Nya virus kan slå ut alla dina antivirusprogram

Det enda vi har som vapen i kampen mot elak kod är sunt förnuft och skyddsprogram. Ett antivirusprogram som ständigt uppdateras och en personlig brandvägg som skyddar mot resten. Men vad gör vi om vi inte längre kan lita på programmen? Om de omärkligt stängts ned av elak kod som lyckats infektera datorn på grund av att vi inte uppdaterat på länge? Då blir det jobbigt.

Program är bara program
Man borde kanske inte höja på ögonbrynen över att detta sker. Skyddsprogrammen är trots allt bara program. De kan stängas av. Processer kan nå andra processer och stänga ned dem. Filer kan raderas från hårddisken – inget att bli förvånad över. Det som är nytt är att någon har bemödat sig om att ta fram kod som gör detta effektivt i dagens operativsystem och att dessa tekniker fått fotfäste.

Det är märkligt att denna teknik som ""uppfanns"" för flera år sedan legat som i dvala fram tills nu. Det har kommit ett par virus som försöker stänga av antivirusprogram, men inte i nämnvärd omfattning.

KKiller dödar 256 filer
De kallas för retrovirus. Ett av de tidigaste retrovirusen är Goldbug-viruset. Det fick viss spridning 1994 då den fanns med på en piratkopierad
version av Doom II. Förutom att kunna tunnla sig förbi program som Vsafe och Diskmon hindrade viruset program som hade bokstaven ""a"" näst sist i namnet från att exekveras (till exempel namn som slutar på ”scan” eller ”av”).

I början av november 2002 hade cirka 150 stycken olika virus, maskar och trojaner identifierats, samtliga med funktioner att stänga ned skyddsprogram. En del stänger ned de flesta på marknaden förekommande märken medan andra specialiserar sig på ett fåtal populära märken. Ett exempel på riktig elaking är trojanen Kkiller som utan urskiljning dödar hela 256 olika filer.

Radera, ändra eller stäng ned
Trojanerna använder olika tekniker för att uppnå sitt syfte. En del sätter antivirusprogrammens virusdefinitionsfiler till 0 kilobyte eller skriver över dem med skräptecken. Andra tekniker går ut på att ändra eller radera information information i registret. Den teknik som mest av alla vunnit mark går ut på att helt enkelt stänga ned de processer som tillhör skyddsprogrammen, antingen direkt via namnen på processerna eller med hjälp av information funnen i processen.

Det får till följd att antivirusprogrammet startar helt normalt, men att det sedan omärkligt stängs ned i bakgrunden. En del användare kan notera att antivirusprogrammet börjar söka igenom hårddisken för att sedan stängas av mitt i sökningen, eller att en pågående nedladdning av nya virusdefinitioner avbryts helt oförklarligt.

Ljuset tänt - men ingen hemma
När det gäller personliga brandväggar kan effekten bli lite annorlunda. I ett fall stängs en lång rad processer knutna till brandväggen ned. Den enda som fortfarande är aktiv är den som visar den lilla ikonen vid klockan. Ljuset är tänt men ingen är hemma, kan man säga. I vissa fall behöver inte virusskrivarna experimentera särskilt mycket själva för att komma på hur man gör för att uppnå sitt syfte.

Det mesta finns redan dokumenterat i manualer och i vissa fall till och med på webben. Microsoft bjuder på mycket information när det gäller en av teknikerna. En av de nyare teknikerna i Windows, Windows Management Instrumentations (WMI), kan enkelt användas av en enkel Active X-koppling som tillsammans med WMI Query Language (WQL) ger elak kod möjligheten att hitta, lista och stänga ned aktiva processer. Mycket finns beskrivet på msdn.microsoft.com.

Så arbetar de elaka koderna
Låt oss nu titta på ett par exempel på elak kod som stänger av skyddsprogram för att se hur de fungerar och vad vi kan göra för att skydda oss.
Klez-viruset dök upp strax efter sommaren 2001. Detta virus är ett av de mest avancerade virus som någonsin analyserats. Nya varianter dök upp under hösten och våren. Ny funktionalitet lades till eller togs bort av olika virusskrivare.

Variant ""E"" dök upp den 17 januari 2002. I denna variant hade man lagt till funktioner för att radera samtliga filer på datorn en viss dag i månaden, samt kod för att stänga ned olika skyddsprogram. Variant ""H"" som dök upp i april är förmodligen det mest spridda viruset genom tiderna. Det innehåller funktioner för att se till att antivirusprogram inte startar när man startar om datorn samt funktioner för att radera virusdefinitionsfiler för andra antivirusprogram.

Bugbear masspostar ohämmat
Bugbear var ansvarigt för ett av de största virusutbrotten år 2002. Det dök upp den sista september och fick stor spridning under ett par veckor. Bugbear är en masspostande mask skrivet i C++ som även kan sprida sig via nätverket. Den har även funktioner för att spela in tangentbordstryckningar och öppna en bakdörr till infekterade datorer.

Det som gör den intressant i det här sammanhanget är dess förmåga att stänga ned över 100 olika processer som hör till antivirusprogram, antitrojanprogram samt personliga brandväggar.

Optix-trojaner i mången variant
Optix finns i en mängd olika varianter. Den finns som Optix Lite, Optix Pro, Optix Killer samt en variant som heter Optix Firewall Bypasser. Den senare gör att man kan ladda upp filer till en dator och exekvera dem trots att det finns en brandvägg i vägen. Dessa trojaner är förmodligen
några av de värsta man kan råka ut för.

De har funktioner för att öppna upp en bakdörr till datorn och låta en person någonstans på Internet fjärrstyra datorn, logga allt som användaren skriver på tangentbordet (en så kallad Keylogger) och kan dessutom skydda sig själv mot borttagning genom att ta en backup av sig själv. Är originalet borta fungerar fortfarande backupen. Men det som gör Optix så elak är att den stänger av ett par olika antivirusprogram och personliga brandväggar. Den använder enligt uppgift från tillverkaren ny teknik för att bättre kunna stänga ner skyddet.

Optix agerar helt självsvåldigt
Optix Pro har fler funktioner än Lite-versionen och kan dessutom sätta upp en FTP-server på offrets dator. Optix Killer är en variant som helt är skriven för att stänga ned aktiva program på offrets dator. Detta för att sedan kunna installera andra program och ""ta över"" datorn.

Det mest uppenbara är att se till att säkerhetsprogrammen alltid är uppdaterade. Ett känt virus ges helt enkelt inte tillfälle att stänga ned skyddsprogrammen om de är uppdaterade och igång. Nästa steg är att se till att Windows är uppdaterat. Om så är fallet har man stängt till många av de hål som elak kod idag använder för att automatiskt infektera användare.

De flesta virus som under år 2002 automatiskt infekterade användare utnyttjar samma säkerhetshål. Detta säkerhetshål är välkänt och Microsoft har haft en fellagning tillgänglig under lång tid. Trots detta finns det mängder av datorer som inte har uppdaterats med denna patch och därmed är sårbara.

Uppdatera och känn dig lugn(are)
På ett sätt kan man säga att ett uppdaterat operativsystem är en viktig del i skyddet mot ny elak kod. Det är mycket enkelt att uppdatera datorn. Klicka på Start-knappen och därefter Windows Update. Det tar bara ett par minuter och är kostnadsfritt. Varför inte göra det varje vecka?

Vissa antivirusleverantörer har webbaserade antivirusprogram. Eftersom de ligger på webben kommer elakingarna på datorn inte åt dem och man får därmed relativt snabbt svar på om man är infekterad eller inte.

Vad gör säkerhetsföretagen?
Självklart kan även detta hot minimeras av säkerhetsleverantörerna genom att använda sig av olika tekniker för att försäkra sig om att programmen är aktiva i datorn. Teknikerna som kommer att användas skiljer sig åt mellan leverantörerna, men man kan tänka sig följande; olika
""kontroll-processer"" som är igång och kontrollerar om skyddsprogrammens processer är aktiva. Om de inte är det startas de igen och administratören larmas.

Paranoia effektivt verktyg
Man kan även ha ett slags intrångsdetektionssystem som kontrollerar om vissa nycklar i Registret förändras eller raderas
och larmar och återställer om något går fel. Med hjälp av enkla kryptografiska tekniker kan man dessutom kontrollera checksumman på till exempel antivirusprogrammens virusdefinitioner.

Men man måste alltid komma ihåg att skyddsprogram bara är ett av de verktyg som måste användas av datoranvändare för att skydda sin dator mot elak kod. Uppdaterade operativsystem och programvaror samt ett visst mått av paranoia är ett par andra effektiva verktyg.

Av: Per Hellqvist
Per är säkerhetsexpert. Han är grundare av Svenska Viruslistan och ende svenska rapportören till The Wild List. Du når Per på phellqvist@symantec.com.

(Artikeln har tidigare varit publicerad i Säkerhet&Sekretess nr 1/2003)

Veckans webbfråga är: ""Hur skyddar du din dator hemma?"". Rösta och kolla hur andra har röstat. Frågan finns uppe till höger på vår förstasida.

Mer läsning hittar du här:

• Symantecs virusbeskrivningar finns på: http://securityresponse.symantec.com/
• Symantecs SecurityCheck finns på: http://security.symantec.com
• Trends HouseCall finns på http://housecall.antivirus.com
• Mycket information om trojaner finns på:

www.anti-trojan.net/en/info.aspx

• Joakim von Brauns trojanlista finns på: www.simovits.com/trojans/trojans.html