Het Normancomputervirusboek

Het Normancomputervirusboek

ii z Norman-computervirusboek

Norman is niet aansprakelijk voor andere vormen van verlies of schade die zijn ontstaan door het gebruik van de documentatie of door fouten of gebreken hierin, inclusief maar niet beperkt tot inkomstenderving. In het bijzonder, en zonder de beperkingen die door de licentieovereenkomst worden opgelegd met betrekking tot bijzondere aanwendingen of doeleinden, zal Norman in geen geval aansprakelijk zijn voor winstderving of andere commerciële schade inclusief maar niet beperkt tot incidentele schades of gevolgschades. De informatie in dit document en de functionaliteit van de software kunnen zonder kennisgeving worden gewijzigd. Zonder de expliciete schriftelijke toestemming van Norman mag geen enkel deel van deze documentatie worden gereproduceerd of worden verzonden in welke vorm of op welke wijze dan ook, elektronisch of mechanisch, waaronder het maken van fotokopieën en het gebruik van opname- of gegevensopslag- en opzoeksystemen, voor welk doel dan ook, met uitzondering van persoonlijk gebruik door de koper. Aan het Norman-computervirusboek hebben meegewerkt: Snorre Fagerland, Sylvia Moon, Kenneth Walls, Carl Bretteville Onder redactie van Camilla Jaquet en Yngve Ness Het Norman-logo is een gedeponeerd handelsmerk van Norman ASA. Namen van producten die in deze documentatie worden genoemd, zijn handelsmerken of gedeponeerde handelsmerken van hun respectievelijke eigenaren. Deze worden alleen genoemd voor identificatiedoeleinden. Norman-documentatie: Copyright © 1990-2003 Norman ASA. Alle rechten voorbehouden. Herzien in december 2002.

Copyright © 1990-2003 Norman

z

iii

Norman-vestigingen Norman Data Defense Systems Pty Ltd 6 Sarton Road, Clayton, Victoria, 3168 Australië. Telefoon: +61 3 9562 7655 Fax: +61 3 9562 9663 E-mail: [email protected] Website: http://www.norman.com.au Norman Data Defense Systems A/S Dronningensgade 23, DK-5000 Odense C, Denemarken. Telefoon: +45 6311 0508 Fax: +45 6313 3901 E-mail: [email protected] Website: http://www.norman.no/dk Norman Ibas OY Läkkisepäntie 11, 00620 Helsinki, Finland. Telefoon: +358 9 2727 210 Fax: +358 9 2727 2121 E-mail: [email protected] Website: http://www.norman-ibas.fi Norman Data Defense Systems GmbH Kieler Str. 15, D-42697 Solingen, Duitsland. Telefoon: +49 212 267 180 Fax: +49 212 267 1815 E-mail: [email protected] Website: http://www.norman.de Norman/SHARK BV Postbus 159, 2130 AD, Hoofddorp, Nederland. Telefoon: +31 23 789 0222 Fax: +31 23 561 3165 E-mail: [email protected] Website: http://www.norman.nl Norman ASA Postadres: P.O. Box 43, N-1324, Lysaker, Noorwegen. Bezoekadres: Strandveien 37, Lysaker, N-1324 Noorwegen. Telefoon: +47 67 10 97 00 Fax: +47 67 58 99 40 E-mail: [email protected] Website: http://www.norman.no Norman Data Defense Systems AG Postfach CH-4015, Basel, Zwitserland. Telefoon: +41 61 487 2500 Fax: +41 61 487 2501 E-mail: [email protected] Website: http://www.norman.ch Norman Data Defense Systems (UK) Ltd Lawn Farm, Oakhill Road, Woodhill Milton Keynes, Bucks MK5 6AH, Verenigd Koninkrijk. Telefoon: +44 1908 520 900 Fax: +44 1908 520 909 E-mail: [email protected] Website: http://www.normanuk.com Norman Data Defense Systems Inc. 9302 Lee Highway, Suite 950A, Fairfax, VA 22031, USA. Telefoon: +1 703 267 6109 Fax: +1 703 934 6367 E-mail: [email protected] Website: http://www.norman.com


iv z Norman-computervirusboek

Training en technische support Voor training of technische support kunt u contact opnemen met uw plaatselijke leverancier of Norman ASA.


Inhoudsopgave Inleiding ..................................................................................... 1 Wat is een virus? ....................................................................... 3 Wat is een programma? ..................................................... 3 Wat is residentie................................................................. 4 Overzicht van verschillende typen malware ...................... 4 Virus................................................................................... 4 Worm ................................................................................. 5 Trojans, backdoors, beveiligingsrisico’s............................ 5 Denial-of-service-tools, nukers, mailbombers................... 6 Hacktools, viruskits............................................................ 6 Bugs, logic bombs, time bombs......................................... 7 Hoax................................................................................... 7 Overzicht van virus- en wormsoorten ................................... 8 Bootvirus............................................................................ 9 Multipartite-virus ............................................................. 10 Binair bestandsvirus ............................................................ 10 Scriptbestandsvirussen ......................................................... 13 Macrovirus ........................................................................... 14 Hoe het werkt................................................................... 15 Waarom het zo’n risico is ................................................ 15 Insluiten en koppelen ....................................................... 16 MS Word.......................................................................... 16 MS Excel.......................................................................... 17 Office 97, Office 2000, Office XP................................... 17

vi z Norman-computervirusboek

Bootvirussen ........................................................................ 18 Het bootproces................................................................. 18 Hoe een bootvirus infecteert............................................ 20 Speciaal geval: Het CIH-virus (W95/CIH.1003.A)......... 20 Speciaal geval: Het Melissa-virus (W97M/Melissa.A@mm)................................................ 21 Speciaal geval: De CodeRed-worm (NT/CodeRed.A).... 22 Speciaal geval: Het LoveLetter-virus (VBS/LoveLetter.A@mm) .............................................. 23 Speciaal geval: Nimda (W32/Nimda.A@mm)................ 24 Speciaal geval: Sircam (W32/Sircam.A@mm)............... 25 Speciaal geval: Klez (W32/Klez.H@mm) ...................... 26 Speciaal geval: Friends Greetings (W32/FriendGreet) ... 27 Voorspellingen voor de toekomst.................................... 28 Hoeveel virussen zijn er... ................................................... 29 ...en maakt het iets uit? .................................................... 29 Virussen in het wild ............................................................. 30 De ontwikkeling van het virusprobleem .............................. 31 Virussen op verschillende besturingssystemen .................... 33 MS-DOS .............................................................................. 34 Windows .............................................................................. 34 OS/2 ..................................................................................... 35 Windows 95/98/ME ............................................................ 36 Windows NT/2000/XP ........................................................ 38 Oplossingen voor het virusprobleem .................................... 40 Procedures vastleggen ..................................................... 40 Antivirusoplossingen ....................................................... 40


Inhoudsopgave z vii

SandBox ................................................................................... 44 SandBox-technologie ........................................................... 45 SandBox uitvoeren met emulatie ..................................... 45 SandBox uitvoeren met een virtuele machine ................. 46 Verwachtingen van de SandBox-technologie.................. 47 Gegevens uit de antivirussector ............................................. 48 Norman Virus Control ........................................................... 49 NVC 5 – een nieuwe benadering van viruscontrole ............ 49 Certificering ......................................................................... 51 Onderscheidingen ................................................................ 51 Viruswaarschuwingen ......................................................... 52


viii z Norman-computervirusboek


Inleiding Het is bijna niet te geloven dat de eerste personal computer (pc) van IBM in augustus 1981 werd geïntroduceerd. In het begin was er maar een kleine groep mensen die deze computers gebruikte. Maar tegenwoordig kunnen we ons geen leven zonder computers meer voorstellen, zowel op het werk als thuis. Kijk wat er op kantoor gebeurt wanneer de elektriciteit uitvalt: er ontstaat beroering, want iedereen heeft het gevoel dat er zonder computers niet kan worden gewerkt. We zijn afhankelijk geworden van deze apparaten en van de informatie die erin is opgeslagen. Naarmate het belang van een ‘ding’ toeneemt, wordt het ook steeds belangrijker om het te beveiligen. (Hoeveel mensen hebben tegenwoordig geen alarm in hun auto?) In de moderne computerwereld draait het voor een groot deel om de beveiliging van de informatie die we opslaan en verwerken. Aan de beveiliging van informatie zijn vele aspecten verbonden, zoals het beveiligen van de fysieke toegang tot die informatie en ervoor zorgen dat de informatie niet zomaar wordt gewijzigd. “De enige veilige computer is een computer die niet is aangesloten en is opgeborgen in een kluis en vijf meter onder de grond op een geheime plaats is begraven... en zelfs dan zou ik het nog niet helemaal vertrouwen.” Aldus Dennis Huges, FBI

Een van de opvallendste bedreigingen voor de integriteit van de informatie is het computervirus. Verrassend genoeg doken de eerste computervirussen al op in 1986. Door de wereldwijde toename van het computergebruik zijn computervirussen de afgelopen twee jaar duidelijker aan het licht gekomen. Feitelijk heeft de amusementsindustrie hiertoe bijgedragen door de gevolgen van virussen te laten zien in films als ‘Independence Day’, ‘The Net’ en ‘Sneakers’.

2 z Het Norman-computervirusboek

Computervirussen komen uiteraard ook voor op Macintosh- of andere platformen, maar in dit boek richten we ons alleen op pc-virussen. We behandelen de volgende onderwerpen: • wat een virus is • de ontwikkeling van het virusprobleem • virussen op verschillende besturingssystemen • oplossingen voor het virusprobleem • hoe de producten van Norman Virus Control kunnen helpen.


Wat is een virus? z 3

Wat is een virus? De termen ‘computervirus’ en ‘virus’ worden in het wilde weg gebruikt en zijn synoniem geworden van het woord ‘ellende’. Een computervirus levert meestal geen mooie plaatjes op, laat staan dat een virus het mogelijk maakt om in het Pentagon in te breken. Een virus uit de Hollywood-films heeft geen enkele gelijkenis met echte virussen. In werkelijkheid is een virusinfectie meestal onzichtbaar voor de gebruiker. De computer wordt misschien wat trager. Sommige programma’s worden instabiel en crashen met onregelmatige tussenpozen, hoewel dat bij een schoon systeem ook vaak genoeg voorkomt. Er zijn echter wel degelijk virussen die ook iets met het scherm doen. Het Windows-virus ‘Marburg’ vult het bureaublad met rode cirkels met een witte X erin. Een aantal virussen maakt bureaubladitems ongevoelig voor de muisaanwijzer. Deze effecten zijn niet erg gebruikelijk, aangezien ze het bestaan van een virus bekendmaken. Om deze vervelende programma’s te begrijpen, moeten we eens bekijken wat programma’s eigenlijk zijn.

Wat is een programma? Een programma is een recept voor het gedrag van een computer. Maar computers lezen deze recepten niet zoals mensen dat doen. Computers kunnen geen berichten met willekeurige tekst begrijpen. Ze moeten het hebben van cijfers, want eigenlijk is een computer niets meer dan een opgevoerde rekenmachine. Laten we bijvoorbeeld eens kijken naar de instructie voor ‘niets doen’ in een gewone Intel-processor. (Ja, daar is een instructie voor.) Dit is het getal 144. Als het getal 144 wordt vertaald naar een binair getal, kan dit worden geschreven als 10010000, wat in fysieke zin betekent: spanning aan, uit, uit, aan, uit, uit, uit, uit in de draden die de processor ingaan.



Wanneer een programma op uw computer wordt uitgevoerd, leest het besturingssysteem, bijvoorbeeld Windows, het programma van de schijf, onderzoekt dit en bepaalt wat voor soort programma het is. Vervolgens worden de getallen in het programma naar de processor gestuurd. Moderne besturingssystemen zijn multitasking. Dit wil zeggen dat ze met meerdere programma’s tegelijk aan de gang kunnen. Hierdoor kunt u meerdere programmavensters tegelijk open hebben.

Wat is residentie ‘Residentie’ is een term die u regelmatig zult tegenkomen in dit boek. Het betekent ‘actief in het geheugen’. Een resident programma is een programma dat zich geruime tijd in het geheugen van de computer bevindt. De term was relevanter in de hoogtijdagen van DOS, toen de meeste programma’s niet-resident waren. Deze programma’s deden wat ze moesten doen en verdwenen weer. In de wereld van Windows geldt dat de meeste programma’s wel resident zijn. Een programma blijft actief totdat het wordt afgesloten.

Overzicht van verschillende typen malware Virussen, wormen, trojans, logic bombs enzovoort zijn allemaal voorbeelden van wat we kwaadaardige softwareprogramma’s of malware noemen. Malware is in de eerste plaats een ongewenste, ongevraagde, potentieel gevaarlijke reeks programma’s, maar er zijn belangrijke verschillen tussen de verschillende soorten. In het volgende overzicht wordt een definitie gegeven van een paar van de belangrijkste categorieën:

Virus Virussen hebben een gastheer nodig met als doel andere bestanden te infecteren zodat het virus langer blijft ‘leven’. Sommige virussen voeren destructieve handelingen uit, hoewel dit niet altijd het geval hoeft te zijn. Veel virussen zijn zo gemaakt dat ze moeilijk zijn te ontdekken. Onthoud: Virussen zijn gewone softwareprogramma’s.



Kopieën? Ja. Alle virussen maken kopieën van zichzelf, die bootsectoren, programma’s of ‘gegevensbestanden’ infecteren, zodra de gelegenheid zich voordoet.

Worm Er is geen gastheer vereist, hoewel je zou kunnen stellen dat de gastheer van de worm de computer is die door de worm is geïnfecteerd. Daarom definiëren sommige onderzoekers wormen als een soort virus. In het begin werden wormen hoofdzakelijk beschouwd als een probleem van mainframes. Dit veranderde toen internet wijdverspreid werd. Wormen werden snel aangepast aan het Windows-besturingssysteem en begonnen zichzelf te versturen via e-mail, IRC en andere netwerkfuncties. Daarnaast zien we de laatste tijd de op UNIX gebaseerde wormen weer opduiken, die gaten in de beveiliging van de verschillende typen UNIX gebruiken. Kopieën? Ja. Een worm maakt kopieën van zichzelf zodra daar gelegenheid voor is.

Trojans, backdoors, beveiligingsrisico’s Deze hebben geen host nodig. Het woord trojan is afgeleid van de term ‘Trojaans paard’ en hoewel het soms verwijst naar de destructieve code die het programma bevat, wordt de term vaker gebruikt voor het gehele programmabestand. Trojans zijn programma’s die een ongewenste handeling uitvoeren terwijl ze zich juist voordoen als nuttig. De meeste trojans worden actief zodra ze worden uitgevoerd en vernietigen soms de structuur van het actieve schijfstation (FAT’s, directories, enzovoort) waarbij ze zichzelf wissen. Een speciaal type is de backdoor trojan, die vaak niets openlijk vernietigt, maar uw computer openstelt voor externe besturing en toegang door onbevoegden. Helaas kan een aantal in de handel verkrijgbare tools voor beheer op afstand met bepaalde instellingen worden gebruikt als trojans. Tools die onvoldoende beveiligd zijn tegen gebruik voor kwaadaardige doeleinden kunnen door Norman Virus Control worden opgespoord en aangemerkt als een ‘beveiligingsrisico’. Copyright © 1990-2003 Norman


Kopieën? Nee.

Denial-of-service-tools, nukers, mailbombers Deze categorieën zijn softwarewapens. Deze vormen geen directe bedreiging voor de computer waarop ze zijn geïnstalleerd, maar hebben als doel om de werking van andere computers in het netwerk te verstoren. Soms kunnen deze wapens geruisloos worden geïnstalleerd om te worden gebruikt vanaf de computers van nietsvermoedende gebruikers. In dat opzicht kunnen deze tools ook worden gezien als trojans. Denial-of-service-tools (DOS-tools) worden gebruikt om andere computers te bombarderen met zo veel verbindingspogingen dat de computer die onder vuur ligt overbelast raakt en legitieme verzoeken niet meer kan verwerken. Een speciaal geval van denial-of-service is de zogenoemde ‘Distributed Denial-of-Service’, of DDOS. Er is sprake van DDOS wanneer een aantal computers een gecoördineerde aanval uitvoert op hetzelfde doelwit. Nukers verzenden misvormde netwerkverzoeken met de bedoeling om de aangevallen computer in verwarring te brengen en een crash te veroorzaken. Mailbombers behoeven weinig uitleg: deze worden gebruikt om mensen te irriteren door hun postvak vol te zetten. Kopieën? Nee. Geen van deze kopiëren zichzelf. Wel is het mogelijk om virussen en een aantal van deze aanvalsmethoden te combineren.

Hacktools, viruskits Er zijn aardig wat mensen die zich bezighouden met duistere computerpraktijken en er zijn volop tools beschikbaar om hen daarbij te helpen. Hacken, dat helaas de betekenis heeft gekregen van het onbevoegd toegang krijgen tot externe computers, was al een probleem lang voordat de eerste computervirussen opdoken. Er zijn enkele vrij verkrijgbare tools waarmee kennis kan worden vergaard over het inbreken in andere computers. Copyright © 1990-2003 Norman


Er zijn ook behoorlijk wat programma’s waarmee computervirussen kunnen worden gemaakt. Deze programma’s zijn gemaakt voor virusschrijvers in de dop en vormen een van de hoofdoorzaken van het huidige virusprobleem. Deze tools zijn zo eenvoudig in gebruik dat personen zonder enige programmeerkennis nieuwe virussen kunnen maken. Zulke programma’s worden virusgenerators, viruskits of kortweg kits genoemd. Kopieën? Nee. Een viruskit maakt nieuwe virussen, maar kopieert zichzelf niet.

Bugs, logic bombs, time bombs Dit zijn programmastoringen. Je zou kunnen stellen dat deze een gastheer nodig hebben. Een programmeur kan immers geen bug maken zonder tegelijk andere code te schrijven. Maar wel moet worden gezegd dat de meeste programmeurs niet met opzet bugs schrijven. Logic bombs en time bombs zijn storingen die met opzet zijn ingevoegd in code die verder ‘goed’ is. Kopieën? Nee. Deze code heeft meestal betere dingen te doen dan kopieën van zichzelf maken. Logic bombs en time bombs proberen verborgen te blijven, waarbij alleen de gevolgen zichtbaar worden. Bugs doen ongeveer alles behalve bugs erbij maken.

Hoax Een hoax is een kettingbrief, meestal per e-mail verzonden, met daarin onterechte waarschuwingen tegen virussen of trojans. Hierdoor sturen gebruikers met goede bedoelingen de waarschuwing door in de veronderstelling dat ze andere gebruikers een gunst verlenen. Vaak lijken zulke waarschuwingen afkomstig te zijn van bekende bedrijven en organisaties, maar dit is niet het geval. Een hoax kan ook andere berichten bevatten die mensen ertoe aanzetten het bericht door te sturen, bijvoorbeeld omdat ze dan als beloning geld of een mobiele telefoon krijgen.



Wanneer u een viruswaarschuwing ontvangt, stuur deze waarschuwing dan niet door naar anderen! Deze regel geldt altijd, zelfs wanneer het virus echt bestaat, en geldt des te meer wanneer in het bericht wordt gevraagd om de waarschuwing door te sturen. De angst voor virussen en de werkdruk nemen hierdoor alleen maar toe. Kopieën? Nee, niet uit zichzelf. Maar ze verlokken de gebruiker tot het maken van kopieën.

Overzicht van virus- en wormsoorten Wanneer we spreken over virussen en wormen, bedoelen we normaal gesproken de volgende grote categorieën:

Binaire bestandsvirussen en -wormen Bestandsvirussen infecteren uitvoerbare bestanden (programmabestanden). Ze kunnen computers infecteren via netwerken. Normaal gesproken bestaan deze uitvoerbare bestanden en virussen uit instructies die worden gemaakt om eenvoudig door de computer te worden begrepen, de zogenoemde machinecode. Voor de leek is machinecode onbegrijpelijk, doordat het in wezen een rij getallen is die naar de processor wordt gestuurd. Bestandswormen worden ook in machinecode geschreven, maar in plaats van andere bestanden te infecteren, is het doel van wormen zich te verspreiden over andere computers. Zie pagina 20 voor meer informatie.

Binaire stream-wormen Onder stream-wormen wordt een groep wormen CodeRed is een verstaan die zich via netwerken verspreiden en binaire stream-worm die zich nooit als bestanden manifesteren. In die het netwerk gebruikt. plaats daarvan trekken ze van de ene naar de andere computer als stukjes code die alleen in het geheugen bestaan. De bekendste van deze groep is de reeks CodeRed-wormen die zich verspreiden tussen IIS-systemen. Zie pagina 22 voor meer informatie.



Scriptbestandsvirussen en -wormen Een scriptvirus is in technische zin een bestandsvirus, maar scriptvirussen worden geschreven als pure tekst en zijn dus voor iedereen leesbaar. Aangezien computers tekstinstructies niet direct kunnen begrijpen moet de tekst eerst worden vertaald van tekstcode naar machinecode. Deze procedure wordt ‘interpretatie’ genoemd en wordt uitgevoerd door afzonderlijke programma’s op de computer. Visual Basic Script (VBS) wordt bijvoorbeeld geïnterpreteerd door het programma WSCRIPT.EXE. Oude DOS-batchtaal (BAT) wordt geïnterpreteerd door COMMAND.COM. Scriptvirussen infecteren andere scriptbestanden, maar wat nog meer voorkomt zijn de scriptwormen die van de ene computer naar de andere computer trekken, bij voorkeur via e-mail. Zie pagina 23 voor meer informatie.

Macrovirus Macrovirussen infecteren gegevensbestanden of bestanden die gewoonlijk worden gezien als gegevensbestanden, zoals documenten en spreadsheets. In veel ‘gegevensbestandstypen’ kunnen instructies worden ingevoegd samen met de normale inhoud. Microsoft Wordbestanden kunnen instructies bevatten die Word vertellen hoe een bepaald bestand moet worden weergegeven, of instructies die Word vertellen bepaalde handelingen te verrichten. Ongeveer alles wat je met gewone programma’s op een computer kunt doen, kan worden gedaan met deze zogenoemde macro-instructies. Macrovirussen behoren tegenwoordig tot de meest voorkomende virussen. Ze kunnen computers infecteren via een netwerk. Zie pagina 21 voor meer informatie.

Bootvirus Bootvirussen infecteren de bootsector van vaste schijven en diskettes. Ze zijn niet in staat om computers te infecteren via een netwerk.



Multipartite-virus Multipartite-virussen infecteren zowel uitvoerbare bestanden als bootsectoren, of uitvoerbare bestanden en gegevensbestanden. Ze kunnen computers infecteren via een netwerk. U bent wellicht ook wel eens de termen ‘polymorphic’, ‘stealth’ en ‘encrypted’ tegengekomen. Dit zijn niet per se soorten virussen, maar eerder methoden die door virussen worden gebruikt om zich te vermommen voor antivirusproducten In de volgende delen worden binaire virussen en script-, macro- en bootvirussen meer in detail beschreven.

Binair bestandsvirus Een bestandsvirus hecht zichzelf aan een programmabestand (de gastheer) en gebruikt verschillende technieken om andere programma’s te infecteren. Er zijn enkele basistechnieken voor het infecteren van een uitvoerbaar bestand: onder andere companion (vergezellen), link (koppelen), overwrite (overschrijven), insert (invoegen), prepend (ervoor plakken) en append (erachter plakken).

Een companion-virus brengt geen directe wijzigingen aan in zijn gastheer. In plaats daarvan zorgt het ervoor dat het besturingssysteem het virus uitvoert in plaats van het bestand dat als gastheer fungeert. Soms wordt dit gedaan door het gastheerbestand te hernoemen en vervolgens het virusbestand de naam van het originele programma te geven. Of het virus infecteert een .EXE-bestand door in dezelfde directory een .COM-bestand te maken met dezelfde naam. Wanneer alleen de programmanaam wordt gegeven, voert DOS altijd eerst een .COM-bestand uit. Dus wanneer u ‘EDIT’ invoert achter de DOSprompt en er een EDIT.COM en een EDIT.EXE in dezelfde directory voorkomen, wordt EDIT.COM uitgevoerd.



Een link-virus brengt wijzigingen aan in de low-level-functies van het bestandssysteem, zodat programmanamen niet meer naar het originele programma verwijzen, maar naar een kopie van het virus. Hierdoor is het mogelijk om slechts één exemplaar van het virus te hebben, waarnaar alle programmanamen verwijzen.

Een overwriting-virus plaatst zichzelf aan het begin van een programma, direct over de originele programmacode, waarna het programma beschadigd is. Wanneer u dit programma probeert uit te voeren, gebeurt er niets behalve dat het virus een ander bestand infecteert. Dergelijke virussen zijn eenvoudig te ontdekken en te vernietigen door de gebruiker of een technische ondersteuningsdienst. Ze verspreiden zich dus niet erg gemakkelijk. De kans dat u ooit een overwriting-virus op uw computer krijgt is zeer klein.



Een inserting-virus kopieert zichzelf in het programma dat als gastheer dienst doet. Programma’s bevatten soms gebieden die niet worden gebruikt. Virussen kunnen deze gebieden vinden en zichzelf daarin plaatsen. Het virus kan ook zo zijn gemaakt dat het een groot deel van het gastheerbestand naar elders verplaatst en vervolgens zelf de lege ruimte inneemt.

Het pure prepending-virus plaatst vaak gewoon al zijn code bovenaan uw originele programma. Wanneer u een programma uitvoert dat is geïnfecteerd met een prepending-bestandsvirus wordt de viruscode eerst uitgevoerd en daarna uw originele programma.

Een appending-virus plaatst een ‘sprong’ aan het begin van het programmabestand, verplaatst het oorspronkelijke begin van het bestand naar het einde van het bestand en plaatst zichzelf tussen hetgeen oorspronkelijk het einde van het bestand en hetgeen oorspronkelijk het begin van het bestand was. Wanneer u dit programma probeert uit te voeren, roept de ‘sprong’ het virus op en



wordt het virus uitgevoerd. Het virus verplaatst het oorspronkelijke begin van het bestand terug in de normale positie en laat dan uw programma uitvoeren. Dit was een kort overzicht van hoe een virus zich aan een programmabestand hecht. Er zijn dus verschillende infectietechnieken. Veel bestandsvirussen worden geheugenresident zodat ze alle handelingen kunnen controleren en andere programmabestanden kunnen infecteren op het moment dat die worden uitgevoerd of anderszins worden geopend. Andere bestandsvirussen infecteren door ‘direct action’. Dit wil zeggen dat ze andere programmabestanden onmiddellijk infecteren zonder geheugenresident te worden. Onder Windows is dit onderscheid minder duidelijk, doordat veel virussen resident en ‘direct action’ zijn. Er zijn nog meer methoden.

Scriptbestandsvirussen Scriptbestandsvirussen vormen niet echt een nieuwe categorie virussen, maar zijn onlangs pas een grote bedreiging geworden. Zoals gezegd zijn scripts instructies in pure tekst die door een bepaald programma worden geïnterpreteerd. Er bestaat een behoorlijk aantal scripttalen. Visual Basic Script: Deze scripts komen we gewoonlijk tegen als afzonderlijke *.VBS-bestanden of ingevoegd in webpagina’s. VB-scripts hebben een aantal functies die een deelverzameling vormen van de taal Microsoft Visual Basic en kunnen worden uitgebreid door functies van andere programma’s te importeren. Zo kunnen bijvoorbeeld veel functies van Microsoft Word worden gebruikt via VB-script. JavaScript: De scripttaal die werd geïntroduceerd door Sun Microsystems tegelijk met de ontwikkeling van de HTML-standaard. Standaard-JavaScript is meestal behoorlijk veilig, aangezien dit het bestandssysteem niet aantast. Gewoonlijk komen we JavaScript op webpagina’s tegen. JScript: De Microsoft-versie van JavaScript. Deze versie is ongeveer net zo flexibel en uitbreidbaar (en onveilig) als Visual Basic Script. JScript komen we tegen in *.JS-bestanden of op webpagina’s. Copyright © 1990-2003 Norman


BAT-bestanden in DOS: Wanneer je het goede oude DOS iets wilde laten doen, voerde je de opdracht in op de opdrachtregel. De bestanden in een directory werden bijvoorbeeld weergeven wanneer je DIR <Enter> typte. Maar soms gaf je DOS opdracht om bepaalde taken uit te voeren wanneer jij deze opdrachten niet zelf kon invoeren. Voor dit doel werd de batchtaal ontwikkeld. De opdrachten werden in een tekstbestand geplaatst, waarna de naam van dat bestand alleen maar op de opdrachtregel hoefde te worden ingevoerd. DOS voerde de opdrachten dan uit. Zulke bestanden worden altijd batchbestanden genoemd en hebben de extensie *.BAT. UNIX-shell-script: Dit is vergelijkbaar met de DOS-batchtaal maar ontwikkeld voor de verschillende soorten UNIX. In UNIX is een uitgebreide reeks opdrachten beschikbaar vanaf de opdrachtregel. Shell-scripts zijn dus behoorlijk krachtig en kunnen veel verschillende dingen doen. IRC-scripts: Internet Relay Chat is een chatsysteem voor internet. Chatsystemen kunnen scripts gebruiken om bepaalde taken automatisch uit te voeren, zoals iemand begroeten die net de chatroom is binnengekomen. De scripts ondersteunen echter ook het verzenden van bestanden en veel wormen en virussen worden via IRC verspreid. Bekende IRC-programma’s die hiervoor zijn gebruikt zijn de populaire mIRC-, pIRCH- en VIRC-clients. Andere scripttalen: Er bestaan nog vele andere scripttalen. Corel Draw, Visual Foxpro, SuperLogo, InstallShield enzovoort kunnen met scripts werken en zijn gebruikt voor kwaadaardige doeleinden.

Macrovirus Sinds de introductie van het eerste macrovirus in augustus 1995 en tot kort geleden is deze virussoort de snelst groeiende soort geweest. De eerste keer dat we dit verschijnsel in deze publicatie bespraken, in januari 1997, waren er 100 macrovirussen bekend. Sinds juni 2001 heeft Norman meer dan 8.000 virussen geïdentificeerd. Dit aantal groeit nog steeds.



Hoe het werkt Traditionele bestandsvirussen proberen geen gegevensbestanden te infecteren, omdat gegevensbestanden geen ideale basis zijn voor het kopiëren. Dat komt doordat je een gegevensbestand niet ‘uitvoert’ – je ‘leest’ of ‘bewerkt’ een gegevensbestand. De afgelopen jaren zijn organisaties echter gaan werken met open systemen, waarin gegevens eenvoudiger kunnen worden gedeeld. De keerzijde hiervan is dat er weinig beveiliging is. Macrovirussen profiteren van het feit dat veel toepassingen nu macroprogrammeertalen bevatten. Deze talen bieden gebruikers (en virusschrijvers) meer flexibiliteit en mogelijkheden binnen de toepassing dan ooit tevoren en maken van gegevensbestanden feitelijk programma’s. Vaak worden macrovirussen niet op tijd gewist omdat veel gebruikers niet bekend zijn met de precieze eigenschappen van macro’s. Hierdoor zijn macrovirussen veel vaker succesvol dan traditionele bestands- en bootvirussen. In het begin was de macroprogrammeertaal WordBasic (de taal in de eerste versies van Microsoft Word) vaak het doelwit. Later werd Visual Basic for Applications (VBA) de belangrijkste macroprogrammeertaal die in virussen werd gebruikt. Deze programmeertaal wordt door veel toepassingen gebruikt – Word, Excel, Access, PowerPoint, Project, Visio en vele andere.

Waarom het zo’n risico is Aangezien gegevensbestanden en met name documenten vaker worden gedeeld dan uitvoerbare (programma)bestanden, vormen macrovirussen een grote bedreiging voor de veiligheid. VBA is ook een krachtige programmeertaal die kan worden gebruikt voor de besturing van vrijwel alles op de computer. Sommige macrovirussen bevatten destructieve code en sommige kunnen zelfs traditionele bestands- en bootvirussen maken en uitvoeren. Hoewel traditionele bestands- en bootvirussen de werking van een computer beïnvloeden, beïnvloeden macrovirussen de kwaliteit en betrouwbaarheid van informatie in gegevensbestanden.



Insluiten en koppelen De open systemen in veel Microsoft-toepassingen gebruiken OLE om verschillende gegevenstypen te combineren. Je kunt een object, zoals een bitmap, insluiten in een Word-document. Een object insluiten betekent dat aanpassingen in het object niet worden weergegeven in de andere exemplaren van het object. Je kunt een object ook koppelen, bijvoorbeeld een Excel-spreadsheet aan een Word-document. Een object koppelen betekent dat je het object kunt bewerken in zowel de brontoepassing als in de toepassing waarnaar het object is gekoppeld. Hierbij worden alle exemplaren van het object bijgewerkt.

De producten van Microsoft Office bieden de mogelijkheid objecten in te sluiten en te koppelen. Daarnaast kunnen deze programma’s zelf in andere toepassingen worden ingesloten of gekoppeld. Er bestaat dus een risico dat een Word-macrovirus wordt uitgevoerd vanuit een andere toepassing, of een geïnfecteerd uitvoerbaar bestand vanuit Microsoft Office.

MS Word Veruit de meeste veelvoorkomende macrovirussen zijn geschreven voor Microsoft Word. Dit komt gedeeltelijk doordat Word de eerste toepassing was die voortdurend werd bestookt met macrovirussen, maar ook doordat Word-documenten vaker worden uitgewisseld dan enig ander bestandstype. Het eerste Word-macrovirus, WM/Concept.A werd medio 1995 gemaakt en was al snel een van de meest verspreide Copyright © 1990-2003 Norman


virussen ter wereld, ondanks het feit dat het geen e-mailvirus was, een virustype dat populair werd tegen het einde van de vorige eeuw.

MS Excel Na het eerste Word-macrovirus duurde het niet lang voordat het eerste Excel-virus opdook: XM/Laroux.A. Dit kwam niet onverwacht, aangezien de technieken die vereist zijn om zo’n virus te maken dezelfde zijn als voor Word-macrovirussen. Het verschil tussen de eerste virussen voor Word en Excel is dat de virussen voor Word waren geschreven in WordBasic, terwijl de virussen voor Excel waren geschreven in VBA3 (Visual Basic for Applications versie 3). De bestandsindeling was anders en de macro’s werden niet opgeslagen in de spreadsheet (virussen voor Word 6/7 worden in het Word-document opgeslagen), maar in aparte streams. Deze techniek compliceerde de opsporing, identificatie en verwijdering. Macrovirussen voor Excel kunnen soms een grotere bedreiging vormen dan Word-virussen, vanwege de mogelijke praktische gevolgen. Stelt u zich voor dat een macrovirus voor Excel een bepaalde cel met factor 10 vermenigvuldigd en dat deze cel uw salaris voorstelt. Bepaald niet het einde van de wereld, maar wat als deze cel door 10 werd gedeeld? Dit zijn kleine ongemakken vergeleken met vergelijkbare wijzigingen in formules die de betonsterkte voor een wolkenkrabber moeten berekenen. Spreadsheets zijn vaak erg groot waardoor afwijkingen niet gemakkelijk worden herkend.

Office 97, Office 2000, Office XP Bij de invoering van Office 97 bleek de bestandsindeling van vrijwel alle programma’s in de suite te zijn gewijzigd, maar deze wijzigingen waren wel consistent. Zowel Excel als Word gebruikt VBA5, gebaseerd op VBA3 maar met veel uitbreidingen. VBA5 is niet compatibel met WordBasic, wat zou moeten betekenen dat macrovirussen die zijn geschreven voor eerdere versies van Word geen schade kunnen toebrengen in Word 8.0 van Office 97. Copyright © 1990-2003 Norman


Microsoft zorgde er echter voor dat conversie van WordBasic naar VBA5 en van VBA3 naar VBA5 mogelijk was, zodat bestaande macro’s konden worden bijgewerkt naar de nieuwe bestandsindeling. Hetzelfde gebeurde met documentconversie van VBA5 naar VBA6, de VBA-versie die door de nieuwere Office-versies Office 2000 en Office XP wordt gebruikt. Hierdoor kunnen macrovirussen voor eerdere versies van Word en Excel ook worden ‘bijgewerkt’. Niet alle virussen werken na de conversie, maar een groot aantal wel.

Bootvirussen Bootvirussen infecteren systeembootsectoren (SBS) en masterbootsectoren (MBS). De MBS bevindt zich op alle fysieke vaste schijven en bevat onder andere informatie over de partitietabel (informatie over hoe een fysieke schijf is onderverdeeld in logische schijven) en een kort programma dat de partitie-informatie kan interpreteren om te ontdekken waar de SBS zich bevindt. De MBS is niet gekoppeld aan een besturingssysteem. De SBS bevat onder andere een programma dat als doel heeft een besturingssysteem te vinden en uit te voeren. Aangezien diskettes veel meer worden uitgewisseld dan programmabestanden kunnen bootvirussen zich veel gemakkelijker verspreiden dan bestandsvirussen. Zie ‘Virussen op verschillende besturingssystemen’ op pagina 33 voor meer informatie.

Het bootproces Voordat we bootvirussen kunnen begrijpen, moeten we eerst het bootproces (opstartproces) begrijpen. Het BIOS (Basic Input/Output System), dat het bootproces bestuurt, wordt opgestart zodra de stroom wordt ingeschakeld. Het volgende proces dat wordt uitgevoerd heet POST (Power On Self Test). Het zorgt ervoor dat de computer correct werkt. Een POST-



functie die elke gebruiker kent is het scherm waarop de hoeveelheid RAM (Random Access Memory) in de computer wordt geteld. Als laatste stap in de POST wordt het bootproces gestart. De eerste taak is te bepalen of er een diskette in het diskettestation aanwezig is. Zo ja, dan wordt de systeembootsector op de diskette gelezen en probeert de computer op te starten van die diskette. Wanneer de diskette niet kan booten (zie hieronder voor meer informatie) ziet u het volgende bericht op het scherm: Non system-disk or disk error. Replace and strike any key when ready. Als niet van de diskette kan worden opgestart, wordt deze tekst door een klein programmaatje op de SBS van de diskette weergegeven op het scherm. Gewoonlijk is er echter geen diskette aanwezig en wordt de masterbootsector van de vaste schijf gelezen. Daarna wordt de systeembootsector op de bootpartitie van de vaste schijf gelezen en wordt het besturingssysteem opgestart. Dit proces werkt op alle computers met DOS, Windows, Windows 9x/ME, Windows NT/2000, Linux en OS/2 op dezelfde manier. De verschillen worden pas zichtbaar wanneer de besturingssystemen zelf worden geladen.

Een bootable diskette of bootdiskette Wanneer een diskette wordt geformatteerd, wordt er een systeembootsector gemaakt. De diskette kan twee functies hebben: er kunnen programmabestanden en gegevensbestanden op staan, maar het kan ook een bootdiskette (opstartdiskette) zijn. Een bootdiskette is een diskette die kan worden gebruikt om het bootproces op de vaste schijf te omzeilen. In plaats daarvan wordt het bootproces vanaf de diskette uitgevoerd. Voor het maken van een bootdiskette moet je ofwel de diskette formatteren met de ‘systeemoptie’ (/S) ofwel de DOS-opdracht SYS op de diskette gebruiken.



Een geformatteerde diskette heeft altijd een systeembootsector, ongeacht of van de diskette kan worden opgestart of niet. De SBS is de plaats waar het bootvirus huist. Dus iedere geformatteerde diskette die u bezit kan geïnfecteerd zijn met een bootvirus.

Hoe een bootvirus infecteert Wanneer de diskette in het diskettestation wordt gelaten en de computer is ingesteld om vanaf een diskette te booten, wordt de SBS van de diskette gelezen. Wanneer de SBS een bootvirus bevat, wordt het bootvirus actief en geheugenresident. Het infecteert de systeemgebieden van de vaste schijf en probeert andere diskettes (zonder schrijfbeveiliging) te infecteren op het moment dat die worden gelezen. Vaak laten gebruikers een diskette in het diskettestation zitten wanneer ze de computer ’s middags uitzetten. Wanneer ze de computer ’s ochtends weer aanzetten, zijn ze vergeten dat er nog een diskette in zit. Daardoor booten veel mensen vanaf een diskette zonder dat zelf in de gaten te hebben. Bootvirussen waren dan ook lange tijd de meest voorkomende virussen.

Speciaal geval: Het CIH-virus (W95/CIH.1003.A)

Type: Infecteert:

Binair bestandsvirus Uitvoerbare 32-bits Windows-programma’s

Tot 26 april 1998 gold dat virussen ernstige schade konden toebrengen aan software, maar niet aan hardware. Op deze dag sloeg het virus W95/CIH.1003.A voor het eerst toe. De slachtoffers moesten de flashBIOS-chip vervangen en soms zelfs (vooral bij laptops) het moederbord van de pc. In de maanden die volgden werd het CIH-virus in bijna alle delen van de wereld gesignaleerd. Er bestaan inmiddels allerlei varianten, waarvan sommige de 26e van de maand worden geactiveerd. Het CIH-virus infecteert op zeer verdekte wijze uitvoerbare bestanden onder Windows 95/98. Geïnfecteerde bestanden worden bijvoorbeeld Copyright © 1990-2003 Norman


niet langer. Vaak is een onverwachte verandering van de bestandslengte van een binair bestand een teken van virusactiviteit. Een technische beschrijving van de activiteiten van het virus wanneer het actief wordt, valt buiten het bestek van dit boek. Eenvoudig gesteld wordt het flash-BIOS opnieuw geprogrammeerd door het CIH-virus: de pc wordt hersendood en vergeet zijn interne taal. Wanneer dit gebeurt, zit er niets anders op dan dit stuk hardware te vervangen. Het virus kan de vaste schijf ook gedeeltelijk overschrijven en daardoor onbruikbaar maken. Het CIH-virus herinnert ons eraan dat virusschrijvers soms zeer gedetailleerde informatie hebben over ongedocumenteerde interne procedures die diep in de besturingssystemen plaatsvinden. Wanneer zij deze kennis gebruiken om vrijwel bugvrije virussen vergelijkbaar met CIH te schrijven, is doeltreffende virusbescherming een must geworden. Het is algemeen bekend dat bij veel slachtoffers van CIH het virus was binnengekomen door het downloaden van bestanden van spelletjessites op internet. Het lijkt ons daarom van belang om alle websurfers nog eens te wijzen op het gevaar hiervan. Wij raden u daarom aan om antivirussoftware te gebruiken met een goed updatesysteem. De tijd dat het voldoende was om je antivirussoftware vier keer per jaar bij te werken is definitief voorbij.

Speciaal geval: Het Melissa-virus (W97M/Melissa.A@mm)

Type: Infecteert:

Macrovirus Word 97- en Word 2000-documenten

Eind maart ’99 ontvingen wij berichten dat een document met de naam password.doc zichzelf leek te verzenden via e-mail. Er werden zo enorm veel berichten verzonden, dat verscheidene e-mailservers de toevloed niet meer aankonden en crashten. We waren getuige van het eerste massamailvirus. Het document bevatte een macrovirus met de Copyright © 1990-2003 Norman


naam W97M/Melissa.A, dat niet alleen zichzelf verspreidde over de documenten van de gebruiker, maar ook kopieën verzond naar de eerste vijftig adressen in het adresboek van de gebruiker. Een delicaat neveneffect was de onvrijwillige verspreiding van documenten naar anderen. Word-documenten bevatten vaak gevoelige of semi-gevoelige informatie. De schade die dit heeft toegebracht zou dus aanzienlijk kunnen zijn geweest.

Speciaal geval: De CodeRed-worm (NT/CodeRed.A)

Type: Infecteert:

Binaire stream-worm Computers met Windows 2000 waarop IIS wordt uitgevoerd

Tot augustus 2001 werd kwaadaardige software in het algemeen in bestanden aangetroffen. Programma’s zijn weliswaar in het geheugen aanwezig wanneer ze worden uitgevoerd, maar daarvoor moeten ze wel eerst worden opgestart vanuit een bestand. Daarom waren antivirustools altijd gericht op het opsporen van malware in bestanden. Dit veranderde na het verschijnen van CodeRed. CodeRed is een programma, zoals bijna elk ander programma. Maar toch is er een groot verschil: het manifesteert zichzelf nooit op de vaste schijf. Hierdoor is de worm voor veel antivirussoftware moeilijk te zien. De worm komt de computer als een soort gegevensstroom binnen via het netwerk. De ontvangende computer ziet de gebeurtenis als een programma en voert het uit vanuit het geheugen. Het is duidelijk dat zoiets niet zou mogen gebeuren, maar CodeRed gebruikt hiervoor een bekende bug of storing in de Internet Information Server. Wanneer de worm eenmaal op de lokale computer wordt uitgevoerd, zal het proberen andere computers binnen te komen om zich te verspreiden. De worm is eenvoudig te stoppen door de bug in de IISserver aan te pakken die door de worm wordt gebruikt. Maar in de toekomst kunnen andere wormen profiteren van andere gaten in de beveiliging.



Speciaal geval: Het LoveLetter-virus (VBS/LoveLetter.A@mm)

Type: Infecteert:

Scriptbestandsvirus VBS-bestanden

Begin mei 2000 stond de telefoon bij leveranciers van antivirussoftware over de hele wereld roodgloeiend. “Hebt u een product dat het I-loveyou-virus opspoort?” Op de vraag volgde eerst een lange stilte en dan het aarzelende antwoord: “Hoezo I-love-you-virus?” Deze virusepidemie toonde een zeer vervelende eigenschap aan van moderne e-mailvirussen en wormen: ze zijn snel. Voordat de antivirusbedrijven het virus ook maar hadden gezien, zat het bij gebruikers over de hele wereld al in hun postvak. LoveLetter is een schoolvoorbeeld van het belang van frequente antivirusupdates en het belang van het gebruik van goede heuristische methoden (voor het opsporen van onbekende virussen). Kanttekening: VBS/LoveLetter.A is een echt virus, omdat het VBSbestanden met zichzelf overschrijft. Je ziet echter alleen de functionaliteit van een worm. LoveLetter onderscheidt zich van andere virussen door zijn snelle verspreiding. Het is dus goed te begrijpen dat het virus vaak een worm wordt genoemd.



Speciaal geval: Nimda (W32/Nimda.A@mm)

Type: Infecteert:

Binair uitvoerbaar virus Computers met Windows 9x/Me/NT/2000

Dit is een zeer interessant geval. Dit virus gebruikt meerdere technieken om zich te verspreiden. De meest intrigerende techniek is echter die voor de verspreiding via internet. Voordat Nimda opdook, hadden enkele virusschrijvers geëxperimenteerd met het infecteren van gebruikers via een webserver. Het probleem voor de virusschrijver was dat de aanval vanuit één duidelijk punt plaatsvond. Zodra de kwaadwillende webpagina was geïdentificeerd, zou deze worden verwijderd, waarmee het virus effectief vernietigd zou worden. Andere wormen, zoals CodeRed, hebben geprobeerd om in te breken bij webservers of om ze te infecteren. Nimda combineerde deze effecten als eerste. Wanneer Nimda op een computer wordt opgestart (het is immers een uitvoerbaar bestand), zal het op zoek gaan naar webservers. Dit gebeurt door willekeurige internetadressen te generen en hiermee een verbinding te maken. Wanneer een verbinding is gemaakt, hackt Nimda de webserver en kopieert het zichzelf. Zodra het op de webserver wordt uitgevoerd, wijzigt het webpagina’s zodat surfers die deze pagina’s bezoeken worden geïnfecteerd. Deze dubbele infectie leidt tot twee problemen: gebruikers zijn er niet op bedacht dat een webpagina een mogelijke bron van virusinfecties is en het virus kan niet meer worden gestopt door één enkele website te verwijderen. Het verspreiden van virussen via internet is nog gevaarlijker doordat de gebruiker niet hoeft te klikken op een bijlage om met het virus te worden geïnfecteerd. Nimda gebruikt een programmeerfout in bepaalde versies van Internet Explorer om automatisch te worden uitgevoerd zodra een webpagina (of e-mailbericht) wordt bekeken. Andere verspreidingsmethoden van Nimda zijn wat algemener: het infecteert binaire uitvoerbare bestanden, het verspreidt zich via gedeelde bestanden in een netwerk en het e-mailt zichzelf rond. Copyright © 1990-2003 Norman


Speciaal geval: Sircam (W32/Sircam.A@mm)

Type: Infecteert:

Binaire uitvoerbare worm Computers met Windows 9x/Me/NT/2000

Deze tweederangs worm werd op het eerste gezicht niet gezien als een grote bedreiging. De worm verspreidt zich via e-mail en heeft een semi-vaste berichttekst, waardoor hij makkelijk te herkennen is. Maar deze worm bleek erg hardnekkig en moeilijk te vernietigen. Op het moment van dit schrijven is het waarschijnlijk het meest wijdverspreide virus ter wereld. Waardoor komt dit? Het meest onderscheidende kenmerk van Sircam is de truc die wordt uitgehaald wanneer het zichzelf via e-mail gaat verzenden. Het zoekt een willekeurig document, een spreadsheet of zip-bestand op de vaste schijf en bevestigt dit aan zichzelf. Het nieuwe bestand heeft de naam van het originele bestand, maar krijgt er een extensie bij. Zo wordt mijndocument.doc bijvoorbeeld mijndocument.doc.exe. Wanneer u niet goed oplet bij het lezen van het e-mailbericht, kan het bestand gemakkelijk worden aangezien voor het originele nietgeïnfecteerde bestand. Een naar gevolg van deze truc is dat onbedoeld allerlei persoonlijke en/of vertrouwelijke informatie kan worden verzonden. Het maakt de worm niet uit of er een onschuldige memo of geheime financiële informatie wordt verstuurd. Wij hebben meegemaakt dat er zeer persoonlijke brieven van geïnfecteerde gebruikers in ons postvak terechtkwamen. Dit toont aan hoe gevaarlijk het werken met computers tegenwoordig is. Zelfs de informatie op je eigen vaste schijf kan voor iedereen toegankelijk worden. Gevoelige informatie moet altijd worden gecodeerd en bij voorkeur worden opgeslagen op verwijderbare media, zoals diskettes of cd’s.



Speciaal geval: Klez (W32/Klez.H@mm)

Type: Infecteert:

Binair uitvoerbaar virus Computers met Windows 9x/Me/NT/2000/XP

De Klez-serie bestaat uit ongeveer tien verschillende varianten met enigszins afwijkende eigenschappen. Slechts twee hiervan zijn werkelijk wijdverspreid: de varianten E en H. Van deze twee is de H-variant absoluut overheersend en op het moment van dit schrijven (december 2002) verreweg het meest wijdverspreide e-mailvirus ter wereld. Het virus komt binnen in e-mailberichten met zeer onvoorspelbare verschijningsvormen: verschillende onderwerpen, berichtteksten en bestandsnamen van bijlagen. De teksten die voor deze velden worden gebruikt, worden willekeurig gekozen uit bestanden op de vaste schijf van de gebruiker en uit woordenlijsten binnen het virus zelf. De meest verraderlijke eigenschap is echter dat het adres in het veld Van: wordt verzonnen. Klez verzamelt e-mailadressen van verschillende plaatsen op de geïnfecteerde computer en gebruikt deze willekeurig voor de adressen in de velden Aan: en Van:. Onthoud dus de volgende keer dat u een door Klez geïnfecteerd e-mailbericht ontvangt, dat de (schijnbare) afzender zeer waarschijnlijk niet is geïnfecteerd. Klez verspreidt zich ook via een aantal andere methoden. Het kopieert zichzelf op netwerkshares als een zelfstandig uitvoerbaar bestand en als een RAR-archiefbestand met zichzelf erin. Soms werkt het ook als een virus: het slaat toegestane programma’s op in gecomprimeerde bestanden en neemt hun plaats in. Dat is nog niet alles, er wordt ook een ander, niet-verwant virus ingebouwd op computers die worden geïnfecteerd. Dit virus, dat W32/Elkern.C heet, kan zichzelf niet verspreiden via e-mail. Elkern kan erg moeilijk worden verwijderd doordat het zich kan hechten aan processen die al actief zijn in het geheugen. U kunt de volledige vaste schijf opschonen, maar het virusproces kan onzichtbaar aanwezig zijn in toegestane actieve processen en doorgaan met infecteren.



Speciaal geval: Friends Greetings (W32/FriendGreet)

Type: Infecteert:

Binair uitvoerbaar bestand, commercieel Computers met Windows 9x/Me/NT/2000/XP

Dit is geen virus of worm, ook al heeft het wormachtige functies. Het komt binnen als een e-mailbericht dat er als volgt uitziet: Bill, Bob has sent you a greeting card -- a postcard from FriendGreetings.com. You can pick up your greeting card at FriendGreetings.com by clicking on the link below. http://www.friend-greeting.com/pickup.html?code= &id= Message: -----------------------------------------------------------Bill, I just sent you a greeting card - please pick it up. Bob ----------------------------------------------------------Dit ziet er allemaal vrij onschuldig uit. Als u echter op de koppeling klikt, wordt u gevraagd software te downloaden en te installeren om de ‘postcard’ weer te geven. Tijdens de installatie van deze software wordt u via vensters met licentiegegevens geïnformeerd dat de software dergelijke kaarten zal verzenden aan iedereen in uw adresboek. Veel gebruikers accepteren dit, ofwel omdat zij de licentiegegevens niet lezen, ofwel omdat het hen niet uitmaakt. Op die manier kan de software zich wijd verspreiden omdat het hiervoor toestemming heeft gekregen van de gebruiker. Het is raadzaam alle licentieovereenkomsten zorgvuldig te lezen, zodat u niet onbedoeld in dergelijke regelingen toestemt.



Voorspellingen voor de toekomst Norman verwacht dat macrovirussen een serieuze bedreiging zullen blijven vormen voor de beveiliging van gegevens, hoewel het aannemelijk is dat de groei zal afnemen. Van een aantal scripttalen is overduidelijk aangetoond dat ze in potentie veel problemen opleveren voor de beveiliging en er duiken regelmatig nieuwe scripttalen op. Scriptvirussen zullen in de nabije toekomst een probleem blijven. De laatste jaren komen we ook het binaire bestandsvirus en de binaire bestandsworm weer vaker tegen. Deze groep malware verloor in het begin van de jaren negentig terrein, doordat met de komst van Windows het uitwisselen van uitvoerbare bestanden steeds minder gebruikelijk werd. E-mailsystemen waren in die tijd nog niet geavanceerd genoeg voor e-mailwormen. Internet en moderne ontwikkeltools voor Windows-software hebben hierin verandering gebracht. Inmiddels is er sprake van een actieve uitwisseling van bestanden via e-mail en andere netwerkfuncties, en daarmee ook van virussen. Binaire bestandsvirussen zullen we blijven tegenkomen zolang programma’s vrij worden uitgewisseld. Andere aspecten van computergebruik zijn aan het veranderen. Internet als ‘omgeving’ wordt steeds complexer en steeds meer onderling verbonden, waardoor er nieuwe mogelijkheden ontstaan voor kwaadaardige software. Hoe internetterroristen deze nieuwe mogelijkheden precies zullen gaan uitbuiten is moeilijk, zo niet onmogelijk te voorspellen. Het is niet denkbeeldig dat de volgende ernstige virusepidemie zal uitbreken via een van deze onvoorspelbare nieuwe paden. Door het incident met CodeRed hebben we al gezien dat een deel van de internetinfrastructuur kwetsbaar is en een rol zal spelen bij toekomstige uitbraken. Norman zal het virusprobleem op de voet blijven volgen. Wij hebben een aantal van de meest vooraanstaande deskundigen ter wereld in dienst, die de ontwikkeling van de computerbeveiliging nauwgezet in het oog houden. Ons doel is nieuwe bedreigingen te onderscheppen voordat er schade is toegebracht.



Hoeveel virussen zijn er... Verkopers van antivirussoftware krijgen deze vraag voortdurend. Het antwoord is om verschillende redenen moeilijk te geven: 1. Er is geen centrale organisatie die het aantal virussen telt. 2. Er verschijnen dagelijks nieuwe virussen. Sommige deskundigen zeggen dat de toename van nieuwe virussen exponentieel is en anderen zeggen dat deze toename kwadratisch is. Als we al in staat zouden zijn om alle virussen te tellen, dan zou deze telling maar heel kort stand houden, misschien één dag. 3. Vaak zijn er van één virus veel varianten in omloop en vaak is er onenigheid binnen de sector over de definitie van ‘variant’. 4. Er zijn geen vaste afspraken gemaakt over de benaming van virussen, waardoor het mogelijk is dat hetzelfde virus meerdere namen heeft. Hiermee komen we bij de vraag hoe virussen aan hun namen komen. Soms plaatst de virusmaker tekst in het virus die voor hem-/haarzelf de naam van het virus aangeeft. (Bijvoorbeeld: Hier is het xxx-virus, groeten van yyy.) Maar meestal wordt de naam gegeven door de persoon die het virus ontdekt. Er worden verschillende methoden gebruikt, zoals: de vermoedelijke plaats van afkomst of de plaats waar het virus is ontdekt (bijvoorbeeld het Lehigh-virus), het aantal bytes dat het virus aan bestanden toevoegt, wat het virus doet, enzovoort. Met deze waarschuwingen in het achterhoofd hebben we de Norman Virus Control-producten ontwikkeld die op het moment van dit schrijven (december 2002) meer dan 56.000 virusvarianten opsporen.

...en maakt het iets uit? Voor de gewone gebruiker is het precieze aantal virussen van geen belang, zolang uw antivirussoftware uw computer maar virusvrij houdt. Het aantal bekende virussen is geen goede afspiegeling van de ontwikkelingen in de wereld van de virusmakers. Cijfers zijn soms nuttig omdat ze bijvoorbeeld de ontwikkeling van computervirussen zichtbaar maken. Het computervirusprobleem kan het beste worden beoordeeld door te kijken naar de aard van de afzonderlijke virussen en wat ze doen, in plaats van aantallen te tellen. Dit is misschien de boodschap geweest Copyright © 1990-2003 Norman


van de virusmaker(s) die ongeveer 14.000 gloednieuwe virussen stuurde(n) naar verkopers van antivirussoftware over de hele wereld (najaar 1998). Al deze virussen waren automatisch gegenereerd en waren dus in technisch opzicht niet subliem. Feitelijk konden de meeste van deze virussen worden opgespoord met heuristische methoden. Niettemin verdubbelde in één klap het aantal virussen dat door onze virusdefinitiebestanden werd opgespoord, terwijl de algehele virusbedreiging onveranderd was gebleven.

Virussen in het wild Hoewel virusonderzoekers duizenden virussen kennen, hoeft u niet voor alle virussen bang te zijn. De meeste virussen bestaan alleen in onderzoekslaboratoria en de overige komen we tegenwoordig overal ter wereld op computers thuis en op het werk tegen. Virusonderzoekers delen virussen daarom in twee categorieën in: ‘in the wild’ (in het wild) en ‘in the zoo’ (in de dierentuin), soms respectievelijk ‘ITW’ en ‘ITZ’ genoemd. Virussen ‘in het wild’ zijn virussen die buiten onderzoekslaboratoria zijn aangetroffen. Deze virussen vertegenwoordigen ongeveer 10% van de virussen die we kennen. Het is precies dit type virus dat een bedreiging vormt voor u en uw organisatie. Raadpleeg uw dichtstbijzijnde Norman-dealer als u hier meer over wilt weten. Ondernemingen en privé-gebruikers moeten zichzelf beschermen met regelmatige updates van hun antivirustools. Dit betekent dat de antivirusindustrie voortdurend definitiebestanden moet aanpassen en verspreiden. Een definitiebestand bevat de virushandtekeningen (vingerafdrukken van bekende virussen) en wordt gebruikt door de scan-engine om computervirussen op te sporen en te verwijderen. Een virusscanner is zo effectief als de meest recente update. Het verkrijgen van regelmatige updates van virushandtekeningen is dus van essentieel belang voor een veilige computeromgeving. Norman Virus Control 5 of hoger maakt het u gemakkelijk, doordat updates van Norman automatisch worden gedownload en geïnstalleerd.


De ontwikkeling van het virusprobleem z 31

De ontwikkeling van het virusprobleem In het begin konden computers niet goed met elkaar worden verbonden, waardoor virussen zich maar langzaam konden verspreiden. Bestanden werden doorgegeven via een BBS (Bulletin Board System) of diskettes. Hierdoor bleef de verspreiding van geïnfecteerde bestanden en bootsectoren geografisch beperkt. Maar met de tijd zijn er telkens meer computers met elkaar gaan communiceren, voornamelijk door het toenemend gebruik van computers op de werkplek. Zo is ook de verspreiding van computervirussen fors toegenomen. Eerst was er het Local Area Network (LAN), toen kwam het Wide Area Network (WAN), en nu hebben we internet. Daarnaast heeft het intensieve gebruik van e-mail er mede voor gezorgd dat het aantal macrovirussen enorm is gestegen. We leven momenteel in een mondiale samenleving waarin wereldwijde technologie het voortouw heeft genomen en wereldwijd handel wordt gedreven via diverse communicatiekanalen. Computers zijn volledig geïntegreerd in deze technologie, waardoor de informatie in deze computers (evenals de kwaadaardige code die ze onbedoeld bevatten) ook wereldwijd wordt verspreid. Daardoor heeft uw computer nu veel sneller een virus dan een paar jaar geleden. De soorten virussen die nu veel voorkomen, verschillen echter van de soorten die twee jaar geleden veel voorkwamen.



Steve White, Jeff Kephart en David Chess van het IBM Thomas J. Watson Research Center hebben de ontwikkeling van virussen gevolgd en onder andere geconcludeerd dat de veelvuldige verspreiding van bepaalde soorten virussen gedeeltelijk is bepaald door veranderingen in besturingssystemen.1 In de volgende delen bespreken wij hoe virussen werken in de verschillende besturingssystemen.

1.

Steve R White, Jeffrey O Kephart en David M Chess, ‘The Changing Ecology of Computer Viruses’ Proceedings of the Fifth International Virus Bulletin Conference, Brighton, UK, 1996.


Virussen op verschillende besturingssystemen z 33

Virussen op verschillende besturingssystemen De eerste computervirussen werden al rond 1981 gemaakt, toen een programma met de naam ‘Elk Cloner’ werd gemaakt voor de Apple IIe. Het kwam een paar BBS’en binnen, maar verspreidde zich nooit echt en werd nooit een ‘virus’ genoemd. Dr. Fred Cohen gebruikte die term in 1983 voor het eerst tijdens een bespreking van concepten en experimenten met programma’s die zichzelf kopiëren (http://all.net/books/virus/index.html). Deze experimenten werden uitgevoerd in gecontroleerde mainframeomgevingen. Hoewel de eerste virussen die opdoken waren gemaakt voor besturingssystemen als Apple II en VAX, leidde dit niet tot grote problemen. Totdat er virussen voor MS-DOS werden gemaakt. MS-DOS was het eerste besturingssysteem dat bij de gewone mensen thuis werd gebruikt, waardoor de verspreiding van virussen voor dit besturingssysteem in potentie veel groter was dan voor andere platformen. Windows had enige jaren nodig om stabiel en populair te worden, en dus gedijden de virussen in MS-DOS. Feitelijk waren alle bestandsvirussen nog jaren na de komst van Windows op DOS gebaseerd. De eerste Windows-generaties (tot Windows 3.11 voor Workgroups) hadden eigenlijk maar weinig last van virussen. Maar de komst van Microsoft Word voor dit platform en de macrovirussen die daarmee gepaard gingen, gaven ons een voorproefje van wat later nog ging komen. OS/2 verscheen kort na de eerste virussen, maar OS/2 werd nooit zo’n wijdverbreid besturingssysteem als DOS. Daardoor gebruikten de



meeste virusschrijvers waarschijnlijk zelf ook geen OS/2. Ook als er wel regelmatig OS/2-virussen waren gemaakt, zouden deze niet zo wijdverspreid zijn als MS-DOS-virussen. Er is tegenwoordig dan ook maar een handvol OS/2-virussen bekend. Tegenwoordig is DOS achterhaald, hoewel Windows-computers nog steeds zijn uitgerust met DOS-achtige functies. Maar wat virussen betreft is DOS in alle opzichten zo dood als een pier. De huidige besturingssystemen zijn 32-bits Windows-varianten (Windows 95/98/ME, Windows NT/2000/XP) en de verschillende UNIX-varianten. Laten we eens kijken hoe virussen zich gedragen op MS-DOS, Windows, OS/2, Windows 95/98, Windows NT/2000 en UNIX.

MS-DOS Aangezien de macrovirussen die we tot nu toe hebben gezien, gegevensbestanden infecteren die worden gegenereerd vanuit en gelezen door Windows-toepassingen, vormen macrovirussen geen probleem op pure MS-DOS-computers. Traditionele bestandsvirussen en bootvirussen zijn succesvol op MSDOS-computers, omdat MS-DOS geen inherente beveiligingsfuncties heeft. Virussen kunnen daardoor vrij het geheugen en programmabestanden infecteren, zoals beschreven in ‘Binair bestandsvirus’ op pagina 10.

Windows Toen Windows werd geïntroduceerd, moest op een andere manier met computers worden gewerkt. De afbeeldingen op het scherm waren kleurrijker, het navigeren door programma’s was intuïtiever en de mogelijkheid om verschillende taken te kunnen uitvoeren zonder een toepassing te hoeven afsluiten was zeer aantrekkelijk. Aangezien Windows 3.x ‘boven op’ DOS draaide, konden bestandsvirussen computers infecteren waarop Windows draaide, maar de levensduur van deze virussen werd sterk bekort. In het algemeen kunnen bestandsvirussen uitvoerbare Windows-bestanden infecteren,



maar de uitvoerbare bestanden werken dan meestal niet meer goed. Ongeduldige gebruikers zouden de uitvoerbare bestanden ofwel hebben vervangen ofwel Windows opnieuw hebben geïnstalleerd (als ze gefrustreerd genoeg waren). Hiermee werd de traditionele bestandsvirussen meteen de das om gedaan. Bovendien is de structuur van de uitvoerbare bestanden in Windows 3.x gecompliceerder dan in DOS en zelfs Windows 9x/NT. Het geheugen is in sommige opzichten beter beveiligd. Virussen zijn onder Windows 3.x dus nooit zo’n groot gevaar geworden als ze onder nieuwere Windows-versies blijken te zijn. Macrovirussen en bootvirussen hebben echter niet hetzelfde lot ondergaan. Tot op heden zijn macrovirussen altijd geschreven voor Windows-toepassingen en de aanwezigheid van Windows is dan ook vereist. Door de combinatie van de algemene acceptatie van Windows en het feit dat macrovirussen eerder gegevensbestanden dan programmabestanden infecteren (zie ‘Macrovirus’ op pagina 14) zijn zes van de tien meest voorkomende virussen ter wereld een macrovirus. Het feitelijke bootproces op een Windows-computer is niet anders dan op een pure DOS-computer. Bootvirussen werden daardoor niet gehinderd door Windows en ze blijven zich verspreiden door infectie van vaste schijven, waarbij ze geheugenresident worden en vervolgens diskettes infecteren.

OS/2 Zoals hierboven al vermeld wordt OS/2 niet zo veel gebruikt als Windows en andere besturingsprogramma’s van Microsoft. Door de manier waarop OS/2 werd ontworpen is het echter nog wel gevoelig voor virussen die niet specifiek voor OS/2 werden gemaakt. In tegenstelling tot Windows draait OS/2 niet ‘boven op’ MS-DOS. OS/2 is een krachtig 32-bits besturingssysteem dat DOS-toepassingen, Windows-toepassingen en de eigen OS/2-toepassingen ondersteunt. Voor het uitvoeren van DOS-toepassingen is OS/2 uitgerust met VDM’s (virtual DOS machines). Zoals de naam al verondersteld, zien VDM’s er voor DOS-programma’s uit als DOS. Hierdoor kan een geïnfecteerd DOS-programma andere DOS-programmabestanden infecteren binnen deze VDM, maar geen DOS-programma’s in andere VDM’s. Het nieuwe geïnfecteerde DOS-programmabestand kan Copyright © 1990-2003 Norman


vervolgens andere programmabestanden gaan infecteren die in de toekomst worden gestart via een VDM. En zo gaat het infecteren door. Als Windows-toepassingen met daarin een macroprogrammeertaal worden uitgevoerd op een OS/2-computer, wordt deze OS/2-computer even gevoelig voor macrovirussen als een Windows-computer. Aangezien het bootproces op IBM-compatibele computers altijd hetzelfde is voordat het besturingssysteem wordt geladen, geldt ook hier weer dat bootvirussen OS/2-computers kunnen infecteren. OS/2 gaat anders met diskettes om dan DOS en Windows. Daardoor is de kans dat het bootvirus zich verspreidt nadat het de vaste schijf heeft geïnfecteerd, kleiner op een OS/2-computer dan op een Windows- of pure DOS-computer. Het risico heeft eerder te maken met dat wat het bootvirus op de vaste schijf doet. Als het bootvirus werd ontworpen met een bepaalde destructieve werking (de ‘payload’), dan kunnen we verwachten dat die payload wordt geleverd, ongeacht of er diskettes konden worden geïnfecteerd. OS/2 ondersteunt twee bestandssystemen: FAT (File Allocation Table) en HPFS (High Performance File System). Waarschijnlijk gebruikt u een van deze twee. HPFS is geavanceerder en slaat informatie op verschillende plaatsen op en dus kunt u op een HPFS-systeem ernstige problemen verwachten van een bootvirus dat alleen FAT verwachtte tegen te komen.

Windows 95/98/ME Windows 95 werd geïntroduceerd op het moment dat internet gemeengoed werd. Tegenwoordig is het World Wide Web beschikbaar voor iedereen en niet alleen voor de doorgewinterde computergebruiker. Hoewel de meerderheid van de pc-gebruikers blij is met de komst van internet, e-mail en chatprogramma’s, vormen deze nieuwe ontwikkelingen anderzijds een enorme kans voor virusmakers, ook wel internetterroristen genoemd. Door het wijdverbreide gebruik van deze faciliteiten is de verspreiding van virussen onder Windows 9x/ME vermenigvuldigd. In tegenstelling tot Windows en DOS is Windows 95/98 op de markt gebracht met ingebouwde beveiligingsfuncties. Helaas zijn deze



functies niet krachtig genoeg om Windows 95/98 te beveiligen tegen virussen. Het eerste virus dat speciaal was geschreven voor Windows 95 (het Boza-virus) dook eind 1995 op. Verder heeft de werkgroepomgeving van Windows 95 geen beveiliging op bestandsniveau, wat kan leiden tot een toename van de verspreiding van virussen. Na het wat primitieve Boza-virus is het aantal virussen voor Windows 95/98 en Windows NT/2000 toegenomen, evenals de complexiteit ervan. Net als in de DOS-omgeving waren de eerste virussen amateuristisch. Vervolgens werden de virussen in technisch opzicht complexer doordat de virusschrijvers meer ervaring kregen. Sommige virussen onder Windows 95/98 en Windows NT/2000 verspreiden zich door actief gebruik van het netwerkprotocol. Met het CIH-virus werd in 1998 een tijdelijk ‘hoogtepunt’ in complexiteit en destructieve capaciteit bereikt (zie pagina 20). Latere virussen zijn steeds sluwer geworden. Windows 95/98 heeft veel kenmerken gemeen met OS/2 wat de systeemarchitectuur en de interactie met virussen betreft: Net als OS/2 is Windows 95/98 een 32-bits besturingssysteem dat DOStoepassingen, Windows-toepassingen en de eigen Windows 95/98toepassingen ondersteunt. Vergelijkbaar met de VDM’s van OS/2 werkt Windows 95/98 met VM’s (virtual machines). Een System Virtual Machine met afzonderlijke adresruimten voor Win32-toepassingen en een gedeelde adresruimte voor alle Win16-toepassingen en afzonderlijke ‘virtual machines’ voor individuele DOS-toepassingen. DOS-bestandsvirussen kunnen zich gemakkelijk verspreiden op een Windows 95/98-computer, doordat de enige beperking onder Windows 95/98 is dat de virussen niet direct iets naar de vaste schijf kunnen schrijven. Elke DOS-VM neemt de kenmerken van het systeem over vanaf het punt waarop de computer werd opgestart. Aangezien Windows 95/98 eerst wordt opgestart door uitvoering van dezelfde programma’s als een pure DOS-computer, is het mogelijk dat een geïnfecteerd programma dat wordt uitgevoerd tijdens het opstartproces vervolgens andere programmabestanden binnen deze VM gaat infecteren.



Bovendien wordt dat geïnfecteerde programma, wanneer het ontstaan is tijdens het opstartproces, actief in alle VM’s die in de toekomst worden opgestart. Hoewel programmabestanden van de ene VM geen programmabestanden in een andere VM kunnen infecteren, is het mogelijk dat een geïnfecteerd programmabestand later wordt geladen in een afzonderlijke VM, waardoor de infectie weer doorgaat. De macrovirussen die tot nu toe zijn geschreven, richten hun pijlen op gegevensbestanden die worden gegenereerd en gelezen door Win16- en Win32-toepassingen die vaak worden uitgevoerd onder Windows 95/98. Daardoor komen virussen veelvuldig voor onder Windows 95/98. Aangezien het bootproces bij een Windows 95/98-computer hetzelfde is als bij een pure DOS- of Windows-computer (tot op zekere hoogte), kunnen bootvirussen de vaste schijf van Windows 95/98-computers infecteren. Wanneer Windows 95/98 wordt geladen, worden bootvirussen vaak uitgeschakeld waardoor ze zich niet kunnen verspreiden. Anderzijds kan een bootvirus met kwade intenties zijn ding doen zonder dat het virus zichzelf van tevoren hoeft te kopiëren.

Windows NT/2000/XP Zoals besproken in de paragrafen over OS/2 en Windows 95/98/ME, ondersteunt Windows NT DOS-toepassingen, Windows-toepassingen en de eigen Windows NT-toepassingen. Evenals Windows 95/98 is Windows NT neerwaarts compatibel en tot op zekere hoogte ook compatibel met DOS en Windows. Ondanks het feit dat de beveiligingsfuncties van NT krachtiger zijn dan die van Windows 95/98 kunnen bestandsvirussen onder Windows NT de computer nog steeds infecteren en zich verspreiden. DOS-toepassingen worden uitgevoerd in afzonderlijke VDM’s (virtual DOS machines) en bestandsvirussen kunnen in zo’n VDM gewoon functioneren. Sommige DOSbestandsvirussen werken onder NT mogelijk niet zoals bedoeld, maar de beveiliging van NT kan weinig doen om te voorkomen dat de bestandsvirussen de computer infecteren. NT heeft de functie System File Checker (SFC), maar deze kan worden omzeild. Evenals Windows 95/98 ondersteunt Windows NT toepassingen die macroprogrammeertalen bevatten, waardoor NT even kwetsbaar voor macrovirussen wordt als oude Windows-computers. Copyright © 1990-2003 Norman


Aangezien Windows NT-computers op dezelfde manier booten als DOS-machines (tot het punt waarop NT het overneemt), kunnen bootvirussen de vaste schijf van NT-computers infecteren. Wanneer deze bootvirussen echter proberen geheugenresident te worden, worden ze gestopt door NT waardoor ze geen diskettes kunnen infecteren. Het resultaat is dat het infecteren wordt gestopt, maar de gebruiker moet nog wel rekening houden met neveneffecten van het bootvirus op het systeem, zoals de destructieve payload of beschadigingen van het bootgebied van NT waardoor NT niet meer kan worden geladen. Een aantal virussen is speciaal gemaakt voor Windows NT. Het W32/Funlove- en W32/Bolzano-virus ondermijnen de NT-beveiliging en de onlangs ontdekte virussen van de NT/CodeRed-serie gebruiken gaten in de beveiliging van software die uitsluitend voor Windows NT bedoeld is.



Oplossingen voor het virusprobleem Procedures vastleggen Tenzij organisaties en afzonderlijke gebruikers interne procedures opstellen voor de precieze verwerking van hun gegevens is de kans dat een computeromgeving virusvrij blijft niet erg groot. Wij hebben gezien dat wanneer op managementniveau strategieën en procedures worden opgezet voor de gegevens, de organisatie minder wordt blootgesteld aan virusinfecties. Gaat er toch iets mis, dan wordt het dankzij de procedures eenvoudiger om de geïnfecteerde bestanden te vernietigen voordat ze zich verspreiden.

Antivirusoplossingen Bij antivirusoplossingen denken de meeste mensen aan scanners. Scanners zijn het soort oplossing dat het eenvoudigst is te verkrijgen, maar het is niet de enige. Het beste kunnen we antivirusoplossingen onderscheiden op basis van: • wat nodig is om het virus op te sporen - algemene methoden - specifieke methoden en • wanneer het virus wordt ontdekt - voorafgaand aan de infectiepoging - na de infectie Een virus kan worden opgespoord met behulp van algemene of specifieke methoden. Algemene methoden zoeken naar virusachtig gedrag in plaats van specifieke virussen. Hierdoor kunnen nieuwe


Oplossingen voor het virusprobleem z 41

virussen worden opgespoord en zijn regelmatige updates van de gebruikte tool niet noodzakelijk. Doordat algemene methoden zoeken naar gedrag in plaats van specifieke virussen, wordt de naam van het virus gewoonlijk niet gegeven. In plaats daarvan wordt de gebruiker eenvoudig gewaarschuwd dat er een virus aanwezig is. Sommige gebruikers gaan deze methode uit de weg omdat het vaak vals alarm geeft. Voorbeelden van algemene opsporingsmethoden zijn: • controleberekeningen en integriteitscontroles • heuristische methoden • valstrikken • gedragsblokkering Specifieke methoden hebben vooraf informatie nodig over het virus. In dit geval is de tool in staat om het aanwezige virus zowel op te sporen als te identificeren. Hierdoor zijn regelmatige updates van de tool noodzakelijk. De meeste gebruikers willen weten waar ze mee te maken hebben wanneer een virus wordt gevonden. Daarvoor moet natuurlijk de precieze aard van het beestje worden vastgesteld. Om deze reden geven veel gebruikers de voorkeur aan deze methode, maar zij vinden het uiteindelijk minder prettig dat de tool zo vaak moet worden bijgewerkt. Voorbeelden van specifieke opsporingsmethoden zijn: • on-demand scans en geplande scans • on-access (real-time) scans Merk op dat de bovenstaande methoden niet altijd specifiek zijn. Heuristische methoden worden meestal geïmplementeerd als onderdeel van on-demand en on-access scans. Even belangrijk is het om te weten wanneer het virus wordt opgespoord. Alle gebruikers zijn het er waarschijnlijk over eens dat de ideale situatie zou zijn dat virussen niet meer konden infecteren. De hierna meest ideale situatie zou zijn dat gebieden die al zijn geïnfecteerd, worden geïdentificeerd.



Laten we eens kijken wat dit concreet betekent voor de hiervoor genoemde methoden: Methode Controleberekeningen en integriteitscontroles

Heuristische methoden

Valstrikken

Gedragsblokkering

On-demand scans en geplande scans On-access scans

Bespreking van opsporingsmethoden Bij beide methoden wordt op een bepaalde plek informatie opgeslagen over (hopelijk) ongeïnfecteerde bestanden. Periodiek worden controles uitgevoerd ten opzichte van de huidige status van de bestanden en de opgeslagen informatie. Wanneer een wijziging wordt vastgesteld, wordt een waarschuwing gegeven. Deze methode biedt opsporing achteraf. Dit is een methode waarbij bestanden en bootgebieden in algemene zin worden geanalyseerd om te bepalen of er virusachtige code voorkomt. Bij heuristische methoden wordt het virus achteraf opgespoord. Deze methode ligt als het ware op de loer voor virussen, waarbij bepaalde bestanden mogen worden geïnfecteerd wanneer er een virus aanwezig is. Valstrikken zien het virus op het moment dat ze bestanden infecteren en geven dan een waarschuwing. Dit is een methode voor het analyseren van gedrag van alle berekeningshandelingen om te bepalen of de som van de delen een virusachtige handeling geeft. In dat geval wordt de handeling afgebroken voordat de infectie kan plaatsvinden. Gedragsblokkering is een methode van opsporing van tevoren. Dit is een methode voor het scannen van specifieke virussen op bepaalde momenten. Dit is altijd een methode van opsporing achteraf. Dit is ook een scanmethode, maar het opsporingsproces vindt plaats tijdens andere computerbewerkingen, zoals het kopiëren van een bestand. Hierdoor worden gebruikers op de hoogte gesteld van bestaande virussen voordat deze worden geactiveerd.


Oplossingen voor het virusprobleem z 43

Het verwijderen van virussen en andere malware is een gecompliceerd verhaal. Sommige mensen hebben een beperkte definitie van virusverwijdering: wanneer je het bestand verwijdert of de vaste schijf formatteert, is het virus verdwenen. Merk echter op dat dergelijke drastische maatregelen zelden noodzakelijk zijn en dat het veel gezonder is om verwijdering te definiëren als het volledig weghalen van kwaadaardige code met achterlating van een bruikbaar en schoon systeem. Sommige hiervoor genoemde opsporingsmethoden kunnen deze verwijdering (volgens de ‘gezonde’ definitie) ook uitvoeren: Methode Controleberekeningen en integriteitscontroles Heuristische methoden Valstrikken Gedragsblokkering On-demand scans en geplande scans On-access scans

Bespreking van verwijderingsmethoden Kan virussen verwijderen. Kan soms booten macrovirussen verwijderen. Kan virussen niet verwijderen. Kan virussen uit het geheugen en bootvirussen van diskettes verwijderen. Kan virussen verwijderen. Kan virussen verwijderen.



SandBox Automatische opsporing, onmiddellijke verwijdering en distributie van bijgewerkte virusdefinitiebestanden is een droom van verkopers van antivirussoftware over de hele wereld. Door de jaren heen hebben antivirusbedrijven aanzienlijke investeringen gedaan om met een oplossing te komen die kan voldoen aan deze ambitieuze doelstelling. Norman heeft een oplossing ontwikkeld waarmee dit doel wordt bereikt. De oplossing heet ‘Simulated Computer’ (SandBox). Hiermee wordt het best de techniek omschreven die wordt gebruikt om te controleren of een bestand is geïnfecteerd door een onbekend virus. De methode staat niet-vertrouwde, mogelijke viruscode toe op de computer te ‘spelen’. Niet op de werkelijke computer, maar op een gesimuleerde computer. Eenvoudig gezegd, werkt SandBox als volgt: Een bestand dat NVC verdacht vindt, wordt in de SandBox gegooid. Als het bestand wordt uitgevoerd, wordt elk virusgedrag nauwgezet gecontroleerd en vastgelegd. Elk stuk code – vijandig of niet – dat wordt onderworpen aan het onderzoek door SandBox ‘denkt’ dat het op een werkelijke computer wordt uitgevoerd. Als het iets kwaadaardigs is (malware) dan wordt dit op heterdaad betrapt en kan onmiddellijk tegengif worden voorbereid. Er wordt op geen enkel niveau schade toegebracht aan werkelijke bestanden. Het ontdekken van mogelijke virusprogramma’s is echter wel degelijk realistisch. Tijdens de Virus Bulletin Conference in 2001 toonde Norman een volledig functioneel prototype van een scan-engine met SandBoxfunctionaliteit. Belangrijk: SandBox werd in het verleden vaak geassocieerd met vals alarm. Dit prototype heeft deze associatie volledig weggenomen: de analyse van SandBox bleek zeer nauwkeurig te zijn.


SandBox z 45

SandBox-technologie In de paragrafen hieronder gaan we dieper in op het SandBox-concept en de implementatie ervan. Een grote uitdaging is bijvoorbeeld de nieuwe technologie te integreren in het product zonder dat het scanproces trager wordt.

SandBox uitvoeren met emulatie Een computervirus is een computerprogramma dat wordt gedefinieerd door het getoonde gedrag. Het brengt code/gegevens over naar andere computerbestanden. Als deze andere computerbestanden op hun beurt actief worden, wordt de viruscode op een of andere manier geactiveerd en probeert deze andere computerbestanden te infecteren. Dit proces wordt replicatie genoemd. Een computerprogramma wordt pas ‘viraal’ genoemd als het deze taak recursief kan uitvoeren. Simulated Computer (SandBox) van Norman is een virtuele wereld waar alles wordt gesimuleerd. Deze wordt aangestuurd door een emulator en samen zorgen zij ervoor dat binaire uitvoerbare bestanden die mogelijk zijn geïnfecteerd met een virus worden ‘uitgevoerd’ zoals op een werkelijk systeem. Als het uitvoeren wordt gestopt, wordt de SandBox geanalyseerd op wijzigingen. De kans op een vals alarm is nagenoeg 0% omdat we uitgaan van een replicatiesysteem in twee stappen. Het kan zijn dat het in de eerste stap gaat om een legaal proces, bijvoorbeeld een patch. In de tweede stap wordt dan geverifieerd of er sprake is van verdachte processen zoals replicatie en dergelijke. Door de verificatie in de tweede stap wordt het aantal ‘false positives’ bijna tot nul gereduceerd. Virussen kunnen echter ontdekken dat zij in een gesimuleerde wereld worden uitgevoerd. Ook al proberen we de meeste aspecten te ondervangen, er zal altijd een API of service zijn waarin niet is voorzien en waarop virussen kunnen testen. Er is slechts een deelverzameling van DOS/Windows geïmplementeerd – precies voldoende om virussen en hun hosts uit te voeren. Veel virussen zijn geen stabiele programma’s. Ze bevatten bugs en veroorzaken vaak het vastlopen van de werkelijke CPU. Dit is ook een probleem voor de simulatie. Wanneer is sprake van vastlopen en wanneer van een zeer traag, groot virus? Copyright © 1990-2003 Norman


Aangezien niets op het systeem wordt uitgevoerd, behalve een emulator, is het veilig. Al het andere is virtueel. Er wordt niets opgeslagen op de vaste schijf, ook niet als de code die wordt getest dit probeert. Omdat het opsporen van virussen met SandBox ook het ‘opstarten’ van de ‘computer’ omvat, zou een volledige installatie van bijvoorbeeld Windows 98 SE te traag zijn en onpraktisch. De omgeving van Norman is gesimuleerd en aangepast – deze is namelijk door ons geschreven. Het is een zorgvuldige en nauwgezette taak om de besturingssystemen zo te ontwikkelen en te testen dat deze op een bevredigend niveau overeenkomen met de werkelijke systemen. U kunt een willekeurig aangepast besturingssysteem ‘toepassen’ om virusgedrag van een stuk code te onderzoeken. We hebben dus de gehele computer virtueel gemaakt. Een nieuwe BIOS, CPU-functies, een fix, enzovoort kunnen virtueel worden toegepast en meerdere werelden kunnen achtereenvolgens worden gesimuleerd. Alles wordt geregeld vanuit het definitiebestand. Dit wordt binnen de scan-engine uitgevoerd op alle computers/ besturingssystemen die wij al ondersteunen en detecteert dezelfde virussen op de verschillende platforms, zelfs on-access als u dat wenst.

SandBox uitvoeren met een virtuele machine Het is ook mogelijk een SandBox te bouwen door een VM (virtuele machine) te maken. Het idee is om alle uitgangen te blokkeren, zodat het uitvoerbaar bestand dat wordt onderzocht niet kan ontsnappen. We vinden deze oplossing echter niet voldoende veilig. Er is altijd een ‘andere’ methode van de processor van de pc (een vreemde interrupt, uitzondering, fout, enzovoort) waardoor kwaadaardige code uit een VM kan ontsnappen en zich kan verspreiden naar uw werkelijke systeem. We hebben het al eerder gezien met andere pogingen om te beschermen tegen malware (bijvoorbeeld INT 1-opsporing). Een VM is te specifiek voor de omgeving die wordt uitgevoerd en kan geen deel uitmaken van een algemene scan-engine. Een VM maakt geen virtuele omgeving van de computer waarop u programma’s uitvoert. De hardware, CPU en BIOS zijn gelijk aan diegene die al op het systeem worden uitgevoerd. Met een VM kunnen geen verdachte bestanden


SandBox z 47

worden getest voor andere platforms, zoals Linux. Uw systeem is daarom niet noodzakelijkerwijs schoon – u gebruikt wat u hebt. Uitvoeren binnen een VM is echter wel sneller. Alles gebeurt in realtime. De omgeving is er al en hoeft dus niet te worden ‘gemaakt’. U gebruikt een kopie van de computer zoals die is, wat ontwikkeling bespaart.

Verwachtingen van de SandBox-technologie Na de doorbraak met SandBox verwachten we de huidige versie te verfijnen en daarnaast de onderzoekservaring te gebruiken als een springplank naar verwante functionaliteit binnen antivirustechnologie. Verder zullen configuratieopties in NVC voor SandBox-gerelateerde taken worden geïmplementeerd en kunnen andere geautomatiseerde procedures volgen in het spoor van deze innovatie. De virusmakers worden absoluut steeds geraffineerder, maar hun tegenstanders in de antivirusindustrie boeken ook aanzienlijke vooruitgang.



Gegevens uit de antivirussector Viruscijfers “99,67% van de onderzochte bedrijven heeft met ten minste één virus te maken gehad tijdens de onderzoeksperiode. 51% verklaarde ten minste één ‘virusramp’ te hebben gehad tijdens de 12 maanden voorafgaand aan het onderzoek.” z

Bron: 2000 Computer Virus Prevalence Survey, IICSA.net, 23 oktober 2000

Algemene cijfers “Vandaag de dag wordt 45% van alle gegevens en ideeën van een bedrijf opgeslagen in het e-mailsysteem van het bedrijf.” z

Bron: SC Magazine, augustus 2001

Financiële cijfers “Inclusief gemaakte kosten en gederfde inkomsten liggen de werkelijke kosten van virusrampen tussen de 100.000 en 1 miljoen dollar per bedrijf.” z

Bron: Computer Crime & Security Survey, Computer Security Institute, 12 maart 2001

Bedreigingen voor de veiligheid •

•

Reuters verklaarde dat alleen al in de eerste zes maanden van 2000 er meer dan 12 miljard dollar schade was veroorzaakt door computervirussen. Volgens ‘Tippet’s Law of Malicious Code’ verdubbelt het virusprobleem zich elke veertien maanden.


Norman Virus Control z 49

Norman Virus Control NVC 5 – een nieuwe benadering van viruscontrole Sinds 1989 houdt Norman ASA zich bezig met de ontwikkeling van wat een van de grootste antivirussoftwarepakketten ter wereld is geworden. De huidige versie, NVC 5, is het resultaat van een ontwikkelingscyclus die in 1999 is begonnen en een jaar later werd afgerond. Oorspronkelijk had de gebruiker altijd een actieve taak bij viruscontrole, zoals het ‘scannen’ van bestanden en bootsectoren en het opsporen en verwijderen van kwaadaardige code. Pas de laatste drie of vier jaar is er een verandering waar te nemen richting on-access opsporing, bijwerking via internet en gecentraliseerd beheer van viruscontrole. NVC 5 maakt gebruik van de mogelijkheden van het besturingssysteem voor volledige integratie. Op Windows NT/2000/XP en OS/2 is bijvoorbeeld een filterstuurprogramma voor het bestandssysteem geïnstalleerd. Een speciale VxD biedt dezelfde functies voor Win95/98/ME.



NVC 5 Het product werd helemaal opnieuw ontwikkeld, waarbij de nadruk lag op eenvoud, betrouwbaarheid en gebruiksgemak. Er werden enkele hoofddoelstellingen geformuleerd, waaronder: • • • •

Onzichtbaarheid Schaalbaarheid Betrouwbaarheid Automatische ondersteuning en onderhoud

Het uiteindelijke ontwerp is het resultaat van een filosofie die in veel opzichten afwijkt van de gewone antivirusproducten.


Norman Virus Control z 51

Certificering Norman Virus Control 5 is gecertificeerd door West Coast Labs met het certificaat ‘Check Mark’ niveau 1 en tevens gecertificeerd door ICSA labs voor on-access en on-demand antivirusproducten.

Onderscheidingen De producten van Norman Virus Control behoren tot de meest onderscheiden producten in de geschiedenis van Virus Bulletin Magazine, met een totaal van 21 Virus Bulletin 100% Awards van de 27 uitgereikte onderscheidingen sinds de start in januari 1998. De ‘100% Award’ betekent dat het product 100% van de virussen opspoort die ‘in het wild’ bekend zijn op het moment van testen.



Viruswaarschuwingen Vlak na de ramp met het Melissa-virus (Pasen 1999) introduceerde Norman een speciaal programma om klanten vroegtijdig te waarschuwen en te ondersteunen bij vergelijkbare situaties in de toekomst. Norman Virus Alert biedt abonnees een speciale service in situaties waarin sprake is van een viruswaarschuwing. Raadpleeg onze website www.norman.no wanneer u meer wilt weten over dit programma en hoe u een abonnement kunt nemen.


Index

Concept.A 16 Controleberekeningen 42

—D— —Symbolen— /S 19

—Numeriek— 32-bits 35

—A— Appending-virus 12

—B— Basic Input/Output System 18 BAT-bestanden in DOS 14 BBS 31 Bestandsvirus 10 Besturingssystemen, virussen op 33 Beveiliging, informatie 1 BIOS 18 Bomb logic 7 time 7 Bootdiskette 19 Bootproces 18 Bootvirus 14 Bootvirus, hoe het infecteert 20 Boza 37 Bug 7 Bulletin Board System 31

—C— Chatprogramma’s 36 Chess, David 32 CIH 20, 21 CodeRed 22, 28 Companion 10

Diskette, bootable 19 DOS 19

—E— Excel-virus 17

—F— FAT 36 File Allocation Table 36

—G— Gedragsblokkering 42 Gesimuleerde computer 44

—H— Heuristische methoden 42 High Performance File System 36 Hoax 7 Hoeveel virussen 29 HPFS 36

—I— In the wild 30 In the zoo 30 Informatiebeveiliging 1 Inleiding 1 Inserting-virus 10, 12 Insluiten 16 Integriteitscontroles 42 Internet 31 IRC-scripts 14 ITW 30 ITZ 30

54 z Index

—J— JavaScript 13 JScript 13

—K— Kephart, Jeff 32 Koppelen 16

—L— LAN 31 Lehigh-virus 29 Link-virus 10, 11 Linux 19, 46 Local Area Network 31 Logic bomb 7 LoveLetter 23

—M— Macroprogrammeertalen 15 WordBasic 15 Macrovirus 14 Masterbootsector 18, 19 MBS 18 Melissa 22 MS-DOS 34

—N— Nimda 24 Non system-disk or disk error 19

—O— Office 2000 18 Office XP 18 OLE 16 On-access scans 42 On-demand scans 42 Ontwikkeling van het virusprobleem 31


Oplossingen voor het virusprobleem 40 OS/2 19, 35 Overwriting-virus 10, 11

—P— Pc 1 POST 18 Power On Self Test 18 Prepending-virus 10, 12

—R— RAM 19 Random Access Memory 19

—S— SandBox 44 SBS 18, 20 Scripttaal BAT-bestanden in DOS 14 Corel Draw 14 InstallShield 14 IRC-script 14 JavaScript 13 JScript 13 SuperLogo 14 UNIX-shell-script 14 Visual Basic 13 Visual Foxpro 14 Sircam 25 Sprong 12 SYS-opdracht 19 Systeembootsector 18, 19, 20 Systeemoptie 19

—T— Time bomb 7 Trojan 7 Trojan horse 5

Index z 55

—U— UNIX-shell-script 14

—V— Valstrikken 42 Variant 29 VBA 15 VBA3 17 VBA5 17 VBA6 18 VDM 35 Viraal 45 Virtual DOS machine 35 Virtuele machine 46 Virus appending 12 bestandsvirus 10 bootvirus 14 bootvirus, hoe het infecteert 20 Boza 37 CIH 20 Concept.A 16 Friends Greetings 27 hoeveel 29 in the wild 30 in the zoo 30 Klez 26 Laroux.A 17 Lehigh 29 LoveLetter 23 macrovirus 14 meest voorkomend 35 Melissa 21 Nimda 24 ontwikkeling 31 op verschillende besturingssystemen 33 oplossing 40 overwriting 10, 11 prepending 10, 12

Virus Bulletin 44 Virus, wat is het 3 Visual Basic Script 13

—W— W32/Elkern.C 26 WAN 31 White, Steve 32 Wide Area Network 31 Windows 19, 34 Windows 95 36 Windows 9x/ME 19 Windows NT/2000 19 WordBasic 15, 17 Worm 5 CodeRed 22 Sircam 25


Het Normancomputervirusboek

Recommend Documents