor, ihålig trähäst, som alla soldater kröp in i. När trojanerna på morgonen upptäckte att alla fiendesoldater var borta, släpade de in hästen i staden som ett krigsbyte, vilket blev stadens undergång. Allt enligt Illiaden. Därför pratar man om att en "trojansk häst" är någonting annat än det utger sig för att vara.

I datorvärlden är trojanska hästar alltså sådana program, som på ytan ser ut att vara t.ex ett spel, men som när det startas också gör annat, t.ex raderar filer eller ändrar kataloger och inställningar. Förstörelsen kan starta efter en viss tid (kallas för en fysisk utlösningsmekanism), eller när du gör något visst på datorn, som att trycka på F7 eller skriva ett visst ord (logisk utlösningsmekanism). Det är inte alltid sådant går att upptäcka i tid, för spelet går att spela som vanligt och du märker inte att det är något fel förrän det är för sent.

Trojanska hästar kopierar alltså inte sig själva och är därför inte några virus i ordets rätta bemärkelse (även om de ibland kallas så, för enkelhetens skull). Istället för att kopiera sig själva vidare förstör de data. Vissa trojanska hästar har från början varit helt vanliga, oförargliga program, som smittats av virus och "förvandlats" till vad de är.

Du hittar mer information om trojaner på sidan "Mer om trojaner". Läs mer >

Stealth-virus och polymorfa virus

Detta är helt enkelt "smarta" virus, som försöker lura ett virusskydd på olika sätt. Ett stealth-virus undersöker om du har startat något antivirus-program och sänder då ut falska bilder av sig själv, för att lura antivirus-programmet. Polymorfa virus förändrar sitt utseende varje gång det startas och kopieras. På så sätt blir inget virus det andra likt.

Datamaskar

Datamaskar eller dataormar (computer worms) är ytterligare en sorts virus, som bara förekommer i nätverk. Masken är ett program som letar upp de andra datorerna i nätverket och kopierar sig själv dit och ger order om att dessa maskar i sin tur skall leta upp andra datorer och föröka sig. I värsta fall infekteras alla datorerna så att hela nätverket kraschar.

Virushoax

Virushoax eller "falska virus" kallar man meddelanden som varnar om virus i e-posten. Brev som varnar alla för att öppna e-post med ärenderaden "Win a Holiday" eller "Good Times" är aldrig sanna utan där består "viruset" av att alla skickar meddelandet vidare.

Kan man få ett virus på datorn när man surfar?

Teoretiskt sett är svaret jakande, eftersom både Java och Active X är tillräckligt kraftfulla för att åstadkomma det. Och eftersom både Java- och Active X-tillämpningar startas automatiskt när du besöker en sida där sådant finns, befinner du dig alltid i riskzonen.

Ännu så länge räcker det med att programmet och i värsta fall datorn startas om, när du får problem, men förmodligen kommer detta att bli mer besvärande i framtiden.

Du kan också få in ett virus via e-posten om du läser den i HTML-format. I teorin går det då nämligen att också lägga in scripts, som skapar "virusliknande" åkommor. Därför skall du alltid läsa e-posten som enbart text (plain text).

Melissa och Netbus

Den här sektionen ägnar jag åt två företeelser, som blev kända för allmänheten i och med att media skrev om dem: Melissa och Netbus. Jag är ganska kritisk till hur journalisterna behandlar nyheter om virus och datorsäkerhet. Man är ofta ute efter sensationer och överdriver gärna ett redan uppförstorat rykte. Men man säger sällan vad ett virus är och hur man skall undvika att drabbas. Kanske för att man inte själva vet?

Melissa är ett makrovirus, som började dyka upp i diskussionslistor på nätet under början av 1999. Det spreds genom en bifogad, infekterad Word-fil. I ärenderaden stod: "Viktigt meddelande från XX", där XX var en persons namn. I brevet stod sedan "Här är brevet du väntat på! Visa det inte för någon annan". Varianter av detta meddelande har antytt att filen innehåller lösenord till de vanligaste porrsajterna. Då öppnar man tydligen dokumentet utan närmare eftertanke och så smittas datorn!

Det luriga med Melissa är att virusprogrammet stjäl adresser ur adressboken i Outlook Express. Sedan skickar den automatiskt ut meddelanden till de 50 första i adressboken. Var och en av dessa personer får sedan var sin Word-fil och snart skickas en otrolig mängd bilagor runt internet. Flera företag har fått sina mailservrar överbelastade av dessa bilagor och viruset har därför mycket väl visat hur sårbara datorsystem vi har.

Melissa är alltså ett makrovirus, men många kallar det även för en trojansk häst eller datamask. Oavsett benämning hade det inte fått så stor spridning om alla drabbade hade tänkt säkert. Man kan nämligen inte få in virus i datorn direkt via e-posten, utan man måste aktivera en bifogad fil. För att undvika virus bör man alltså vara ytterst restriktiv med att öppna bifogade filer.

Netbus är en annan och betydligt mer omskriven företeelse. Skapad av en svensk kille, typiskt nog. Ett liknande och nästan lika känt program är Back Orifice, som gjorts av några amerikanska ungdomar. Programmen är en slags trojanska hästar och installeras när du kör andra, smittade program. Det ruskiga med dem är att de låter någon annan ta kontrollen över din dator - om du har en Windows-maskin vill säga. Andra operativsystem fungerar det inte på, tack och lov. Netbus och Back Orifice dök upp under 1998.

Hur fungerar de? Jo, Netbus (och Back Orifice) är ett program som tillåter att en annan användare går in och fjärrstyr datorn. Den ursprungliga tanken bakom detta är att du skall kunna sköta ett datornät från distans, för att slippa närvara rent fysiskt varje gång något behöver åtgärdas. Så fungerar många nätverk, att de kan administreras via en extern dator. Men när detta missbrukas är det naturligtvis inte lika roligt. För att någon skall kunna ta över din dator måste du för det första ha "smittats" av Netbus. Dessutom måste denne känna till ditt IP-nummer och att du är uppkopplad. Det finns funktioner i Netbus och i andra program, som gör att detta avslöjas för den som vill göra intrång.

När du förlorat kontrollen har du ingen möjlighet att återta den, förrän du drar ur sladden till telefonjacket. Men du behöver inte alltid heller förlora kontrollen, för den som tagit sig in i din dator kan ju bara snoka runt ett tag och se på när du skriver in lösenord och annat...

Jag tänker inte gå in i detalj på hur Netbus och liknande program fungerar, eftersom det finns tillräckligt mycket information på nätet. Programmen tas bort med bra antivirus-program. Man kan också gå in själv i registren och ta bort dem manuellt (något jag inte rekommenderar). Det finns också ett särskilt antiNetbus-program, Netbuster, som både kan ta bort Netbus och ta kontrollen över angriparens dator.

2. Tänk säkert!

Säkerhetstänkandet är bedrövligt hos gemene man. Det vågar jag lova efter att ha varit runt på mängder med företag och pratat med anställda. De flesta beter sig ytterst riskfyllt och laddar ner filer och spel på företagets datorer, öppnar mystiska dokument som kommit med e-posten, o.s.v. Gissningsvis kostar sådant många miljoner varje år att reparera. Men jag vill inte lägga skulden på den enskilde användaren. Ytterst få företag verkar ge sina anställda den nödvändiga datorutbildningen och inte ens cheferna själva vet alltid hur man skall tänka säkert...

Vi har en situation idag där användarna har väldigt lite kännedom om de verktyg de dagligen använder. När något blir fel tillkallas "teknikerna", men något samarbete finns sällan. Dessutom är datorsystemen och programmen idag så kraftfulla, att de är svåra att använda och få en överblick över.

Alla fel i datorn beror alltså förmodligen inte på virus. Men det gäller att vara försiktig och tänka säkert. Här är några riktlinjer som jag själv tillämpar och som har gjort att jag för det mesta har klarat mig från att bli drabbad av virus och andra sjukdomar:

  • Investera i ett bra och heltäckande antivirus-program! Uppdatera detta ofta, helst varje vecka. (Det görs normalt via nätet.) Datortidningarna brukar ha de senaste versionerna av antivirus-program på sina CD-skivor och de fungerar bra. Det finns också program att köpa. (Se vidare bland länkarna.)
  • Låt virusprogrammet söka igenom varje ny fil och enhet som kopplas till datorn. Särskilt bilagor i e-posten bör genomsökas. (Spel som kontrolleras utlöser ibland varningar trots att de inte är smittade.)
  • Ladda inte ner vad som helst från nätet. De stora filarkiven, t.ex Sunet, Hotfiles och Shareware.com, kollar regelbundet sina filer, men många mindre arkiv gör det inte.
  • Stäng av all automatik som att nerladdade filer skall packas upp direkt och kolla först av filerna i ett antivirusprogram.
  • Läs helst inte bifogade filer i e-posten. Om du måste bör du först öppna filen i ett program som inte använder makron, för att se att filen innehåller den information som utlovats. Du kan ställa in så att t.ex Word och Excel varnar om dokumentet innehåller makron, men det är ingen hundraprocentig metod. Själv använder jag e-postprogrammet Pine, som inte ens klarar av att ta emot bilagor.
  • Öppna inte e-postmeddelanden som du inte vet vad det är. Använder du Microsofts produkter, som Outlook Express, bör du vara extra försiktig. Numera kan nämligen virus aktiveras direkt om man läser ett meddelande.
  • Använd bara makron du känner väl till och vet fungerar utan oönskade konsekvenser.
  • Lita inte på någon. Inte ens bästa vännen kan garantera att en bifogad fil inte är smittad. Bilagor från okända skall du aldrig öppna innan du vet vad det är. Skicka ett svar och fråga vilket program dokumentet skapats i. Kontrollera virus och öppna i ett program som inte klarar makron.
  • När du skall skicka Word-filer bör du spara dem som "Enbart text" eller i RTF-format. Då försvinner makrona.
  • Gör regelbundet säkerhetskopior av alla viktiga filer. Även inställningsfiler för program, adresslistor, bokmärkesfiler och systemfiler kan/bör kopieras. Ta hellre med för många än för få filer.
  • Skapa en startdiskett (gäller främst Windows) med alla viktiga drivrutiner till din dator: DOS-start, CD-spelare, mus, bildskärm, så att du kan få igång Windows-CD:n. (Jag gjorde inte det första gången :-) Skrivskydda disketten. Lär dig helst också lite DOS så att du kan få igång datorn från DOS-läget!
  • Undvik att läsa e-posten som HTML-formaterad. I teorin går det nämligen att lägga in scripts, som skapar ett slags makrovirus på datorn. Jag varnade för detta redan under början av 1999 och sade att det kommer att bli ett problem i framtiden. Nu är det det. Senaste viruset som kom in den här vägen hade texten "I Love You" i ämnesraden, vilket fick många att klicka på just det...

3. Länkar

Jag har flyttat alla länkar om virus, datorsäkerhet och liknande till en särskild sida, som heter viruslinks.html >

Den här sidan är en del av Jonas Webresurs - www.jonasweb.nu - copyright © 1998-2011