Virusdrabbad laptop

I slutet av maj månad 2019 rapporterade flera medier om ett nytt sorts konststycke som sålts på auktion. [Aftonbladet, Business Insider, fler till]. Till försäljning var en bärbar dator som innehöll sex datorvirus som alla skapat stor skada på internet sedan de släpptes. Dessa sex virus var: Iloveyou, SoBig, WannaCry, BlackEnergy, , Darktequila och MyDoom.

Bild 1: Priset hamnade på 11,5 miljoner kronor

Kort historia om dessa datorvirus

ILOVEYOU

Ett datorvirus som släpptes runt år 2000, och agerade som en internetmask (ett program som gräver sig fram från dator till dator inom ett nätverk – som en mask). Namnet “Iloveyou” kommer från sättet som viruset spreds: Den angripne fick ett mail med rubriken “ILOVEYOU” och en bifogad fil med namnet “LOVE-LETTER-FOR-YOU.txt.vbs”.

Windowsanvändare som öppnade dokumentet råkade omedvetet starta ett Visual basics-skript som skrev över och förstörde slumpmässigt utvalda filer i datorn och använde även adressboken i Outlook för att skicka vidare samma mail till alla användarens kontakter.

Två filippinska män anklagades senare på sannolika grunder för att vara upphovsmän till viruset (en av dem hade till och med försökt skriva en avhandling om hur man kan nå ekonomisk framgång genom att använda sig av datorvirus), men de fälldes aldrig för något brott eftersom det inte fanns några specifika lagar mot dataförstörelse i Filippinerna på den tiden.

SOBIG

Nästa på listan är ett virus som upptäcktes 2003. Även detta virus spreds via email, ursprungligen med big@boss.com som avsändare – vilket troligtvis förklarar virusets namn.

Viruset släpptes i flera varianter, där varje ny version kom med nya förbättringar som gjorde dess spridning mer och mer effektiv. Den mest framgångsrika versionen var Sobig.F som spreds genom att skanna en infekterade dators hårddisk efter potentiella emejil-adresser, och skicka mejl till dessa adresser med en bifogade infekterad fil som döpts till samma namn som en slumpmässigt utvald fil på den infekterade datorn.

Detta innebar att de som fick mailet troligtvis var bekanta med avsändaren, och med en ökad chans att filnamnet på den bifogade filen var något som var rimligt för avsändaren att skicka.

Utöver att reproducera sig över hela internet laddade viruset även ner en fil från en viss html-länk vilket kunde ge angriparen full kontroll över den infekterad datorn.

MYDOOM

MyDoom-viruset släpptes år 2004, och är tydligen fortfarande det snabbast spridande viruset som skapats. Till skillnad från flera andra av virusen på denna lista så gick detta virus inte ut på att förstöra eller övervaka den infekterade datorn. Istället användes alla de infekterade datorerna, utan datorägarnas vetskap, till en så kallad DDoS-attack mot företaget SCO group – ett företag som var inblandat i flera kontroverser och anklagade olika Linux-utvecklare för att använda deras licensierade källkod.

Även detta virus spreds via emails, med en bifogad infekterad fil tillsammans med texten: “The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.” Då en användare klickade på filen laddades viruset ner i datorn, och skickade vidare samma mejl till offrets alla kontakter. Eftersom viruset inte gjorde någon skada på de infekterade datorerna så kan man tänka sig att det inte var lätt att upptäcka om ens system blivit infekterat.

BLACKENERGY

Detta virus använde sig av “spear phising”-attacker för att spridas. Phising (eller nätfiske) är ett sätt att försöka lura till sig känslig information. ”Spear phising” är en variant på detta när angriparen använder information som är specifikt inriktat mot den som ska angripas. I detta fall användes specifik information riktad mot vissa användare för att övertyga de tilltänkta offren att de emell de fått var legitima och därmed våga lita på att de bifogade filerna de fått inte skulle vara infekterade – vilket de såklart var.

Första versionen av Blackenergy släpptes runt år 2007. Den tredje versionen av Blackenergy som släpptes 2014 användes nämligen i riktade anfall för att skapa ett strömavbrott i Ukraina 2015.

DARKTEQUILA

Detta är ett virus som enligt källor har funnits ute på internet sedan 2013, och är speciellt då det anses mycket mer sofistikerat än de andra virusen på denna lista. Till exempel kan viruset känna av om ett potentiellt mål har aktiva antivirusprogram och då välja att inte infektera målet.

Ett av sätten viruset sprider sig på är via USB-stickor som potentiella offer kan ha plockat på sig från mässor eller liknande. När USB-stickan kopplas in i en dator laddas ett program ner utan användarens vetskap och ligger dolt utan att användaren upplever några problem med datorn. Istället skannar viruset efter information genom keyloggers (program som loggar knapptryck på tangentbordet) och dylikt för att kunna spara exempelvis inloggningsuppgifter för olika tjänster (så som Dropbox).

WANNACRY

Det sista viruset i listan är från maj 2017, och även om inget definitivt svar finns är de flesta övertygade om att Nordkorea ligger bakom det. Viruset är ett så kallat ransomware – ett program som kräver en lösensumma för att den angripne antingen ska återfå data eller för att stoppa data från att förstöras/exponeras.

Tillvägagångssättet för just detta virus var att kryptera hela den infekterade datorns hårddisk och i och med det göra all data på datorn oläslig för användaren. Angriparna krävde sedan en summa pengar i form av bitcoins för att dekryptera och därigenom återskapa alla filer och all information på datorn.

En anledning till att detta virus blivit så välkänt är troligtvis på grund av historien bakom säkerhetsbristen som viruset använde för att sprida sig och infektera sina offer. Viruset använde en svaghet i Microsofts implementering av SMB-protokollet (Server Message Block-protokollet – ett protokoll för fildelning och andra sorters kommunikationer mellan olika noder i ett nätverk). Tydligen hade denna svaghet upptäckts av NSA (National Security Agency) långt tidigare men istället för att berätta detta för Microsoft, valde de att hemlighålla bristen för att själva kunna utnyttja den i deras arbete. Denna exploit, som gick under namnet EternalBlue, läcktes dock i början av 2017 av en hackergrupp, och bara någon månad senare användes den av WannaCry-viruset.

Referens: Simobits experter på informations- och IT-säkerhet