Så upptäcker antivirus skadliga program

I veckans Så fungerar-avsnitt lyfter vi en fråga som är ständigt återkommande i forumet. Vi frågar oss hur antivirus fungerar och besöker Eset, skaparen av Nod32.

2. Dagens virus och skadeprogram

Skadeprogrammen har utvecklats mycket under de dryga 30 år som de har plågat oss. Utifrån denna tid går det att dela in dem tre olika generationer. Den första generationens skadeprogram syftade främst till att påkalla uppmärksamhet. Skaparna av dessa skadeprogram var troligtvis mest nyfikna på hur väl deras uppfinningar kunde spridas.

Sedan kom generationen av skadeprogram som många fortfarande förknippar med ”virus” – generationen som förstörde för användarna. Dessa skadeprogram raderade filer, ändrade inställningar, startade om datorn och betedde sig allmänt illa. Du som läser detta kan själv återuppleva några av dessa klassiska skadeprogram på Malware Museum.

Malware Museum

På Malware Museum kan besökaren återuppleva klassiska Dos-virus (virtualiserat och säkert).

Skadeprogrammen som skrivs idag är däremot inte gjorda för att förstöra för användaren. De är i första hand gjorda för att tjäna pengar. Ibland innebär det att skadeprogrammen ställer till oreda, men det kan lika gärna innebära att skadeprogrammen döljer sig för att inte märkas.

Sätten som skadeprogram genererar pengar

Skaparna av dagens skadeprogram kan tjäna pengar på många olika sätt. Ett av de tydligaste sätten är genom utpressningstrojaner, det vill säga program som användarna luras att köra och då krypterar alla filer. För att dekryptera filerna måste den drabbade datorägaren betala en lösensumma vars storlek varierar.

Ett exempel på skadeprogram som tjänar pengar utan att märkas är banktrojanen. En sådan ligger latent i bakgrunden utan att göra minsta väsen av sig. När datorns ägare utför bankärenden på datorn ändrar banktrojanen i vart pengarna överförs så att de går någon annanstans än till mottagaren som står på skärmen.

Skadeprogramsskaparna kan också tjäna pengar på att kapa kreditkortsnummer eller på att sälja datorns hårdvaruresurser till botnät. Då kan terrorister använda datorns kraft och internetuppkoppling i överbelastningsattacker när de vill slå ut utvalda måltavlor.

Gemensamt för dessa senare nämnda skadeprogram är att de inte vill synas. De raderar inga filer, de visar inga jobbiga annonser (de byter möjligtvis ut befintliga annonser) och lägger inte till några konstiga verktygsfält i webbläsaren.

Om skadeprogrammen märks är risken att datorägaren rensar bort dem, och för skaparna av dem är det mer värt att behålla kontrollen över datorn än att få kortsiktiga vinster.