Vilka är de olika typerna av skadlig kod?

Vad betyder skadlig kod?

Det engelska ordet ’malware’ är en sammandragning av ’malicious software’, ’illvillig programvara’. Skadlig kod är programvara som gör intrång och som avsiktligt har utformats för att orsaka skada på datorer och datasystem. Programvara som orsakar oavsiktlig skada kallas istället vanligtvis för bugg eller programfel.

Ibland frågar man sig vad det är för skillnad på virus och skadlig kod. Skillnaden är att skadlig kod är en paraplyterm för olika onlinehot, inklusive virus, spionprogram, annonsprogram, utpressningsprogram och andra typer av skadeprogram. Ett datorvirus är helt enkelt en viss sorts skadlig kod.

Skadlig kod kan ta sig in i ett nätverk genom nätfiske, skadliga bilagor, skadlig nedladdning, social manipulering eller fysiska USB-minnen. I den här översikten tittar vi på vanliga typer av skadlig kod.

Typer av skadlig programvara

Det är viktigt att förstå de olika typerna av angrepp med skadlig kod för att du ska kunna skydda dig från intrång. Även om vissa kategorier av skadlig kod är välkända (åtminstone till namnet) är andra mindre kända:

Annonsprogram

Annonsprogram visar oönskade och ibland skadliga annonser på en datorskärm eller mobil enhet, dirigerar om sökresultat till annonswebbplatser och samlar in användardata som kan säljas till annonsörer utan användarens medgivande. Det är inte alla annonsprogram som är skadeprogram. Vissa är legitima och säkra att använda.

Användare kan påverka frekvensen av annonsprogram eller vilka typer av nedladdningar de tillåter genom att hantera meddelandekontrollerna och inställningarna i sina webbläsare eller genom att använda en annonsblockerare.

Exempel på annonsprogram:

• Fireball – Fireball gjorde rubriker 2017 när ett programföretag i Israel upptäckte att 250 miljoner datorer och en femtedel av företagsnätverken i hela världen hade smittats med programmet. När Fireball påverkar din dator tar det över webbläsaren. Det byter ut din hemsida mot en falsk sökmotor – Trotus – och infogar påträngande annonser på alla webbsidor du besöker. Det hindrar dig också från att ändra webbläsarens inställningar.
• Appearch – Appearch är ett annat vanligt annonsprogram som kapar webbläsaren. Det paketeras ofta tillsammans med andra gratisprogram, och lägger in så många annonser i webbläsaren att det blir svårt att surfa på nätet. När du försöker gå till en webbsida skickas du istället till Appearch.info. Om du lyckas öppna en webbsida konverterar Appearch slumpmässiga textblock till länkar, så när du markerar texten visas ett meddelande som erbjuder dig att ladda ned programuppdateringar.

Spionprogram

Spionprogram är en typ av skadlig kod som döljer sig på din enhet, övervakar aktivitet och stjäl känslig information som ekonomiska data, kontoinformation, inloggningsinformation och mycket annat. Spionprogram kan sprida sig genom att utnyttja sårbarheter i program eller genom att paketeras med legitim programvara eller i trojaner.

Exempel på spionprogram:

• CoolWebSearch – det här programmet utnyttjade säkerhetsluckor i Internet Explorer för att kapa webbläsaren, ändra inställningarna och skicka surfdata till skaparen.
• Gator – det här programmet paketeras oftast med fildelningsprogram som Kazaa, och övervakar offrets surfvanor och använder information för att skicka specifika annonser till dem.

Utpressningsprogram och skadlig krypteringsprogramvara

Utpressningsprogram är skadlig kod som designats för att låsa ute användare från deras dator eller neka tillgång till data tills en lösensumma betalats. Skadlig krypteringsprogramvara är en typ av utpressningsprogram som krypterar användarens filer och kräver betalning inom en viss tidsgräns och ofta med en digital valuta som Bitcoin. Utpressningsprogram har varit ett bestående hot för organisationer i olika branscher i många år. Allteftersom fler företag genomgår digital transformation har sannolikheten att bli utsatt för ett angrepp med utpressningsprogram ökat drastiskt. 

Exempel på utpressningsprogram:

• CryptoLocker är en typ av skadlig kod som spriddes 2013 och 2014, och som cyberbrottslingar använde för att komma åt och kryptera filer på en dator. Cyberbrottslingar använde sig av social manipulering för att lura anställda att ladda ned utpressningsprogrammet till sina datorer, så att nätverket smittades. När det laddats ned visade CryptoLocker ett utpressningsmeddelande med ett erbjudande om att dekryptera data om en betalning i kontanter eller Bitcoin gjordes inom en angiven deadline. Även om utpressningsprogrammet CryptoLocker sedan dess har neutraliserats, tros de som drev det ha lyckats utpressa cirka tre miljoner USD från olika organisationer.
• Phobos – en form av utpressningsprogram som spreds 2019. Den här varianten av utpressningsprogram baseras på den tidigare kända Dharma-familjen (även känd som CrySis) med utpressningsprogram.

Trojaner

En trojan (eller trojansk häst) förklär sig som legitim programvara för att lura dig att köra skadliga program på datorn. Eftersom den ser pålitlig ut laddar användare ned den, och släpper på så sätt oavsiktligt in skadlig kod på sin enhet. Själva trojanen är en dörröppnare. Till skillnad från en mask behöver de en värddator för att fungera. När en trojan har installerats på en enhet kan hackare använda den för att ta bort, ändra eller samla in data, utnyttja din enhet som en del av ett botnät, spionera på din enhet eller komma åt ditt nätverk.

Exempel på trojaner:

• Qbot, även kallat 'Qakbot' eller 'Pinkslipbot', är en banktrojan som varit aktiv sedan 2007 och fokuserar på att stjäla användardata och inloggningsinformation till banker. Skadeprogrammet har vidareutvecklats och har nu nya leveransmekanismer, kommando- och kontrolltekniker och funktioner som motverkar analys.
• TrickBot – som först identifierades 2016 – är en trojan som utvecklats och styrs av sofistikerade cyberbrottslingar. Den designades först som en banktrojan som skulle stjäla ekonomiska data, men TrickBot har utvecklats till ett modulärt skadeprogram med flera faser som ger operatörerna en hel svit med verktyg för att begå många olika cyberbrott.

Maskar

En av de vanligaste typerna av skadlig kod, maskar, sprids över datornätverk genom att utnyttja sårbarheter i operativsystemen. En mask är ett fristående program som kopierar sig självt för att smitta andra datorer utan att någon behöver vidta några åtgärder. Eftersom de kan sprida sig snabbt används ofta maskar för att leverera en 'last' – skadlig kod som skapats för att skada en dator. Den skadliga koden kan ta bort filer på en värddator, kryptera data för ett utpressningsangrepp, stjäla information, ta bort filer och skapa botnät.

Exempel på mask:

• SQL Slammer var en välkänd datormask som inte använde de traditionella spridningsmetoderna. Istället genererade den slumpmässiga IP-adresser och skickade sig till dem, och letade efter sådana som inte skyddades av antivirusprogram. Inte långt efter att den börjat spridas 2003 var resultatet att över 75 000 smittade datorer utan ägarnas kännedom var inblandade i DDoS-attacker mot flera större webbplatser. Även om den relevanta säkerhetsuppdateringen nu har varit tillgänglig i många år, hade SQL Slammer en comeback under 2016 och 2017.

Virus

Ett virus är en kort kod som infogar sig själv i ett program och som körs när programmet körs. När det väl finns på ett nätverk kan ett virus användas för att stjäla känsliga data, starta DDoS-attacker eller genomföra angrepp med utpressningsprogram. Virus sprids oftast via smittade webbplatser, fildelning eller nedladdning av e-postbilagor, och ligger vilande tills den smittade värdfilen eller det smittade värdprogrammet aktiveras. När det inträffar kan viruset kopiera sig och spridas genom dina system.

Exempel på virus:

• Stuxnet – Stuxnet upptäcktes 2010 och antas allmänt ha utvecklats av regeringarna i USA och Israel för att störa Irans kärnprogram. Det spreds via ett USB-minne och inriktade sig på industrikontrollsystem från Siemens, och fick centrifuger att haverera i rekordfart. Man tror att Stuxnet smittade över 20 000 datorer och förstörde en femtedel av Irans anrikningscentrifuger – och fördröjde programmet med flera år.

Tangentbordsloggare

En tangentbordsloggare är en typ av spionprogram som övervakar användaraktivitet. Tangentbordsloggare kan användas i legitima syften – i vissa länder är det till exempel tillåtet att hålla reda på vad barnen gör online eller vad personalen gör på datorerna. Men när de installeras i skadligt syfte kan tangentbordsloggare användas för att stjäla lösenordsdata, bankinformation och annan känslig information. Tangentbordsloggare kan ta sig in på system genom nätfiske, social manipulering eller skadliga nedladdningar.

Exempel på tangentbordsloggare:

• 2017 greps en student på University of Iowa efter att ha installerat tangentbordsloggare på personalens datorer för att stjäla inloggningsuppgifter så att han kunde ändra på betyg. Studenten förklarades skyldig och dömdes till fyra månaders fängelse.

Botar och botnät

En bot är en dator som har smittats med skadlig kod så att den kan fjärrstyras av en hackare. Boten – som ibland kallas för zombiedator – kan sedan användas för att starta fler angrepp eller ingå i en samling botar, ett botnät. Botnät kan omfatta miljontals enheter, eftersom de kan spridas utan att upptäckas. Botnät hjälper hackare med många olika brottsliga aktiviteter, inklusive DDoS-attacker, skicka skräppost och nätfiskemeddelanden samt att skicka andra typer av skadlig kod.

Exempel på botnät:

• Andromeda – botnätet Andromeda associerades med 80 olika familjer av skadlig kod. Det blev så stort att det en period smittade en miljon nya datorer i månaden, genom att sprida sig via sociala medier, snabbmeddelande, skräppost, ”exploit kit” och på flera andra sätt. Operationen sprängdes av FBI, Europols europeiska center för cyberbrottslighet och andra 2017 – men många datorer blev fortfarande infekterade.
• Mirai – 2016 blev stora delar av USA:s östkust utan internetanslutning efter en massiv DDoS-attack. Angreppet, som myndigheterna först fruktade kom från ett fientligt land, orsakades av botnätet Mirai. Mirai är en typ av skadlig kod som automatiskt hittar enheter i Sakernas internet som de kan smitta, och tvångsvärvar dem till ett botnät. Sedan kan denna Sakernas internet-armé användas för att starta DDoS-attacker, där en störtflod av meningslös trafik översvämmar måltavlans servrar. Mirai orsakar fortfarande problem idag.

PUP-program

PUP – en förkortning för ’potentially unwanted programs’, potentiellt oönskade program – är program som kan innefatta annonsering, verktygsfält och meddelanden som inte är relaterade till den programvara du laddat ned. PUP-program är strängt taget inte alltid skadlig kod – PUP-utvecklare pekar på att deras program laddas ned med användarens samtycke, till skillnad från skadeprogram. Men det är allmänt känt att de flesta laddar ned PUP-program därför att de inte har insett att de gått med på det.

PUP-program paketeras ofta med andra, mer legitima programvaror. De flesta får ett PUP-program på datorn för att de laddat ned ett nytt program och inte läste villkoren innan de installerade det – så att de inte insåg att de valde att installera ytterligare program som saknar egentligt syfte.

Exempel på skadliga PUP-program:

• Mindspark – detta var ett lättinstallerat PUP-program som hamnade på användarnas datorer utan att de lagt märke till nedladdningen. Mindspark kan ändra inställningar och utlösa åtgärder på enheten utan att användaren känner till det. Det är omvittnat svårt att bli av med.

Hybrider

Idag är de flesta skadeprogram en kombination av olika typer av skadlig kod, ofta med egenskaper från både trojaner och maskar och ibland även virus. Oftast verkar skadeprogrammet vara en trojan för slutanvändaren, men när det körs angriper det andra offer på nätverket som en mask.

Exempel på hybridskadeprogram:

• 2001 släppte en skadeprogramutvecklare som kallade sig ’Lion’ ett hybridskadeprogram — en mask-rootkit-kombination. Rootkit gör att hackare kan manipulera operativsystemfiler, medan maskar är ett kraftfullt sätt att snabbt sprida kodsnuttar. Denna illasinnade kombination orsakade kaos: den skadade över 10 000 datorer som körde Linux. Kombinationen av mask och rootkit hade speciellt designats för att utnyttja sårbarheterna i Linux.

Fillös skadlig kod

Fillös skadlig kod är en typ av skadlig kod som använder legitima program för att smitta en dator. Den förlitar sig inte på filer och lämnar inga spår efter sig, vilket gör den till en utmaning att upptäcka och ta bort. Fillös skadlig kod upptäcktes 2017 som en vanlig typ av angrepp, men många av dessa angreppsmetoder har funnits med ett tag.

De lagras inte i en fil och installeras inte direkt på datorn, utan infektioner med fillös kod går direkt till minnet, och det skadliga innehållet hamnar aldrig på hårddisken. Cyberbrottslingar har allt mer vänt sig till fillös skadlig kod som en effektiv alternativ angreppsform, eftersom den är svårare för traditionella antivirusprogram att upptäcka den på grund av att den inte lämnar många spår och inte har några filer som går att söka efter.

Exempel på fillös skadlig kod:

• Frodo, Number of the Beast och The Dark Avenger var tidiga exempel på denna typ av skadlig kod.

Logiska bomber

Logiska bomber är en typ av skadlig kod som bara aktiveras när ett speciellt villkor uppfylls, till exempel på ett visst datum eller när man loggar in på ett konto för tjugonde gången. Virus och maskar innehåller ofta logiska bomber för att aktivera själva skadeverkningen vid ett fördefinierat tillfälle eller när något annat inträffar. Den skada som orsakas av logiska bomber kan vara allt från att ändra enstaka databyte till att göra hårddisken oläsbar.

Exempel på logisk bomb:

• 2016 fick en programmerare kalkylblad att haverera på ett Siemens-kontor med några års mellanrum, så att de fick anlita honom om och om igen för att lösa problemet. I det här fallet var det ingen som misstänkte något tills ett sammanträffande exponerade den skadliga koden.

Hur sprids skadlig kod?

De vanligaste sätten som skadlig kod sprids på är bland annat:

• E-post: om din e-post har hackats kan skadlig kod tvinga din dator att skicka e-postmeddelanden med smittade bilagor eller länkar till skadliga webbplatser. När mottagaren öppnar bilagan eller klickar på länken installeras den skadliga koden på deras dator, och cykeln upprepas.
• Fysiska media: hackare kan lägga skadlig kod på ett USB-minne och vänta på att godtrogna offer sätter in dem i sina datorer. Den är tekniken används ofta vid industrispionage.
• Meddelanderutor: detta är bland annat falska säkerhetsvarningar som lurar dig att ladda ned falsk säkerhetsprogramvara, som i vissa fall är ytterligare skadeprogram.
• Sårbarheter: en säkerhetslucka i programvara kan göra att skadlig kod kan få obehörig tillgång till datorn, maskinvaran eller nätverket.
• Bakdörrar: en avsiktlig eller oavsiktlig öppning i programvara, maskinvara, nätverk eller systemsäkerhet.
• Obeställda nedladdningar: oavsiktlig nedladdning av programvara med eller utan slutanvändarens vetskap.
• Behörighetseskalering: en situation där en angripare får ökade behörigheter till en dator eller ett nätverk och sedan använder detta för att genomföra ett angrepp.
• Homogenitet: om alla datorer kör samma operativsystem och är anslutna till samma nätverk ökar risken för att en framgångsrik mask sprids till andra datorer.
• Blandade hot: paket med skadlig kod som kombinerar egenskaper från olika typer av skadlig kod, vilket gör dem svårare att upptäcka och stoppa eftersom de kan utnyttja flera olika sårbarheter.

Tecken på en infektion av skadlig kod

Om du har märkt något av följande kan du ha skadlig kod på din enhet:

•  En dator som är långsam, hänger sig eller kraschar
•  Den beryktade ’blåskärmen’
•  Program som öppnas och stängs automatiskt eller som ändrar sina inställningar själva
•  Brist på lagringsutrymme
•  Ökad mängd meddelanderutor, verktygsfält och andra oönskade program
•  E-post och andra meddelanden som skickats utan din inblandning

Använd antivirusprogram för att skydda dig från skadlig kod:

Det bästa sättet att skydda dig från angrepp med skadlig kod och potentiellt oönskade program är att använda en heltäckande antiviruslösning. Kaspersky Total Security skyddar dig dygnet runt 7 dagar i veckan mot hackare, virus och skadlig kod – och hjälper dig att hålla dina data och enheter säkra.

Relaterade artiklar:

• Vem skapar skadlig programvara?
• Vad är skillnaden mellan ett datorvirus och en mask?
• Hur fungerar datorvirus?
• De största utpressningsvirusattackerna under 2020