Vad är fientlig kod?
Fientlig kod är programvara eller kod som är avsedd att skada andra användare eller datorer. Olika typer av fientlig kod kan t.ex. vara virus, trojanska hästar, spyware eller adware.
Vad är då fientlig kod? Först skall vi titta lite historiskt på det hela.
Historik
Det traditionella dataviruset sågs för första gången på bred front i slutet av 1980-talet, att spridningen blev stor berodde på flera faktorer.
Första faktorn är den ökande delen persondatorer (PC) som började komma.
Innan -80 talet så var hemdatorer mycket sällsynta eller så var dom rena leksakerna, riktiga datorer var ovanliga och användes endast av experterna.
Under 80-talet började persondatorerna att spridas till företag och sedan även till hushållen, detta kan vi tacka IBM:s populära PC för (den kom 1982).
I slutet av 80-talet fanns Pc:n både på företag, i hemmen på universitet och på högskolor.
Den andra faktorn till den stora spridningen var det ökande antalet forum som började komma, användarna kunde enkelt ladda ner diverse program bara genom att använda en enkel modemuppkoppling. Spel började komma stort och var vida populärt i vissa kretsar.
Det var också mycket populärt att använda enkla ordbehandlare och andra nytto program. Forumen ledde till dom första varianterna av Den Trojanska Hästen (trojaner), en trojan var ett program som utgav sig för att vara exempelvis ett häftigt spel eller någon annan typ av "ofarligt" program. Därför laddade man ner programmet i tron om att man skall ägna lite tid åt exempelvis harmlöst spelande. När sedan programmet kördes så gjordes samtidigt en installation av något mindre trevligt, nämligen trojanen. Nu kunde det mesta hända med den smittade datorn och i värsta fall började filer att raderas. Idag har vi trojaner som är mångfalt mycket mer avancerade och mycket svårare att upptäcka och som också levererar än värre skador, tyvärr går all utveckling framåt.
I detta tidiga skede av trojaner så slog dom aldrig så hårt mot PC användarna på grund av att dom var relativt lätta att upptäcka. I endera fallet så raderades den "farliga" länken till programmet av forum ägaren eller så spreds varningen om programmet/trojanen direkt av besökarna på forumet .
Den tredje faktorn som ledde till stor spridning var floppy disken. Under 80-talet så var program relativt små (ingen krävande grafik) så du kunde få plats med hela ordbehandlingsprogrammet plus en massa dokument på en diskett. Många datorer hade inte heller en hårddisk vilket innebar att du körde operativsystem och program direkt från disketten.
Virustillverkarna tog fördel av dessa tre faktorer för att skapa de första självreplikerande programmen. Nu skall vi titta mer på vad ett virus är för något.
Datavirus
Ett datavirus kan liknas vid ett vanligt biologiskt virus. Viruset sprids från dator till dator precis som ett vanligt biologiskt virus sprids från människa till människa.
Men det finns likheter på ett djupare plan också. Ett biologiskt virus är inte ett levande väsen, det är ett fragment av DNA i ett skyddande skal. Olikt en cell, så har inte ett virus någon möjlighet att göra någonting inte ens replikera sig (viruset är inte levande). Ett biologiskt virus måste därför injicera sitt DNA i en cell, därefter använder det virussmittade DNA de återstående delarna av cellens maskineri till att replikera sig själv. Cellen fylls med nya viruspartiklar tills det att den spricker och då frigörs viruset.
Ett datavirus delar några av dessa egenskaper. Ett datavirus måste leva inuti andra program eller dokument för att bli lössläppta, när vi startar det program som vi tror skall installera ett litet spel eller något annat ofarligt så får vi också med viruset in i datorn.
När väl viruset har fått fäste i vår kontors- eller hemdator så kan det sätta igång och infektera i stort sett vilket program eller dokument som helst vilket leder till att systemet blir segt eller helt slås ut.
Det är självklart svårt att jämföra ett datavirus och ett biologiskt virus, men det finns en hel del slående likheter.
Maskar
En mask är ett program som har en förmåga att kopiera sig själv från dator till dator. Maskar brukar vanligtvis smitta datorer i ett nätverk, t.ex. ett företagsnätverk*.
Genom att utnyttja nätverket kan masken kopiera sig enormt snabbt, masken Code Red replikerade sig över 250.000 gånger på mindre än nio timmar i Juli 2001.
En mask utnyttjar vanligtvis någon form av säkerhetslucka i en del av en mjukvara eller ett operativsystem (exempelvis Windows XP). Exempelvis så lyckades masken Slammer (som skapade kaos i Januari 2003) att utnyttja ett säkerhetshål i Microsoft SQL server.
Programmet som låg bakom Slammer och som skapade så stor skada var endast 376 byte stort vilket är häpnadsväckande.
*Ett nätverk är en sammankoppling av flera datorer där man kan dela filer, skrivare och annat mellan användarna.
E-postvirus
E-postvirus har ökat lavinartat dom senaste åren, för att förklara hur ett e-postvirus fungerar så kan vi titta närmare på Melissa som skapade så stor skada i Mars 1999. Melissa spreds i ett Microsoft Word dokument och fungerade på följande sätt.
Någon skapade viruset som del i ett Word dokument som låg uppkopplat mot en Internet Newsgroup*. Den som laddade ner dokumentet och öppnade det släppte in viruset på sin dator.
*En Newsgroup är en diskussion på Internet om ett speciellt ämne.
Virusprogrammet var nu programmerat att sprida Word dokumentet och sig självt via mail till dom 50 första personerna i den smittade datorns adresslista (exempelvis Outlook). Mailet innehöll ett vänligt meddelande där också mottagarens namn var inkluderat, detta gjorde att man enkelt öppnade mailet i tron om att det var ofarligt.
Nu skapade viruset ytterligare 50 nya mail som innehöll Word dokumentet och sig självt och sände detta till ytterligare 50 personer i denna dators adresslista. Detta resulterade i att Melissa var det virus som snabbast har spridit sig alla kategorier, en effekt av detta var att flera stora företag fick stänga ner sina e-post system.
Melissa virusets skapare tog fördel av Microsofts eget programspråk VBA*. Det är ett komplett programspråk som lätt kan användas till att göra program som modifierar filer och skickar e-post. VBA har också en inbyggd funktion som är mycket användbar men farlig nämligen auto-execute.
*Visual Basic for Applications är ett programmeringsspråk som är skapat av Microsoft.
Detta innebär att en programmerar kan bifoga ett program i ett dokument som körs så fort detta öppnas. Det är på detta sätt Melissa viruset var konstruerat. Vem som än öppnade dokumentet som innehöll Melissa viruset aktiverade också viruset.
Programmet bakom Melissa viruset skickade 50 mail från varje infekterad dator, efter utskicket infekterade viruset filen NORMAL.DOT så att alla efterföljande filer som sparades på den infekterade datorn också innehöll Melissa viruset. Detta skapade naturligtvis en ordentlig röra som kostade företag miljontals kronor att städa upp. För att inte tala om problemen för alla privatanvändare.
Microsoft har en funktion som skyddar mot macro virus, denna funktion finns i bland annat i nyare Office paket. Denna inbyggda funktion hade reducerat spridningen av Melissa markant om den hade varit aktiverad på ett riktigt sätt. Om man har denna funktion i aktivt läge så förhindras virus av typen Melissa att automatiskt aktivera sig när man klickar i exempelvis ett Word dokument.
Om man har macro virus skyddet i läge aktivt och försöker att öppna ett infekterat dokument så får man en varningsruta som säger att man bör undvika att öppna detta dokument för det kan innehålla virus. Tyvärr så har många användare för lite kunskap om macrovirus och även ofarliga macroprogram så dom ignorerar varningsmeddelandet och öppnar dokumentet i alla fall.
Andra av aktiverar konstigt nog skyddet mot macrovirus vilket möjliggör spridning av viruset trots att det enkelt hade gått att förhindra.
I fallet med viruset ILOVEYOU så berodde spridningen på våran egen stora vilja att dubbelklicka på en bifogad fil. Alltså våran egen nyfikenhet var den stora orsaken till spridningen. Hade man följt ett uns av sunt förnuft så hade spridningen av ILOVEYOU varit kraftigt reducerad.
Boot Sector Virus
När virusmakarna blev mer sofistikerade så lärde dom sig att programmera virus att installera sig i datorns minne så att viruset kunde vara igång i bakgrunden under hela tiden datorn var igång. Detta gav virusmakarna större möjligheter att skapa virus som enkelt kunde replikera sig själv.
Ett annat sätt som man lärde sig var att skapa virus som infekterade boot sektorn på disketter och hårddiskar, boot sektorn är ett program som laddas som första del i ett operativsystem. Boot sektorn innehåller ett litet program som talar om för datorn hur denna skall ladda resten av operativsystemet. Genom att sätta kod i boot sektorn så var man garanterad att viruset startades. Viruset kan direkt ladda sig i minnet och köra sig själv så fort datorn är igång.
Boot sektorvirus kan infektera boot sektorn på en diskett som installeras i den infekterade datorn, om den smittade datorn står på i en offentlig lokal, exempelvis en högskola, där många användare delar på datorerna så sprids viruset mycket snabbt.
Trojaner
En trojan är ett program som säger sig utföra en ofarlig sak (exempelvis ett spel) men som i bakgrunden installerar fientlig kod på din dator.
Trojanen kan vara programmerad att göra allt från att radera viktiga filer på din dator till att under en exakt förprogrammerad tid lada ner riktigt otäcka uppdateringar av virustyper från hackade servrar runt om i världen till din dator. En trojan kan också ge en främmande personer med ont uppsåt möjlighet att ta över din dator.
Utan att du känner till det kan någon stjäla personlig information, utföra bankärenden och använda information om dig för att exempelvis handla på nätet. Kända trojaner är AgoBot, PhatBot, Backdoor.Sysdot, PWSteal.Banpaes.D, Backdoor.Sinups mfl.
DoS-attack (Denial of service)
Genom att placera en trojan på ett stort antal bredbandsuppkopplade datorer, kan man utsätta en server för en enorm trafikmängd vilket gör att servern låser sig. Detta är ett vanligt sätt att få exempelvis stora sajter ur funktion. Ett annat exempel kan vara att utsätta en mailserver för så mycket trafik att den upphör att fungera.
Spionprogram
Internet är som vi vet en fantastisk tillgång för informationssökning, e-handel och andra typer av tjänster. Dom flesta av oss känner till begreppen freeware, shareware, cookies, media players och fildelning mm. Vad kanske inte alla är medvetna om är att dessa tjänster kan innehålla kod eller andra komponenter som låter tillverkarna av dessa applikationer och verktyg att samla in information om den som använder dem.
De kan sedan se dina surfvanor, ställa till problem med din Internet uppkoppling, samla information om dina köpvanor på Internet, hijacka din browser, förändra viktiga systemfiler, logga dina tangentbords tryckningar, stjäla information mm. Och detta gör man utan ditt vetande eller din tillåtelse.
Blandade hot
En ny farsot är blandade hot, detta innebär att man kombinerar karaktärerna av virus, maskar, trojaner och fientliga script. Detta görs med olika sårbarheter för servrar och Internet för att starta, överföra och sprida en attack. Genom att utnyttja flera olika metoder och tillvägagångssätt kan blandade hot spridas mycket snabbt och orsaka väldigt stor skada. Kända exempel på blandade hot är Nimda och Code Red.
Nimda var en mask som använde sig av sårbarheter i programvara tillsammans med ett flertal infekteringsmetoder, detta gjorde att Nimda spred sig mycket fort. Det sägs att Nimda infekterade 2,2 miljoner datorer och servrar världen över under ett Septemberdygn 2001. Kostnaden för att rensa upp efter Nimda är hittills uppe i nästan 4,7 miljarder kronor.
Rootkits
Rootkits är inte i sig själva fientlig kod. Man kan istället beskriva rootkits som program som ger fientlig kod möjlighet att dölja sig i ett system.
Begreppet rootkits går tillbaks till dagarna när Unix var det dominerande operativsystemet på marknaden, det vill säga ganska långt tillbaks.
När man använde rootkits i UNIX miljö var det för att höja upp en användare privilegier till administratörsnivå.
När man idag använder rootkiten i en Windowsmiljö så är det i regel för att dölja exempelvis olika typer av fientlig kod.
Genom att manipulera Windows blir effekten att du inte kan se den fientliga koden med vanliga Windows program.
Du kommer inte att kunna se filer tillhörande fientlig kod i Windows Explorer, du ser inte fientliga processer i Aktivitetshanteraren och du ser inte några spår efter elak kod i någon log fil. Och det kommer inte att finnas några spår efter fientlig kod i Start foldern.
Med andra ord så är infektionen totalt osynlig för dig och för de flesta av de antivirusprogram som finns på marknaden idag. Så när du skannar ditt system så kommer antivirusprogrammet säga att du är fri från fientlig kod men i själva verket så är koden bara dold.
Tidigare har rootkits använts mest av hackers för att dölja trojaner men tyvärr så används Rootkits mer och mer för att dölja spionprogram, virus och maskar. Detta är oroande då det är betydligt större risk att en vanlig användare råkar ut för denna typ av infektioner än ett hackerangrepp.
Att spåra och upptäcka närvaron av rootkits och den skadliga kod som kittet är avsett att dölja är inte lätt. De flesta antivirus och antispyware programmen klarar inte av att finna rootkits då de inte har funktionen för det än. Men det finns speciella program för att spåra rootkits (rootkit detector).
Hur upptäcker man rootkits?
Om man har en referenskopia av sitt system kan man göra en fil för fil jämförelse. I det här fallet behandlar man det infekterade systemet bara som data så att den döljande effekten av ett rootkit inte initieras.
Den här möjligheten är dock få förunnad då fallen där man har ett exakt referenssystem uppsatt är lätträknade, sedan är inte systemen statiska vilket gör att det kommer att finnas skillnader i miljöerna hur man än vänder och vrider på det. Detta gör att även enkel filjämförelse blir svår, så det troliga är att när man ger sig ut på jakt efter ett rootkit så kommer man att få göra det i en infekterad miljö.
Att upptäcka rootkits i en miljö som man misstänker är infekterad är mycket svårt men det finns några olika tekniker som kan fungera och det kommer nya bättre tekniker hela tiden. Dock skall vi ha klart för oss att inget sätt som finns att tillgå idag är riktigt bra.
Och för att göra saker och ting ännu värre så kan vi upplysningsvis berätta att de som skapar rootkits som skall användas för skadligt syfte också följer utvecklingen och har tillgång till att se och genomlysa de tillvägagångssätt som används för att finna rootkits. Med andra ord så utvecklar de sina rootkits parallellt med tekniken som används för att spåra och ta bort rootkits och den skadliga kod som de döljer. Så tyvärr är kampen lite ojämn än så länge, men alla stora antivirusföretag och inte minst Microsoft jobbar mycket målmedvetet för att bromsa denna utveckling.
Det bästa du kan göra för stunden om du är orolig för att ditt system är infekterat av skadlig kod som döljs av ett rootkit är att använda flera olika rootkit detectors (RKDs). Detta för att det finns inga perfekta RKDs men de som finns har olika fördelar och genom att använda olika RKD program så ökar dina möjligheter att finna eventuella rootkits.
Det finns väldigt många RDKs på marknaden, problemet med de flesta är samma problem som så många mjukvaror lider av, de är för svåra att använda för den vanlige användaren. Ett annat problem är att många RKDs är skapade att finna en specifik typ av rootkits. Därför bör du inte dra dig för att använda olika typer av RKDs.
Vi har listat några RKDs som enligt olika oberoende amerikanska IT-säkerhetsmedier generellt sett verkar fungera bäst för att ta bort merparten av de Rootkits som finns ute idag. Det vi rekommenderar är att ni laddar ner samtliga och också kör alla då de använder lite olika tekniker vilket borgar för att ni ökar era möjligheter att finna eventuella rootkits.
Samtliga RKDs är avsedda för W2000 eller senare och när det gäller BlackLight från F-Secure så är det en beta version som används på egen risk. Samtliga program är fria att använda och vi har kört alla och kan intyga att de är mycket lätta att använda och vi har inte haft några problem med F-Secures BlackLight i WXP miljö.
Observera dock att som vi har nämnt tidigare så finns det inga perfekta RKDs så även om dessa program visar att ni är fria från rootkits så är det ingen 100%-ig garanti att ni är det men det är en bra indikation på att er miljö är ren. Kom också ihåg att det bästa förebyggande skyddet mot fientlig kod är en brandvägg som är rätt konfigurerad och ett antivirussystem som är uppdaterat på ett riktigt sätt. Ett annat sätt som förhindrar att ett rootkit infekterar er IT-miljö är att undvika att använda konton med administrativa rättigheter då ett rootkit kräver detta för att kunna verka på ett riktigt sätt. Detta medför praktiska problem då det kommer att innebära svårigheter i vissa lägen att använda ett IT-system fullt ut.
Några RKDs BlackLight från F-Secure
Denna version är en beta version som är fri att använda på egen risk. Det innebär att om du skulle råka ut för problem när du använder programmet så kan inte F-Secure hållas ansvariga. Denna version kommer att vara fri fram till januari 2006 då det är tänkt att den skall ingå i F-Secures övriga program av säkerhetsprodukter. BlackLight uppdateras cirka en gång i månaden.
Programmet är lätt att använda och skannar av ett system mycket fort.
I vårt fall så skannade vi ett WXPPro system och det tog oss ca: En och en halv minut. BlackLight ger också användaren möjlighet att ta bort eventuella rootkits genom att döpa om de aktuella filerna. Innan ni använder denna funktion så bör ni läsa mer på http://www.f-secure.com/blacklight/.
BlackLight kommer att finna dolda filer, foldrar och processer men inte dolda registernycklar.
RootkitRevealer från Sysinternals
RootkitRevealer är ett gratisprogram som precis som BlackLight inte kräver någon installation. Vi skannade samma XP system som i exemplet ovan och det tog betydligt längre tid än med BlackLight (ca: 15 minuter).
RootkitRevealer har ingen funktion för att ta bort eventuella rootkits utan Sysinternals rekommenderar användaren att göra en formatering av aktuell partition och sedan en ominstallation.
Precis som med BlackLight så kan inte företaget bakom RootkitRevealer (Sysinternals) ta något ansvar om det skulle gå snett vid användande av deras produkt. Vi kan dock säga att vi inte har haft några problem alls när vi har kört dessa program utan de har varit mycket lätta att använda och de har utfört sina uppgifter på ett bra sätt.
Malicious Software Removal Tool från Microsoft
Det här programmet är egentligen avsett för att finna och ta bort olika typer av virus och maskar. Det är med andra ord inget RKD program men MSRT är designat att finna Hacker Defender som är ett mycket vanligt rootkit. I en snar framtid kan vi nog räkna med att fler rootkittyper kommer att läggas till i listan över de som programmet kan hitta.
MSRT jobbar fort och vårt WXPPro system tog bara 50 sekunder att skanna. Du ser inte att programmet jobbar men när skanningen är färdig så visar MSRT en lista över de varianter av virus och maskar som det är avsett att finna och om några av dessa fientliga program fanns närvarande i systemet.
Microsoft uppdaterar MSRT cirka en gång per månad.
Du kan ladda ner den svenska versionen här.
Du kan ladda ner den engelska versionen här.
Vad kan man göra mer?
Ytterligare alternativ som kan användas för att inte infekteras av rootkits är att ladda ner och installera säkerhetsverktyg som Process Guard eller Anti Hook, dessa program hindrar rootkitet från att installera de processer som krävs för att göra rootkitet osynligt. Programmen har flera inbyggda funktioner som kan stoppa rootkits från att infektera en IT-miljö.
Sedan måste alltid sunt förnuft råda oavsett om ni använder datorn i hemmet eller på arbetsplatsen.
Hur tar man bort ett rootkit?
Ponera att ett av de RKDs som du använder finner ett rootkit, då står du inför två problem. Dels skall du ta bort själva rootkitet och du skall även ta bort den fientliga kod som rootkitet döljer. I och med att rootkitet laborerar med ditt operativsystem så finns risken att du inte kan ta bort det utan att riskera att ditt operativsystem blir instabilt.
När det gäller att ta bort den fientliga kod som rootkitet döljer så står du inför samma problem som att ta bort vilken typ av virus eller trojan som helst, vissa är svåra andra är enklare att ta bort. Allt beror på vilken typ av fientlig kod rootkitet döljer.
Problemet är att du inte kan ta bort den fientliga koden förrän rootkitet är bortaget så hur du än vänder och vrider på det så riskerar du att ditt operativsystem blir instabilt eller rent av kraschar.
Så vår rekommendation är, tyvärr, att om ni drabbas av ett rootkit som döljer fientlig kod så bör ni formatera och installera om ert system. Detta är en rekommendation som gäller överlag när det handlar om svåra virusinfektioner och framförallt i servermiljö.
Phishing
Ordet Phishing lär komma från det faktum att hackare ofta byter ut f mot ph så uttalet är alltså fishing (fiska).
Phishing är en form av social engineering där man på ett bedrägligt sätt försöker att komma över olika personliga uppgifter från en Internetanvändare. Dessa uppgifter kan vara lösenord, personnummer och bankuppgifter.
Genom att använda sig av en legitim fasad som användaren vanligtvis kan lita på (exempelvis sin bank) så luras vi att lämna ut våra uppgifter i ett gott syfte. När sedan den som utför bedrägeriet har fått tag på dina uppgifter så kan uppgifterna användas för exempelvis handel på Internet och andra typer av kriminella handlingar.
Bästa sättet att skydda sig mot phishing är att aldrig klicka på länkar i ett email. Du bör också använda någon form av SPAM-skydd och naturligtvis så skall en brandvägg och ett bra antivirussystem användas. Utöver detta så rekommenderar vi att du har alla system uppdaterade och att du använder någon form av verktyg för att ta bort spionprogram. Du bör också hålla dig uppdaterad om vad som händer och låt det sunda förnuftet styra, om du är misstänksam mot ett exempelvis ett mail så bör du radera det direkt och inte låta nyfikenheten ta över.
Vi hoppas att du nu har fått lite större vetskap om vad fientlig kod är.
Nedan kan du se en kort beskrivning av de 25 värsta virusen redovisade i tidningen PC för alla. (All text från tidningen PC för alla nummer 6, 2005)
Nimda, september 2004
Namnet säger allt: Admin (administratör) baklänges, fast en väldigt elak sådan. Nimda utnyttjade kända säkerhetshål. När den tagit sig in i en dator letade den efter andra datorer i nätverket och hackade webbservrar, där den försåtminerade alla sidor med ett litet Java-script.
När en intet ont anande surfare besökte sidan smittades dennes dator med Nimda. På ett dygn hade två miljoner datorer smittats.
Code Red, juli 2001
Om du hade den här i din dator deltog du högst ofrivilligt i en överbelastningsattack mot Vita Husets hemsida. Men Code Red installerade också trojaner och annat lattjo i din dator. Det smittade över 250 000 datorer på nio timmar.
Blaster, augusti 2003
Blaster fick inte samma status som Nimda, men 300 000 infekterade datorer på ett dygn och skador till ett sammanlagt värde av 525 miljoner dollar är ruggigt. Blaster slog för övrigt ut Air Canadas bokningssystem. Jeffrey Lee Parson, som skrev eländet, åkte dit och fick några hundra timmars samhällstjänst.
Slammer, januari 2003
Den här lilla rackaren härjade i port 1434, och genererade löjligt mycket trafik i nätverken. Enligt Cnet har det kostat företag och privatpersoner en miljard dollar att städa efter den.
Sasser, maj 2004
Smaskiga Sasser fick datorn att starta om vare sig du ville det eller inte. Användare av Windows 98 och Windows ME blev inte infekterade, men fungerade som virusbärare. En tysk tonåring vid namn Sven Jaschan låg bakom masken som smittade hundratusentals datorer.
Sobig, augusti 2003
Möt familjen Sobig, en otäck samling som infekterat hundratusentals datorer. Sobig hade en egen smtp-server och kunde därmed skicka mejl oberoende av andra program. Adresserna hittade den i din dator. Tack vare sin stora spridning pumpade Sobig ut miljontals mejl som orsakade trafikstörningar och skador för över 36 miljarder dollar.
Melissa, mars 1999
Melissa förvandlade datorn till ofrivillig spammare som skickade ut filer till alla i din adressbok med ämnesraden "Here is that document you asked for...dont show anyoneelse ;-)". Och på kuppen blev du mindre populär i bekantskapskretsen. Hur som helst orsakade Melissa skador för 100 miljoner dollar.
Welchi, augusti 2003
En "godartad" mask som sökte upp och tog bort en mindre trevlig bror Blaster. Dessvärre orsakade processen att datorn startades om och drog igång en DoS-attack (en belastningsattack mot ett företags servrar i syfte att få dem att sluta fungera).
My Doom, januari 2004
Alla världens nedladdare kanske inte riktigt hade väntat sig att få My Doom i stället för spelet Doom. My Doom var en mask som bland annat riktade DoS-attacker mot www.sco.com. My Doom orsakade reparationskostnader för fyra miljarder dollar.
Love Bug, maj 2000
I love you var ett otäckt litet virus som spreds som en löpeld världen runt av fåfänga personer som inte kunde låta bli att klicka på filen som hette I love you. I love you förstörde mängder av filer i datorn och orsakade kostnader för över 2,5 miljarder dollar. 600 000 företagsdatorer smittades. Ett av de mest destruktiva virusen någonsin.
Worm Bagle, januari 2004
Genom att rota igenom din adressbok och sedan skicka mejl med spännande ämnesrader lyckades Worm Bagle sprida sig. Viruset hade en bakdörr som tillät upp till tio användare att ansluta sig till din dator. Dessbättre fungerade inte bakdörren.
Netsky, mars 2004
Som maskar så gärna gör förökade sig Netsky genom din adressbok. Det roliga med Netsky var att det innehöll förolämpande meddelanden till skaparna av My Doom och Worm Bagle.
Sircam, juli 2001
I ett trevligt mejl lockades användare att klicka på den bifogade filen som inte alls var lika trevlig. Sircam skickade glatt vidare dina filer till dina kontakter och passade också på att radera lite filer i din dator. En virusexpert på FBI lyckades med bedriften att råka släppa loss viruset i FBI:s egen server. Notan för Sircam blev dryg. Totalt orsakade det skador för 1 miljard dollar och smittade 2 300 000 datorer.
Benjamin, maj 2002
Liksom My Doom härjade Benjamin på fildelningsnätverken, i det här fallet Kazaa, där det utgav sig för att vara populära film- och musikfiler. Väl i din dator skapade den en mapp för andra hågade nedladdare, vars datorer i sin tur infekterades.
Anna Kournikova, februari 2001
Om det ända vore så väl att man fick vackra Anna i datorn, men så var det inte. Anna Kournikova skapades av 21-årige Jan de Wit, vars virus inte orsakade skador, men däremot social skam, då alla visste att avsändaren av viruset lockats öppna filen som sades innehålla en sexig bild på den rysska tennisstjärnan.
Explore.zip.worm, november 1999
Presenterade sig med "I recived your mail and I shall send you a reply ASAP. Till then, take a look at the attached zipped docs". Den som klickade på filen fick ett gäng rader i Windows Register överskrivna, samt att ett antal olika filtyper raderades.
Magistr, mars 2001
Magistr var ett av de mer komplexa virusen. Smittade fick till sin förskräckelse se sina Word-filer skickas iväg till sina kontakter innan hårddisken raderades. Magistr kunde även radera datorns bios och därmed effektivt hindra den från att starta.
Klez, oktober 2001
Masken Klez är fortfarande relativt aktiv. Klez sprids genom mejlprogram och ändrar och raderar filer. Ibland maskerar den sig ironsikt nog som ett virusprogram.
Kak.worm, oktober 1999
Kak var en listig mask. När du klickade på mejlet frågade Windows om du ville tillåta ett Activex-script. Efter att du klickat nej fick du ett meddelande som sade att de flesta activex-script är ofarliga. Klickade du ok då, så var det kört...
CIH, juli 1998
Många elaka virus tillverkas i Asien, ett av dem är CIH, som raderar såväl hårddisk som bios. CIH kallas även lämpligt nog Chernobyl, då den framkallar en virtuell härdsmälta i din dator. Viruset aktiveras ett visst datum i månaden, oftast den 26:e. CIH kan dock inte aktiveras i Windows XP eller 2000.
Zafi, december 2004
Fick du en julhälsning på bulgariska förra året? Grattis. Det kan ha varit Zafi, en liten mask som söker igenom allt på din dator som kan vara en adress, som den sedan skickar sig självt vidare till. Om den hade kunnat hade den nog kluckat "ho, ho, ho" innan den stängde av din brandvägg och ditt antivirusprogram. Zafi fick rätt stor spridning i Europa. Ett engelskt säkerhetsföretag blockerade 20 000 infekterade mejl på bara några timmar.
Worm_Mylife.B, mars 2002
Worm_Mylife.B dök upp i mejlen som en bifogad fil innehållande en rolig teckning på Bill Clinton. När du öppnade bilden startades timern...Någon gång mellan 08.00 och 08.59 drog masken igång och formaterade om partitionerna C, D, E och F. Enda trösten var att masken inte kunde radera filer som användes.
Bugbear, juni 2003
Den här lymeln öppnade port 1080, bjöd in hackare, sänkte den infekterade datorns antivirusprogram och skickade sig själv vidare till alla dina kontakter. Bugbear uynyttjade en bugg i Outlook och Outlook Express vilket gjorde att alla som använde förhandsgranskningen av e-post blev drabbade fast de inte klickade på någon fil.
Gabot, november 2003
Gabot är en så kallad bot, vilket gör den svårupptäckt. Gabot fjärrstyrs via irc (Internet relay chat) och öppnar datorn så att den tas över av en fjärranvändare. Experter tror att de flesta bot-styrda datorer används till DoS-attacker.
Witty, mars 2004
Witty infekterade system som hade brandväggen Black Ice Defender och smittade via ICQ. Smittade datorer kraschade omedelbart.
Källa: Secure-IT