Een nieuwe manier om anti-virussoftware te omzeilen en een ruzie tussen virusmakers zorgen ervoor dat de overlast door computervirussen in de eerste maanden van dit jaar flink is toegenomen.
Was een computervirus enkele jaren geleden nog een bezienswaardigheid – virussen in je inbox, dat was wat! – inmiddels zal het ontvangen van virusmailtjes voor menige internetgebruiker dagelijkse kost zijn.
Maaike Scholten, woordvoerster van Planet Internet en Het Net, spreekt van een ‘explosieve stijging’ van het aantal virussen dit jaar. “Van de Netsky-virussen hebben we miljoenen exemplaren binnengekregen.” Internetaanbieder XS4ALL bevestigt het beeld. “Het wordt steeds erger.”
Virusbestrijder Network Associates (McAfee) heeft in de eerste drie maanden van dit jaar al vaker gewaarschuwd voor virussen met een medium risk dan in heel 2003. Virusbestrijder Trend Micro sprak begin april van een ‘recordaantal virusalerts’.
Techniek
Maar waardoor wordt deze toename van de virusoverlast veroorzaakt?
Aan de gebruikte techniek ligt het in ieder geval niet: die is namelijk allesbehalve nieuw. Daarover zijn de virusdeskundigen het wel eens. “De nieuwe virussen maken geen gebruik van schokkende nieuwe technieken”, aldus virusdeskundige André Post van High-Low Research. “Het is alleen maar meer van hetzelfde.”
“Sinds 2000 staat de techniek stil”, meent ook Marius van Oers van Network Associates (McAfee). “Recent was alleen de Witty-worm wel innovatief.”
De wormen die doorsnee internetgebruikers in hun inbox vinden, verschillen dus maar weinig van de virussen die pak ‘m beet drie jaar geleden de ronde deden.
De maatregelen om jezelf tegen dergelijke virussen te beschermen, zijn minstens even lang bekend: zorg dat je de patches (reparatiesoftware voor lekken) van Microsoft hebt geïnstalleerd, houd je virusscanner up-to-date en klik niet zomaar op elk bestand dat je per e-mail krijgt toegestuurd. Bedrijven kunnen verdachte e-mailattachments (met dubbele extensies bijvoorbeeld) al bij binnenkomst verwijderen.
Dat e-mailvirussen nog altijd ‘succesvol’ zijn, toont wel aan dat lang niet alle internetgebruikers en bedrijven de hierboven beschreven maatregelen ter harte nemen. Veiligheidsmaatregelen die voor de gemiddelde WebWereld-lezer waarschijnlijk gesneden koek zijn, zijn dat allerminst voor veel ‘gewone’ internetgebruikers.
Compressors
Hoewel de nieuwe virussen weinig innovatief zijn, houden de virusschrijvers wel steeds meer rekening met de virusscanners.
Er is al jaren een wapenwedloop tussen de makers van virussen en de bestrijders ervan. Antivirusbedrijven komen bijvoorbeeld sneller en vaker met updates om pc-gebruikers tegen nieuwe virussen te beschermen. Bovendien proberen ze virusmakers te slim af te zijn door hun software zo te maken dat die ook nieuwe virussen (waarvoor nog geen ‘antigif’ is) kan tegenhouden.
Virusmakers op hun beurt houden rekening met de maatregelen van de virusbestrijders. Zo testen geoefende virusmakers hun creaties uit op antivirusprogramma’s. Ze wijzigen hun code net zolang totdat het virus door de bekende virusfilters heen komt.
De viruscode kan kinderlijk eenvoudig worden aangepast met een zogeheten ‘interne compressor’. “Zo’n interne compressor husselt de code van een programma door elkaar zodat-ie kleiner wordt”, legt Marius van Oers uit. “Deze techniek wordt gebruikt om copyright te beschermen, maar ook malware-schrijvers maken er dankbaar gebruik van.”
Het probleem van de compressors bestaat al langer, maar ‘de laatste maanden is de race met de compressors pas goed begonnen’, meent Van Oers. “Elke week komen er nieuwe versies van de compressorsoftware uit.” Met zo’n nieuwe compressor kan in een handomdraai een nieuwe – niet te detecteren – versie van een bestaand virus worden gemaakt.
Nachtmerrie
“Er is moeilijk wat tegen te doen”, meent André Post. “Met een compressieprogramma doet een virusschrijver een nieuw jasje om een oud virus. Om dat ‘nieuwe’ virus te herkennen, moet een antivirusbedrijf vervolgens een compleet nieuwe virusdefinitie schrijven.”
Volgens Post is het niet lonend om bij het aanmaken van virusdefinities (nodig voor het herkennen van virussen) alvast rekening te houden met nieuwe compressieprogramma’s. Met elke nieuwe versie van een compressieprogramma zou het aantal virusdefinities enorm toenemen.
“Als je voor elk nieuw compressieprogramma nieuwe virusdefinities maakt, wordt het een nachtmerrie om bestanden te scannen. Het antivirusprogramma is dan zo lang bezig met scannen dat het ten koste gaat van de performance van je pc.” De veiligheidswinst is bovendien klein, meent Post. “In dat geval zou je niet veel beter beschermd zijn dan als je regelmatig nieuwe virusdefinities ophaalt.”
Ruzie
De belangrijkste reden voor de toegenomen virusoverlast is echter tamelijk triviaal: een ruzie tussen virusschrijvers. De makers van het Netsky- en Bagle-virus voerden wekenlang via de broncode van hun creaties een privé-oorlogje uit. “Hey, NetSky, f*ck off you b*tch, don’t ruine our business, wanna start a war?”
“Supertriest”, meent André Post. “Dat is echt nergens voor nodig.”
De ruzie lijkt inmiddels beslecht in het voordeel van de maker van het Netsky-virus. De familie van Netsky-virussen zorgt namelijk duidelijk voor de meeste overlast. Per maand worden er miljoenen exemplaren van de verschillende Netsky-varianten onderschept, zo meldden diverse anti-virusbedrijven begin april. “Netsky zorgt voor veel meer overlast dan Bagle”, zegt Maaike Scholten van Planet Internet en Het Net.
Van het Netsky-virus zijn ook veel meer varianten in omloop dan van Bagle. Het eerste virus krijgt als het toevoegsel ‘.A’ (Netsky.A) mee, de eerste variant wordt ‘.B’ en zo verder. Voor Netsky is het einde van het alfabet inmiddels in zicht.