Hur fungerar datamaskar?
Datamaskar (computer worms) är ett sorts datavirus som börjar bli mer vanligt. Skillnaden mellan ett virus och en mask är att masken fungerar mer eller mindre oberoende av andra filer. En dator mask är ett självreplikerande skadligt program som kan spridas till andra datorer och andra nätverk. Trojanen sprider sig själv via exempelvis mejl och behöver inte koppla sig till ett annat program men den kan vara skadlig och kan skapa en exakt kopia av sig själv. Maskar har stor spridningshastighet och man skiljer mellan värddatormaskar och nätverksmaskar.
Maskar sprids via nätverk och förbrukar bandbredd. Om du någonsin undrat varför din nätverksanslutning är långsam? Det kan bero på maskar. Maskar kan ha många skadliga effekter som orsakar att en server att krascha, gör en användares filer oanvändbara, eller att skapa en bakdörr på måldatorn.
Exempel på data maskar
ILOVEYOU (år 2000): En av de mest förödande datamaskarna i historien, ILOVEYOU-masken spreds via e-post med ett bilagat ”kärleksbrev”. Den infekterade miljontals datorer världen över och orsakade uppskattningsvis 10 miljarder dollar i skador.
Conficker (2008): Conficker-masken utnyttjade en svaghet i Windows-operativsystemet och infekterade miljontals datorer. Den användes för att skapa ett botnät, vilket cyberbrottslingar kunde använda för att utföra koordinerade attacker eller för att distribuera annan skadlig kod.
Mydoom (2004): Tros vara den snabbast spridande e-postmasken någonsin, Mydoom orsakade omfattande störningar i e-posttrafiken och överbelastade nätverk. Den hade även en bakdörrsfunktion som gjorde infekterade datorer sårbara för fjärrkontroll.
Stuxnet (upptäckt 2010): En av de mest sofistikerade datamaskarna, Stuxnet, var riktad mot industriella kontrollsystem. Den är mest känd för att ha riktat sig mot Irans kärnkraftsprogram och orsakade betydande skada på landets urananrikningsanläggningar.
Slammer (2003): Slammer-masken riktade sig mot servrar med Microsoft SQL Server och orsakade störningar i banktjänster, nödsamtalssystem och till och med Internetåtkomst i vissa områden.
agent.btz är en mask som lär ha letat sig in den amerikanska militärens ledningscentral och ställt till en hel del problem. Amerikanarna misstänkte att det var rysk eller kinesisk säkerhetstjänst som låg bakom attacken. Masken spreds bla genom att ladda ner vanliga .jpg filer. Läs mer på F-secure
Stuxnet och cyberwarfare
Stuxnet är ett exempel på en avancerad datamask som härjade i Siemens industriella datasystem i flera månader innan den blev känd i juni 2010. Olika varianter av Stuxnet riktades mot fem iranska organisationer och det troliga målet misstänks vara kärnkraftsindustrin i Iran. I november 2010 bekräftade Ahmadinejad ”They succeeded in creating problems for a limited number of our centrifuges with the software they had installed in electronic parts.”
Tidigt vändes blickarna mot olika nationers säkerhetstjänster eftersom Stuxnet var väldigt komplext i sin uppbyggnad. Enligt tidningen New York Times var det USA och Israel som låg bakom Stuxnet vilket också har bekräftats i en intervju av Snowden i Der Spiegel.
Stuxnet 2.0 eller Duqu – som drabbade Iran
Den 14:e oktober 2011 hittade ett labb ett nytt och extremt sofistikerat program som är baserat på samma källkod som Stuxnet som först döptest till Duqu [dyü-kyü] eftersom den skapar filnamn med prefixet “~DQ”. Av vissa har den också döpts till Stuxnet 2.0.
Masken Duqu använder ett C&C-protokoll, i första hand för ned-eller uppladdning av vad som verkar vara dummy JPG-filer. Enligt en artikel i Guardian är det ett antal europeiska företag som har blivit drabbade av denna masken och det finns olika teorier vilka som ligger bakom. Enligt Semantec tros Duqu spridits med Microsoft Word dokument som har bifogats email. Genom den smittade datorn kan användaren få kontroll över datorn.
Vilka företag som blivit drabbade finns det olika bud kring och det nämns bla olika CA (Certificate authorities) enligt McAfee och det har även nämnts företag i Ungern.
Bit Defender har ett verktyg för att ta bort viruset. Du hittar Symantecs instruktioner här och McAfee’s instruktioner hittar du här
Källor:
http://en.wikipedia.org/wiki/Stuxnet
http://www.dn.se/ekonomi/spionprogram-hittat-infor-dataattack
http://www.symantec.com/connect/w32_duqu_precursor_next_stuxnet