Orm, trojan, virus - hvad er forskellen?

Der er en overflod af farverige ord, der beskriver ondsindede programmer, men hvad er hvad? Version2 giver et bud på definitionerne.

Hvornår er et ondsindet program en virus og ikke en trojansk hest? Hvad skal der til, for at vi kan tale om en orm? Virusverdenen er blevet noget mere kompleks siden Michelangelo-æraen, så her er en oversigt anno 2006.

Virus:
Oprindeligt dækkede virus over en type af ondsindede programmer, der hæftede sig på legitime programmer og blev eksekveret på den måde.

Virus spreder sig ved at inficere andre programfiler og er afhængig af, at programfilerne distribueres. Denne type ondsindede programmer ser vi stort set ikke længere, omend visse typer spyware og trojanske heste har paralleller til ægte virus. Eksempler på de ægte virus er Michelangelo og Chernobyl.

I dag bruges virus også ofte som synonym for det endnu knap så udbredte 'malware', der er en sammentrækning af malicious software, ondsindede programmer.

Orm:
Kriteriet for en orm er, at programmet skal kunne sprede sig selv. Selve infektionen behøver ikke ske automatisk uden brugerindblanding, selvom det er en almindelig misforståelse, der er opstået efter de kendte orme som SQL Slammer og Code Red. Disse kunne sprede sig selv via netværket og udnytte sikkerhedshuller til at inficere et system.

En orm kan imidlertid også sprede sig som en vedhæftet fil sammen med en e-mail, hvor brugeren skal åbne filen for at systemet bliver inficeret. Det afgørende er, at programmet indeholder en funktion, der gør det i stand til at sprede sig fra det inficerede system til andre systemer. Eksempelvis i form af en indbygget postserver i programmet.

Begrebet orm bruges i dag også om de mere komplekse former, hvor et angreb foregår i flere stadier. Første stadie er spredningen af en downloader, som henter en trojansk hest, som igen installerer en bagdør, som igen kan bruges til at sprede flere ondsindede programmer.

Trojansk hest:
Oprindeligt en type af ondsindede programmer, der forsøgte at inficere en brugers system ved at udgive sig for at være noget uskyldigt, men i modsætning til en orm ikke kunne sprede sig selv yderligere.

I dag dækker trojaner over den mest udbredte gruppe af ondsindede programmer, som ofte minder om ormene, men ikke indeholder en automatisk spredningsmekanisme. Trojanere spredes typisk via websteder og ofte som links i e-mails og via beskedtjenester.

Downloader:
Et ondsindet program i familie med trojanerne, men som kun har én funktion, nemlig at inficere brugerens system for derefter at downloade og installere selve det ondsindede program. Downloadere indeholder ikke andre funktioner, men knyttes ofte sammen med trojanere og spyware.

Spyware:
Oprindeligt en betegnelse for programmer, der spionerede på brugerens system. I dag anvendes spyware typisk om blandt andet adware, der bruges til at vise reklamer på brugerens system. Spyware inkluderer også browser-hijackers, der eksempelvis ændrer startsider og foretrukne søgemaskiner.

Rootkit:
Et rootkit er ikke i sig selv et ondsindet program, men blot en komponent, der gør det muligt for andre ondsindede programmer at skjule sig for antivirusprogrammer på det inficerede system.

Keylogger:

En komponent, der bruges til at opfange tastatur - og i visse tilfælde også museinput - fra brugeren. Anvendes eksempelvis til at opsnappe adgangskoder til netbanker. En keylogger kan også findes i hardwareform, hvor den placeres mellem tastaturet og pc'en.

Bagdør:
Bagdøre anvendes til at give en hacker adgang til det inficerede system. Bagdøre er ofte en delkomponent i et ormeangreb eller en trojansk hest, men kan være et selvstændigt program.

Bagdøren giver en hacker adgang til eksempelvis at hente information fra en keylogger, men kan også anvendes til at misbruge den inficerede pc til at afsende spam eller installere adware. Bagdøren kan også bruges til at iværksætte et nyt angreb ved at udsende nye trojanske heste.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
Anonym

Lige en kommentar til termen "rootkit": Oprindeligt dækkede betegnelsen "rootkit" over en samling programmer og værktøjer, som en hacker, ligeså snart hyn havde opnået adgang til en server, fik downloadet til serveren og som hyn derefter benyttede til yderligere kompromitering af serveren, først og fremmest at opnå root-adgang. Heraf navnet "rootkit", altså værktøjskasse til at "root'e" serveren med. Ofte indeholder sådanne rootkits stealth-funktionalitet, der kan bruges til at skjule rootkittets eksistens på den pågældende server, først og fremmest ved at ændre operativsystemet på den kompromiterede server på en sådan måde, at almindelige kald til operativsystemet ikke vil afsløre de uautoriserede processer. Nu om dage bruges betegnelsen "rootkit" eller "rootkit-funktionalitet" om malware med stealth-funktionalitet. Stealth-teknikker har i hvert fald været benyttet siden 1986 ((C) Brain).

I øvrigt ville det også være relevant at give en definition på "spoofing".

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder