Virus vs Orm: Hvad er forskellen?
Hvad betyder de hver især, og hvordan du kan beskytte din organisation mod dem
This post is also available in:
English
Virus vs orm – er der nogen forskel? Kort svar: Ja, helt sikkert, og du bør aldrig forveksle den ene med den anden. I denne artikel vil jeg introducere dig til sondringer og ligheder mellem orme og virus og give dig en beskyttelsesvejledning, som du og din organisation kan drage fordel af.
Malware vs. virus vs. orm
Malware viser enhver form for skadelig software eller kode, der er implanteret på en enhed med det formål at forårsage skade. Det omfatter ransomware, spyware, adware og andre typer skadelige programmer. Sådan definerer National Institute of Standards and Technology (NIST) det:
Malware, også kendt som ondsindet kode og ondsindet software, refererer til et program, der indsættes i et system, normalt skjult, med det formål at kompromittere fortroligheden, integriteten eller tilgængeligheden af ofrets data, applikationer eller operativsystem eller på anden måde irriterer eller forstyrre offeret. – NIST Special Publication 800-83
Virus og orme er andre typer malware, der er oprettet til at udføre ondsindede funktioner. I de tidlige dage af cybertrusler var de mere til gene for organisationer og enkeltpersoner snarere end en potentiel fare.
Men dagens malware landskab skildrer en uendelig kamp mellem cyberforsvars specialister og cyber hackere, med det globale trussels miljø skiftende år efter år. Nu er ondsindet software blevet en alvorlig trussel, med over 350.000 nye malware-stammer og potentielt uønskede applikationer (PUA), der oprettes hver dag, ifølge AVTest.
På den nuværende bane, er det ikke underligt, at organisationer og forbrugere kæmper for at holde deres forsvar. Men naturligvis er ikke alle malware-typer skabt lige, og i denne artikel vil jeg se på to meget specifikke typer malware: virus og orme.
Hvad er en computervirus?
Med reference til cybersikkerhed er “virus” måske det mest anerkendte udtryk og bruges ofte i flæng med “malware”. Men som jeg allerede har nævnt ovenfor, er “malware” og “virus” ikke synonymer – malware er den altomfattende betegnelse for alle typer af ondsindet software, herunder virus.
En kort historie om computervirus
Begrebet “computervirus” blev først en hypotese af John von Neumann i slutningen af 1940’erne og yderligere uddybet i en artikel offentliggjort i 1966 (Theory of SelfReproducing Automata) efter hans død. Artiklen spekulerede omkring, at det ville være muligt for en teknologisk organisme at opføre sig ligesom en biologisk virus, beskadige maskiner gennem selvreplikation og have evnen til at bevæge sig fra enhed til enhed. Begyndelsen af 1970’erne markerede begyndelsen på den faktiske computervirus – eller, en slags. Den første virus ved navn Creeper havde ingen ondsindede formål og viste kun beskeden “Jeg er creeper. CATCH ME IF YOU CAN!” på skærmen. I praksis var det et eksperimentelt computerprogram skrevet af Bob Thomas i 1971, i forsøget på at finde ud af, om et selvkopierende program faktisk var levedygtigt. Dens første version var designet til at flytte mellem DEC PDP-10 mainframe computere, der kører TENEX-operativsystemet gennem ARPANET (det netværk, der blev det tekniske fundament for dagens internet).
Kort tid senere skrev Ray Tomlinson en forbedret version, som ikke bare bevægede sig – nu var den også i stand til at selvkopiere. Bagefter blev et andet program (kaldet Reaper) skabt af Tomlinson, som skulle gå gennem ARPANET og fjerne Creeper. Hvis du er nysgerrig efter at finde ud af mere og om historien om computervirus og gå gennem deres tidslinje, så foreslår jeg at du tjekker denne ressource. Lad os nu gå tilbage til, hvad en computervirus er, og hvad den gør. I vores HeimdalTM Security ordliste definerer vi virus på følgende måde:
En computervirus er en type skadelig software, der kan replikere sig selv. En virus har brug for menneskelig indgriben for at køre, og den kan kopiere sig selv til andre computerprogrammer, datafiler eller i visse dele af computeren, f.eks. Når dette sker, vil disse elementer blive smittet. Computervirus er designet til at skade computere og informationssystemer og kan spredes via internettet gennem ondsindede overførsler, inficerede vedhæftede filer i e-mails, skadelige programmer, filer eller dokumenter. Virus kan stjæle data, ødelægge oplysninger, logge tastetryk og meget mere. – Heimdal Security Glossary, “Virus” Definition
Forskellige typer af virus virker forskelligt. For eksempel kan nogle begynde at replikere og forårsage skade på en maskine, så snart de kommer ind i en vært, mens andre kan ligge i dvale og forblive uopdaget, indtil en bestemt stimulus udløser udførelsen af den ondsindede kode på computersystemet.
Typer af virus
Ifølge TechTarget er der syv kategorier af computervirus.
FILINFICATORER
Filinficerende virus knytter sig normalt til programfiler – typisk .com eller .exe filer. De kan inficere programmer, der kræver udførelse (herunder .sys-, .ovl-, .prg- og .mnu-filer). I dette tilfælde, når et program køres, vil virus køre imens. Nogle virus, der inficerer filer kommer i komplet indeholdt programmer eller scripts sendt til e-mail noteret som en vedhæftet fil.
Makrovirus
I programmer som Microsoft Word og andre programmer er disse virus direkte rettet mod makrosprogkommandoer. I Word er makroer sekvenser, der er gemt til kommandoer eller tastetryk, der indsættes i dokumenter. Makrovirus i en Word-fil anvender deres skadelige kode på de gyldige makrosekvenser. I nyere versioner af Word har Microsoft som standard fjernet makroer. Som følge heraf brugte hackere social engineering-ordninger til at overtale målrettede brugere til at tillade makroer og udløse virussen. Microsoft introducerede en ny funktion i Office 2016, der gør det muligt for sikkerhedsadministratorer selektivt kun at tillade makrobrug til troværdige arbejdsprocesser samt forbyde makroer i en virksomhed, da makrovirus har oplevet en genoplivning i de senere år.
OVERWRITE VIRUS
Disse er specielt designet til at slette dataene i en fil eller et program. En overwrite Virus begynder at erstatte filer med sin egen kode efter at inficere et system. Disse virus kan beskadige bestemte filer eller programmer eller ødelægge alle filer på en berørt computer. Ny kode kan indsættes i filer og apps via en overwrite virus, som gør det muligt at udbrede til yderligere filer, software og systemer.
POLYMORFE VIRUS
En polymorf virus er en malware type, der uden at ændre sine grundlæggende funktioner eller funktionalitet, er i stand til at ændre sig selv eller morphe dens underliggende kode. Denne tilgang gør det muligt at undgå at blive opdaget af antimalwaresoftware, der er afhængig af signaturgenkendelse. Når et sikkerhedsværktøj registrerer signaturen af en polymorf virus, vil det derefter ændre sig på en sådan måde, at det ikke længere kan identificeres ved sin oprindelige signatur.
RESIDENTE VIRUSSER
De integrerer sig i et systems hukommelse. For at inficere nye filer eller programmer er det oprindelige virusprogram ikke nødvendigt – selvom den oprindelige virus fjernes, aktiveres den version, der er gemt i hukommelsen, når operativsystemet indlæser et bestemt program eller en bestemt handling. Residente virusser er generende, fordi, de ved at opholde sig i RAM af enheden, kan omgå anti-virus og antimalware værktøjer.
ROOTKIT VIRUS
En rootkit virus er en form for malware, der installerer en uønsket rootkit på en inficeret enhed med evnen til radikalt at ændre eller deaktivere funktioner og programmer, og giver cyber angribere total kontrol over systemet. Rootkit-virus var designet til at omgå antivirussoftware, som kun scannede apps og filer.
SYSTEM- ELLER BOOT-RECORD-INFEKTORER
Disse virus beskadiger eksekverbar kode, der er fundet på en disk i nogle systemplaceringer. De opretter forbindelse til DOS-startsektoren på USB thumb drev eller Master Boot Record på harddiske. I et standardangrebstilfælde modtages lagerenheder, der indeholder en startdiskvirus, af brugeren. Filer på den eksterne lagerenhed beskadiger systemet, mens ofrenes operativsystem kører. Startdiskvirussen udløses ved at genstarte systemet. En inficeret computerforbundet lagerenhed ændrer eller erstatter endda den oprindelige startkode på det inficerede system, så virussen automatisk indlæses og udføres som en del af Master Boot Log, når systemet startes næste gang. Boot virus er nu mindre udbredt fordi fysiske lagringsmedier er mindre afhængige af nutidens enheder.
Berygtede computervirus
Nedenfor kan du se nogle eksempler på de mest ødelæggende computervirus i historien:
ILOVEYOU
ILOVEYOU menes at være en af de værste virusser, der nogensinde er skabt. Med omkring 10 milliarder dollars værd af skader, har den formået at ødelægge 10% af computere rundt om i verden. Den var så alvorlig at store virksomheder og regeringer blev tvunget til at lukke deres mailsystemer for at undgå den. Den blev udviklet af to filippinske programmører, Reonel Ramones og Onel de Guzman, det var baseret på social engineering og at narre enkeltpersoner til at åbne en e-mail vedhæftet fil, der udgav sig som en harmløs TXT-fil. På det tidspunkt (år 2000) viste Windows ikke filtypenavnet. Når offeret klikkede på filen, ville virussen sende sig selv til alle på maillisten og overskrive filer med sig selv, hvilket gjorde enheden unbootable. På det tidspunkt blev de to ondsindede hackere ikke sigtet, da der ikke eksisterede nogen love, da cyberforbrydelserne fandt sted.
Melissa
I slutningen af marts 1999 begyndte Melissa-virussen at sprede sig som en steppebrand på internettet. Selvom det ikke var meningen at stjæle penge eller brugernes data, producerede det en masse skade. E-mail-servere på over 300 virksomheder og regeringer blev påvirket, og nogle af dem måtte lukkes helt – selv Microsoft var et af ofrene. Omkring 1 million konti var blevet inficeret. Virussen opstod ved at korruptere ofrenes Microsoft Word-software, ved hjælp af en makro til at angribe deres Outlook-e-mail-system og sende e-mails til de første 50 kontakter på målets liste. Beskederne narrede folk til at åbne vedhæftede filer med titlen “sexxxy.jpg” eller “nøgen kone” eller ved svigefuldt at hævde, “Her er det dokument, du har anmodet om … vis det ikke til andre ;-).” Fordi det var baseret på social engineering, blev mange mennesker til ofre.
SHAMOON
Shamoon-virussen blev skabt til cyberkrigsførelse, der blev designet af cyberkriminelle til at bekæmpe olieselskaber i Saudi-Arabien og Qatar. Det overførte skadeligt indhold fra en inficeret computer til andre netværksforbundne computere. Handlinger af virus og resultatet af infektionen af malware adskiller sig fra andre malware typer. Denne specifikke virus tog filer fra en inficeret computer, uploadede dem til angriberens enhed, og slettede dem så. Derefter overskrev det det inficerede systems master boot record, hvilket gjorde det umuligt at bruge.
Hvad er en computerorm?
I modsætning til virus er orme ikke afhængige af brugernes indgriben for at kunne formere sig. Kort sagt, er en orm en malware type, der kan flytte og kopiere sig selv fra enhed til enhed som et selvstændigt program. Evnen til at fungere uafhængigt er det, der adskiller orme fra andre typer malware uden behov for en værtsfil eller at infiltrere kode på værtsmaskinen, hvilket gør dem bedre end virus og dermed farligere. Orme er afhængige af de sårbarheder, der findes i et system. Mens virus kan narre dig til at aktivere dem eller forsøge at udnytte huller i applikationer ved hjælp af social engineering taktik, en orm finder fejl i OS, der gør det muligt at installere og lave kopier af sig selv. Morris Worm er almindeligt kendt som den første store malware af enhver type og den første computerorm, der faktisk havde en reel virkning. Ormen blev sat ud i november 1988 og blev designet af Robert Morris, en kandidatstuderende ved Cornell University på det tidspunkt. Han iværksatte angrebene fra MIT-serverne, angiveligt for at skjule sin handling.
En liste over berømte computer orme
Spredningen af computer orme resulterede i nogle af de mest ødelæggende malware-angreb nogensinde. Nedenfor har jeg listet nogle af de farligste i historien.
Stuxnet
Stuxnet orm blev første gang set i løbet i sommeren 2010, hvor den oprindeligt var rettet mod Irans atom anlæg. Det lykkedes at ødelægge flere centrifuger i landets Natanz uranberigelsesanlæg ved at få dem til at brænde sig selv ud. Ifølge Stuxnets logfiler syntes et firma ved navn Foolad Technic at være det første offer. En tilfældig arbejdstagers USB-drev menes at have oprindeligt lanceret ormen, som derefter spredes til Microsoft Windows-computere.
Mydoom
Den 26. januar 2004 dukkede MyDoom op og distribuerede via e-mail og via et P2P-netværk. Virussen blev skrevet i C + + programmeringssprog og opstod fra Rusland, den producerer en bagdør i operativsystemet af ofrenes computer. Virussen lancerede et Denial of Service (DDoS) angreb d. 1 februar 2004, og det stoppede med at sprede sig selv den 12 februar. De bagdøre, der blev produceret under de første infektioner, forblev aktive, selv efter infektionen spredte sig.
Sasser
En 17-årig tysker ved navn Sven Jaschan udviklede Sasser-ormen. Hvad denne malware gjorde, var at når det havde ødelagt en enhed, begyndte det at lede efter andre sårbare computere, scannede for tilfældige IP-adresser for at finde sine næste ofre. Selvom det ikke forårsagede nogen fysisk skade, var det den grundlæggende årsag til DDoS-angreb. F.eks. stoppede den en tredjedel af postkontorerne i Taiwan, lukkede 130 filialer af en bank i Finland og førte til aflysning af flere jernbane- og transatlantiske flyvninger.
Computerorm vs. virus
Som jeg allerede har nævnt før, kan både virus og orme forårsage stor skade på din organisation og spredes hurtigt. Det, der adskiller dem, er den måde, hvorpå de selv replikerer, virus kræver hjælp fra brugerne, mens orme er i stand til at handle på egen hånd.
|
Virus |
Orm |
|
En virus kræver, at en bruger enten med vilje eller utilsigtet spreder infektionen, uden kendskab til eller tilladelse fra en systemadministrator. |
En computerorm er en enkeltstående malware, der selv replikerer og ikke kræver nogen form for menneskelig indgriben for at udbredes – for eksempel kan den stole på sikkerhedssårbarheder. |
Hvordan spredes virus og orme?
Virus har brug for menneskelig aktivitet (såsom udførelse af et inficeret program) for at udbrede sig, som beskrevet ovenfor. Orme kan dog spontant spredes, uden at brugeren gør noget. Men hvordan bliver enheder smittet med en virus eller orm, i første omgang? De mest almindelige infektionsmetoder er:
- E-mail. Social engineering taktikker og inficerede vedhæftede filer i e-mails eller ondsindede links går hånd i hånd. E-mail er en af de mest anvendte metoder til at levere virus og orme.
- Inficerede hjemmesider. Virus og orme kan leveres i form af inficerede bannere eller pop-ups på websider, nogle gange endda på legitime websteder.
- Sikkerhedsbrister. Ofte giver sårbarheder der findes i systemer, hackere mulighed for at udnytte dem og injicere malware i en organisations systemer. Orme er i stand til at scanne netværk, identificere sårbarheder og derefter udnytte dem.
- P2P-downloads: Piratkopierede spil eller tv-udsendelser, der ulovligt er hentet fra uautoriserede kilder, kan også medbringe uønsket skadelig software, herunder orme og virus.
Sådan beskytter du din virksomhed mod virus og orme
Mens virus og orme har en enorm evne til destruktion, vil du, hvis du følger nogle bedste praksis være i stand til at forhindre dem. Være altid på vagt og undersøg omhyggeligt de vedhæftede filer i e-mails, du modtager (især fra ukendte afsendere), sørg for ikke at klikke på mistænkelige links og opdater din software det er et par vigtige trin, du og dine kolleger kan tage for at forhindre cyberhændelser. Vi er overbevist om, at cybersikkerhedsbevidsthed er et af de bedste forsvar mod malware, og derfor går vi ind for løbende cybersikkerhedsuddannelse. Men da menneskelige fejl ofte er uundgåelige og kan have alvorlige konsekvenser, skal organisationerne tage yderligere beskyttelsesforanstaltninger i brug. Selvom kørsel af et antivirusprogram til virksomheder er et vigtigt første skridt, beskytter det ikke din virksomhed mod visse medarbejderadfærder, f.eks. ved at klikke på ondsindede links eller bruge forældede versioner af softwaren. Endpoint Security Software integrerer state-of-the-practice-funktioner, der understøtter sikre systemer og styrker en organisations sikkerhed, privatliv og opretholder cyberrobusthed baseret på de nyeste trusselsefterretninger og cyberangrebsdata. Mere præcist dækker vores komplette endpoint sikkerhedsløsning trusselsopsporing, forebyggelse og afhjælpning takket være dens DNS-filtreringsteknologi (som proaktivt blokerer kendte og endnu ukendte malwareinfektioner, phishing-angreb og dataeksfiltrering), et next-gen antivirus– og vulnerability management værktøj (til softwareimplementering, inventory og automatisk program patching).
- Next-gen Antivirus & Firewall which stops known threats;
- DNS traffic filter which stops unknown threats;
- Automatic patches for your software and apps with no interruptions;
- Privileged Access Management and Application Control, all in one unified dashboard
Opsummering af artiklen
Afslutningsvis kan både virus og orme spredes hurtigt og forårsage skade – fra mild til katastrofal. Den største forskel mellem dem er, hvordan de selv formerer sig, med virus, der kræver en værts inblanding og orme, der arbejder uafhængigt. Konsekvenserne af virus- eller ormeinfektioner kan føre til problemer i forbindelse med enheders ydeevne, penge- og datatab og endda omdømmeskader eller endda omfattende, landsdækkende angreb.