Vissa vet inte vad dolda program är. Andra blandar ihop dem med virus, trojaner och andra typer av elakartade program. Att det råder en del ovisshet kring dolda program är inte särskilt konstigt eftersom programmen arbetar just i det dolda. Ett dolt program är egentligen inget annat än ett eller flera program som har för avsikt att dölja till exempel andra program, filer eller processer från operativsystemet.

 

Dolda program kallas ibland för rootkit och anledningen till det är att programmen till att börja med användes i Unixmiljöer för att göra det möjligt för inkräktare att obemärkt få tillgång till root-kontot. Ordet rootkit används fortfarande trots att det ofta handlar om program för operativsystem som inte har ett specifikt root-konto. I Sverige kallar vi dessutom dolda program för spökprogram ibland på grund av deras förmåga att gömma saker för användaren.

 

Eftersom det har skrivits mycket negativt om dolda program den senaste tiden är det många som tror att de enbart är av ondo. Det finns dock program som kan ha ett behov av att använda ett dolt program för att över huvud taget fungera som det är tänkt. Exempelvis är emuleringsprogram och vissa typer av säkerhetsprogram kända för det. Alcohol 120 procent och Disk Deamon är två exempel på just emuleringsprogram som innehåller dolda program, vilka har skapats med ett gott syfte.

 

 

Kan sprida sig via maskar


Normalt sett gör inte ett dolt program någon skada i sig självt, men det kan användas för olika dåliga syften. Exempelvis kan det användas för att installera gömda bakdörrar eller köra trojaner i bakgrunden. De kan då inte upptäckas av användaren eller operativsystemet, och kanske inte heller av antivirus-program eller andra säkerhetsprogram som ska söka efter den här typen av program.

 


”Normalt sett gör inte ett dolt program

någon skada i sig självt, men det

kan användas för olika onda syften.”

 
 

Ett dolt program som har infekterat en enskild dator nöjer sig ofta med det eftersom det inte är utformat för att spridas ytterligare, vilket är fallet med exempelvis maskar. Det enda det fokuserar på är att dölja det som ska döljas och att se till att eventuella bakdörrar förblir öppna. Däremot finns det ett antal olika hybrider där man har bakat ihop exempelvis en mask med ett dolt program. Masken kan då användas för att sprida och installera det dolda programmet på så många datorer som möjligt.

 

De dolda program som kan användas med onda avsikter är lätta att få tag på om man vet var man ska leta. Det går till exempel att köpa färdiga dolda program direkt på nätet och den som har speciella krav kan även beställa specialdesignade versioner mot extra betalning. De används inte minst av mindre duktiga programmerare som till exempel vill dölja ett dåligt designat virus med hjälp av ett avancerat dolt program. Duktiga programmerare kan givetvis också knåpa ihop sina egna dolda program.

 

Precis som när det gäller virus, trojaner och andra liknande program sprider sig dolda program exempelvis via e-post eller via program som laddas ner.

 

 

Gömmer sig i interna program


I skrivande stund finns det fem olika typer av dolda program. På engelska kallas de för firmware, virtualized, kernel level, library level och application level. Firmware är en typ av dolt program som gömmer sig i en produkts interna program, vilket är detsamma som den lilla snutt program som delvis styr vilka funktioner produkten har. Anledningen till att de väljer att gömma ett dolt program där är att det ligger väl dolt eftersom säkerhetsprogrammen normalt inte kan söka igenom produkters interna program.

 

Virtualized är ett dolt program som arbetar på en lägre nivå än övriga dolda program. Det startar innan det ordinarie operativsystemet och kan på så sätt få total kontroll över datorn. Alla kommandon som operativsystemet skickar till hårdvaran kan fångas upp och programmet kan sedan stoppa kommandona eller omvandla dem så att de gör något helt annat än vad de var tänkta att göra. Det här gör att ett dolt program av typen virtualized är mycket svårt att hitta och ta bort samtidigt som det kan ställa till med stor oreda.

 

Även kernel level är svåra att hitta och de kan dessutom orsaka stora skador. De lägger till eller byter ut kod i operativsystemets kärna för att på så sätt kunna plantera in hemliga bakdörrar som kan användas av hackare. I Windows kan man göra det här genom att installera en preparerad drivrutin.

 

Ett library level är däremot något mer okomplicerat då det bara ligger i bakgrunden och styr om eller förändrar vissa systemkommandon så att man inte ska kunna upptäcka elakartade program.

 

Application level är många gånger enklast att upptäcka. Ett sådant dolt program kan maskera sig så att det ser ut att vara ett ofarligt program eller så infekterar det en vanlig programfil. På så sätt kan det exekvera diverse oönskade kommandon så snart programmet körs och det utan att användaren märker något eftersom han eller hon tror sig ha startat ett helt vanligt program.

 

 

 

Särskilda program för utrotning


Det är inte helt lätt att upptäcka att ett dolt program har installerats på din dator, det gäller att vara uppmärksam på hur datorn beter sig. Märker du till exempel att den kraschar ofta, att nätverket belastas mer än vanligt eller att datorn känns allmänt trög, kan det finnas risk för att ett dolt program har nästlat sig in på hårddisken eller på någon annan plats. För att vara någotsånär säker på hur det står till bör du använda någon typ av säkerhetsprogram som kan söka igenom hela datorn.

 

Det finns ett antal olika program på marknaden som har utvecklats för att leta upp och utrota dolda program. Några exempel på sådana är F-Secure Blacklight, McAfee Rootkit Detective, Sophos Antirootkit och Icesword. I skrivande stund är de här programmen gratis att ladda ner, men åtminstone Blacklight kan enbart användas under en begränsad period och kommer sedan att med största sannolikhet övergå till att bli ett betalprogram. Mer om hur vissa av programmen fungerar kan du läsa om i ett test som Informationweek har gjort, se rutan "Så går du vidare" till höger.

 

Något som är glädjande är att fler och fler antivirusprogram också utrustas med funktioner för att söka upp och ta bort dolda program. Eftersom antivirusprogrammen ändå söker efter en rad andra typer av elakartade program är det naturligt att de också tar hand om dolda program. På så sätt slipper användaren köra flera olika separata program för varje problem som dyker upp.


  Hallå där Johan Jarl, teknisk chef på F-Secure …


Hur har problemet med dolda program ökat de senaste åren?
Johan Jarl– Även om det första dolda programmet för Windows hittades redan år 2000 började problemet inte förrän i början av 2003. Under 2003 och 2004 var problemet inte så stort, men under 2005 såg vi en klar ökning och det har hållit i sig sedan dess. Vad som är än mer intressant är att antalet familjer av elakartade program som använder sig av dolda program i stort sett har fördubblats från år till år sedan 2003, och är nu uppe i cirka 90 olika familjer där varje familj kan ha hundratals olika varianter.

 

Hur tror du att användningen av dolda program kommer att se ut under det kommande året? – Det fortsätter att öka eftersom majoriteten av säkerhetslösningarna som används av företag och hemanvändare fortfarande inte skyddar mot dem.

 

Kommer det mer avancerade dolda program?

– De blir mer och mer komplicerade. Vartefter vi inom säkerhetsbranschen utvecklar våra skydd försöker tillverkarna av skadlig kod att komma på sätt att undvika upptäckt. Det kan vara allt från att temporärt gömma ett dolt program när en sökning sker till ännu mer avancerade metoder. Framför allt sker allt mer på kärnnivå i dag.

 

Ni har ett särskilt program för att ta bort dolda program, Blacklight. Behövs det verkligen separata program?

– Funktionen är integrerad i våra lösningar, både för företag och för hemanvändare. Vi tillhandahåller det separata verktyget som en gratistjänst till dem som inte använder våra andra produkter.

 

Vissa hävdar att det är bättre att ominstallera en dator som drabbats av ett dolt program än att försöka ta bort programmet på annat sätt. Vad anser du om det rådet?

– Det beror på. Om du har möjlighet bör du ominstallera, men det är inte alla gånger som det är absolut nödvändigt. Dolda program gömmer saker, har du hittat gömda filer på din dator är det ganska troligt att du faktiskt hittat alla gömda filer och att inga andra skadliga filer finns där. En avvägning måste dock göras av hur känsligt det drabbade systemet är för organisationen.

 

Samma tankesätt måste användas för i princip alla typer av skadlig kod, framför allt där man har en bakdörr in i systemet. Det är då svårt att veta om någonting annat har installerats via bakdörren.

 

Vilka är dina bästa tips för att undvika dolda program?

– Dolda program kommer in i systemen på samma sätt som annan skadlig kod så de vanliga tipsen gäller:

1. Se till att du alltid uppdaterar dina säkerhetsprogram.

2. Se till att du alltid håller Windows och andra program som Quicktime, Winzip och Winamp uppdaterade.

3. Dubbelklicka inte på filer du inte väntar på, det gäller även Word-, Excel- och Power-pointfiler.

4. Var vaksam med var du surfar.

 

Sökningar inte effektiva


De program som försöker hitta ett dolt program bara genom att göra en sökning samtidigt som det ordinarie operativsystemet är igång är inte alltid effektiva. Vissa dolda program är helt enkelt för bra på att gömma sig. Det som då krävs är att du startar om datorn och startar den från exempelvis ett usb-minne, en cd-skiva eller någon annan hårddisk för att komma ifrån den infekterade miljön. De dolda program som eventuellt finns på den ordinarie hårddisken eller på något annat lagringsmedium kan då upptäckas i och med att de inte får chansen att starta och gömma sig direkt.

 

En del dolda program har förmågan att avaktivera sig själva när de upptäcker att ett säkerhetsprogram söker igenom systemet. Bra säkerhetsprogram kan då ändå hitta det dolda programmet genom att använda olika signaturfiler. Det gäller att du skapar signaturfilen direkt efter det att operativsystemet installeras för att du verkligen ska kunna försäkra dig om att den är helt korrekt. Som med alla andra elakartade program är det en ständig kamp mellan säkerhetsföretagen och hackarna om att hitta motmedel mot varandras produkter.

 

 

Säkrare att installera om datorn


Det råder delade meningar om hur man på bästa sätt blir av med dolda program. Som vi tidigare nämnt finns ett flertal program på marknaden som både hittar och tar bort dem, men man kan ändå aldrig vara helt säker på att de verkligen har försvunnit.

 

Vissa menar att det är både säkrare och enklare att installera om hela datorn med hjälp av en säkerhetskopia. Det bästa är om du helt enkelt har en image-fil av hela hårddisken som du kan använda för att snabbt kopiera över den smittade installationen. Exempelvis Acronis och Symantec kan erbjuda program som fixar det här.

 

Precis som för andra typer av elakartad kod gäller det att använda sunt förnuft för att försöka undvika dolda program. Därför är det viktigt att se till att de datorer som du använder har de senaste uppdateringarna och att de använder brandvägg samt antivirusprogram som är utrustat med skydd mot dolda program. Något som också är bra att ha är ett e-postfilter och i vanlig ordning ska du självklart också undvika att köra okända filer på dina datorer. Om du följer de här råden slipper du med största sannolikhet obehagliga program som hittar på en massa fuffens i bakgrunden.

 

Slutligen kan vi konstatera att precis som vi har lärt oss att handskas med virus, trojaner och annat otyg är det bara att acceptera att vi måste lära oss att leva med dolda program. Enligt flera rapporter dyker det upp tusentals nya dolda program varje år och det finns inget som tyder på att mängden kommer att minska. Det är bara att bita i det sura äpplet och se till att vara på sin vakt.  

 

  Så går du vidare, länkar:

 

 
Illustration: Jonas Englund

Fakta

 

I slutet av 2005 blev dolda program kända för den breda allmänheten och det kan tillskrivas den stora skivbolagsjätten Sony BMG.

För att få bukt med den ökade kopieringen av musikskivor började företaget lägga in ett kopieringsskydd i form av ett dolt program på vissa av sina skivor.

 

När en skiva med ett sådant dolt program kördes på en dator installerades i smyg ett litet program. Syftet med programmet var att stoppa användaren från att kopiera musiken från skivan till hårddisken. Kopierings- skyddet som Sony BMG använde kallades för Extended Copy Protection, XCP. Det utvecklades av det brittiska företaget First 4 Internet, som numera går under namnet Fortium Technologies. Just den version som planterades in på cd-skivorna fick namnet XCP-Aurora.

 

Efter det att Sony BMG:s dolda program hade installerats på datorn gick det inte att spela upp musik från skivan med någon annan mediespelare än den som skickades med. Den medföljande spelaren hade en funktion som bland annat gjorde att användaren kunde bränna musiken, men bara på ett begränsat antal cd-skivor. Programmet fungerade dessutom bara med ett fåtal bärbara musikspelare. Det gick till exempel inte att kopiera musiken till Apples Ipodspelare.

 

Från början fanns det inte någon bra metod för att ta bort det dolda program-met från datorn.

Efter ett tag kunde dock Sony BMG presentera ett avinstallationsprogram.

 

För att få tag på det krävde företaget att man registrerade sig på deras sajt, vilket inte var särskilt uppskattat. Något som inte förbättrade saken var att man upptäckte att avinstallationsprogrammet innehöll ett säkerhetsproblem som gjorde att skadlig kod kunde köras på datorn. Sony BMG:s dolda pr gram upptäcktes i oktober 2005 av säkerhetsexperten Mark Russinovich som började skriva om det på sin blogg. Det uppmärksammades så småningom av media och andra säkerhetsexperter. Sedan dröjde det inte länge innan skandalen v faktum och skivköparna var i uppror. Sony blev senare stämda och tvingades sluta använda kopieringsskyddet.