Skillnad mellan virus, spyware och andra otrevligheter

[andreas30]

Hej!

 

Jag har några funderingar kring det här med virus och spyware:

 

1. Jag har aldrig förstått vad det är för principiell skillnad mellan virus, spyware och andra otrevligheter. Varför kan inte antivirusprogrammen hitta spyware likväl som det hittar virus?

 

2. Om mitt antivirusprogram hittar några smittade filer och jag raderar dessa, är då viruset med all sannolikhet borta eller kan dessa virus i sin tur ha installerat andra saker som antivirusprogrammet inte hittar? För att ta ett konkret exempel så hittade en kompis ett virus som heter ByteVerify i en javakatalog på datorn. Om man då bara raderar filen, är det då säkert att alla spår av viruset är borta? Det var i alla fall vad han trodde var fallet, men själv är jag inte säker på att det är så enkelt. Han hade 54 processer i Windows XP utan att ha speciellt många program igång och det tycker jag låter misstänkt mycket.

 

3. Med tanke på punkt 2 så undrar jag om man bör inaktivera Java Virtual Machine i webbläsaren IE? Är Java-applets ett vanligt sätt för virus att ta sig in?

 

Mvh

Andreas

 

[Stefan Eklinder]

1. Jag har aldrig förstått vad det är för principiell skillnad mellan virus, spyware och andra otrevligheter. Varför kan inte antivirusprogrammen hitta spyware likväl som det hittar virus?

 

Svaren på dina funderingar:

http://www4.nau.edu/its/pcsupport/software/virus.asp

 

 

---

C:\Eforum\Stefan Eklinder>|

 

E-post = Elektronisk post. Ex: ett paket med transistorer. Andra sorters post: A-post, B-post, F-post (flaskpost), K-post (kompost), Ö-post (post från Grönland). - [interworst] Yttermera

 

[Jetmoon]

1. Jag har aldrig förstått vad det är för principiell skillnad mellan virus, spyware och andra otrevligheter. Varför kan inte antivirusprogrammen hitta spyware likväl som det hittar virus?

Virus är en programkod som kopierar upp sig själv och/eller skadlig kod flera gånger. Den försöker sprida sig, i din dator, till andra datorer osv. vissa virus förstör filer, raderar din hårddisk, ger någon kontroll över din dator. Ett fåtal gör också så du får en strömspik i din dator så att viss eller all hårdvara går sönder. Ett exempel är viruset CIH som cirkulerade för ett antal år sedan. Virus är allmänt skadliga för din dator.

 

Spyware är program som snappar upp information som händer på datorn och ibland skickar den informationen till någon plats på Internet. Det kan röra sig om vilka tangenter du trycker på, koder som du har lagrade på datorn eller vilka internetsidor du gillar att surfa på.

 

2. Om mitt antivirusprogram hittar några smittade filer och jag raderar dessa, är då viruset med all sannolikhet borta eller kan dessa virus i sin tur ha installerat andra saker som antivirusprogrammet inte hittar? För att ta ett konkret exempel så hittade en kompis ett virus som heter ByteVerify i en javakatalog på datorn. Om man då bara raderar filen, är det då säkert att alla spår av viruset är borta? Det var i alla fall vad han trodde var fallet, men själv är jag inte säker på att det är så enkelt. Han hade 54 processer i Windows XP utan att ha speciellt många program igång och det tycker jag låter misstänkt mycket.

 

Det brukar finnas manualer om hur man tar bort alla delar av ett virus. Genom att bara ta bort de infekterade filerna så kan det ligga spår kvar i bland annat Windows eget register. Information som ibland kan ladda hem viruset på nytt eller ställa till med andra svårigheter.

 

I och med att det kan vara svårt att hantera Windows registret så gör många antivirusföretag ett litet program för varje virus som tar bort alla spår av viruset. Det genom att bara köra programmet en gång.

 

3. Med tanke på punkt 2 så undrar jag om man bör inaktivera Java Virtual Machine i webbläsaren IE? Är Java-applets ett vanligt sätt för virus att ta sig in?

 

 

Java i sig brukar inte vara några större problem ur virussynpunkt. värre är IE. genom säkerhetsluckor i IE så tar sig många virus in i datorn.

 

För att minimera risken för att få virus ska man följa några punkter

 

1. Uppdatera virusprogram och Windows ofta. Minst en gång i veckan helst en gång per dag.

 

2. Försök att undvika Internet Explorer. ur säkerhetssynpunkt är Firefox, Netskape Navigator, och ophera bättre webbläsare.

 

3. Tanka inte filer via kazza. Även andra tankprogram p2p ger ökad risk för virus men kazza och kazza light är värst.

 

Lycka till

 

/Jetmoon

 

 

 

[inlägget ändrat 2005-03-17 17:21:11 av Jetmoon]

[andreas30]

Tack för ett mycket utförligt svar Jetmoon! Jag förstår nu att det är skillnad på vad virus och spyware åtstadkommer. Men det jag fortfarande inte förstår är varför antivirusprogrammen inte kan hitta spyware också utan att man måste ha separata program typ Ad-Aware för detta? Har virus och spyware helt olika bitmönster och sätt att integrera sig med godartade filer som därmed gör att de behöver helt olika metoder för att hittas eller vad beror det på?

 

[andreas30]

Mycket bra länk Stefan. Tack för den!

 

[MH]

Varför kan inte antivirusprogrammen hitta spyware likväl som det hittar virus?

Historiska/legala skäl. När det gäller t.ex adware så finns det många legitima program som visar reklam I applikationen, exempelvis Opera eller eudora. Man kan med lätthet hävda att det där är "legitim" reklam och att användarna har gått med på det genom att använda programet gratis. Om någon skapar ett program som blockerar den reklamen så kan man tänka sig att opera/eudora stämmer programeraren eftersom de går miste om intäkter från sitt program. Jag tror att de flesta är överens om det här.

 

Problemet är att det här utnytjas av skumma program. Även ett ad-ware som visar reklam när användaren inte använder programmet, eller till och med helt utan motprestation kan hävda att ett borttagningsprogram gör intrång på deras legitima rätt att visa reklam. Eftersom användaren har försökte kryssa bort en irriterande ruta så anses de ha godkänt ett avtal . Tillverkarna av antivirusprogramen vågade helt enkelt inte riskera stämmningar. Det är ingen slump att adaware och liknanade program uppstod som "undergroundföretag" i med säte länder med snåla skadeståndstraditioner eller till och med enmansorganisationer.

 

När det gäller spyware så finns det en massa legitima program som i princip fungerar på liknande sätt som en trojan eller ett spyware, t.ex fjärstyrningsprogram eller olik arapportprogram. På den dator jag skriver på just du så finns det t.ex ett legitimt licensinventeringsprogram som rapporterar vilka program jag använder till en annan dator. Dvs typiskt spyware-beteende. Men programet är legitimt och gör att organisationen kan ha ett smidigt system för programinstallation, samtidigt som vi slipper risken för att bli stämda för piratkopiering. Du kan tänka dig vilket jävla liv det skulle bli om antivirusprogramet tog bort det programet! I vissa fall ingår till och med (ibland snodda) delar av legitima program i spywaren och "hackerverktyg" som t.ex NetBus lanserades som ett fjärrstyrningsprogram.

 

Om jag fattar det rätt så har antivirusprogramen och anti-spyware världen valt helt olika angreppssätt. För att slippa stämningar och knepiga gränsdragningar så har antivirusprogramen koncentrerat sig på distributionsprogrammet och struntar mer eller mindre i själva spywaren/trojanen etc (det är så att säga installationssättet som avgör om programet är legitimt eller fult). Vissa program klassas automatiskt som fula.

 

Anti-spywareprogramen verkar istället utgå från själva spionen. Antingen är ett program fult eller snällt. Dvs, kan det spionera så hittas det. Desutom begränsar en del program funktioner i t.ex I-explorer utan att skämmas (med rätta).

 

2. Beror helt och hållet på. Du måste kolla informationen om just den aktuella fulingen. Orkar inte kolla ByteVerify, men typiskt för den typen av smittor brukar vara att de är bveroende av vilken JVM du använder och hur uppdaterad den är. En gissning är att det bara är microsofts som är känslig. Om den är känslig för smittan så kan det ju ha spridits saker. Om din javamotor är tillräckligt ny (eller av fel/rätt märke) så har filen bara laddats ner men inte gjort något mer.

 

3. Tycke och smak. Finns inte många sidor som kräver JAVA. Men kör du uppdaterat så är du ganska säker mot automatinstallerade fyulingar. Personligen tycker jag att det bästa är att köra OPERA med Java avstängt. Behövs Java så går det att koppla på med ett snabbmenyn under F12

 

Puff, det där blev lite långt...

 

 

 

*******************

Oj så mycket det hade hunnit hända. Men jag låter babblet stå kvar. passade på att trixada lite med språket också.

Man skall inte skriva långt om man skriver långsamt...

/m

*******************

 

[inlägget ändrat 2005-03-17 17:46:21 av MH]

[Stefan Eklinder]

andreas30 skrev:

Mycket bra länk Stefan. Tack för den!

 

Tack själv för poängen! :-)

 

 

---

C:\Eforum\Stefan Eklinder>|

 

E-post = Elektronisk post. Ex: ett paket med transistorer. Andra sorters post: A-post, B-post, F-post (flaskpost), K-post (kompost), Ö-post (post från Grönland). - [interworst] Yttermera

 

[andreas30]

Du gav just svar på min följdfråga till Jetmoon. Mycket intressant och bra information, som verkligen är värdefull att ha tillgänlig i eforums "databas".

 

Om din javamotor är tillräckligt ny (eller av fel/rätt märke) så har filen bara laddats ner men inte gjort något mer.

 

Jag har Microsoft Virtual Machine på min dator. Har aldrig brytt mig om det här utan det har blivit så default (Har Windows XP uppgraderad med SP2). Kompisen som drabbades av ByteVerify viruset hade Suns Java. Det här är ju föremål för en utredning:

Vilken Java-variant är bäst/säkrast? Ifall svaret är Suns Java, hur får jag isåfall bort mitt Microsoft VM?

 

[MH]

Smaksak igen. I alla fall om du du envisas med IE.

 

Fördelar Microsofts JVM

Betydligt snabbare i starten.

Säkerhetsuppgraderingar via windows update

 

Fördel SUN

Microsofts JVM uppdateras i princip inte längre. Den är stendöd.

Historiskt sett så är nästan alla loaders gjorda för MS-JVM. Sun brukar inte drabbas.

 

Kompisen som drabbades av ByteVerify viruset hade Suns Java

Förmodligen har han inte "drabbats" överhuvudtaget. En dålig JavaFil har laddats ner, och inget mer har hänt.

 

får jag isåfall bort mitt Microsoft VM?

Humm, har för mig att man bara laddar ner sun och väljer den som default... annars finns det säkert i lägg till/ta bort program.

 

[Cecilia]

2. Som exempel:

Symantec har skrivit om ByteVerify här:

http://securityresponse.symantec.com/avcenter/venc/data/trojan.byteverify.html

Och där står då att den kan lägga till xxx sidor i Favoriter i IE samt försöker hämta uppringningsprogram och installera dem.

Att bara ta bort filen hjälper ju inte mot de senare sakerna som ByteVerify gör.

 

ByteVerify är inte ett virus eftersom det inte sprider sig vidare från den som är smittad utan det räknas som en Exploit (utnyttjare av säkerhetshål) eller Trojansk häst, varierar lite mellan antivirustillverkarna.

 

54 kan vara lite mycket, men det beror på så mycket. Jag har just för tillfället 4 program och 43 processer. Har man installerat Realplayer, Quicktime och liknande så får man direkt fler processer även om man inte kör programmen.

 

3. Ja, nej. Suns Java innehåller färre hål än Microsofts, men den behöver hållas uppdaterad, det är inte många veckor sedan det kom en säkerhetsuppdatering. Om du laddar ner Suns Java så kommer du att kunna välja vilken du vill använda i IE - Internetalternativ - Avancerat

 

 

[Jetmoon]

Nej det är nog att antivirusbolagen vill kunna sälja ett antispyware och ett virusprogram. Det är helt möjligt att bygga in sök och removefunktion för både virus och spyware i ett och samma program.

 

/Jetmoon

 

[andreas30]

Tack för ytterligare informatin i ämnet Cecilia!

 

Att bara ta bort filen hjälper ju inte mot de senare sakerna som ByteVerify gör.

 

Men om man hinner ta bort den innan den hunnit göra de andra sakerna du nämner så är det väl lugnt. Eller? Förstod inte riktigt om det var så du menade.

 

[Cecilia]

Det är ju också så att allt mer annons- och spionprogram upptäcks av de tradionella antivirus-företagen som Norton och Trend Micro.

 

Så här står det bland annat om Norton Antivirus på Symantecs webb:

Kan identifiera spionprogram och vissa hot som inte är virus, t ex reklamprogram och program som loggar tangenttryckningar.

 

[Cecilia]

Men om man hinner ta bort den innan den hunnit göra de andra sakerna du nämner så är det väl lugnt.

Ja, det är ju lätt att upptäcka om det har kommit otrevliga sidor bland Favoriterna och man märker ju också om det är något som börjar försöka ringa upp andra modemnummer.