Virussen binnen een half uur onschadelijk
Virussen binnen een half uur onschadelijk

Kon een computervirus vroeger razendsnel hele computernetwerken en computersystemen platleggen, tegenwoordig kunnen zij binnen een half uur uitgeschakeld zijn. Lees er alles over. Het is verbazingwekkend hoe snel een computervirus hele computernetwerken en computersystemen plat kan leggen. Het is de keerzijde van het Internet, die een goede beveiliging noodzakelijk maakt. Dit artikel gaat in op de achtergronden van virussen en de maatregelen die u kunt treffen.

Virussen binnen een half uur onschadelijk
Geschiedenis van computervirus
Diverse soorten besmettingen
Waar komen virussen vandaan?
Oplossingen binnen een half uur
Antivirus-software
Maatregelen

Virussen binnen een half uur onschadelijk

Het is verbazingwekkend hoe snel een computervirus hele computernetwerken en computersystemen plat kan leggen. Het is de keerzijde van het Internet, die een goede beveiliging noodzakelijk maakt. Dit artikel gaat in op de achtergronden van virussen en de maatregelen die u kunt treffen.
Een wereldwijde aanval van een virus of worm benadrukt hoe zeer de mensheid tegenwoordig verbonden is. Zo zeer verbonden zelfs, dat een worm als Mydoom in één dag ongeveer een kwart miljoen computers wist te infecteren. Het Melissa virus had een dermate grote impact dat het Microsoft en een aantal andere grote bedrijven dwong de e-mail servers uit te schakelen opdat het virus in quarantaine kon worden gebracht. Het beruchte ILOVEYOU virus had ook een dergelijke invloed.
Inmiddels is het virusgevaar op zijn retour, dat wil zeggen: het ergste schijnt achter de rug te zijn en dat is mede te danken aan het feit dat systeembeheerders en particuliere computergebruikers zich bewust zijn geworden van het gevaar. Maar het gevaar is er nog altijd en het blijft opletten geblazen! De 'virusmakers' zijn namelijk geraffineerd genoeg om de wereld opnieuw te verrassen met een nieuw exemplaar, dat al direct bij de eerste verspreiding de voorpagina's haalt. Wilt u zich beter kunnen beschermen tegen virussen dan is het belangrijk dat u begrijpt hoe virussen werken. In dit artikel zullen we aandacht besteden aan de traditionele virussen en aan de nieuwste generatie e-mail virussen.
top


Geschiedenis van computervirus

Traditionele computervirussen werden voor het eerst waargenomen in de jaren '80 van de vorige eeuw, tegelijk met de opkomst van de pc. Er kwamen steeds meer bedrijfscomputers, terwijl de computer ook zijn succesvolle opmars begon in de particuliere sector en op scholen. Virussen werden vooral verspreid via bulletin board systemen: computergebruikers konden inbellen bij andere computersystemen en bestanden downloaden. Vooral spellen maar ook tekstverwerkers en spreadsheetprogramma's bleken razend populair en virusmakers maakten hier dankbaar misbruik van.
De eerste generatie Trojaanse paarden werd geboren. Virusmakers gaven hun virus een pakkende titel, die gebruikers zeker zouden downloaden. Wanneer de gebruiker het programma dan installeerde kon het virus zijn schadelijke werk uitvoeren. Menig vaste schijf is op die manier gewist. De impact was gering en nog kleinschalig, maar het begin van infecties door virussen was er. Een andere verspreider van virussen was de floppy disk: destijds was dit het enige medium voor uitwisseling van bestanden tussen computers. Zo werden bedrijfscomputers besmet door diskettes die van huis naar het werk werden meegenomen.
top

Diverse soorten besmettingen

Een virusinfectie of een andere elektronische infectie kan voor de gebruiker in verschillende hoedanigheden een bedreiging vormen:

Virussen, E-mail virussen, Wormen, Trojaanse paarden, GData Antiviruskit Pro 2005, Virus.

Een virus is een klein stukje software dat zich nestelt in echte software. Zo kan het virus zich bijvoorbeeld aan een bepaalde game of hulpprogramma koppelen. Elke keer wanneer de game of het hulpprogramma wordt opgestart, wordt het virus ook actief. Op die manier heeft het virus de kans zichzelf te vermenigvuldigen of om schade aan het gastsysteem toe te brengen. Een computervirus wordt een virus genoemd omdat de kenmerken identiek zijn aan de biologische tegenhanger: een computervirus besmet andere computersystemen, net zoals bijvoorbeeld het aids-virus andere mensen besmet. Ook op een dieper niveau lijken beide virustypen op elkaar. Zo moeten ze allebei geactiveerd worden door een andere 'cel' (lees programma).

De volgende soorten virussen zijn in omloop:

Executable virussen
De eerste virussen bestonden uit een stuk code dat aan een uitvoerbaar programma werd gekoppeld. Zodra de gebruiker het besmette programma startte werd het virus actief. Het virus laadt zich vervolgens in het geheugen van de computer alwaar het op zoek gaat naar andere actieve programma's. Wanneer deze programma's worden aangetroffen voegt het virus er code aan toe. De gebruiker heeft hier allemaal geen erg in want het programma werkt normaal. Wanneer een besmet programma wordt gekopieerd naar een andere computer kan het virus ook dit systeem infecteren.

Dit zichzelf kopiëren en verspreiden is een van de acties die een virus onderneemt. Dat zou nog niet zo schadelijk zijn, maar de code is bovendien nog in staat om 'iets te doen'. Dat kan variëren van het tonen van een onschuldige tekst op het beeldscherm tot een formatteer actie, waarbij complete schijven worden gewist. Hiervoor is wel een zogenaamde trigger nodig. Dit kan een specifieke datum zijn, maar ook een bepaalde gebruikershandeling of het bereiken van de zoveelste kopieeractie van het virus.

Boot Sector virussen
De eerste generatie virussen kon relatief gemakkelijk aangepakt worden. Immers, de virusscanner kon de oorspronkelijke grootte van de executable gemakkelijk vergelijken met de grootte van het programma nadat het is uitgevoerd. Kortom de wedloop tussen de bouwers van de virussen en de virusbestrijders was begonnen. Een van de belangrijkste trucs van de virusmakers was om ervoor te zorgen dat virussen resident in het geheugen aanwezig zijn. Hierdoor konden ze zich gemakkelijk vermenigvuldigen.

Een andere truc bestond eruit dat het virus de bootsector van het systeem besmette. Hierdoor verkreeg de virusbouwer de garantie dat het virus uitgevoerd zou worden: zodra het besturingssysteem wordt opgestart, wordt ook het virus automatisch in het werkgeheugen geladen om vervolgens zijn schadelijke werk te beginnen. Wanneer een dergelijke besmette computer door verschillende gebruikers gebruikt wordt dan gaat de verspreiding van een virus hard.

Tegenwoordig zijn deze virussen niet meer bedreigend. Allereerst wordt de meeste software tegenwoordig uitgeleverd op cd-rom en die kan nu eenmaal niet veranderd worden. Ook het besmettingsgevaar van de bootsector van de vaste schijf is sterk afgenomen: deze sector wordt vanuit het BIOS van het systeem automatisch beveiligd.

E-mailvirussen
Een e-mail virus is gekoppeld aan een - op het oog normaal - e-mail bericht. Buiten een bepaalde schadelijke actie op het systeem dat de e-mail ontvangt zal het e-mail virus zich vermenigvuldigen door zichzelf automatisch via een bericht door te zenden naar alle e-mail adressen die in het adresboek voorkomen.
De twee meest bekende e-mail virussen waren het Melissa virus en het eenvoudigere ILOVEYOU virus. De impact van beide virussen was spectaculair te noemen.
Zo werd Melissa verspreid in een Microsoft Word document dat via een nieuwsgroep zijn weg over het internet vond. Iemand download het bericht en opent het document: prompt wordt het virus actief. Het virus stuurde het document naar de eerste 50 mensen die in het adresboek stonden en deze kregen allemaal een vriendelijk, onschuldig uitziend mailtje van een voor hen bekend persoon. De ontvangers maakten het Melissa virus daarmee tot het snelst verspreide virus ooit. Het Melissa virus maakte gebruik van VBA (Visual Basic for Applications), een krachtige programmeertaal die standaard in Word aanwezig is.
Alle Microsoft applicaties (Word, Excel enzovoort) bevatten tegenwoordig een optie die het automatisch uitvoeren van VBA-code kunnen voorkomen. In Word treft u deze optie aan onder Extra >> Opties op het tabblad Beveiliging. De beveiliging zal waarschuwen wanneer er VBA code uitgevoerd gaat worden. Negeert de gebruiker deze waarschuwing dan kan de virus code natuurlijk wel actief worden.

Het ILOVEYOU virus was nog simpeler van opzet. De gebruiker ontving een e-mail bericht met een bijlage van een schone tennisster. Nieuwsgierig als mensen dan zijn werd de bijlage geopend en kon de schadelijke code actief worden. Het mailtje werd automatisch doorgestuurd naar iedereen die voorkwam in het adresboek van de gebruiker en vervolgens werden bestanden op de computer beschadigd. Wat dit betreft leek het ILOVEYOU-virus meer op een Trojaans paard. Uiteraard ging de virusmaker uit van de nieuwsgierigheid van de mens, want het virus kon alleen actief worden doordat de bijlage werd geopend.

Wormen

Een worm is een programmaatje dat het computernetwerk en zijn beveiligingslekken gebruikt om zichzelf te repliceren. Een kopie van de worm scant het netwerk, op zoek naar andere machines met hetzelfde beveiligingslek. Vervolgens kopieert de worm zichzelf naar de gevonden machines en wordt ook op deze machines het scannen gestart. Hierdoor is een worm in staat zichzelf razendsnel te vermenigvuldigen, wanneer een computer een bepaald veiligheidslek heeft. Omdat de worm actief is in een netwerk worden snel andere machines besmet, die op hun beurt weer andere machines besmetten. Zo kon de Code Red worm zichzelf maar liefst 250.000 maal vermenigvuldigen in ongeveer negen uur. De 'Slammer' worm (Engelstalig) maakte misbruik van een lek in SQL Server.

Trojaanse paarden

Een Trojaans paard is een klein computerprogramma dat claimt een bepaalde handeling uit te voeren, maar daarnaast doet het nog iets geheel anders. Zoals bijvoorbeeld de vaste schijf wissen. Een Trojaans paard kan zichzelf echter niet vermenigvuldigen.
top

Waar komen virussen vandaan?

Virussen worden geschreven door fout denkende programmeurs of hobbyisten. Zo iemand schrijft en test de softwarecode op de 'juiste' werking en bedenkt een systeem opdat het virus zich gemakkelijk kan verspreiden. Ook wordt het aanvalsdoel van het virus bepaald. Waarom doen zij dat? Daarvoor zijn verschillende redenen te bedenken.

Op de eerste plaats kunt u ervan uitgaan dat er mensen zijn die er een kick van krijgen om andere mensen in de problemen te brengen. Aan de andere kant bestaat er in de wereld van hackers en virusmakers een soort wedloop over wie het meest in de publiciteit kan komen met het door hem of haar ontwikkelde virus. Op de derde plaats is er ook de drang bij virusmakers om grote bedrijven die antivirus-software ontwikkelen - waaronder Microsoft - te slim af te zijn.
top

Oplossingen binnen een half uur

De juridische consequenties zijn tegenwoordig flink aangescherpt. Virusmakers die bewust schade aanbrengen kunnen voortaan rekenen op fikse boetes en zelfs gevangenisstraffen. Dit weerhoudt de makers er echter niet van om door te gaan. Immers, de wedloop en onderlinge competitie zal altijd doorgaan. Toch zijn de makers van virussen zich wel steeds meer bewust van de juridische consequenties. Zo blijven zij virussen ontwikkelen, maar sturen aan de andere kant ook de remedie en de broncode van het virus door naar antivirus ontwikkelaars, zoals bijvoorbeeld Symantec. De maker verricht dus zijn kunstje, maar geeft tegelijkertijd duidelijk aan dat er geen kwade wil achter schuilt.

Dat is ook de meest logische verklaring waarom de grote antivirus softwarebedrijven vaak supersnel (soms binnen een half uur) kunnen reageren op een nieuwe virusbedreiging. Want zonder de door de virusmakers verstrekte kennis is het vrijwel onmogelijk om in zo korte tijd een nieuw virus te ontdekken, dit te onderzoeken, vervolgens code te schrijven die het virus uitschakelt en deze code te verspreiden onder alle klanten en dat allemaal in een half uur!
top

Antivirus-software

Rondom virussen is een gehele nieuwe bedrijfstak ontstaan. Bedrijven als Microsoft en Symantec zijn al genoemd, andere zijn onder meer McAfee, F-Prot en Eset. De laatste is bekend van het antivirus-programma NOD32. Er wordt wel eens gedacht dat deze bedrijven zelf virussen schrijven om maar vooral in business te blijven, maar dat is onzin. Deze bedrijven doen er juist alles aan om de schade voor bedrijven zo gering mogelijk te houden.
Zo publiceren zij onder meer literatuur die veel technisch inzicht geeft in de opbouw en structuur van virussen. Zo heeft Peter Szor, chef Research van Symantec, een boek geschreven met veel achtergrondinformatie over virussen. Dit boek The definitive guide to contemporary virus threats, defense techniques, and analysis tools richt zich op de professionele IT-specialist die verantwoordelijk is voor de beveiliging van de ICT-systemen.

Antivirus

Hieronder treft u een overzicht aan van alle beschikbare antivirus-software. Al deze software voldoet aan de eis dat het in een test minimaal 156 bekende virussen (Engelstalig) herkent en onschadelijk maakt. Daar zitten alle verschijningsvormen van virussen bij, zoals trojanen, backdoors, wormen, macrovirussen, scriptvirussen en VBS-virussen.
Beschikbare commerciële antivirus-software is onder meer:

top

Maatregelen

Voorkomen is beter dan genezen! Dus welke preventieve maatregelen kunt u verder nog nemen, naast het installeren van een betrouwbare virusscanner? Want alleen vertrouwen op de virusscanner is niet genoeg, u moet meer maatregelen nemen om uw systeem tegen virussen te beschermen:

  1. Vertrouw uitsluitend op betrouwbare programma's afkomstig van commerciële bedrijven.
  2. Schakel in het BIOS de optie in die voorkomt dat er naar de bootsector van de vaste schijf geschreven kan worden.
  3. Controleer of de optie Macro Virus Beveiliging is geactiveerd in de Microsoft Office applicaties: kies Extra >> Macro's >> Beveiliging. Standaard staat deze beveiliging aan. Kiest u voor Gemiddeld, dan wordt u altijd gewaarschuwd voordat er een macro gestart wordt. U kunt dan zelf aangeven wat u wilt. Voer nooit macro's uit, waarvan u niet weet wat ze precies gaan doen.
  4. Dubbelklik nooit op een e-mail bijlage die een executable bevat. Bijlagen met bestandsnaamextensies .EXE, .COM of .VBS zijn executables, waarin een programmeur gemakkelijk schadelijke code kan opnemen.

Microsoft is onafgebroken bezig met het wereldwijd weren van virussen. Het bedrijf looft tegenwoordig zelfs een beloning uit voor het aangeven van virusmakers. Maar Microsoft stelt ook updates ter beschikking om de virusbedreiging tegen te gaan. Daarnaast is er een hulpprogramma, dat schadelijke code van uw systeem verwijdert: Microsoft Windows Hulpprogramma voor verwijderen van schadelijke software. Deze tool kan de wormen Berbew, Blaster, DoomJuice, Gaobot, Mydoom, Nachi, Sasser en Zyndos verwijderen. U kunt hier ook online testen of uw pc in orde is.

top