Ett test genomfördes där onlineverktyget ”Virustotal” användes. ”Virustotal”
är ett gratisverktyg som hjälper till med att undersöka ifall filer innehåller skadliga koder eller inte [10]. Verktyget skannar igenom filerna som laddas upp av användaren. Hashsumman på filen jämförs med hashsummor på olika skadliga program. ”Virustotal” använder olika antivirusutvecklares databaser med svartlistade program som används till jämförelsen. Filen som matas in jämförs med befintliga skadliga program och ett resultat ges. Antingen visar det sig att filen är skadlig eller att den inte är det. Det är dock möjligt att verktyget skulle kunna meddela att en fil inte är skadlig fast att den är det.
Detta beror i så fall på att det skadliga programmet är nytt och okänt för
3.5. VIRUSTOTAL 21
antivirusutvecklarna. Verktyget användes för att undersöka träffsäkerheten på filtesterna. Tre olika filer kördes i verktyget ”Virustotal” där en av dem var det skadliga programmet ”Wannacry”. Filerna som kördes hade filändelserna .jpg, .txt och .exe där filen med ändelsen .exe var den skadliga filen.
Kapitel 4 Resultat
4.1 Resultat av experiment
4.1.1 AVG Internet Security
AVG version 2013.2897 (från 2013)
Den gamla versionen av ”AVG” varnade och rekommenderade att uppdatera antivirusprogrammet då datorn kunde vara utsatt för flera risker. Två alter-nativ visades på skärmen: uppdatera eller uppdatera senare. Då experimentet gick ut på att undersöka riskerna med att skjuta upp uppdateringen valdes alternativet ”uppdatera senare”. Den skadliga filen öppnades i zip-format och packades upp på skrivbordet. ”AVG” antiviruset gav inga tecken på att da-torn kunde vara utsatt för hot. Därefter exekverades den skadliga filen och alla filer i systemet krypterades och blev helt oanvändbara (se Figur 4.1).
”AVG” reagerade heller inte efter på att systemet infekterats av ransomware.
23
Figur 4.1: I den här figuren visas skrivbordet på den virtuella maskinen efter infektionen av ransomwaret ”Wannacry”
AVG version 19.2.3079 (från 2019)
Den skadliga filen packades upp till skrivbordet, men den senaste AVG-versionen reagerade förvånansvärt inte på att en skadlig fil hade packats upp.
Detta är anmärkningsvärt då ransomwaret ”Wannacry” funnits sedan 2017 [28]. Ett sådant välkänt antivirusprogram bör upptäcka den skadliga filen.
När den skadliga filen exekverades stoppades den av ”AVG” och raderades.
Inga filer eller funktioner i systemet skadades. ”AVG” visade ett meddelande där det stod att ett hot upptäckts och flyttats till en säker plats. Program-met visade även att filen som exekverades innehöll det skadliga ransomwaret
”Wannacry”.
4.1. RESULTAT AV EXPERIMENT 25
4.1.2 Microsoft Security Essentials
Microsoft Security Essentials version 1.0.1161 (2009)
Den skadliga filen öppnades i zip-formatet och packades upp till skrivbor-det. Även i detta fall gavs ingen reaktion på att det fanns ett hot i systemet.
Detta var dock helt förväntat jämfört med den nyare versionen av AVG. Den skadliga filen exekverades och passerade fritt genom antivirusprogrammet.
Alla filer i systemet förstördes och krypterades av ransomwaret. Antivirus-programmet reagerade inte på att systemet infekterats med någon skadlig kod.
Microsoft Security Essentials version 4.10.209.0 (2019)
När den skadliga filen var på väg att packas upp ur sitt zip-format stop-pades processen helt av antivirusprogrammet. Ett meddelande visade att en skadlig fil hittats och raderats. Eftersom det inte gick att packa upp filen gjor-des det ett försök att köra den direkt från sitt zip-format. Även det stoppagjor-des av antivirusprogrammet och varnade från den skadliga filen.
4.1.3 Avast Antivirus
Avast 7.0.1474 (2012)
Även den gamla versionen av ”Avast” reagerade på samma sätt som de ti-digare äldre versionerna av antivirusprogrammen. Det gick att både packa upp och köra den skadliga filen utan någon reaktion av antivirusprogrammet.
Avast 19.3.2369 (2019)
Den nya versionen av ”Avast” reagerade på samma sätt som ”Microsoft secu-rity essentials”. Den skadliga filen kunde varken packas upp eller köras direkt från zip-formatet. Det här resultatet var förväntat (se Figur 4.2).
Figur 4.2: Senaste versionen av antivirusprogrammet Avast stoppar ransom-waret Wannacry
4.1.4 Windows 10
Det här testet gick ut på att undersöka vad för skydd som erbjuds av ”Micro-soft” precis efter installationen av operativsystemet ”Windows 10”. Därför in-stallerades inte något skydd på operativsystemet mer än vad som ingick. När den skadliga filen skulle laddas ned online användes webbläsaren ”Microsoft edge”. Nedladdningen av den skadliga filen nekades av ”Windows Defender”
på grund av det skadliga innehållet (se Figur 4.3). ”Windows Defender” är ett skydd som kommer installerat med operativsystemet. Det fanns alltså inget sätt att tillåta hämtningen av filen. För att försöka komma runt detta och hämta filen laddades ”Google Chromes” webbläsare ned. Sedan testades hämtningen av den skadliga filen genom ”Google Chrome”. Även i detta fall nekades hämtningen. Då filen inte gick att hämta till systemet gjordes ingen vidare undersökning om filen kunde exekveras eller inte.
4.1. RESULTAT AV EXPERIMENT 27
Figur 4.3: Windows Defender nekar nedladdning av skadlig fil
4.1.5 Förhindra popup-fönster
Många webbläsare har en inbyggd inställning för att förhindra så kallade popup-fönster. Den är inte alltid tillräcklig enligt experimentet. Med den vanliga inställningen i ”Google Chrome” lyckades popup-fönster ändå visas.
Sedan lades tilläggsskyddet ”Poper blocker” till i webbläsarens verktyg för att göra ett nytt försök. När webbsidan besöktes på nytt hindrades popup-fönstren från att visas. Tillägget frågade om popup-fönstret skulle visas och användaren fick ett alternativ innan popup-fönstret öppnades. Användaren kunde ignorera popup-fönstret och fortsätta navigeringen som vanligt eller också välja att öppna popup-fönstret genom verktyget.
4.1.6 Virustotal
Testet som genomfördes i ”Virustotal” gick som förväntat. De två benigna filerna kördes i verktyget ”Virustotal” utan någon anmärkning. Verktyget visade inga som helst misstankar om att någon av de två filerna kunde vara
skadlig. Den första .jpg-filen kördes totalt igenom 56 olika databaser där samtliga svarade med att filen inte var skadlig. Textfilen kördes igenom 55 olika databaser och även i detta fall bedömdes filen som ofarlig. Den skadliga .exe-filen kördes igenom 71 olika databaser där 64 av dessa varnade för filen.
De olika resultaten beskrev den skadliga filen som ransomwaret ”Wannacry”, vilket var helt korrekt.