Hotbilden från skadlig kod det senaste året har varit ett helt annat än de klassiska utbrott av stora skadliga virus som skapade rubriker under nästan hela 2000-talet. Betyder det att faran är över?
Nej, det vore naivt att påstå. Symantec rapporterade i början av 2010 att antalet unika attacker hade fördubblats på ett år, och under 2010 har den siffran fortsatt att stiga. Det innebär inte nödvändigtvis att fler datorer blir smittade.


Dennis Bergström.

– Det är inte så att virusen försvunnit, utan syftet med dem har förändrats. Virusskaparna har gått från att vara mediehungriga till att bli profitdrivna. Det är helt enkelt inte bra för affärerna att dra uppmärksamhet till sig. Ju mer under radarn du kommer desto längre kan den skadliga koden verka, säger Dennis Bergström på säkerhetsföretaget Sonicwall.

Pengarna styr
Tidigare var målet just att få maximal spridning av ett visst virus, få det omnämnt i tidningar och så vidare. Numera handlar det om mer eller mindre sofistikerad cyberbrottslighet med syftet att tjäna pengar. Spionprogram som sniffar av nätverkstrafik och tangenttryckningar efter kontonummer, inloggningsuppgifter, fejkade säkerhetsfunktioner som lurar användare att frivilligt knappa in kontokortsnummer, kod som använder din dator och i bland även dina mejlkontakter för att skicka spam, och mycket mer.

– Ett lukrativt sätt att tjäna pengar är så kallade botnet. Det är en större mängd datorer som blivit infekterade med samma trojan, och som därmed kan utnyttjas av den som kontrollerar trojanen. Trojanen kontaktar en server och får instruktioner, till exempel att utföra attacker mot andra datorer eller att skicka spam. Det börjar bli allt vanligare att den som kontrollerar ett botnet tar betalt för att andra ska få utnyttja det, säger Dennis Bergström.

En annan orsak till förändringen är att antivirusprogrammen blivit snabbare på att upptäcka nya hot och skicka ut uppdateringar. Därför måste virusskaparna bli mer kreativa. Många virus är därför numera i ständig förändring, och muterar sig från dag till dag, så att de inte stämmer överens med den signatur som säkerhetsföretagen har. Det kan ske automatiskt, men det finns också virus som har kontakt med en server, och laddar ned uppdateringar av sig själv med jämna mellanrum.

Mycket sprids till få
Hot som ännu inte upptäckts kallas i branschen för zero day-hot. Ett virus kan vara en dagslända, spridas till några få datorer och sedan återuppstå i en något modifierad version. Det gör det mycket svårt att upptäcka med traditionellt virusskydd. Dessa är en avsevärd del av zero day-hoten, och är den största orsaken till den drastiska ökningen av antalet unika virus, maskar och trojaner.

Därför tittar moderna antivirusprogram inte bara på enskilda virus och fixar signaturer, utan har utvecklat nya tekniker i kampen mot hoten. De använder bland annat en metod kallad heuristik för att identifiera hittills okänd skadlig kod. I stället för att leta efter kända virus, övervakas datorn och virusskyddet slår larm om någon process eller kodsnutt beter sig som ett virus.

En annan metod som vissa säkerhetsprogram använder är att kontrollera kod och även programprocesser mot en online-databas som alla användare av det programmet är anslutna till och som uppdateras hela tiden. Om koden din dator försöker köra har en checksumma som är listad som godkänd i databasen körs den snällt. Är det bara ett fåtal eller ingen alls som stött på samma kod kan det röra sig om ett zero day-virus, och programmet slår larm. Att ha hela viruslistan på internet ökar också säkerheten, eftersom det inte blir någon fördröjning när det ska skickas ut till användarna. En del antivirus har den möjligheten, men det brukar resultera i att virussökningarna blir långsamma.

Mobilen nästa offer
De senaste åren har även vissa försök gjorts att attackera mobiltelefoner. När allt fler skaffar smartphone är det en stor framtida farozon för it-brott. Ett annat hot är maskar och försök till nätfiske på sociala nätverk som Facebook. Det här har alldeles egna utmaningar, speciellt för användarna som har en tendens att lita mer på informationen där, än i e-post där de är vana vid spam och nätfiskeförsök.

– Här finns det en risk att du inte är lika försiktig med vilka program du kör. Det är lätt att klicka okej för att installera ett insticksprogram eller att installera en codec när det är i webbläsaren. Saker som många användare skulle vara mer misstänksamma till om det gällde program i datorn, menar Dennis Bergström.

Det är en ständig dragkamp mellan virusmakarnas kreativitet och säkerhetsföretagens metoder att motverka deras senaste påhitt. Situationen i dag är en helt annan än situationen för fem eller tio år sedan, och hur hoten ser ut om fem eller tio år kan vi nog bara mardrömma om nu.

Fakta

Vi testade samtliga säkerhetspaket med minst virusskydd och brandvägg, som kommit i 2011-version eller haft annan stor funktionsuppdatering under året. Ett annat krav var att de skulle vara på svenska. Programmen installerades ett och ett på en pc med Windows 7 Home Premium, Intel Core 2 Duo-processor, 4 GB RAM och hårddisk med 5400 rpm rotationshastighet. Datorn återställdes mellan varje test med en image-kopia av hårddisken. Prestanda mättes med Pcmark Vantage och datorns starttid med Bootracer. Mätresultaten för virusskyddens effektivitet kommer från oberoende testlabbet av-test.org.