Orm

Innenfor datasikkerhet dukker begrepet «orm» og «ormer» opp ved jevne mellomrom, men hva er egentlig en orm?

Hva er en orm?

Ormer er en spesialvariant av et datavirus som ikke trenger en vert for spredning. Ormer har selv de mekanismer som kreves for spredning, men de opptrer og ødelegger forøvrig på samme måte som et datavirus. Dataormer er svært effektive fordi de kan reprodusere seg selv og bruke systemressurser til å spre seg raskt, noe som gjør dem til en trussel mot både små og store nettverk.

Innebygde mekanismer sørger for å spre ormen videre ved å sende e-post med et infisert vedlegg fra datamaskinen ormen har infisert – uten hjelp fra noen. I tillegg til reproduksjon, kan både virus og ormer ha andre ødeleggende funksjoner.

Mange ormer som har blitt opprettet er laget kun for å spre seg, og ikke forsøke å endre systemene de passerer gjennom. Men som Morris-ormen og Mydoom viste, kan selv disse «nyttelast gratis» ormer forårsake store forstyrrelser ved å øke nettverkstrafikk og andre utilsiktede effekter. En «nyttelast» er koden i ormen designet for å gjøre mer enn å spre ormen videre.

Hvordan fungerer en dataorm?

Dataormer spres ved å utnytte sårbarheter i programvare eller operativsystemer, og kan bruke ulike metoder for å komme inn i systemer. Når en dataorm først kommer seg inn på en enhet, starter den en prosess for å reprodusere seg selv og deretter spre seg til andre enheter via nettverket.

Vanlige angrepsmetoder er:

• Nettverksprotokoller: Ormer kan utnytte sårbarheter i nettverksprotokoller, som SMB (Server Message Block), for å kopiere seg selv til andre tilkoblede systemer.
• E-post og meldingssystemer: Mange ormer spres via e-post ved å sende infiserte vedlegg eller lenker til en persons kontaktnettverk.
• Sosial manipulering (social engineering): Noen ormer utnytter brukerens tillit, som å utgi seg for å være noe uskyldig, for eksempel et dokument eller bilde, for å få brukeren til å åpne det.

De fleste ormer begynner som e-postvedlegg som infiserer en datamaskin når de blir åpnet. Ormen søker gjennom den infiserte datamaskinen etter filer, for eksempel adressebøker eller midlertidige nettsider som inneholder e-postadresser. Ormen bruker adressene for å sende ut infisert e-post og forfalsker (engelsk: to spoof) ofte Fra-adressen i disse e?postmeldingene, slik at de infiserte meldingene ser ut som de kommer fra noen som mottakeren kjenner. Ormen sprer seg deretter automatisk gjennom e-post, nettverk eller sikkerhetsproblemer i operativsystemer, og overbelaster ofte disse systemene før noen avslører årsaken.

Ormer er ikke alltid destruktive for datamaskiner, men de forårsaker vanligvis problemer med ytelse og stabilitet for datamaskiner og nettverk.

Hvilke oppgaver har en orm?

En orm kan ha mange ulike oppgaver. F.eks. kan en orm ha om oppgav å slette alle filer på harddisken og alle andre lagringsmedia som finnes i maskinen eller som settes inn i maskinen senere. Andre ormer som f.eks ExploreZip ormen kryptere filene på maskinen i et ransomangrep på maskinen, eller sende dokumenter via e-post.

En veldig vanlig nyttelast for ormer er å installere en bakdør i den infiserte datamaskinen for å tillate etablering av en «zombie» datamaskin under kontroll av ormen uvedkommende. Slike ormer kan være tidsbomber som går av på en gitt tid, eller logiske bomber som går av under en gitt forutsetning eller handling.

Ormer benyttes ofte til å avlytte brukeres passord og for å skaffe kontroll, og ta over maskinen. Ofte spres de gjennom e-post, og sender seg selv videre til alle på adresselista i e-postprogrammet.

Hvor store er en orm?

Det minste kjente dataviruset er på 13 bytes. Det største kjente viruset er på over 2,84 Terabytes. Viruset ble formet under feilprogrammering av programvare i datahovedbasen NKPA, Florida.

Hva gjør dataormer farlige?

Dataormer er farlige fordi de kan spre seg svært raskt og forårsake betydelig skade. De kan bruke opp systemressurser, redusere nettverkshastighet, og i noen tilfeller utføre skadelige handlinger som datatyveri, oppretting av botnet, eller distribuere annen malware. Dataormer er derfor en stor sikkerhetsrisiko, spesielt i miljøer med mange tilkoblede enheter, som bedriftsnettverk eller IoT-enheter.

Hvordan beskytte seg mot ormer?

1. Hold systemene oppdatert: Mange ormer utnytter kjente sårbarheter. Å holde programvare og operativsystemer oppdatert reduserer risikoen for å bli infisert.
2. Bruk brannmurer og antivirusprogrammer: En brannmur kan begrense ormens evne til å spre seg via nettverket, og antivirusprogrammer kan oppdage og fjerne ormer.
3. Vær forsiktig med e-postvedlegg og lenker: Mange ormer sprer seg via e-post, så unngå å åpne mistenkelige vedlegg og klikke på lenker fra ukjente avsendere.
4. Segmenter nettverket: For bedrifter kan det være effektivt å segmentere nettverket, noe som hindrer ormer fra å spre seg til alle enheter i systemet.