Trace Id is missing
Gå till huvudinnehåll
Microsoft Security

Vad är skadlig kod?

Ta reda på mer om skadlig kod, hur det fungerar och hur du kan skydda dig själv och verksamheten från den här typen av cyberattacker.

Kom igång med SIEM- och XDR-lösningar

Definition av skadlig kod

Skadlig kod eller skadlig programvara är kod eller program som skadar eller stör normal användning av  slutpunktsenheter. När en enhet blir infekterad med skadlig kod kan du råka ut för obehörig åtkomst, komprometterade data eller bli utestängd från enheten om du inte betalar en lösensumma.

Människor som distribuerar skadlig programvara, det vill säga cyberbrottslingar, motiveras av pengar och använder infekterade enheter för attacker för att till exempel få bankuppgifter, samla in personlig information som kan säljas, sälja åtkomst till datorresurser eller pressa offret på betalningsinformation.

Hur fungerar skadlig kod?

Skadlig kod förhindrar med hjälp av olika knep normal användning av en enhet. När cyberbrottslingar har fått åtkomst till din enhet med hjälp av en eller flera olika metoder, till exempel nätfiske i e-postmeddelanden, en infekterad fil, sårbarheter i system eller programvara, ett infekterat USB-minne eller en skadlig webbplats, drar de nytta av situationen genom att starta ytterligare attacker, hämta kontouppgifter, samla in personlig information för att kunna sälja den, sälja tillgång till datorresurser eller pressa offren på betalningar.

Vem som helst kan bli offer för en attack med skadlig kod. Även om en del kanske känner till hur man upptäcker angriparnas metoder i attacker med skadlig kod, till exempel genom att veta hur man känner igen ett nätfiskemeddelande, är cyberbrottslingar smarta och utvecklar ständigt sina metoder för att hålla jämna steg med förbättringar i teknik och säkerhet. Attacker med skadlig kod ser också ut på olika sätt och fungerar olika beroende på typen av skadlig kod. Någon som har utsatts för till exempel ett spökprogram kanske inte ens vet om det, eftersom den här typen av skadlig kod är utformad för att ligga lågt och förbli oupptäckt så länge som möjligt.

Här är några av cyberbrottslingarnas metoder för att sprida skadlig kod till enheter.

Typer av skadlig kod

Skadlig kod kan se ut på många olika sätt. Här är några vanliga typer.

Nätfiske
I en nätfiskeattack framställer sig angriparen som en trovärdig källa för att stjäla känslig information via e-post, webbplatser, sms eller andra former av elektronisk kommunikation. De här attackerna fungerar som en leveransmetod för skadlig kod. I vanliga attacker stjäls användarnamn, lösenord, kreditkortsinformation och bankinformation. De här typerna av attacker med skadlig kod kan leda till identitetsstöld eller direkt stöld av pengar från någons personliga bankkonto eller kreditkort.

En cyberbrottsling kan till exempel utge sig för att vara en välkänd bank och skicka ett e-postmeddelande som varnar om att ett konto har blivit spärrat på grund av misstänkt aktivitet. I e-postmeddelandet uppmanas personen att klicka på en länk för att lösa problemet. När personen klickar på länken installeras skadlig kod.

Spionprogram
Spionprogram fungerar genom att installera sig på en enhet utan medgivande eller utan att ge tillräcklig information om det. När det väl har installerats kan det övervaka beteende online, samla in känslig information, ändra enhetsinställningar och minska enhetens prestanda.

Annonsprogramvara
Precis som spionprogram installerar annonsprogramvara sig själv på en enhet utan någons medgivande. Men när det gäller annonsprogramvara ligger fokus på att visa aggressiv reklam, ofta i form av popup-fönster, för att tjäna pengar på klick. Dessa annonser försämrar ofta enhetens prestanda. Farligare typer av annonsprogramvara kan också installera ytterligare programvara, ändra webbläsarinställningar och göra en enhet sårbar för andra skadliga attacker.

Virus
Virus är utformade för att störa en enhets normala funktion genom att registrera, skada eller radera dess data. De sprider sig ofta till andra enheter genom att lura människor att öppna skadliga filer.

Sårbarhetsattacker och exploateringspaket
De här attackerna utnyttjar sårbarheter i programvara för att kringgå en dators säkerhetsåtgärder och infektera en enhet. Angripande hackare söker efter föråldrade system som innehåller kritiska sårbarheter och utnyttjar dem sedan genom att distribuera skadlig kod. Genom att använda shellkod i en sårbarhetsattack kan cyberbrottslingar ladda ned mer skadlig kod som infekterar enheter och infiltrerar organisationer.

Exploateringspaket innehåller en samling attackmetoder som söker efter olika typer av programvarusårbarheter. Om sådana upptäcks distribuerar paketen ytterligare skadlig kod. Programvara som kan infekteras är till exempel Adobe Flash Player, Adobe Reader, webbläsare, Oracle Java och Sun Java. Angler/Axpergle, Neutrino och Nuclear är några typer av vanliga exploateringspaket.

Attacker mot sårbarheter och paket med de här attackerna använder sig vanligtvis av skadliga webbplatser eller e-postbilagor för att göra intrång i ett nätverk eller en enhet, men ibland gömmer de sig också i annonser på legitima webbplatser utan webbplatsens vetskap.

Fillös skadlig kod
Den här typen av cyberattacker handlar i stort om skadlig kod som inte förlitar sig på filer, som en infekterad e-postbilaga, för att göra intrång i ett nätverk. Intrånget kan till exempel ske via skadliga nätverkspaket som utnyttjar en sårbarhet, och sedan installeras skadlig kod som bara finns i kernelminnet. Fillösa hot är särskilt svåra att hitta och ta bort eftersom de flesta antivirusprogram inte är byggda för att söka igenom inbyggd programvara.

Skadlig kod med makron
Du kanske redan är bekant med makron – ett sätt att snabbt automatisera vanliga uppgifter. Skadlig kod med makron drar nytta av den här funktionen genom att infektera e-postbilagor och ZIP-filer. För att lura människor att öppna filerna döljer cyberbrottslingar ofta skadlig kod i filer som ser ut att vara fakturor, kvitton och juridiska dokument.

Tidigare var skadlig kod med makron vanligare eftersom makron kördes automatiskt när ett dokument öppnades. Men i de nya versionerna av Microsoft Office är makron inaktiverade som standard, vilket innebär att cyberbrottslingar som infekterar enheter på det här sättet måste övertyga användarna om att aktivera makron.

Utpressningstrojaner
Utpressningstrojaner är en typ av skadlig kod som hotar offret genom att förstöra eller blockera åtkomst till kritiska data tills en lösensumma betalas. Attacker med utpressningstrojaner som styrs av människor angriper en organisation genom vanliga felkonfigurationer i system och säkerhet. De infiltrerar organisationen, navigerar i dess företagsnätverk och anpassar sig till miljön och eventuella svagheter. En vanlig metod för att få åtkomst till en organisations nätverk för att distribuera utpressningstrojaner är genom identitetsstöld, där en cyberbrottsling stjäl en medarbetares autentiseringsuppgifter för att få tillgång till medarbetarens konton.

Attacker med mänskligt styrda utpressningstrojaner riktar sig mot stora organisationer eftersom de kan betala en högre lösensumma än en genomsnittsperson, ofta många miljoner dollar. Eftersom mycket står på spel med ett intrång i den här skalan väljer många organisationer att betala lösensumman istället för att riskera att deras känsliga data läcks eller att de utsätts för ytterligare attacker från cyberbrottslingar. En betalning av lösensumman är dock ingen garanti för att förhindra detta.

I takt med att de mänskligt styrda attackerna med utpressningstrojaner blir allt vanligare, blir också brottslingarna bakom attackerna mer organiserade. Faktum är att många angrepp med utpressningstrojaner nu bygger på en modell med utpressningstrojaner som en tjänst. Den här modellen innebär att en grupp kriminella utvecklare skapar själva utpressningstrojanen och sedan anställer andra cyberkriminella partner för att hacka en organisations nätverk och installera utpressningstrojanen. De två grupperna delar sedan på vinsten enligt överenskommelsen.

Spökprogram
När cyberbrottslingar använder spökprogram döljer de skadlig kod på en enhet så länge som möjligt, ibland till och med i flera år, så att information och resurser kan stjälas fortlöpande. Genom att fånga upp och ändra standardprocesserna i operativsystemet kan ett spökprogram ändra informationen som din enhet rapporterar om sig själv. En enhet som är infekterad med ett spökprogram kanske till exempel inte visar en korrekt lista över de program som körs. Spökprogram kan också ge cyberbrottslingar administrativa eller utökade enhetsprivilegier så att de får fullständig kontroll över en enhet och kan utföra potentiellt skadliga åtgärder, som att stjäla data, spionera på offret och installera ytterligare skadlig kod.

Attacker mot försörjningskedjan
Den här typen av skadlig kod attackerar utvecklare och leverantörer av programvara genom att komma åt källkod, utvecklingsprocesser eller uppdateringsmekanismer i legitima appar. När en cyberbrottsling har hittat ett osäkert nätverksprotokoll, oskyddad serverinfrastruktur eller osäkra kodningsmetoder, bryter de sig in, ändrar källkoder och döljer skadlig kod i bygg- och uppdateringsprocesser.

Bedrägerier via teknisk support
Bedrägerier via teknisk support är ett branschomfattande problem där man använder skrämseltaktik för att lura användare att betala för onödiga tekniska supporttjänster som gör reklam för att åtgärda ett förfalskat problem som rör en enhet, en plattform eller programvara. I attacker av den här typen kan en cyberbrottsling ringa någon direkt och låtsas vara anställd hos ett mjukvaruföretag. När de väl har fått personens förtroende uppmanar angriparna ofta potentiella offer att installera program eller ge fjärråtkomst till sina enheter.

Trojaner
Trojaner bygger på att en användare omedvetet laddar ned dem eftersom de verkar vara legitima filer eller appar. När de har laddats ned kan de göra följande:

  • Ladda ned och installera ytterligare skadlig kod, till exempel virus eller maskar.
  • Använda den infekterade enheten för klickbedrägeri.
  • Registrera tangenttryckningar och webbplatser du besöker.
  • Skicka information (till exempel lösenord, inloggningsuppgifter och webbhistorik) om den infekterade enheten till en hackare.
  • Ge cyberbrottslingen kontroll över den infekterade enheten.

Oönskad programvara
När en enhet har oönskad programvara kan användaren råka ut för en modifierad webbupplevelse, ändrad kontroll över nedladdningar och installationer, vilseledande meddelanden och obehöriga ändringar av enhetsinställningar. En del oönskad programvara levereras tillsammans med programvara som folk har för avsikt att ladda ned.

Maskar
Maskar finns oftast i e-postbilagor, sms, fildelningsprogram, på sociala nätverk, nätverksresurser och flyttbara enheter. En mask sprider sig genom ett nätverk genom att utnyttja säkerhetsbrister och kopiera sig själv. Beroende på typen av mask kan den stjäla känslig information, ändra dina säkerhetsinställningar eller hindra dig från att komma åt filer.

Program för brytning av kryptovaluta
Samtidigt som populariteten för kryptovalutor har ökat har även brytning av kryptovaluta blivit en lönsam verksamhet. Program för brytning av kryptovaluta använder datorns beräkningsresurser för att bryta kryptovaluta. Infektioner av den här typen av skadlig kod börjar ofta med en e-postbilaga som försöker installera skadlig kod eller en webbplats som utnyttjar sårbarheter i webbläsare eller drar fördel av datorns processorkraft för att lägga till skadlig kod på enheter.

Med hjälp av komplexa matematiska beräkningar upprätthåller program för brytning av kryptovaluta blockkedjans transaktionsregister för att stjäla datorresurser som gör att brytningsprogrammet kan skapa nya mynt. Brytning av kryptovaluta kräver mycket datorbearbetningskraft för att stjäla relativt små mängder kryptovaluta. Därför arbetar cyberbrottslingar ofta i team för att maximera och dela på vinsten.

Alla program för brytning av kryptovaluta är ändå inte kriminella, individer och organisationer köper ibland maskinvara och energi för legitim brytning av kryptovaluta. Handlingen blir kriminell när en cyberbrottsling infiltrerar ett företags nätverk utan dess vetskap för att använda datorkraften för brytning av kryptovaluta.

Skydd mot skadlig kod

Även om vem som helst kan utsättas för en attack med skadlig kod, finns det många sätt att förhindra attacker från att ske.

Installera ett antivirusprogram
Det bästa sättet att skydda sig är med förebyggande åtgärder. Organisationer kan blockera eller upptäcka många attacker med skadlig kod med hjälp av en pålitlig säkerhetslösning eller tjänst mot skadlig kod, till exempel Microsoft Defender för Endpoint eller Microsoft Defender Antivirus. När du använder sådana här program söker enheten först igenom alla filer eller länkar som du försöker öppna för att säkerställa att de är säkra. Om en fil eller webbplats är skadlig varnar programmet dig och föreslår att du inte öppnar filen eller webbplatsen. De här programmen kan också ta bort skadlig kod från en enhet som redan har blivit infekterad.

Implementera avancerade e-post- och slutpunktsskydd
Få hjälp med att förhindra attacker med skadlig kod med Microsoft Defender för Office 365, som söker igenom länkar och bilagor i e-postmeddelanden och samarbetsverktyg, som SharePoint, OneDrive och Microsoft Teams. Med Microsoft Defender XDR, som är en del av Microsoft 365 Defender, får du funktioner för att identifiera och åtgärda hot med skadlig kod.

Microsoft Defender XDR, som också är en del av Microsoft Defender för Endpoint, använder beteendesensorer för slutpunkter, molnsäkerhetsanalys och hotinformation så att organisationer kan förebygga, identifiera, undersöka och åtgärda avancerade hot.

Ordna regelbundna utbildningstillfällen
Håll medarbetarna informerade om hur man upptäcker tecken på nätfiske och andra cyberattacker med regelbunden utbildning. Då får de inte bara lära sig säkrare arbetsmetoder utan också hur de kan använda sina personliga enheter på ett säkrare sätt. Med simulerings- och utbildningsverktyg, som utbildningen med attacksimulering i Defender för Office 365, kan du simulera verkliga hot i din miljö och ge slutanvändarna utbildning baserat på simuleringsresultatet.

Dra nytta av säkerhetskopior i molnet
När du flyttar dina data till en molnbaserad tjänst kan du enkelt säkerhetskopiera data för säkrare lagring. Om dina data någonsin komprometteras av skadlig kod du med hjälp av dessa tjänster se till att återställningen är både omedelbar och omfattande.

Inför en Nolltillit-modell
Med en Nolltillit-modell utvärderas risken för alla enheter och användare innan de tillåts åtkomst till program, filer, databaser och andra enheter. Detta minskar sannolikheten för att en skadlig identitet eller enhet kan komma åt resurser och installera skadlig programvara. Som exempel har implementering av multifaktorautentisering, en komponent i Nolltillit-modellen, visats minska effektiviteten av identitetsattacker med mer än 99 procent. Utvärdera Nolltillit-statusen i organisationen genom att göra mognadsutvärderingen för Nolltillit.

Gå med i en grupp för informationsdelning
Grupper för informationsdelning, som ofta organiseras efter bransch eller geografisk plats, uppmuntrar organisationer med liknande struktur att arbeta tillsammans med cybersäkerhetslösningar. Grupperna erbjuder också organisationer olika fördelar, till exempel incidenthantering och tjänster för digital kriminalteknik, nyheter om de senaste hoten och övervakning av offentliga IP-intervall och domäner.

Spara säkerhetskopior offline
Eftersom en del skadlig kod försöker leta upp och ta bort alla onlinesäkerhetskopior du kan ha, är det en bra idé att ha en uppdaterad säkerhetskopia offline av känsliga data som du regelbundet testar för att se till att den går att återställa om du skulle drabbas av en attack med skadlig kod.

Se till att programvaror är uppdaterade
Förutom att hålla alla antiviruslösningar uppdaterade (fundera på att använda automatiska uppdateringar) ska du se till att ladda ned och installera alla andra systemuppdateringar och programvarukorrigeringar så snart de är tillgängliga. Detta bidrar till att minimera eventuella säkerhetsbrister som en cyberbrottsling kan utnyttja för att få åtkomst till ditt nätverk eller dina enheter.

Skapa en plan för incidenthantering
När du har en plan för hur du lämnar ditt hem om det börjar brinna är du bättre förberedd och kan snabbt sätta dig i säkerhet. På samma sätt kan du skapa en plan för incidenthantering så att du vet vilka åtgärder du kan vidta om du drabbas av skadlig kod för att så snabbt och säkert som möjligt återgå till normal drift i olika attackscenarier.

Upptäcka och avlägsna skadlig kod

Det är inte alltid lätt att upptäcka skadlig kod, särskilt när det gäller fillös skadlig kod. Det är en bra idé för både organisationer och individer att hålla utkik efter en ökning av popup-annonser, omdirigeringar i webbläsare, misstänkta inlägg på sociala mediekonton och meddelanden om komprometterade konton eller enhetssäkerhet. Ändringar i enhetens prestanda, som att den körs mycket långsammare, kan också vara ett möjligt tecken på en attack.

Om du är orolig och tror att du kan ha blivit offer för en attack med skadlig kod finns det som tur saker du kan göra för att identifiera och ta bort hotet. Ett första steg är att dra nytta av antivirusprodukter, som det som finns inbyggt i Windows för att söka efter skadlig kod. När du har installerat ett antivirusprogram, kör du en genomsökning av enheten för att leta efter skadliga program eller skadlig kod. Om programmet identifierar skadlig kod visas typen och rekommendationer för borttagning. Efter borttagningen ser du till att hålla programvaran uppdaterad och igång för att förhindra framtida attacker.

Om det handlar om mer avancerade attacker mot organisationer som antivirusprogram inte kan upptäcka och blockera kan säkerhetsexperter använda verktyg för SIEM (säkerhetsinformation och händelsehantering) och XDR (utökad identifiering och åtgärd) med molnbaserade slutpunktssäkerhetsmetoder som hjälp för att identifiera och åtgärda attacker på slutpunktsenheter. Eftersom sådana här typer av attacker är mångfasetterade, då cyberbrottslingar riktar in sig på mer än bara kontroll över enheter, kan organisationer med hjälp av SIEM och XDR se en helhetsbild av attacken över alla domäner – inklusive enheter, e-postmeddelanden och program.

Att komma igång med  SIEM & XDR -verktyg, som Microsoft SentinelMicrosoft Defender XDR, och Microsoft Defender för molnet, är ett bra ställe att börja på när det gäller antivirusfunktioner. Säkerhetsexperter bör se till att enhetsinställningar alltid uppdateras så att de följer de senaste rekommendationerna för att förhindra hot med skadlig kod.

Mer information om Microsoft Security

Microsoft Sentinel

Upptäck avancerade hot och svara beslutsamt med en enkel och kraftfull SIEM-lösning som drivs av molnet och AI.

Mer information

Microsoft Defender XDR

Stoppa attacker över domängränserna med en enhetlig XDR-lösning med utökad synlighet och oöverträffad AI.

Mer information

Microsoft Defender för molnet

Stärk molnsäkerheten och övervaka och skydda arbetsbelastningar i multimolnmiljöer.

Mer information

Microsoft Defender för Office 365

Skydda organisationen mot hot i e-postmeddelanden, länkar och samarbetsverktyg.

Mer information

Microsofts rapport om digitalt försvar

Bekanta dig med det aktuella hotlandskapet och hur du bygger upp ett digitalt försvar.

Mer information

Vanliga frågor och svar

  • Tyvärr kan vem som helst utsättas för en attack med skadlig kod. Cyberbrottslingar har blivit allt bättre på att imitera e-postmeddelanden och andra former av kommunikation från organisationer som du redan känner till, som din bank. Andra typer av skadlig kod är ännu svårare att upptäcka och kan döljas i programvara som du vill ladda ned.

    Ett bra sätt att förhindra skadlig kod från att infektera ditt nätverk eller dina enheter är att investera i proaktiva lösningar, som tjänster för skydd mot hot. Det är därför mindre troligt att individer och organisationer som använder antivirusprogram och andra säkerhetsprotokoll, som en Nolltillit-modell, innan en attack inträffar drabbas av en attack med skadlig kod.

  • Attacker med skadlig kod sker på många olika sätt. Du kanske klickar på en skadlig länk, öppnar en infekterad e-postbilaga eller inte gör något alls – vissa attacker utnyttjar enhetens säkerhetsrisker när du inte har vidtagit någon åtgärd.

  • Attacker med skadlig kod kan vara förödande, till exempel då din identitet och dina pengar blir stulna, eller mindre allvarliga men ändå ge besvär, som när oönskade annonser visas på din enhet.

  • Antivirusprogram är en typ av programvara som aktivt skyddar dig mot och tar bort skadlig kod på enheten. När du har en antivirustjänst installerad får du ett meddelande innan du kommer åt en komprometterad fil eller länk som varnar dig om att den möjligtvis är osäker.

  • Du kan förhindra skadlig kod genom att ladda ned och installera ett antivirusprogram, som övervakar enhetens aktivitet och åtgärder och flaggar alla misstänkta filer, länkar eller program innan de blir ett problem.

Följ Microsoft