Virusskydd fungerar huvudsakligen enligt tre metoder: Den äldsta metoden är den som de flesta skydd i dag använder i första hand, att känna igen skadliga filer. Definitionsfiler, i bland kallade svartlistor, beskriver utseendet på skadliga filer som redan fångats och analyserats.

Ondskan byter skepnad


Fulingarna som skriver datavirus försöker gå runt det här, dels genom att skapa virus som ändrar form under resans gång, så kallade polymorfa virus, dels genom att skapa många olika varianter av skadlig kod som sprids i små antal. Enligt virusskyddtillverkaren Trend Micro dyker det i snitt upp en ny variant av skadlig kod varje en och en halv sekund. Ofta rör det sig om små förändringar, just för att lura svartlistorna.

Den andra metoden är heuristik, det vill säga att känna igen skadligt beteende. Till en del bygger det på samma idé som svartlistorna, men med fokus på vad filer gör i stället för hur de är uppbyggda.

En speciell typ av heuristik är sandlådor, virtuella miljöer där program provkörs för att se om de har några fula trick för sig. Det här har naturligtvis lett till att många typer av skadlig kod har begåvats med funktioner för att upptäcka att de befinner sig i en virtuell miljö, så att de kan undvika upptäckt och analys. Inom det här område pågår en ständig kapprustning mellan virusskapare och virusskyddsföretag.

En tredje metod är vitlistning, det vill säga att göra lista med checksummor på alla godkända program som får köras på en dator. Alla andra program stoppas helt. Här har svenska SE46 sedan många år en nischprodukt med gott anseende. Nackdelen med vitlistning är att alla nya program, uppdateringar och drivrutiner som ska installeras måste köras genom vitlistföretagets process för godkännande. För att en dator med sådant virusskydd ska infekteras måste administratören göra en miss eller så ska den skadliga koden ladda innan vitlistskyddets drivrutiner startats. De problemen har ännu inget virusskydd löst.

Sida 1 / 4

Innehållsförteckning

Fakta

Produkt: Stuxnet
Leverantör: Okänd
Pris: Uppskattningsvis minst fem till tio manår. Vid upptäckt kan ett högt politiskt pris tillkomma.
Plattform: Windows 2000 och senare.
Prestanda: Klarade att oupptäckt infektera cirka 100 000 måldatorer.
Funktioner: Smittar industriella styrssystem för att infektera, spionera och sabotera processer. Innehåller rootkit för både Windows och industriella styrsystem. Motmedel mot virusskydd – kan upptäcka och undvika virusskydd som Antivir, Bitdefender, Eset, Etrust, F-Secure, Kaspersky, McAfee, Symantec och Trend Micro. Kan utnyttja flera hittills okända säkerhetshål. Avancerad inskjutning av processer och krokar i program. Flera olika funktioner för smittspridning. Uppdatering via p2p.

I dag är det ovanligt med rena former av skadlig kod, de flesta otäckheter är i stället kombinationer av olika tekniker i samma fil. Det är också vanligt att olika typer av skadlig kod används i olika skeden och från olika håll för att smitta en dator. Språkförbistringen i branschen har avtagit något, men är fortfarande enorm. Det här är en slags konsensus kring vad olika saker kallas:

  • adware: Program som visar reklam på den smittade datorn.
  • avlyssnare: Program som spelar in alla eller utvalda tangentbordstryckningar. Finns i många typer, vissa loggar vilka webbplatser som besöks och kan även ta bilder av skärmen för att stjäla lösenord.
  • bakdörr: Program eller funktion som öppnar för brottslingar att fjärrstyra eller hämta filer från datorn.
  • mask: Skadlig kod som kan sprida sig själv utan att behöva infektera en värdfil.
  • rootkit: Kod som försöker få administrationsrättigheter på en dator och gömmer sig för att inte upptäckas av virusskydd. Kan manipulera både operativsystemets kärna och virusskyddsprogram.
  • scareware: Falskt virusskydd, som till exempel Winfix och MS Antivirus. Skrämmer ofta användaren med att datorn är smittad och kräver sedan pengar för en uppdatering för att ta bort den påhittade smittan.
  • trojansk häst: Program med ofarlig yta som döljer skadliga funktioner, eller ett vanligt program som fått skadliga funktioner inskjutna.
  • utpressare: Gör innehållet i en dator onåbart och kräver pengar för att låsa upp datorn.
  • virus: Skadlig kod som sprider sig genom att infektera andra filer.