Sven Jaschan is achttien jaar oud en woont in het plaatsje Waffensen, iets ten oosten van Bremen. Hij bezoekt een vakschool voor informatica in Rotenburg. En hij is in 2004 verantwoordelijk voor twee van de schadelijkste computervirussen: Netsky en Sasser. Volgens virusbestrijder Sophos samen goed voor meer dan de helft van alle computervirusbesmettingen.

Netsky is een zogeheten mass mailer. Het virus verspreidt zich per e-mail. De eerste variant van Netsky maakt Jaschan in februari. In de daaropvolgende maanden brengt de Duitse tiener in hoog tempo nieuwe versies van het virus uit. In totaal meer dan dertig varianten. Vijf daarvan staan in de toptien met meest voorkomende virussen van 2004 die Sophos heeft opgesteld.

Het Sasser-virus is goed voor een derde plaats in de virustoptien. Sasser heeft niet voor zoveel besmettingen gezorgd als alle verschillende Netsky-varianten, maar de gevolgen zijn er niet minder om. In Australië wordt het virus in mei verantwoordelijk gehouden voor problemen met het computersysteem van de spoorwegen. Driehonderdduizend reizigers stranden. Gans het raderwerk staat stil, als Jaschan het wil.

In Taiwan zorgt de netwerkworm van de Duitse tiener ervoor dat medewerkers in één op de drie postkantoren moeten overstappen op pen en papier. Hun computers zijn geïnfecteerd. Bij een computerbeurs in Taipei moeten bezoekers urenlang in de brandende zon wachten om naar binnen te mogen. Het Sasser-virus heeft het registratiesysteem onklaar gemaakt en alle bezoekers moeten zich opnieuw inschrijven.

Arrestatie

Sasser is ook het virus dat Jaschan uiteindelijk de das om doet. Microsoft looft begin mei een beloning van 250.000 dollar uit aan degene die informatie kan geven die leidt tot de arrestatie van de maker van Sasser. De oproep van Microsoft is niet aan dovemansoren gericht. Op vrijdag 7 mei belt de Duitse politie aan bij het ouderlijk huis van Jaschan. De tipgever blijkt één van Jaschans vrienden te zijn.

Microsoft keert de beloofde 250.000 dollar niet uit. De tipgever wordt er van verdacht zelf ook betrokken te zijn geweest bij het maken van de virussen. Hij en vier anderen zouden Jaschan hebben geholpen met bepaalde delen van de broncodes voor de Netsky- en Sasser-virussen.

Jaschan is op het moment van schrijven nog altijd in afwachting van zijn veroordeling. Hij kan maximaal vijf jaar gevangenisstraf krijgen. Of de tiener daadwerkelijk zolang achter de tralies zal verdwijnen is twijfelachtig. Jaschan heeft een blanco strafblad en schreef de meeste van zijn virusvarianten voor zijn achttiende verjaardag.

Anti-worm

In een interview met het Duitse weekblad Stern verklaart Jaschan dat hij begon met het schrijven van virussen uit idealisme. Hij wilde een `anti-worm’ maken, een computervirus dat het eveneens wijd verspreide MyDoom-virus onschadelijk zou maken.

Jaschans `anti-worm’ (Netsky) zou MyDoom van pc’s moeten verwijderen. Hij legt zijn plan voor aan een vriend. Die vindt het een goed idee. “Hij wilde graag meewerken”, vertelt de tiener kort na zijn arrestatie aan Stern. “Maar dat bleek hij te moeilijk te vinden.” Het is dezelfde `vriend’ die Jaschan verklikt.

Virusonderzoekers en rechercheurs hebben tot de tip van Jaschans klasgenoot geen idee wie verantwoordelijk is voor de stroom van Netsky-varianten. Er zijn speculaties over een Oost-Europese bende. “We hebben ons kapot gelachen”, vertelt Jaschan. Zijn klasgenoten vinden het fantastisch dat Jaschans virussen zoveel consternatie teweegbrengen. “Mijn klas vond me geweldig.”

Het is Jaschan niet alleen om erkenning van zijn klasgenoten te doen. Via zijn Netsky- en Sasser-virussen vecht hij ook een privé-oorlogje met de maker(s) van het Bagle-virus uit. In de broncode van de virussen maken de virusmakers elkaar uit voor rotte vis.

Whizzkids

Wie het artikel over Jaschan in Stern leest, kan niet anders dan concluderen dat de Duitse tiener aardig voldoet aan het stereotype beeld dat van virusschrijvers bestaat: een jonge, onopvallende, verlegen jongen die te veel tijd achter zijn computer doorbrengt. De vraag is of dit traditionele beeld van virusschrijvers nog wel klopt. Veel computervirussen lijken al lang niet meer het werk van een paar jonge whizzkids die niet goed beseffen wat ze aanrichten.

Om te beginnen is het voor virusmakers steeds minder noodzakelijk om over gedegen technische kennis te beschikken. “De meeste virussen die het afgelopen jaar zijn verschenen, zijn niet echt vooruitstrevend”, meent Marius van Oers, virusdeskundige van McAfee. “Het aantal échte virusschrijvers neemt af. In plaats van zelf iets te bedenken, doen de meeste `virusschrijvers’ elkaar na. Ze halen de code van een bestaand virus van internet, brengen er een kleine verandering in aan en laten het virus los”, zegt Van Oers.

Deze `virusschrijvers’ maken daarbij handig gebruik van zogeheten interne compressors. Een interne compressor is software die de code van een programma (in dit geval een virus) door elkaar husselt, zodat het minder ruimte in beslag neemt. Het gevolg van deze compressietechniek is dat de code van het virus niet meer lijkt op de oorspronkelijke code.

Een oud virus krijgt op die manier een nieuw jasje. Dat maakt het moeilijk voor virusscanners om het virus te herkennen. Om het ‘nieuwe’ virus te detecteren, moet een antivirusbedrijf een compleet nieuwe virusdefinitie maken. Dat kan even duren. En in de tussentijd kan een virus toeslaan.

Russische spamdienst

Niet alleen de benodigde vaardigheden voor het schrijven van virussen zijn aan inflatie onderhevig, ook de drijfveren van virusschrijvers lijken te veranderen. Steeds meer virusschrijvers doen het voor het geld, zo is de algemene opvatting onder virusbestrijders. “Er zijn aanwijzingen dat commerciële spammers virusschrijvers in dienst hebben”, stelt Van Oers.

Het gebeurt regelmatig dat virussen op een geïnfecteerde pc een achterdeurtje openzetten. Spammers maken daar gebruik van bij het versturen van spam: ze spammen via geïnfecteerde pc’s. Op die manier blijven ze zelf buiten schot.

De aanwijzingen dat sommige virusmakers werken in opdracht van spammers en andere dubieuze figuren worden steeds talrijker. In november brengen enkele anonieme onderzoekers bijvoorbeeld een rapport uit waarin ze een verband leggen tussen de uitbraak van het Sobig-virus in 2003 en de Russische spamdienst Send-Safe.

Send-Safe zorgt dat spammers tegen betaling op grote schaal anoniem mail kunnen versturen via andermans computer. Volgens de schrijvers van `Who Wrote SoBig’ (pdf) kreeg de eigenaar van Send-Safe al die computers van anderen in zijn macht dankzij het Sobig-virus.

Aanwijzingen dat de Russische spamdienst en Sobig iets met elkaar te maken hebben zijn er genoeg. Zo was de eigenaar van Send-Safe volgens de auteurs van het onderzoek van tevoren op de hoogte van nieuwe Sobig-varianten. Nieuwe versies van de spamdienst vielen samen met het opduiken van nieuwe wormen. Ook zou de broncode van Send-Safe overeenkomen met die van Sobig.

Germaanse god

Het duidelijkst komt de verwevenheid van spam en virussen dit jaar aan het licht bij het Sober-virus. In juni worden veel Nederlandse en Duitse internetgebruikers opeens overspoeld met Duitstalige spam. De berichten, die een extreemrechtse inhoud hebben, worden verstuurd vanaf computers die besmet zijn met Sober.G.

Op pc’s die zijn geïnfecteerd met het Sober.G-virus, staat een bestand met de naam ‘Nospam.readme’. Deze tekst is ondertekend met ‘Odin alias Anon’. Odin is de naam van een Germaanse god. De naam is ook in trek bij rechts-extremisten.

De maker van het Sober.G-virus benadrukt in zijn bericht dat hij geen puisterige puber is die op zijn zolderkamertje een virus in elkaar knutselt. “Mijn leeftijd ligt niet tussen de veertien en twintig. Ik ben in de dertig.”

Botnets

Behalve voor het versturen van spam, worden virussen ook ingezet bij het platleggen van sites. Ook hierbij wordt weer gebruikgemaakt van een achterdeurtje dat virussen op een besmette computer openzetten.

Dit achterdeurtje stelt kwaadwillenden in staat om grote hoeveelheden pc’s te `verzamelen’ die kunnen worden ingezet bij zogeheten distributed denial of service (DDoS) aanvallen. Bij zo’n aanval proberen de besmette pc’s massaal contact te zoeken met een bepaalde server. De server kan alle verzoeken om informatie niet aan en bezwijkt.

In 2004 zorgen dergelijke `botnets’ (netwerken van gekaapte pc’s) voor steeds meer overlast. “De botnets worden groter en groter”, stelt virusbestrijder F-Secure in zijn jaaroverzicht vast. Een groep Nederlandse tieners maakte in oktober gebruik van een dergelijk netwerk van gekaapte pc’s om diverse overheidssites en het weblog Geenstijl.nl plat te leggen.

MyDoom

Sommige virusschrijvers laten het niet aan anderen over om te bepalen welke site(s) er uit de lucht moeten worden gehaald. Zij nemen in de code van hun virus alvast een regeltje op over het beoogde doelwit. Een goed voorbeeld hiervan is MyDoom, het virus dat Jaschan naar eigen zeggen inspireerde om zijn Netsky-virussen uit te brengen.

MyDoom duikt voor het eerst op in januari. De eerste variant, MyDoom.A, verspreidt zich in een razend tempo over internet. Het bedrijf MessageLabs, dat e-mails op virussen controleert, onderschept meer dan 60 miljoen exemplaren van het virus. Bij internetaanbieder XS4ALL is eind januari bijna één op de vijf binnenkomende e-mailberichten besmet met het MyDoom-virus.

Computers die met het virus geïnfecteerd zijn, worden gebruikt voor het uitvoeren van DDoS-aanval. Geïnfecteerde pc’s vragen massaal een bepaalde site op. Bij de eerste MyDoom-variant is dat de site van het softwarebedrijf SCO. SCO ligt in de clinch ligt met de Linux-gemeenschap. Later zijn de sites van Microsoft en de RIAA (de belangenbehartiger van de Amerikaanse muziekindustrie) het slachtoffer.

In juli duikt er een MyDoom-variant op die ervoor zorgt dat zoekmachine Google in de problemen komt. Computers die met het nieuwe MyDoom-virus zijn geïnfecteerd, gaan massaal naar de sites van zoekmachines als Google, Yahoo en Lycos om daar naar e-mailadressen te zoeken. Deze adressen worden gebruikt om mail naartoe te sturen.

Gigabyte

Hoewel Microsoft een beloning van 250.000 dollar uitlooft voor degene die de auteur van MyDoom erbij lapt, wordt deze virusmaker nooit gepakt. Dat geldt niet voor de Belgische virusmaakster `Gigabyte’ en de Tsjech `Benny’. Zij krijgen in 2004 allebei de politie op bezoek.

Gigabyte en Benny zijn niet te vergelijken met Sven Jaschan of de maker(s) van MyDoom. Beide virusschrijvers schrikken er, in ieder geval tot hun arrestatie, niet voor terug om de media te woord te staan. Graag vertellen ze wat hen drijft en leggen ze uit hoe ze hun virussen maken.

Bovendien laten ze hun virussen naar eigen zeggen niet `in het wild’ los. In plaats daarvan sturen ze zelfgemaakte virussen naar antivirusbedrijven en plaatsen ze hun `creaties’ op hun website of in een e-zine. Veel antivirusbedrijven menen dat Benny en Gigabyte het op die manier makkelijker maken voor wat minder begaafde programmeurs om hun `eigen’ virus in elkaar te knutselen. Anderen stellen daarentegen dat antivirusbedrijven zich dankzij het werk van Benny en Gigabyte beter kunnen voorbereiden op nieuwe virussen.

Complete onzin

De politie is duidelijk niet onder de indruk van de goede bedoelingen van Benny en Gigabyte. Zij vermoeden dat de twee virusmakers zich wel degelijk hebben schuldig gemaakt aan het verspreiden van virussen.

Benny wordt zelfs verdacht van het maken van het Slammer-virus, dat begin 2003 voor veel overlast zorgde. Een absurde beschuldiging, vindt Benny zelf. “Dit is complete onzin. Er is geen enkel bewijs dat ik erbij betrokken zou zijn. De politie is naar mij toegekomen, omdat ik de enige ben die ze kennen.”

Gigabyte geeft geen commentaar op de ondervragingen door de Belgische politie. Een Nederlandse virusmaker, die niet met zijn naam in de publiciteit wil, neemt het echter voor haar op. “Haar creaties hebben nooit echt schade aangericht. Haar pagina ging gewoon over haar hobby en toonde haar werk. Het doel was niet om mensen te infecteren.”