2002: Minder virussen, meer overlast

In vergelijking met 2001 was het afgelopen jaar een enigszins ‘saai’ jaar in virusland. Niet dat de gemiddelde internetter dit jaar minder virussen toegestuurd kreeg (integendeel), maar het aantal wijdverspreide virussen bleef beperkt.

“In 2001 waren nieuwe virussen schering en inslag”, aldus virusexpert André Post van High-Low Research. “Ook in 2002 zagen we dat er elke dag tien, vijftien nieuwe virussen bijkwamen, maar slechts een handvol daarvan slaagde er in om grote aantallen computers te infecteren.”

De drie ‘succesvolle’ virussen van dit jaar – Klez.H (april), Yaha.E (juni) en BugBear (september) – lijken sterk op elkaar. “Het zijn allemaal zogeheten blended threats, gecombineerde aanvallen”, legt Post uit. “Blended threats zijn zo ontworpen dat ze misbruik maken van programmeerfouten in bepaalde software om zichzelf zonder menselijke tussenkomst te kunnen activeren. Vrijwel alle virusschrijvers passen deze techniek inmiddels toe.”

Klez.H, BugBear en Yaha.E (de letter achter de punt geeft aan welke variatie op het oorspronkelijke virus het betreft) maken alledrie gebruik van wat in jargon de MIME-exploit heet. Door dit gat in de Internet Explorer (versie 5.01 en 5.5) kan het virus zichzelf lanceren als mensen het via het e-mailprogramma Outlook bekijken. Microsoft heeft al meer dan een jaar geleden een patch (reparatiesoftware) voor dit probleem beschikbaar gesteld, maar veel mensen hebben deze software nog niet geïnstalleerd.

Het gaat daarbij met name om consumenten, aldus Post. “Je ziet dat eind vorig jaar veel bedrijven zich bewust zijn geworden dat ze regelmatig moeten patchen. Consumenten doen dat veel minder. De gemiddelde computerbezitter gaat niet elke dag kijken welke gaten er nu weer zijn ontdekt.”

Virusfilters

Vanwege het grote aantal ‘kwetsbare’ consumenten namen diverse internetaanbieders dit jaar zelf maatregelen als de virusproblemen uit de hand liepen. Met name na de uitbraak van Yaha.E kwamen de providers in actie.

Internetaanbieder ZeelandNet ging daarbij het meest rigoureus te werk. De provider sloot de uitgaande e-mail van duizenden geïnfecteerde abonnees af. Pas nadat de abonnees het virus verwijderd hadden, konden ze zich weer aanmelden. Een andere kabelaanbieder, @Home, dreigde met vergelijkbare maatregelen.

Diverse internetaanbieders bieden inmiddels ook de mogelijkheid om in- en uitgaande e-mail op virussen te laten controleren. Een goede ontwikkeling, volgens Post. “Het afvangen van virussen bij een provider juich ik toe. Zeker omdat veel consumenten hun systemen niet patchen.”

Virusfilters kunnen zelf echter ook weer tot overlast leiden, zo bleek dit jaar. Klez.H, Yaha.E en BugBear zijn alledrie in staat om de afzender van het bericht te vervalsen. In plaats van het adres van de echte afzender, gebruiken de virussen dan een ander adres die ze op de geïnfecteerde computer hebben aangetroffen.

Sommige mailservers staan inmiddels zo ingesteld dat ze automatisch een waarschuwing sturen naar de afzender van een virusbericht, ook als dat niet de echte verzender is, maar een nep-afzendadres. “Dat kan tot verwarring leiden bij mensen die helemaal niet geïnfecteerd zijn, maar wel zo’n waarschuwingsbericht ontvangen. Ik heb het ook in mijn eigen omgeving gemerkt”, aldus Post.

Nederland

Grootste boosdoeners waren dit jaar zoals gezegd Klez.H en BugBear. Alle anti-virusbedrijven die een klassement hebben opgesteld van de vaakst voorkomende virussen, zetten deze twee bovenaan. Het uit India afkomstige Yaha.E-virus sloeg vooral in Nederland toe.

De verspreiding van het Yaha.E-virus begon op een vrijdagmiddag in juni. Gedurende het weekend raasde Yaha.E vervolgens door het land. Het aantal besmettingen was in Nederland op dat moment acht keer zo hoog als in de Verenigde Staten.

Virusbestrijders stonden voor een raadsel. “Er was geen technische verklaring waarom dat virus vooral in Nederland zou moeten toeslaan. Ik kan er niet goed de vinger achter krijgen”, aldus Post.

Polymorf

Behalve dat ze allemaal gebruik maken van de MIME-exploit en vervalste verzendadressen hebben de drie virussen nog meer gemeen. Zo zijn ze alledrie polymorf: ze hebben verschillende verschijningsvormen. De virussen kiezen telkens een schijnbaar willekeurig onderwerp voor het e-mailbericht. Daardoor is het lastiger voor gebruikers om vast te stellen dat het om een bekende worm gaat.

De drie virussen kunnen ook de privacy van de geïnfecteerde gebruiker `aantasten’. Klez.H stuurt een willekeurig bestand dat het op de harde schijf vindt, met het geïnfecteerde mailtje mee. Yaha.E bevat soms teksten die het virus uit .doc- en .txt-documenten van de geïnfecteerde computer heeft gehaald. En ook BugBear knipt en plakt teksten uit persoonlijke bestanden en e-mails. Bovendien bevat BugBear een zogeheten keylogger, waarmee het virus wachtwoorden kan bemachtigen.

Hierdoor kon het gebeuren dat we op de redactie van WebWereld onder meer een sollicitatiebrief, een bestellijstje voor de websupermarkt Albert.nl en een uitnodiging voor een wedstrijd van Feyenoord ontvingen.

Het is een combinatie van de hierboven beschreven eigenschappen van de virussen die ertoe leidde dat het aantal rondgestuurde virussen in 2002 opnieuw toenam. Volgens het Britse bedrijf MessageLabs, dat per e-mail verstuurde virussen onderschept, bevatte dit jaar één op de 212 e-mails een virus. In 2001 gold dat nog ‘maar’ voor één op de 380 berichten.

Snelheidsbegrenzer

Voor iedereen die dit jaar te lijden had onder alle virusellende, valt er desondanks ook nog goed nieuws te melden. Matthew Williamson, een onderzoeker van Hewlett-Packard Labs in Bristol, bedacht software waarmee de verspreiding van virussen aanmerkelijk kan worden vertraagd.

In het kort komt zijn plan er op neer dat mensen op hun computer een soort snelheidsbegrenzer installeren. Hij pakt daarmee een van de belangrijkste kenmerken van de meeste computervirussen aan: virussen proberen zich over het algemeen zo snel mogelijk te verspreiden naar zoveel mogelijk andere computers. Of en wanneer de software van Williamson in productie zal worden genomen, is nog onduidelijk.

Tot slot werden in Groot-Brittannië twee virusschrijvers gearresteerd. In Nederland veroordeelde het Hof van Leeuwarden de virusmaker Jan de W., die begin 2001 het Kournikova-virus verspreidde, in hoger beroep tot 150 uur dienstverlening. Zo `makkelijk’ zullen de Britse virusschrijvers er waarschijnlijk niet vanaf komen.