Så upptäcker antivirus skadliga program

Administratörsrättigheter

@anon159643:
Undrar fortfarande vilken fördel jag har av att inte ständigt vara inloggad som administratör. Jag hade tidigare hjälpt en bekant med backup till en USB disk. Men det sket sig totalt när hon fick allt krypterat. Undrar om hon varit hjälpt av att varit vanlig användare?

Skrivet av nikka:

Jag borde helt klart haft med svar på den frågan. Låt mig åtgärda det i efterhand med ett svar här i forumet.

När Microsoft lanserade sitt klientskydd (då under namnet Microsoft Security Essentials) var det rent skräp. På den tiden reflekterade jag till och med över ifall de medvetet gjort programmet dåligt för att inte stöta sig med tredjepartsleverantörerna eller riskera EU-regulatoriska åtgärder (på grund av sin monopolliknande ställning). Idag är situationen en helt annorlunda. Windows Defender är numera ett ytterst kompetent klientskydd som detekterar skadeprogram med samma noggrannhet som de klassledande alternativen (viss variation förekommer mellan testtillfällen, men överlag ligger Windows Defender riktigt bra till).

Problemet med Windows Defender är att den goda detektionsförmågan sker på bekostnad av prestanda och falsklarm. Se exempelvis de senaste rapporterna från AV-Comparatives. Windows Defender varnar för hot som inte finns och ger en märkbar prestandaförsämring.

Jag rekommenderar klientskydd från tredje part av två huvudanledningar: effektivare detektering med färre falsklarm och vikten av att inte få en homogen klientskyddsituation där alla Windows-datorer har samma skydd. Risken för att skadeprogram lyckas få en explosiv spridning minimeras ifall världens datorers skyddas med olika lösningar.

Med detta sagt vill jag på intet vis avråda från Windows Defender. Klientskyddet gör sitt jobb och kommer inom kort också att börja köras i en så kallad sandlåda, vilket (teoretiskt) gör att skadeprogram inte kan dra nytta av buggar i klientskyddet för att infektera datorn som det körs på. Detta blir Windows Defender först i världen med! Personligen kommer jag dock, inom en överblickbar framtid, att fortsätta utrusta såväl mina egna datorer som mitt företags datorer med klientskydd från tredje part.

Notera att jag i detta svar inte har vägt in tredjepartsklientskyddens support eller deras extrafunktioner såsom föräldrakontroll, säker filradering, lösenordshanterare och VPN-tjänster.

Hur ser du på skydd från tredje part som eventuellt skapar nya säkerhetshål i OS? Risken borde ju vara större än med Defender?

Skrivet av stigw:

@Johan86c:
Undrar fortfarande vilken fördel jag har av att inte ständigt vara inloggad som administratör. Jag hade tidigare hjälpt en bekant med backup till en USB disk. Men det sket sig totalt när hon fick allt krypterat. Undrar om hon varit hjälpt av att varit vanlig användare?

Administrator och vanlig användare är ett samlingsbegrepp, även om Microsoft har några defaultinställningar.
Att kryptera filer som användaren själv har tillgång till skyddar inte det vanliga userläget, däremot skulle det blockera kryptering av andra användares filer. Likaså sabotage på filer under program files. Nu kan trojaner och annat gå förbi dessa skydd.

Så se det som en extra säkerhet som inte på något sätt ersätter sunt förnuft och antivirusprogram. Angående få krypterade filer, så skulle jag gissa att den vanligaste orsaken var att sunt förnuftet brister. Får man från en okänd användare en exekveringsbar fil i ett mail eller en fil i till ett program med låg säkerhet. Och man ändå väljer att öppna detta.
Så kan det jämföras emot att man ger random okänd person på internet fjärranslutning till sin dator och går ifrån sin dator och låter den okända jobba i lugn och ro, det finns operativsystem som skyddar detta bättre än andra. Men på ett windows operativsystem så är man körd.

Nu finns det olika sätt att få dessa krypteringsvirus, vissa mer listiga än andra. Men är användaren inte uppmärksam så är den i farlig sits på windows oavsett vilket skydd den har. Självklart går det bygga bättre skydd som automatisk backup med versionshistorik i molnet, men det skyddar ej emot att någon hotar att sprida dens filer om den ej får betalt.

Senast redigerat 2019-02-17 09:53

Kan rekommendera att titta på ESMC, eset system management controller för de som administrerar flera datorer.

Utöver att ha en bra överblick för företagets datorer, dina egna och e.v. nära och kära (om du tar hand om familjens klientskydd) så kan du/ni kontrollera inställningar, uppdatera och lägga in policy i t.ex. brandväggen.

För företag är det fantastiskt att kunna installera eller avinstallera andra program och från ett ställe ställa in policy för brandväggen samt begränsa användaren (svagaste kedjan) från att ändra vissa eller samtliga inställningar i klientskyddet.
Du kan ha olika policy på olika enheter baserad på olika (miljontals) parametrar så som vilket OS, datornamn, enhetstyp m.fl. d.v.s. "dynamiska templates".
Du kan skapa en installationsfil innehållande eset "remote admin" så att klienten "hoppar in" i din miljö.

Kort vill jag bara rekommendera för den som vill kunna ha en bra klientskydd över flera datorer och på det kunna administrera skyddet samt lite extra funktioner som avinstallatoin / installation av andra program.

Skrivet av stigw:

Någonstans har jag lärt mej att man under normal användning inte ska vara inloggad som administrator. Det gör att för att få göra ändringar i datorn frågas efter administratörens lösenord. Så har jag kört några år och det är inte särskilt besvärligt. Man får ju knappa in lösenord ibland och då vet man ju varför. Jag hoppas att det bidrar till säkerheten. Men hur mycket? Om det gör någon nytta så borde det spridas kunskap om detta men det var längesedan jag hörde om detta. Bra att få veta om jag har fel.

Linux kör ju enligt denna princip(antar Mac också). Tror detta hjälper väldigt mycket. Är väl få virus som kan exekvera av sig själv. Fråntar man då möjligheten för en ”vanlig” användare att göra detta så är man ju rätt säker, krävs att man tänker till en extra gång iaf.
Nackdelen är ju att användarvänligheten sjunker en smula, antagligen därför MS valt att köra på sitt sätt som default.

Fanboi varning....

Har använt Eset sedan 29 januari 2008 och det har aldrig svikit. Just nu funderar jag på att utöka min licens med kryptering och lösenordshanterare men det sistnämnda finns inte för min version (Business Edition Endpoint Security). Har det på telefoner, plattor, servrar, desktops, laptops. Klyddigt att hålla ihop licensieringen för olika enheter så jag betalar förmodligen dubbelt i vissa avseende, men jag byter inte. Man kan dock tycka att Eset borde klara av att uppgradera större versioner automatiskt utan ny installation.

Fan Vad bra du är.
Kul att lyssna på.
Tack för infon!

Väldigt bra klipp! Fick en att börja tänka till lite, då jag kör Windows inbyggda bara. Men klippet väckte mig lite så man börjar fundera på vad man borde göra.

Finns det något liknande klipp ang. firewalls också?

Får nog starta en tråd här på forumet ang tips och råd hur ja ska sätta upp nätverket i nya villan, så man är skyddad på ett bra sätt (med en 12åring hemma som börjar surfa mer o mer så känns det lite relevant ändå).

Skrivet av Knotvillage:

Har kör AVG i flera år nu men böt till Defender. Har inga ungar som surfar så har ganska stor koll på vad som händer.

Sen en lite fråga. För några år sen hörde jag om hårdvaruvirus. Kanske bara en skröna men fick man det var man tvungen att byta ut hårdvaran. Någon hade fått moderkort. Har det funnits?

Skickades från m.sweclockers.com

Det har funnits exempel på skadeprogram som påverkar datorns hårdvara. Lyckligtvis är det svårt för angripare att tjäna pengar på att förstöra vanliga konsumenters hårdvara, så risken bedömer jag (personligen) som mycket liten. Situationen är dock en annorlunda när det handlar om attacker mot uppkopplade styrsystem (i industri, vatten- och kraftnät o.s.v.). Jag arbetar också tillsammans med Omnisiens som arrangerar CS3 STHLM-konferensen. Det är en årlig konferens som handlar om säkerhet i just styrsystem. Om ni är intresserade av hur skadeprogram har använts i sådana attacker kan ni se några av fjolårets föredrag på https://cs3sthlm.se/youtube. Vi laddar upp fler föredrag inom kort.

Skrivet av Redzo:

" Då kan terrorister använda datorns kraft och internetuppkoppling i överbelastningsattacker när de vill slå ut utvalda måltavlor"

Enbart pga du använder billig skrämseltaktik ala det värsta populistpolitiker därute gör att jag skulle hellre bränna mina datorer än använda sig av en produkt som ert.
Episkt facepalm...

Jag vill bara förtydliga att jag representerar SweClockers (inte Eset). Jag kan också glädja dig med att vi i årsplanen har ett avsnitt som handlar om just överbelastningsattacker och hur terrorister använder dem för att nå sina mål.

Skrivet av stigw:

Någonstans har jag lärt mej att man under normal användning inte ska vara inloggad som administrator. Det gör att för att få göra ändringar i datorn frågas efter administratörens lösenord. Så har jag kört några år och det är inte särskilt besvärligt. Man får ju knappa in lösenord ibland och då vet man ju varför. Jag hoppas att det bidrar till säkerheten. Men hur mycket? Om det gör någon nytta så borde det spridas kunskap om detta men det var längesedan jag hörde om detta. Bra att få veta om jag har fel.

Om alla hade följt denna rekommendation hade skadeprogrammen både varit färre och betydligt mer begränsade rent funktionsmässigt. Jag rekommenderar alla att vara inloggade som användare i stället för som administratör (vilket ni kanske märkt i några videos redan).

Numera är det dessutom förhållandevis enkelt att köra datorn på detta vis. Du behöver inte längre växla över till administratörskontot manuellt varenda gång du vill göra något som kräver administratörsrättigheter. Det räcker att fylla i administratörskontots lösenord i dialogrutan som dyker upp.

Skrivet av maweric:

Hur ser du på skydd från tredje part som eventuellt skapar nya säkerhetshål i OS? Risken borde ju vara större än med Defender?

Det ska bli riktigt intressant att se hur väl sandlådeläget för Windows Defender fungerar när det rullar ut på bred front. Det är helt klart något som jag hoppas att de andra klientskyddstillverkarna tar efter (under förutsättning att Windows överhuvudtaget kan låta dem göra det). Oavsett vad bedömer jag inte sandlådningen i sig som ett tillräckligt stort plus att det väger tyngre än de tidigare nämnda argumenten för tredjepartsskydden. Denna bedömning kan självfallet komma att ändras med tiden beroende hur angreppen mot tredjepartsskydden utvecklas.

Windows skyddet tycker jag fungerar rätt bra. dock är det lite mer störande när man tankar hem kända filer och antiviruset plockar bort grejerna... direkt... liksom utan att fråga utan det laddas bara inte ner.

Skrivet av nikka:

Jag borde helt klart haft med svar på den frågan. Låt mig åtgärda det i efterhand med ett svar här i forumet.

När Microsoft lanserade sitt klientskydd (då under namnet Microsoft Security Essentials) var det rent skräp. På den tiden reflekterade jag till och med över ifall de medvetet gjort programmet dåligt för att inte stöta sig med tredjepartsleverantörerna eller riskera EU-regulatoriska åtgärder (på grund av sin monopolliknande ställning). Idag är situationen en helt annorlunda. Windows Defender är numera ett ytterst kompetent klientskydd som detekterar skadeprogram med samma noggrannhet som de klassledande alternativen (viss variation förekommer mellan testtillfällen, men överlag ligger Windows Defender riktigt bra till).

Problemet med Windows Defender är att den goda detektionsförmågan sker på bekostnad av prestanda och falsklarm. Se exempelvis de senaste rapporterna från AV-Comparatives. Windows Defender varnar för hot som inte finns och ger en märkbar prestandaförsämring.

Jag rekommenderar klientskydd från tredje part av två huvudanledningar: effektivare detektering med färre falsklarm och vikten av att inte få en homogen klientskyddsituation där alla Windows-datorer har samma skydd. Risken för att skadeprogram lyckas få en explosiv spridning minimeras ifall världens datorers skyddas med olika lösningar.

Med detta sagt vill jag på intet vis avråda från Windows Defender. Klientskyddet gör sitt jobb och kommer inom kort också att börja köras i en så kallad sandlåda, vilket (teoretiskt) gör att skadeprogram inte kan dra nytta av buggar i klientskyddet för att infektera datorn som det körs på. Detta blir Windows Defender först i världen med! Personligen kommer jag dock, inom en överblickbar framtid, att fortsätta utrusta såväl mina egna datorer som mitt företags datorer med klientskydd från tredje part.

Notera att jag i detta svar inte har vägt in tredjepartsklientskyddens support eller deras extrafunktioner såsom föräldrakontroll, säker filradering, lösenordshanterare och VPN-tjänster.

Det är väl även så att man som utvecklare inte är bäst lämpad att testa sin egen kod. Nu är Microsoft visserligen ett enormt företag så det är knappast så att alla känner varandra, men risken finns väl att Windows utecklare och Windows Defender pratar rätt mycket med varandra på så sätt att de som bygger Windows Defender har en uppfattning om vilka delar av OS:et som är mer eller mindre känsliga. Eller iaf att man tror sig veta det. Då blir det rätt naturligt att man lägger mer fokus på de delar där man tror det behövs som bäst.

Min egen erfarenhet från många år som utvecklare är att de flesta större fel som upptäckts i min kod (oavsett om det är säkerhetsproblem eller inte) är i de delar där jag tyckt att allt borde vara i sin ordning, och därför själv inte testat lika väl som andra delar. Sen är det väl samtidit svårt att veta exakt vad alternativet skulle vara, om det var så att man som utvecklare la all tid där man trodde det minst behövdes så skulle det förmodligen inte vara bättre. Det bästa är så klart att även nån annan testar det man gör så oberoende som möjligt.

Med de sagt ska jag erkänna att jag själv kör Windows Defender fast då i kombination med rätt mycket sunt förnuft.

Skrivet av improwise:

Med de sagt ska jag erkänna att jag själv kör Windows Defender fast då i kombination med rätt mycket sunt förnuft.

Samma här.

Och så fort man skriver sånt så dyker det upp tonåringar som skriker att man definitivt har virus om man inte använder just deras antivirus. Och gemensamt för allihop är att dom sitter och laddar Torrents efter tips från okända (L33t H@x0r) som dom har kontakt med via den skumma e-mail service dom använder för att Google/MS inte ska avslöja som pirater för CopySwede när dom delar länkar till sina illegala Torrents. Alltså, virustillverkare använder dessa fjun som testbädd för sina virus.

Skrivet av Paralog:

Samma här.

Och så fort man skriver sånt så dyker det upp tonåringar som skriker att man definitivt har virus om man inte använder just deras antivirus. Och gemensamt för allihop är att dom sitter och laddar Torrents efter tips från okända (L33t H@x0r) som dom har kontakt med via den skumma e-mail service dom använder för att Google/MS inte ska avslöja som pirater för CopySwede när dom delar länkar till sina illegala Torrents. Alltså, virustillverkare använder dessa fjun som testbädd för sina virus.

Jo, det verkar gälla överlag numera "Jag har den här produkten/tjänsten - alltså är det superbäst för alla i alla lägen och allt annat är skit". Överlag handlar det väl i säkerhetssammanhang om sunt förnuft. Sen ska man man dock inte underskatta att det är lite som fotboll, den som anfaller behöver bara hitta ett hål men den som försvarar måste täppa till samtliga. Dvs ett virus/intrångsförsök behöver normalt bara hitta en svaghet, medan antiviruser/brandvägen/IDPn osv måste täppa till samtliga.