Vroeger wist je één ding zeker: zolang je geen bijvoegsel opende, kon je niet via e-mail besmet raken. Aan die zekerheid kwam dit jaar een eind.
In 2001 doken de eerste virussen op die zichzelf lanceren. “Dat was dé trend van 2001”, aldus André Post van het Symantec Antivirus Research Center (SARC). “Ik verwacht dat we daar volgend jaar nog meer van zullen merken.”
Voorbeelden van dergelijke virussen zijn BadTrans.B en Nimda. Een attachment aanklikken is niet langer nodig. Het mailtje openen is voldoende. Als je niet beschermd bent tenminste. Opmerkelijk genoeg was het eerste virus dat zichzelf op deze manier kan verspreiden (Aliz), van Nederlandse makelij, maar daarover straks meer.
Eerst even terug naar vorig jaar. In 2000 was het namelijk duidelijk in de viruswereld: het I Love You virus zorgde voor verreweg de meeste schade. Dit jaar is het moeilijker om een virus aan te wijzen dat eruit springt. “In 2001 leek het alsof er alleen maar hoofdrolspelers waren”, aldus Post. “Het aantal geïnfecteerde computers is dan ook fors toegenomen.”
Code Red
Gemeten in media-aandacht viel Code Red in 2001 het meeste op, maar als het gaat om aangerichte schade lijken Sircam, Nimda of BadTrans.B eerder in aanmerking te komen voor het predikaat ‘virus van het jaar’.
Code Red was zonder twijfel het meest besproken virus van 2001. Niet in de laatste plaats omdat het waarschijnlijk uit China afkomstige programma op 19 juli alle besmette computers een zogeheten Denial of Service (DoS) aanval op de site van het Witte Huis liet uitvoeren, maar ook omdat de indruk bestond dat de worm de snelheid van internet aanmerkelijk vertraagde.
Virusdeskundigen van de FBI, Microsoft en vooraanstaande beveiligingsinstituten als CERT en SANS sloegen daarop groot alarm en waarschuwden dat het internet bij de volgende aanval van Code Red, begin augustus, zwaar getroffen zou kunnen worden.
Het CERT sprak zelfs van een ‘reële bedreiging van het internet’: delen van internet zouden door de activiteit van de worm plat kunnen gaan. De voorspelde problemen bleven echter – mogelijk mede als gevolg van de waarschuwingen – uit.
Meest verspreid
Code Red mag dan het meest bediscussieerde virus van 2001 zijn, het gevaarlijkste virus was het zeker niet. Volgens een top10 die virusbestrijder Sophos eind november publiceerde waren Sircam en Nimda de meest verspreide virussen. Ook in de top10-lijstjes van andere virusbestrijders scoren deze virussen goed.
Samen waren ze goed voor bijna de helft van alle besmettingen van dit jaar, volgens Sophos. Sindsdien heeft echter ook het BadTrans.B-virus hard toegeslagen. Volgens een onderzoek dat Symantec vorige week uitvoerde staat het virus inmiddels op de derde plaats van meest verspreide virussen van dit jaar.
Het BadTrans.B-virus en Nimda maken gebruik van een Microsoft-bug, waardoor een bijvoegsel van een e-mailbericht automatisch wordt geopend. Microsoft stelde al in het voorjaar reparatiesoftware beschikbaar, maar veel gebruikers hebben verzuimd deze zogeheten patch te installeren.
Ook Sircam speelt listig in op de zwakheden van Microsoft-programmatuur. Het virus stuurt zichzelf door naar mensen die het adressenbestand van Outlook staan. Ook gaat het virus op zoek naar mailadressen in de cache van de webbrowser. Het Sircam-virus pakt willekeurige documenten uit de door Microsoft standaard geïnstalleerde map ‘Mijn documenten’ en stuurt die als attachment naar e-mailadressen die het virus in het geheugen van de computer vindt.
Microsoft
De software van Microsoft bleek dit jaar sowieso weer ongekend populair bij de makers van virussen. De meeste virussen die zich via e-mail verspreiden, maken handig gebruik van de mogelijkheden die Outlook, de mailsoftware Microsoft, virusmakers biedt.
Microsoft bepleitte daarom in oktober bij monde van hoofd van het Microsoft Security Response Center, Scott Culp, een einde aan de openheid over zwakheden in software. Culp veroordeelt de bestaande praktijk waarbij veiligheidsdeskundigen en hackers die een bug ontdekken, daarover publiceren (de zogeheten ‘full disclosure’). Volgens Microsoft leidt dit tot een ‘informatie anarchie’, waarbij handleidingen op internet verschijnen waarin stap voor stap wordt uitgelegd hoe je een veiligheidslek kunt exploiteren.
De discussie over full disclosure is al langer gaande in de beveiligingswereld. Veiligheidsdeskundigen menen echter dat zij al lang verantwoordelijk omgaan met het verstrekken van informatie over nieuw ontdekte veiligheidslekken. Het pleidooi van Microsoft is dan ook vooral te beschouwen als een poging om het eigen falen te verhullen.
Nederland
De rol die Nederland het afgelopen jaar in de viruswereld speelde is opmerkelijk. Zo had de Nederlander Jan de W. de twijfelachtige eer om de enige veroordeelde virusschrijver van dit jaar te worden. Hij werd tot 150 uur dienstverlening veroordeeld voor het maken en verspreiden van het Kournikova-virus.
De 20-jarige inwoner van Sneek had het virus gemaakt met behulp van de VBS Worm Generator, een programma waarmee elke leek zijn eigen virus in elkaar kan knutselen. De W., die op een website toegaf geen enkele programmeertaal te kennen, schrok van de gevolgen van zijn virus en besloot zichzelf aan te geven bij de politie in Sneek.
Aliz
Van een heel ander kaliber dan De W. is de Nederlandse tiener die zich verschuilt achter het pseudoniem Mar00n. Hij was de eerste virusschrijver die erin slaagde om een worm te maken die gebruik maakt van een fout in de Microsoft-software waar later ook Nimda en BadTrans.B gebruik van maakten.
Mar00n besloot de worm niet te verspreiden, maar desondanks dook zijn Aliz-virus in november toch op internet op. De virusschrijver weet de uitbraak aan een pesterijtje.
“Ik denk dat iemand het leuk vond om de worm op te sturen naar een ander, om hem te pesten. Maar dan heeft hij niet goed gelezen wat Aliz doet, want de worm is totaal ongevaarlijk”, verklaarde hij tegenover WebWereld
Nogmaals Code Red
Ten slotte werd Nederland genoemd in verband met het Code Red virus. Het Duitse persbureau DPA meldde begin augustus dat Code Red uit Nederland afkomstig zou zijn. Volgens het artikel van DPA zou de ‘Nederlandse hackersgroep 29A’ verantwoordelijk zijn voor de verspreiding van Code Red.
Leden van de groep zouden in discussiegroepen op internet hebben opgeschept over het verspreiden van Code Red. 29A heeft echter geen enkel Nederlands lid en ontkent bovendien elke betrokkenheid bij het maken van het virus.