Kend de forskellige slags malware

Hvad betyder malware?

Ordet ‘malware’ kommer af ‘malicious software’. Malware er indtrængende software, der bevidst er designet til at udrette skade på computere og computersystemer. Derimod omtales software, der forårsager utilsigtet skade, normalt bare som en softwarefejl eller en 'bug'.

Nogle gange kender folk ikke helt forskellen på virus og malware. Forskellen er, at malware er en paraplybetegnelse for en række trusler på nettet, som vira, spyware, adware, ransomware og andre slags skadelig software. En computervirus er bare én type malware.

Malware kan komme ind i et netværk via phishing, ondsindede vedhæftede filer, ondsindede downloads, social engineering eller flashdrev. Denne oversigt håndterer de mest almindelige typer af malware.

Typer af malware

Det er vigtigt at kende de forskellige slags malware-angreb. når du vil beskytte dig selv mod at blive kompromitteret. Mens nogle malware-kategorier er ret velkendte (i det mindste er deres navne), er knap så kendte:

Adware

Adware, er en sammentrækning af 'advertising-supported software' eller annoncestøttet software', og viser uønskede og nogle gange ondsindede reklamer på en computerskærm eller mobil enhed. Den kan også omdirigere søgeresultater til reklamesider og samle brugerdata, der kan sælges til annoncører, uden brugerens samtykke. Det er ikke al adware, der er malware. Noget af det er helt legitimt og sikkert at bruge.

Brugere kan ofte påvirke hyppigheden af adware eller hvilken slags downloads, de tillader, ved at administrere pop-ups og præferencer i deres browsere eller bruge en annonceblokering/ad-blocker.

Eksempler på adware:

• Fireball – Fireball ramte overskrifterne i 2017, da et israelsk softwarefirma opdagede, at 250 millioner computere og en femtedel af virksomhedens globale netværk var inficeret. Når Fireball rammer din computer, overtager den browseren. Det ændrer startsiden til en falsk søgemaskine – Trotus – og sætter påtrængende annoncer på alle de sider, du besøger. Det forhindrer dig også i at ændre browserindstillingerne.
• Appearch – Appearch er et andet almindeligt adware-program, der overtager browseren. Normalt kommer den sammen med noget andet gratis software og sætter så mange annoncer ind i browseren, at det bliver svært at surfe på nettet. Når du forsøger at besøge en hjemmeside, føres du i stedet til Appearch.info. Hvis det lykkes dig at åbne en hjemmeside, konverterer Appearch helt tilfældige tekstblokke til links. Når du klikker på teksten, beder en pop-up dig om at downloade nogle softwareopdateringer.

Spyware

Spyware er en slags malware, der gemmer sig på enheden, overvåger aktiviteten og stjæler følsomme oplysninger, som fx økonomiske data, kontooplysninger, logins og mere. Spyware spredes ved at udnytte softwarens sårbarheder eller på anden måde i pakker med legitim software eller trojanske heste.

Eksempler på spyware:

• CoolWebSearch – Programmet udnyttede sikkerhedssårbarhederne i Internet Explorer til at overtage browseren, ændre indstillingerne og sende browserens data til forfatteren.
• Gator – kommer typisk med fildelingsprogrammer, som Kazaa. Programmet overvåger ofrets surfing-vaner og bruger oplysningerne til at vise nogle specifikke annoncer.

Ransomware og crypto-malware

Ransomware er malware, som er designet til at låse brugerne ude af deres system eller nægte dem adgang til deres data, indtil de betaler en løsesum. Crypto-malware er en slags ransomware, der krypterer brugerens filer og kræver betaling inden en given deadline - ofte gennem en digital valuta, som Bitcoin. Ransomware har udgjort en konstant trussel for virksomheder i mange brancher, gennem flere år. Efterhånden som flere virksomheder gennemgår den digitale transformation, er risikoen for at blive ramt af et ransomware-angreb vokset betydeligt. 

Eksempler på ransomware:

• CryptoLocker er en form for malware, som startede i 2013 og 2014. Her bruger de cyberkriminelle den til at tilgå og kryptere filerne i et system. Cyberkriminelle bruger en social engineering-taktik til at narre medarbejdere til at downloade ransomwaren til deres computere og dermed inficere netværket. Når den først er downloadet, viser CryptoLocker en besked om den løsesum, der skal betales for at dekryptere dataene. Man skal typisk betale kontant eller i Bitcoins, inden en given frist. Selvom CryptoLockers ransomware siden er blevet fjernet, mener man, at svindlerne har afpresset ca. tre millioner dollars fra de intetanende organisationer.
• Phobos malware – en slags ransomware, der kom i 2019. Denne form for ransomware er baseret på Dharma (aka CrySis), som er en ældre type af ransomware.

Trojanske heste

En trojaner (eller trojansk hest) forklæder sig som legitim software for at narre dig til at starte skadelige programmer, på din computer. Fordi den ser troværdigt ud, downloader brugerne den og lægger således malware på enheden, uden at vide det. Trojanske heste udgør også en åbning. I modsætning til orme, skal de bruge en vært for at fungere. Når en trojaner først er installeret på en enhed, kan hackerne bruge den til at slette, ændre eller samle data, bruge din enhed som en del af et botnet, udspionere din enhed eller skaffe sig adgang til dit netværk.

Eksempler på trojanere:

• Qbot malware, også kendt som 'Qakbot' eller 'Pinkslipbot', er en bank-trojaner, der har været aktiv siden 2007. Den bruges primært til at stjæle brugerdata og bankoplysninger. Malwaren har udviklet sig til at omfatte nye leveringsmekanismer, kommando- og kontrolteknikker og anti-analysefunktioner.
• TrickBot malware — blev først identificeret i 2016 – og er en trojaner, som er udviklet og drevet af sofistikerede cyberkriminalitetsaktører. Den blev oprindeligt designet som en bank-trojaner, til at stjæle finansielle data. Men nu har TrickBot udviklet sig til en modulær, flertrins malware, der giver operatørerne en komplet samling af værktøjer, der udfører en række ulovlige cyberaktiviteter.

Orme

En af de mest almindelige slags malware kaldes orme, som spredes i computernes netværk, via operativsystemets sårbarheder. En orm er et selvstændigt program, der replikerer sig selv, så den kan inficere andre computere, uden at nogen behøver at gøre noget. Fordi de spredes så hurtigt, bruges orme ofte til at aktivere et lille program - et stykke kode, der beskadiger systemet. Det lille program (payload) sletter fx filer på et værtssystem, krypterer data ifm. et ransomware-angreb, stjæler informationer og/eller opretter botnets.

Eksempler på orme:

• SQL Slammervar en velkendt computerorm, der ikke brugte de traditionelle distributionsmetoder. I stedet genererede den tilfældige IP-adresser og sendte sig selv videre, mens den ledte efter nye enheder, der ikke brugte et antivirusprogram. Kort efter, den ramte i 2003, var der over 75.000 inficerede computere, der ubevidst deltog i DDoS-angreb på flere store hjemmesider. Selvom den relevante sikkerhedsrettelse har været tilgængelig i mange år nu, oplevede SQL Slammer alligevel en genopblussen, i 2016 og 2017.

Vira

En virus er et stykke kode, der integrerer sig i en applikation og kører, når appen er aktiv. Når virussen først er inde i et netværk, kan den bruges til at stjæle følsomme data, starte DDoS-angreb eller udføre ransomware-angreb. Normalt spredes vira via inficerede sider, fildeling eller downloads af vedhæftede e-mails, hvor en virus ligger i dvale, indtil den inficerede værtsfil eller det inficerede program aktiveres. Når det sker, replikeres virussen og spreder i dine systemer.

Eksempler på vira:

• Stuxnet - Stuxnet kom frem i 2010. Der mente man, den var udviklet af de amerikanske og israelske regeringer for at forstyrre Irans atomprogram. Den spredtes via et USB-drev, og angreb Siemens industrielle styresystemer, hvilket fik centrifugerne til at svigte og ødelægge sig selv i rekordfart. Man antager, at Stuxnet inficerede over 20.000 computere og ødelagde en femtedel af Irans atomcentrifuger – og satte programmet flere år tilbage.

Keyloggere

En keylogger er en slags spyware, der overvåger brugerens aktivitet. Keyloggere kan godt bruges til helt legitime formål – som fx når familien bruger dem til at holde styr på deres børns aktivitet på nettet. Det kan også være organisationer, der bruger dem til at overvåge medarbejdernes aktivitet med. Når de bruges til ondsindede formål, stjæler de adgangskoder, bankoplysninger og andre følsomme oplysninger. Keyloggere kan integreres ind i et system via phishing, social engineering eller ondsindede downloads.

Eksempler på keyloggere:

• I 2017, blev en studerende fra University of Iowa arresteret for at have installeret keyloggere på personalete computere, og dermed stjæle logins, så kan kunne ændre sine karakterer. Eleven blev kendt skyldig og idømt fire måneders fængsel.

Bots og botnets

En bot er en computer, der er blevet inficeret af malware, så den kan fjernstyres af en hacker. Botten – som fx kaldes en zombiecomputer – bruges så til at starte flere angreb med eller bliver en del af en gruppe af bots, som kaldes etbotnet. Botnets kan omfatte millioner af enheder, mens de spredes helt uopdaget. Botnets hjælper hackerne med mange forskellige, ondsindede aktiviteter, som fx DDoS-angreb, udsendelse af spam og phishing-meddelelser eller spredning af andre typer af malware.

Eksempler på botnet:

• Andromeda malware – Andromedas botnet blev knyttet til 80 forskellige malwarefamilier. Det voksede sig så stort, at det på et tidspunkt inficerede en million nye maskiner om måneden, og spredte sig selv via sociale medier, instant messaging, spam-e-mails, udnyttelsesprogrammer osv. Den blev stoppet af FBI, Europols europæiske center for cyberkriminalitet og flere andre i 2017 – selvom mange pc'er er stadig inficerede.
• Mirai – I 2016 efterlod et massivt DDoS-angreb store dele af den amerikanske østkyst uden internetadgang. Angrebet, som myndighederne oprindeligt frygtede kom fra en fjendtlig nation, blev forårsaget af Mirais botnet. Mirai er en type af malware, der automatisk finder Internet of Things eller (IoT) -enheder, som den kan inficere og samle til et botnet. Så kan IoT-hæren bruges til at udføre DDoS-angreb, hvor en tsunami af junktrafik oversvømmer målets servere, med ondsindet trafik. Mirai skaber stadig problemer.

PUP malware

PUP's - som står for 'potentielt uønskede programmer' - er programmer, der fx omfatter reklamer, værktøjslinjer og pop-ups, der ikke er relateret til den software, du har downloadet. Strengt taget, er PUP'er ikke altid malware - PUP-udviklerne påpeger, at deres programmer jo downloades med brugernes samtykke, i modsætning til malware. Man siger dog, at folk hovedsageligt downloader PUP'er, fordi de ikke forstår, at de selv siger ja til det.

PUP'er kommer ofte med andre, mere legitime programmer. De fleste ender med en PUP, fordi de har downloadet et nyt program og ikke har læste teksten, der stod med småt, da de installerede det - hvorfor ikke var forstod, at de også fik en række yderligere programmer, der ikke tjener noget egentligt formål.

Eksempler på PUP-malware:

• Mindspark malware – Var en PUP, som var let at installere og endte på brugernes maskiner, uden at de lagde mærke til downloadet. Mindspark ændrer indstillinger og aktiverer noget på enheden, uden brugerens viden. Den er ekstremt svær at fjerne.

Hybrider

I dag, er det meste malware en kombination af forskellige typer af ondsindet software, som ofte både bruger trojanske heste, orme og nogle gange vira. Normalt ser brugeren bare malwareprogrammet som en trojaner, men når det først kører, angriber det andre ofre på netværket, som en orm.

Eksempler på hybrid malware:

• I 2001, udgav en malware-udvikler, der kalder sig 'Lion', en hybrid malware - som var en kombination af en orm og et rootkit. Rootkits giver hackeren mulighed for at manipulere operativsystemets filer, mens orme spreder kodestykker i en fart. Den ondsindede kombination skabte kaos: den beskadigede mere end 10.000 Linux-systemer. Orm/rootkit'et var eksplicit designet til at udnytte sårbarhederne i Linux systemer.

Filløs malware

Filløs malware er en ondsindet slags software, der bruger legitime programmer til at inficere en computer med. Den er ikke afhængig af filer og efterlader ingen spor, hvilket gør det ekstremt svær at finde og fjerne. Man fandt de første angreb med filløs malware i 2017, selvom mange af angrebsmetoderne havde eksisteret i nogen tid.

Uden at skulle gemmes i en fil eller installeres direkte på en maskine, glider de filløse infektioner direkte ned i hukommelsen. Faktisk rører det ondsindede indhold aldrig harddisken. Cyberkriminelle bruger i stigende grad filløs malware, som et effektivt, alternativt angreb, som er sværere for den traditionelle antivirus at opdage, på grund af det lille fodspor og fraværet af filer, der kan scannes.

Eksempler på filløs malware:

• Frodo, Number of the Beast og The Dark Avenger er tidligere eksempler på denne type af malware.

Logiske bomber

Logiske bomber er en type malware, der først aktiveres, når bomben udløses, fx på en bestemt dato eller klokkeslæt eller ved det 20. login på en konto. Vira og orme indeholder ofte logiske bomber, der leverer deres indhold (dvs. den ondsindede kode) på et foruddefineret tidspunkt, eller når en given betingelse opfyldes. Skaden fra de logiske bomber varierer lige fra at ændre nogle bytes af data, til at gøre hele harddisken ulæselig.

Eksempler på logiske bomber:

• I 2016, fik en programmør almindelige regneark til at fejle, i en filial af Siemens selskaber. Det skete dog kun hvert 2.-3. år, så man måtte blive ved med at hyre ham igen og igen, for at løse problemet. Her var der ingen, der havde mistanke om noget, før en tilfældighed tvang den ondsindede kode ud 'i det fri'.

Hvordan spredes malware?

De mest almindelige måder, som malwaretrusler spredes på, er:

• Email: Hvis din e-mail er hacket, kan malwaren tvinge computeren til at sende e-mails med inficerede, vedhæftede filer eller links til ondsindede sider. Når modtageren åbner den vedhæftede fil eller klikker på linket, installeres malwaren på dennes computer, og cyklussen gentager sig.
• Fysiske medier: Hackere kan lægge malware på et USB-drev og bare vente på, at et intetanende offer sætter det i en computer. Denne teknik bruges ofte ifm. virksomhedsspionage.
• Pop-up-advarsler: Det dækker fx falske sikkerhedsadvarsler, som narrer dig til at downloade falsk sikkerhedssoftware, som bare kan være mere malware.
• Sårbarheder: En sikkerhedsfejl i softwaren kan give malwaren uautoriseret adgang til computeren, hardwaren eller netværket.
• Bagdøre: En tilsigtet eller utilsigtet åbning i softwaren, hardwaren, netværket eller systemets sikkerhed.
• Drive-by downloads: Utilsigtet download af software med eller uden slutbrugerens kendskab.
• Privilegeret eskalering: En situation, hvor en angriber opnår eskaleret adgang til en computer eller et netværk og derefter bruger den til at starte et angreb med.
• Homogenitet: Når alle systemerne kører samme operativsystem og er forbundet til samme netværk, øges faren for, at en orm spreder sig til flere andre computere.
• Blandede trusler: Malwarepakker, der kombinerer egenskaberne fra flere slags malware, som gør dem sværere at finde og stoppe, fordi de udnytter flere forskellige sårbarheder.

Tegn på en malwareinfektion

Hvis du har bemærket noget af det følgende, har du muligvis malware på din enhed:

•  En langsom computer, der går ned eller fryser, peger på malware på enheden
•  Den frygtede ‘blue screen of death’
•  Programmerne åbnes og lukkes automatisk eller ændrer sig selv
•  Mangel på plads på harddisken
•  Flere pop op-vinduer, værktøjslinjer og andre uønskede programmer
•  Der sendes e-mails og beskeder, uden at du selv gør noget

Brug antivirus til at beskytte dig mod truslen fra malware:

Den bedste måde at beskytte dig selv mod malwareangreb og potentielt uønskede programmer er et omfattende antivirusprogram. Kaspersky Total Security beskytter dig døgnet rundt mod hackere, vira og malware - og hjælper med at sikre dine data og enheder.

Relaterede artikler:

• Hvem laver malware?
• Hvad er forskellen mellem en virus og en orm?
• Hvordan spreder computervira sig?
• De værste ransomware-angreb i 2020