Datorvirus och maskar, en introduktion till ämnet

2007-12-06 15:50 | Kategorier » Artiklar, IT-säkerhet,

I nyheterna talas det med jämna mellanrum om att olika datorsystem har slutat fungera på grund av virus- eller maskangrepp. Med denna artikel hoppas jag kunna sprida lite ljus kring hur datorvirus och maskar sprider sig och även förklara lite mer om trojaner, keyloggers och liknande skadlig programvara.

Jag kommer även att ge tips på antivirusprogram samt brandvägg som kan minska riskerna att drabbas av datorvirus eller något av de andra nämnda hoten.

Är det någon som har frågor, tycker att något är oklart eller liknande så är ni välkomna att ställa dessa antingen via kommentarsfunktionen eller via kontakt-formuläret här på hemsidan. Känner du någon i din närhet som kanske borde lära sig lite mer om ämnet? Gör dem en tjänst och tipsa dem om denna artikel

Malware

Vad är malware?

Malware är en förkortning för Malicious Software, vilket skulle kunna beskrivas som ”elak programvara”. På något sätt ställer det alltså avsiktligt till med skada eller gör annat än det utgett sig för att göra.

Några exempel på program som faller in under kategorin malware är: Virus, spyware, backdoors, trojaner, keyloggers, maskar, rootkits, samt mycket mer.

Hos IDG kan man idag läsa om hur F-secure har hittat 250 000 nya skadliga program bara i år.

Vad är det då som gör att malware kan få en kraftig spridning? Det finns många anledningar, några av dem nämns nedan.

Homogena datormiljöer

Det jag här menar med en mer homogen datormiljö är att de flesta datorer har mer eller mindre liknande konfiguration:

• Processor: x86-kompatibel
• OS: Windows
• Nätverk: TCP/IP

I samma stund som många datorer liknar varandra så är det mycket lättare att få spridning på ett virus, en mask eller annan skadlig programvara.

Blandning av data och körbar kod

Ett exempel på blandning av data och körbar kod kan vara HTML, där javascript (och andra språk med för den delen) kan vävas in i det vi läser. Detsamma finns även i bland annat Worddokument där script kan dölja sig. Vi kan tänka oss en påhittad situation, där människor utför det som MSS (Mänskligt scriptspråk) ber dem om.

En vanlig text skulle kunna se ut som:

Det var en gång tre små grisar som älskade att dansa och sjunga. De bodde med sin mamma vid skogsbrynet. Den Stora Stygga Vargen bodde ensam i sin stuga som fanns vid en backe.

De små grisarna levde ett tryggt liv och sjöng och dansade dagarna i ända på sin mammas gård. En dag hände något – mammagris ville att de små grisarna skulle flytta hemifrån och bygga egna hus åt sig. Så packade de små grisarna sina väskor och for iväg.

Om man blandar in MSS i det hela så blir det:

Det var en gång tre små grisar som älskade att dansa och sjunga. De bodde med sin mamma vid skogsbrynet.
[start av MSS] Ta fram din plånbok. [slut på MSS]

Den Stora Stygga Vargen bodde ensam i sin stuga som fanns vid en backe.
[start av MSS] Plocka fram de största sedlarna. [slut på MSS]

De små grisarna levde ett tryggt liv och sjöng och dansade dagarna i ända på sin mammas gård. En dag hände något – mammagris ville att de små grisarna skulle flytta hemifrån och bygga egna hus åt sig. Så packade de små grisarna sina väskor och for iväg.
[start av MSS] Ge sedlarna till hackern. [slut på MSS]

Baserat på exempel från kursen DVA025 på BTH

Om man inte har skydd mot scriptkommandon inne i filer så kan detta utgöra ett potentiellt hot ifall scriptkoden körs utan vidare, tänk dig själv en fil som innehåller instruktioner som leder till att din dators hårddisk raderas. Det gäller alltså att skyddsnivåerna för detta läggs på rätt nivå i de system som har stöd för scriptspråk. Man måste hålla koll på att scripten inte får alltför stora möjligheter att kunna ställa till med ofog.

Det har även förekommit tillfällen då körbar kod har gömt sig i filtyper som i sig inte har stöd för det, till exempel JPG-bilder samt MP3-filer. I de fallen har koden kunnat köras tack vare att programmen som öppnat filerna innehållt buggar, det rör sig alltså inte om någon inbyggd funktionalitet som med Worddokument.

Okunniga användare

Detta är ett av de, enligt mig, mest allvarliga hoten mot IT-säkerhet. Personer som sitter vid sin dator vet inte vilka risker de utsätter sig för när de glatt laddar ner saker till höger och vänster. Det riskmedvetandet som en gång kanske fanns är borta, eller åtminstone kraftigt minskat.

Det går så klart diskutera ifall man som datoranvändare ska behöva djupa kunskaper i vilka hotbilder som finns. Jag kan hålla med om att det i ett idealfall borde vara så att en användare inte behöver oroa sig för datorvirus eller maskar, då dessa till stor del i grund och botten beror på osäkerheter i själva datorsystemen. Däremot så blir det ett betydligt större problem i de fall det rör sig om trojaner eller bakdörrar.

Problemet med dessa är att vilket program som helst kan utföra andra saker än det utger sig att göra. Med bakdörrar är problemet nästan detsamma, många program i dagsläget ägnar sig åt kommunikation via Internet eller lokala nätverk. Gömmer man en bakdörr i ett program där det är naturligt att det sker både ut- och ingående datatrafik så blir det problematiskt att veta i vilka fall trafiken är av ”ond” art.

Bitar av dessa problem skulle säkerligen kunna lösas genom att köra programmen i så kallade ”sandlådor”, det vill säga skyddade områden i minnet där de inte kan ställa till med någon skada utanför sandlådans väggar. De är avskärmade från systemet i övrigt med andra ord. Det orsakar i sin tur begränsningar och ytterligare problem.

Enligt mig så är ökad kunskap en av de enklare och snabbare sätten att minska hotbilden på, även om det så klart är önskvärt att systemen i sig blir immuna i större utsträckning.

Varför sprida malware?

Dagens datorer är kraftfulla, vilket ökar antalet användningsområden för dem om en person kan få kontroll över dem. Nät av zombies (infekterade datorer som kan användas i synkroniserade angrepp) sprider sig. Maskar och virus kan få en otrolig spridning bara för att personer inte orkar uppdatera sina system, eller ens förstår varför de skall göra det.

Just zombienätverk är något som fått allt större spridning, fenomenet består av att hundratusentals datorer blir smittade av till exempel en mask (förklaring kommer nedan) som lägger in någon form av bakdörr (även detta förklaras senare) så att datorn kan styras av någon annan. Tänk er själva en ”armé” bestående av hundratusentals datorer, det är inte svårt att förstå att de kan orsaka stor skada. De kan användas för allt från att attackera någon sida eller server till att skicka ut enorma mängder spam eller till att dekryptera meddelanden. Det blir svårt att stoppa sådana attacker just eftersom det är så många angripare.

Några exempel på malware

Datorvirus

Detta är kod som infekterar filer och som kopierar sig själv vidare. För att sprida sig kräver den någon form av initiativ från användaren. Användaren behöver alltså själv starta en smittad fil för att viruset ska kunna köra.

Maskar

Detta är kod som sprider sig över nätverk utan att en användare behöver göra något alls, detta gör att maskar ofta sprider sig snabbt.

Bakdörrar

Dessa har till syfte att kringgå befintliga säkerhetssystem, genom att öppna en väg in i systemet.

Trojaner

Många anser att detta är samma sak som en bakdörr, något som enligt mig och många säkerhetsexperter är fel. En trojan (eller trojansk häst som det också kallas) har fått sitt namn från legenden om Troja, där grekerna ger trojanerna en stor trähäst som gåva. Precis som trähästen så har den digitala motsvarigheten en annan uppgift än vad den uppges att ha. En trojan kan alltså bestå av ett spel som i smyg installerar annan mjukvara på hårddisken eller (vilket inte är helt ovanligt) installerar en bakdörr. Trojaner och bakdörrar går ofta hand i hand, men det gör dem inte till samma sak.

Keyloggers

Detta är ett program som övervakar allt man skriver på tangentbordet, inte helt sällan innehåller de även funktionalitet för att skicka iväg loggarna via e-post eller liknande så att den andra personen kan läsa det som skrivits.

Hur påverkar malware ett system?

Malware kan göra allt som vilket som helst annat datorprogram kan göra, begränsningen är i första hand de rättigheter det körs med. Körs det från ett administratörskonto så får det som regel samma rättigheter och möjligheter som det kontot har. Ett par exempel på vad malware kan göra inkluderar:

• Infektera ditt system och använda det för vidare attacker mot andra system.
• Samla på sig information över vem du är och vilka vanor du har i ditt datoranvändande. Till exempel, när och hur länge du är uppkopplad, vilka som du har kontakt med, vilka hemsidor du besöker och så vidare.
• Använda din dator för lagring av illegalt material, till exempel barnporr.
• Sätta dit dig vid IT-relaterade brott, genom att låta det framstå som att det är från din dator attacken har kommit.

Datorvirus

Virus är kanske den mest allmänt kända delen av malware och det är förmodligen också den variant som folk har störst kännedom om. Det är kod som sprider sig självt till nya filer och som kräver att dess värdfil körs för att kunna sprida sig.

En definition

A virus is a self-replicating piece of code that attaches itself to other programs and usually requires human interaction to propagate.

Ed Skoudis, ”Malware: Fighting Malicious Code”

Kännetecken för ett virus

En av de saker som utmärker just ett datorvirus är att det inte kan vara ett separat program, det kräver någon form av ”värdprogram” det kan hänga fast vid. Biologiska virus fungerar på exakt samma sätt i det avseendet.

Viruset kommer inte att kunna göra någonting innan det blir aktiverat, det vill säga innan dess värdfil öppnas eller körs. Det är först då som dess kod kommer att köras och det blir aktiverat.

Förutom att innehålla funktioner för att infektera nya filer så innehåller datorvirus ofta andra delar, till exempel olika meddelanden eller funktioner för att utföra olika kommandon på den smittade datorn, vilket kan vara allt från att radera alla filer med en viss filändelse till att ta filer som gisslan.

Inte helt sällan så är virus konstruerade så att när de lägger sig i datorns minne när det väl blivit aktiverat, dessa virustyper tillhör gruppen minnesresidenta virus. Det finns även datorvirus som är konstruerade för att göra endast ett par förutbestämda saker i samma stund som det aktiveras av en användare, för att sedan avslutas.

Olika smittosätt

Alla filer som på något sätt är körbara är potentiella värdar för ett virus. Bland dessa finns (i Windows) .exe, .com, .dll, .ocx och MBR (Master Boot Record)

För att ett datorvirus skall kunna funka så måste det ha ett värdprogram eller värdfil

Smitta av körbara filer

Den enklaste metoden är att ersätta ett känt programs körbara fil med en smittad fil, detta kallas på engelska Companion infection. Användaren tror alltså att denne startar det riktiga programmet, men det som egentligen händer är att viruset startar originalfilen, som har blivit undanflyttad.

En annan enkel metod är att helt enkelt skriva över originalfilen med viruskoden, men det får till effekt att originalprogrammet inte kan köra, eftersom det är överskrivet. Detta kallas Overwriting infection.

Om man tittar på de lite mer avancerade smittosätten så kan ett virus använda sig av Prepend infection. Då lägger sig viruskoden i början av värdfilen, vilket gör att denna kommer att funka som den skall trots att den är infekterad. Det enda som händer är att viruskoden körs först, och när den sedan är klar så lämnar den vidare till originalfilens instruktioner.

En till avancerad metod kallas Appending infection (ursäkta den insprängda engelskan). Detta gör att virusinstruktionerna lägger sig i slutet av filen, bortsett från en liten bit, som lägger sig efter headern i originalfilen. Header i detta fall är de inledande instruktionerna som finns i .exe-filen. Det finns nämligen filer där en del headerinformation måste finnas i början av filen. Den lilla biten med viruskod som finns efter headern gör att datorn hoppar till slutet av filen, där viruskoden finns. När denna har kört klart, så låter viruset datorn hoppa till stället efter virussnutten i början, och då fortsätter programmet som vanligt.

Dessa fyra sätt är de som används för att smitta körbara filer. Det finns virus som använder sig av flera av dessa, beroende på vilken fil de skall infektera.

Bootsektorinfektion

Bootsektorn är ett attraktivt mål, eftersom denna körs varje gång datorn startar upp. Man kan ändra i systemet redan innan något OS har kommit igång.

Startupsekvensen hos en dator:

1. Bios
2. Master Boot Record
3. Partition Boot Sector
4. Operativsystem

Virus som infekterar på detta sätt kallas bootsektorvirus (eng. Boot sector viruses).

Infektering av dokument

De dokument som kan smittas är de som kan rymma körbar kod, till exempel word- eller excelfiler. Denna körbara kod är mer känd som ”makron”. Ett exempel på ett sådant virus är Melissa.

Ett virus som smittar ett sådant dokument måste innehålla en lösning för att dess kod kommer att köras, detta kan det gör många sätt. Några av de kommandona i MS Word det kan använda sig av är:

• Document_Open()
• Document_Close()
• Auto_Exec()
• Auto_New()

Smitta mellan olika datorsystem

Virus kan sprida sig på olika sätt, däribland:

• Flyttbara lagringsmedium, t ex disketter eller USB-minnen
• E-postbilagor, Melissa spred sig på detta viset.
• Spridning via nedladdning över Internet, t ex över P2P-nätverk
• Delade kataloger i nätverket
• …

Ett virus kan inte sprida sig självt via en nätverksanslutning, eftersom det så kommer att klassas som en mask (mer om detta nedan).

Virusens skyddsmekanismer

Ett virus kan använda sig av flera metoder för att undgå upptäckt. Det som är ett virus största hot är antivirusprogram, program som kollar en fils integritet samt duktiga användare. Det är dessa hot som ett virus skall klara av.

Några av de sätt ett virus kan försöka skydda sig med:

• Avstängning/avaktivering av antivirusprogrammet.
• Stealthing, det döljer sig för användaren på olika sätt, till exempel genom att dölja sina filer.
• Polymorfism, det förändrar sitt utseende men inte sin funktionalitet. Detta kan göras genom att byta krypteringsmetoder/nycklar för sina huvudfunktioner.
• Metamorfism, här förändras utseendet (som ovan), men det kan även ske vissa små förändringar i funktionaliteten.

Försvar mot virus

Ett av de mest effektiva sätten att skydda sig mot virus är genom att använda antivirusprogram. Dessa funkar på så sätt att de måste ha en signaturdatabas, som innehåller ”fingeravtryck” av virus som är kända. Eftersom det ständigt kommer nya virus är det viktigt att hålla denna databas uppdaterad.

Detta databassystem har några nackdelar:

• Man ligger hela tiden ett steg efter virusskaparna
• Användarna måste hela tiden se till att deras databaser är uppdaterade

Antivirusföretagen försöker komma på sätt att slippa ha signaturdatabaser, genom att använda en annan sorts övervakningsmetod. Här kollar man istället på vad som händer i datorn, vad olika program försöker göra. Det kan handla om att ett program försöker komma åt bootsektorn eller skriva till en .exe-fil.

Varje gång en sådan händelse inträffar så får den filen ett par poäng. Överstiger denna poängsumma ett visst värde så klassas det som ett virus.

Maskar

Detta liknar på många sätt ett datorvirus och blandas inte helt sällan samman med det, däremot så skiljer sig maskar och datorvirus åt på en viktig punkt: Maskar sprider sig själva och behöver inget ingripande från användaren för att sprida sig vidare. De behöver inte heller någon form av värdfil att husera i utan klarar sig på egen hand.

En definition

A worm is a self-replicating piece of code that spreads via networks and usually
doesn’t require human interaction to propagate.

Ed Skoudis, ”Malware: Fighting Malicious Code”

Kännetecken för en mask

• En mask sprider sig utan att användaren behöver göra något
• De sprider sig genom att använda säkerhetshål i målsystemet

Varför används maskar?

• Eftersom de sprider sig helt utan att en användare behöver göra något, så kommer man att mycket snabbt kunna infektera många datorer
• Det blir svårt att spåra varifrån masken kom ursprungligen
• För att få skadan att bli större

Inblick i ovanstående punkter

Snabbare spridning

När man hoppar över punkten att en användare måste interagera för att uppnå en effekt, så snabbar man upp förloppet något enormt. Antag att det för varje led är så att varje smittad dator endast sprider sig till två osmittade datorer. Då ser man att antalet datorer som smittas (i varje led) mycket snabbt stiger: 2, 4, 8 och så vidare, redan efter 5:e generationen så är nästan 330 000 datorer smittade och i sjätte ledet blir det över två miljoner smittade system.

Om vi tar ett exempel där vi antar att någon vill ha kontroll över 10 000 system. Vi antar att det skulle ta denna person en halvtimme att personligen ta över ett system. Om han eller hon då jobbar dygnet runt, sju dagar i veckan skulle det ta ungefär sju månader att få det klart.

Med en mask så kan detta mål uppnås redan efter några minuter.

Som ett exempel kan nämnas att masken SQL Slammer fördubblade sin spridning ungefär var åttonde sekund, efter knappt tio minuter var över 90 % av de sårbara systemen smittade. Efter ungefär tre minuter gjorde Slammer över 55 miljoner sökningar i sekunden efter sårbara system.

Detta medförde så stora belastningar på Internets infrastruktur att många tjänster drabbades på grund av överbelastningarna från maskens sökningar.

SQL Slammer innehöll ingen skadlig kod utan spred sig bara vidare och orsakade överbelastning på Internet, det är inte särskilt svårt att föreställa sig vad effekten hade kunnat bli om masken innehöll skadlig kod.

Problem att spåra

Genom att använda redan smittade datorer så kan man låta dessa datorer sprida masken vidare. Om man gör detta i tillräckligt stor utsträckning kan det bli otroligt svårt att ta reda på varifrån det ursprungligen kom.

Det blir även så att eftersom en mask sprider sig självt över nätet, så kommer utredningsjobbet att kunna bli jobbigare, eftersom det kan bli jobbigt för utredare att samarbeta på grund av språk eller olika lagar.

Utöka skadan

Maskar innehåller i regel någon sorts bakdörr eller annat, som möjliggör att den infekterade datorn kan användas i en DDoS-attack (distribuerad denial of service-attack). Då blir skadan mycket större ju fler datorer man använder i sin attack. Skadan blir mer eller mindre lika många gånger större som antalet attackerande datorer.

En masks uppbyggnad

• Stridsspets
• Spridningsmotor
• Algoritm för att välja mål
• Genomsökningsmotor
• Skadlig kod

En mask behöver inte innehålla alla dessa delar.

Stridsspets

Detta är den delen som gör att masken tar sig in i måldatorn genom någon sorts sårbarhet i systemet. Det kan bland annat vara via buffer overflows, fildelning, felkonfigureringar eller e-post.

Spridningsmotor

Efter att maskens stridsspets tagit sig in i systemet måste resten av masken in. Detta kan göras via t ex FTP eller HTTP. Vissa maskar har lyckats klämma in all skadlig kod redan i warheaden, då behövs inte denna del. Så funkade t ex SQL Slammer.

Algoritm för att välja mål

Denna del letar efter nya datorer att smitta. Detta kan ske genom att leta efter e-postadresser, näraliggande datorer i nätverket eller bara genom att slumpa fram IP-adresser.

Genomsökningsmotor

Varje adress som genereras av ovanstående algoritm kommer att genomsökas för att se om den är mottaglig för stridsspetsen, detta sker genom att skicka nätverkspaket som tar reda på data om måldatorn via så kallad ”fingerprinting”. Detta är möjligt tack vare att olika datorsystem svarar på olika sätt när de anropas med vissa metoder. Med dessa svar kan man sedan med väldigt stor säkerhet förutsäga vad det är för operativsystem och så vidare på måldatorn.

När en lämplig måldator hittas så sänds stridsspetsen till denna och då börjar allt om igen.

Skadlig kod

Denna del innehåller det attackeraren vill att den smittade datorn skall utföra. Det kan vara allt från att en bakdörr öppnas, att man lägger in en agent för DDoS-attacker eller att utföra avancerade matematiska beräkningar (för att knäcka kryptonycklar).

Det finns maskar som inte innehåller någon skadlig kod, utan endast förbrukar nätverkskapacitet genom att sprida sig.

Råd och tips

Jag rekommenderar att ni som inte redan har antivirus och brandvägg på era datorer ser till att skaffa detta. Personligen kan jag varmt rekommendera NOD32, ett av världens bästa antivirusprogram. NOD32 har gång på gång placerat sig i den absoluta toppen vad gäller både prestanda och förmåga att upptäcka virus. En enkel brandvägg jag kan rekommendera är ZoneAlarm, välj att endast ladda ned ZoneAlarm basic, den är helt gratis.

För att rensa bort malware av olika slag rekommenderar jag Spybot Search & Destroy samt Ad-Aware, båda är gratis.

För ytterligare information om antivirusprogram rekommenderar jag Virus Bulletin.

Slutord

Jag hoppas att min post har gett någon form av ökad insyn och förståelse för några av de digitala hot våra datorer dagligen är utsatta för. För er som är intresserade kan jag redan nu tipsa om att det kommer fler artiklar berör bland annat IT-säkerhet här på sidan framöver. Lägg till sidans RSS-feed för att inte missa något.

Jag vill även passa på att tacka Martin Boldt och Andreas Jacobsson på BTH, då det bland annat är dessa som har bidragit till de kunskaper jag har inom ämnet, ett särskilt tack till Martin för genomläsningen av artikeln.

Åter igen, kommentarer/feedback eller frågor är varmt välkomna! Använd gärna kommenteringsformuläret nedan för det 🙂

Källor:
Ed Skoudis, ”Malware: Fighting Malicious Code”
Egna anteckningar från DVA025 och andra kurser på BTH

Mer läsning:
IDG går igenom virus-situationen för mac OS X, det finns även en andra artikel i samma serie. PC För Alla har även ett test av någa antivirusprogram. Computer Sweden går igenom problematiken med växande botnät, något som ofta går hand i hand med malware.