Vad är ett virus?

När det gäller datorvirus, så är det en form av datakod, programkod, vars främsta syfte är att sprida sig själv till andra filer och på så vis sprida sig själv vidare. Numera är det även vanligt att koden är skriven för att försöka sprida sig vidare via Internet på något sätt och via e-post är ett av de vanligaste tillvägagångssätten.

Koden i sig behöver inte vara skadlig, men är den dåligt skriven, så kan den göra datorn väldigt långsam eller krascha den.

Datorvirus och all annan form av skadlig kod består av helt vanlig programkod, precis som vilket annat datorprogram som helst, men till skillnad från vanliga program, så fyller virusprogrammet inte någon funktion annat än att den försöker sprida sig själv.

Åtminstone var det så virus såg ut en gång i tiden, men på senare år har fler och fler börjat utnyttja ”virus” för att tjäna pengar.

Just ”virus” är egentligen bara en definition och kategorisering av vilken typ av program det handlar om. Microsoft Word är ett ordbehandlingsprogram och Photoshop är ett bildbehandlingsprogram. Men precis som du i Word kan använda bilder, så kan du i Photoshop skapa text.

Det fungerar precis likadant med skadlig kod. Ett program kan innehålla skadlig kod vars syfte är att registrera vilka tangenter du trycker på och logga detta i en fil som skickas till en server med jämna mellanrum. Denna typ av program hamnar under kategorin Trojanska hästar.

Ett annat program sprider sig till andra exekverbara filer (.exe-filer) och gör inget annat än just det och klassas därför som ett virus.

Givetvis kan en programmerare av skadlig kod kombinera dessa funktioner, så spionprogrammet även får funktionen att den sprider sig själv i syfte att ”infektera” fler filer och datorer.

Det som menas med ”infektering” är att skadlig kod kommer in på datorn på ett eller annat sätt, exempelvis genom att användaren öppnar en bifogad exe-fil i ett e-postmeddelande som innehåller skadlig kod av något slag.

Det finns en mängd olika typer av skadlig kod, såsom virus, trojanska hästar, maskar, makrovirus etc, men alla består av datakod av något slag. Det har absolut inget med baciller att göra och inga riktiga infektioner.

Numera är det vanligt att man försöker tjäna pengar på skadlig kod och det har gjort att mängden skadlig kod ökar enormt.

Ett allt vanligare sätt att försöka tjäna pengar på ”virus” är med hjälp av så kallade scareware. Det är per definition inget virus utan en typ av Trojansk häst, ett program som utger sig för att vara något det inte är och många scareware-program både utger sig för, ser ut som och beter sig som helt legitima antivirus. De ser många väldigt professionella ut och de ser även ut att ha samma funktionalitet som ett antivirusprogram. Dessutom hittar de virus och andra typer av hot på din dator och det framställer ju programmet i sämre dager.

Med dessa program kan du helt gratis scanna datorn, men för att fixa problemen som den hittar (och givetvis hittar de alltid problem) måste du betala en summa. Givetvis finns det inga problem utan det är bara något programmet påstår.

Många av programmen ”scannar” faktiskt datorns filer och det kan ta väldigt lång tid, men det handlar inte om någon riktigt sökning efter skadlig kod utan det är enbart en fasad för att det ska se riktigt ut. Programmet kan mycket väl lista alla filerna på datorn för att det ska tid och för att du ska höra att hårddisken jobbar, men den söker egentligen inte efter något. Däremot ”hittar” den diverse program såsom virus, maskar, trojanska hästar och vad det nu kan vara.

För att fixa ”problemen” som programmet hittat, så måste du betala en avgift och gör du det, så fixar programmet alla problemen. Har du tur, så händer inget mer efter detta, men risken finns att du uppmanas betala för uppgraderingar i framtiden. I värsta fall fortsätter du använda det falska antivirusprogrammet och tror att du är skyddad mot framtida hot, men i verkligheten har du en helt oskyddad dator och ökar därmed risken för att faktiskt råka installera eller köra ett program med skadlig kod.

Skaparna av scarewareprogrammen är i regel inte intresserade av att sprida sig i för stor omfattning och absolut inte lämna några spår efter sig eftersom antivirus- och säkerhetsföretagen då får upp ögonen för deras program, så ju smidigare och tystare de kan verka, desto bättre.

En annan typ är ransomware som går ut på att utpressa dig genom att låsa din dator eller krypterar dina filer. För att få datorn upplåst eller filerna dekrypterade tvingas du betala en summa pengar och när det gäller krypterade filer, så har du oftast inte mycket annat att välja på. Att försöka dekryptera filerna utan rätt nyckel är oftast i princip omöjligt. Sen är det ju ingen garanti att filerna blir dekrypterade bara för att du betalar, men vad annat har du att välja på? Har du inget av värde på datorn, så är det förstås bara att formatera och installera om Windows, men har du hela familjealbumet på datorn, så är det lite mer kritiskt.

Det förekommer även varianter där datorn blir låst eller du får ett meddelande om att du har barnpornografi eller annat olagligt material på datorn och att polisen kommer att kontaktas om du inte betalar en viss summa.

Men oavsett om det är virus, trojanska hästar, ransomware, scareware eller maskar, så är det som sagt vanlig kod (elakartat och oönskad) det handlar om, men det innebär att den blir skadlig först när den exekveras (körs). En JPG-, eller GIF-bild kan innehålla skadlig kod, men den kan inte exekveras så länge filen har filändelsen .jpg, .gif, .png eller vad det nu är. Exe-filer är den vanligaste typen av exekverbara filer, men det finns fler och du hittar en lista över några av dessa på följande sida: http://pcsupport.about.com/od/tipstricks/a/execfileext.htm.

Öppna därför aldrig en fil med en filändelse som du inte känner till och var extra försiktigt med filer som är exekverbara, speciellt om du får den via e-post.

I listan som jag länkar till här ovan finns inte filändelsen ”.scr” med, vilket jag tycker är konstigt eftersom det är filändelsen för skärmsläckare i Windows. Skärmsläckare är helt vanliga program, men istället för att ha filändelsen ”.exe”, så har de filändelsen ”.scr”. De kan med andra ord innehålla skadlig kod och det har varit – och är säkert fortfarande – ett vanligt sätt att sprida skadlig kod. Vem har inte sett en skärmsläckare föreställande ett akvarium med simmande fiskar, småkryp som kryper över skärmen eller en skärmsläckare där du själv kan välja vilka bilder som ska visas med olika effekter när den byter bild? Har du laddat ner en sådan skärmsläckare, så har du laddat ner ett datorprogram, men det betyder förstås inte att du laddat ner ett virus – men det skulle mycket väl kunnat innehålla skadlig kod.

Många har lärt sig att filer med filändelsen ”.exe” kan vara farliga och låter därför bli att öppna dessa om de kommer i ett e-post, så därför försöker många ”virus”-skapare invagga användaren i falsk säkerhet genom att döpa filen till exempelvis ”nakenbild.jpg.exe”.

Eftersom Windows som standard är inställt på att dölja filändelser för kända filtyper, så kommer filen att visas som ”nakenbild.jpg” och det har många lärt sig är en bild och därmed ofarlig att öppna.

Varför Microsoft under alla åren haft denna inställning som standard övergår mitt ringa förstånd och jag rekommenderar starkt att du ändrar inställningen till att visa filändelser för alla typer av filer.

Här ovan ser du en fil jag skapat och som egentligen heter ”nakenbild.bmp.exe”, men eftersom filändelserna är dolda (”File name extensions” är avkryssad), så visas inte filens egentliga filändelse, som alltid är tecknen efter sista punkten i ett filnamn.

Kryssar du för ”File name extensions”, ”Visa filändelser” på svenska(?), så är det plötsligt uppenbart att det inte alls handlar om någon oskyldig nakenbild i Bitmapformat (BMP) utan en fullt körbar exe-fil.

Att dessutom namnge filen till något som väcker användarens nyfikenhet är förstås ett plus och nakenbilder brukar ju fungera ganska bra.

På liknande sätt försöker man lura folk via sociala nätverk. Man sprider en länk till en video som ser ut att innehålla nakenscener med någon kändis, eller så försöker man lura dig att en sida innehåller nakenbilder på dig.

Det är i regel ingen fara att följa sådana länkar, men för att ta del av filmen eller bilderna på sidan, så måste du ladda ner en ”codec” eller ett program för att kunna visa filmen eller bilderna och det är i detta program den skadliga koden finns.

Många har lärt sig att inte ladda ner okända program, så man döper ofta dessa till ”Microsoft Windows Media Player”, ”VLC” eller något annat känt program som folk litar på. Men bara för att det står ”Microsoft Windows Media Player 20” på länken och att den leder till en fil som heter ”ms-windows-media-player-20.exe”, så betyder ju inte det att det är ett program från Microsoft.

Ett bevis på detta är att jag precis skapade en sådan länk, men klickar du på den, så får du upp en sida som säger att filen eller sidan inte kunde hittas. Anledningen är att filen inte finns utan jag ville bara demonstrera hur enkelt det är att skapa en sådan länk. Men jag hade lika väl kunnat skriva ett program och döpt filen till just ”ms-windows-media-player-20.exe” som du kunde ladda ner via ovanstående länk.

Se därför till att endast ladda ner filer från platser du känner till och var extra noga när du kollar adressen (domänen). Det är ganska vanligt att man registrerar en domän som är snarlik den man försöker efterlikna, såsom micosoft.se där r-et saknas i domännamnet. Väldigt lätt att missa.

Det finns mycket att tänka på och för att göra datorlivet lite enklare och säkrare rekommenderas ett antivirus- eller komplett säkerhetsprogram, från exempelvis F-Secure eller Panda Security.