Virusmakers worden steeds sneller

Cyberterreur zal internet in 2003 twee dagen platleggen, voorspelde IDC eind 2002. Even leek het er op dat deze gewaagde voorspelling van de it-marktvorser al in januari bewaarheid zou worden.

Op zaterdag 25 januari sloeg de Slammer toe. Deze worm zorgde voor zoveel dataverkeer dat het internet in zijn voegen kraakte. Internet werd duidelijk vertraagd door Slammer, het internetverkeer nam met 40 tot 80 procent toe.

Op het hoogtepunt ging meer dan een vijfde van alle verzonden datapakketten verloren. Normaal bedraagt deze zogeheten ‘packet loss’ ongeveer één procent. De gevolgen bleven niet beperkt tot internet. Zo konden klanten van de Bank of America niet pinnen.

Voor de Zuid-Koreaanse organisatie People’s Solidarity for Participatory Democracy (PSPD) was de uitbraak van Slammer reden om Microsoft voor de rechter te dagen. In Zuid-Korea kwam internet helemaal plat te liggen als gevolg van de Slammer-worm.

De productaansprakelijkheidwet in Zuid-Korea geeft consumenten het recht om fabrikanten voor de rechter te slepen vanwege schade die het gevolg is van een product. Microsoft had echter al een halfjaar voor de uitbraak van Slammer een patch (reparatiesoftware) uitgebracht voor het gat in de SQL-databasesoftware, waar de worm gebruik van maakte.

Blaster

Hadden computergebruikers in het geval van Slammer nog een halfjaar de tijd om de benodigde patch te installeren, in het algemeen neemt de tijd tussen het ontdekken van een kwetsbaarheid en het uitbreken van een virusaanval af, zo constateren de antivirusbedrijven.

Ongeveer 60 procent van alle kwetsbaarheden wordt inmiddels binnen één jaar misbruikt, zo becijferde virusbestrijder Symantec.

Het Blaster-virus, dat in augustus opdook, is exemplarisch voor de snelheid waarmee virusschrijvers misbruik maken van net ontdekte gaten. Enkele weken nadat Microsoft een patch had uitgebracht voor een kwetsbaarheid in het Remote Procedure Call (RPC) protocol, dook het Blaster-virus op dat misbruik maakt van dit gat.

In de tussentijd had de Chinese groep Xfocus een exploit (code om een veiligheidslek te gebruiken) voor het RPC-lek online gezet. Een veiligheidsdeskundige omschreef deze actie van Xfocus als ‘niet echt gezond voor het web’.

Exploits

“De laatste jaren zie je dat op security-mailinglists steeds vaker wordt verwezen naar sample code om een nieuw lek te gebruiken”, legt Marius van Oers, virusdeskundige van Network Associates, uit.

Door deze openheid is het makkelijker voor virusschrijvers om snel een werkend te programma te maken om het lek te misbruiken. Ook de Slammer-worm was gebaseerd op een gepubliceerde exploit.

Voor de bedenker van de betreffende exploit, bugjager David Litchfield, was dit ‘misbruik’ van zijn code reden om te stoppen met het publiceren van exploits. Andere veiligheidsdeskundigen menen daarentegen dat het openbaar maken van exploits noodzakelijk is om softwaremakers onder druk te zetten om een patch uit te brengen.

Veel softwarebedrijven zijn sneller geworden met het uitbrengen van patches, constateert Van Oers die het zelf overigens ‘geen goed idee’ vindt om exploits te publiceren. “Microsoft is zich de laatste jaren bijvoorbeeld meer bewust geworden van de veiligheidsrisico’s.”

“Het gevolg is dat virusschrijvers sneller moeten schrijven om toe te slaan.” Voor antivirusbedrijven is dit reden om vaker updates uit te brengen. “In plaats van wekelijkse updates krijg je nu dagelijkse updates”, aldus Van Oers.

Sobig.F

Het aantal virussen blijft toenemen. “De hoeveelheden zijn gigantisch”, aldus Van Oers. “In sommige weken komen we 150 nieuwe virussen tegen.” Toch zijn er ook positieve ontwikkelingen. “Het aantal effectieve mass mailers is aan het dalen”, constateert Van Oers. Mass mailers zijn virussen die zichzelf op grote schaal via e-mail verspreiden.

De mass mailer die in 2003 het hardste toesloeg was Sobig.F. Het antivirusbedrijf MessageLabs onderschepte ruim 32 miljoen exemplaren van Sobig.F. Ter vergelijking: de nummer 2 van dit jaar, Swen.A, kwam het bedrijf vier miljoen keer tegen. Op de derde plaats in het overzicht van MessageLabs staat Klez.H.

Volgens MessageLabs is Sobig.F het snelst verspreide virus ooit. In de eerste 24 uur onderschepte het bedrijf één miljoen exemplaren van het virus – een record. Op het hoogtepunt van de Sobig.F-epidemie kwam het virus in één op de zeventien mails voor.

Spam

Virusbestrijders gaan ervan uit dat Sobig.F is gemaakt om spam te verspreiden. “Het enige doel van dit virus is om onveilige computers te bemachtigen die gebruikt kunnen worden voor de verspreiding van spam of porno”, aldus Paul Wood van MessageLabs kort nadat Sobig.F de kop opstak.

Spammers maken steeds vaker gebruik van gekaapte computers om hun mail te versturen. Naar schatting is inmiddels tweederde van alle spam afkomstig van zogeheten open proxies. Dit maakt het voor spamfilters lastiger de afzender te blokkeren.

Een andere aanwijzing voor de betrokkenheid van spammers bij het maken van virussen, is dat sommige virussen – zoals Mimail.E – worden ingezet bij zogeheten distributed denial of service (DDoS) aanvallen op antispamsites. Bij een DDoS-aanval worden vanaf verschillende computers grote hoeveelheden verzoeken om informatie naar een server verstuurd, waardoor een site onbereikbaar kan worden.

Arrestaties

Uit alles blijkt dat de maker van het ‘spamvirus’ Sobig.F professioneel te werk is gegaan. Met een gestolen creditcard maakte hij een account aan bij nieuwsgroepenaanbieder Easynews. Vervolgens plaatste hij het virus in zes ‘binaries’-groepen, waaronder het Nederlandse alt.binaries.nl. Mensen die het bestand aanklikten, raakten besmet met het virus en zorgden voor de verdere verspreiding via e-mail.

Doordat de maker van Sobig.F zijn sporen zorgvuldig heeft weten uit te wissen, zijn de opsporingsdiensten er nog niet in geslaagd om hem op te sporen. Ook de makers van Slammer en Blaster gaan vooralsnog vrijuit.

Microsoft loofde in november bedragen van 250.000 dollar uit voor tips die leiden tot de aanhouding van de makers van Sobig.F en Blaster. De actie van Microsoft blijft vooralsnog zonder resultaat. Het zijn vooral de ‘mindere goden’ onder de virusschrijvers die tegen de lamp lopen.

Zo arresteerde de Amerikaanse federale recherche FBI twee virusmakers die verdacht worden van het maken van varianten op het Blaster-virus. De Roemeense politie greep eveneens een maker van een Blaster-variant in de kladden.

De gepakte virusschrijvers stopten te veel aanwijzingen over hun identiteit in het virus. Zo gebruikte de Roemeense virusschrijver zijn nickname in het virus. Ook voorzag hij het virus van een tekst in het Roemeens, waarin hij refereerde aan de universiteit waar hij studeert. Volgens Ciobanu was de studie ‘tijdverspilling’. Zijn docent Barsan kon het best met pensioen gaan. “Ik schijt op mijn diploma!!!!!!!”

Protest

Dat het ook anders kan, bewees de Belgische virusschrijfster Gigabyte in maart. Zij maakte een programma waarmee computerbezitters het Sharp-virus kunnen verwijderen. Gigabyte schreef het Sharp-virus, één van de eerste virussen voor het .Net-platform, zelf in 2002.

Het verwijderprogramma, nowar.exe, was een protest tegen de oorlog in Irak. “Ik ben het niet eens met Bush’ moordneigingen en erger me mateloos als ik hem op het nieuws zie”, aldus Gigabyte.

“Ik had ook een virus kunnen maken om de boodschap te verspreiden. In dat geval had mijn boodschap veel meer mensen bereikt. Maar dat vond ik geen goed idee. Een virus zou geen teken van vrede zijn.”