Het nieuwe ‘intelligente’ Windows NT-virus genaamd, Remote Explorer, veroorzaakt de nodige ophef in de wereld van antivirusfabrikanten. Vorige maand ontdekte Network Associates (NA) bij zijn klant MCI Worldcom dit kwaadaardige programma dat in staat is zichzelf te kopiëren via een netwerk van Windows NT-computers.
De leverancier van antivirussoftware maakte dat bekend nadat het een manier had gevonden om het virus uit te schakelen. De Remote Explorer installeert zichzelf op een NT-server, besmet willekeurige Windows-computers via het netwerk en versleutelt databestanden met een eigen coderingssleutel. Dit is mogelijk doordat het virus zich voordoet als een systeembeheerder en daardoor toegang heeft tot alle beheerhulpmiddelen en procescontroles. Het vermenigvuldigt zich dan ook zonder dat gebruikers actie hoeven te ondernemen.
Zelfstandig
Dit staat in tegenstelling tot de meeste virussen. Deze verspreiden zich juist doordat ze zijn gehecht aan een programma of bestand dat door gebruikers wordt doorgestuurd, uitgevoerd of op andere wijze geactiveerd. Ze zijn ongevaarlijk zolang er geen gebruikershandeling is verricht. Remote Explorer dat geheel op zichzelf draait, kan netwerk-infrastructuren onderzoeken en daarin zijn eigen weg vinden. Hierdoor is het gedrag van dit virus nauwelijks te voorspellen. Bovendien ‘slaapt’ het tijdens kantooruren; de meeste activiteit van Remote Explorer vindt plaats tussen drie uur zaterdagmiddag en zes uur zondagmiddag.
Woedend
De ontstane ophef komt niet alleen voort uit de zelfstandige aard van dit virus, maar ook uit het feit dat NA weigert de code van het programma te delen met andere antivirusfabrikanten. Het bedrijf biedt op zijn website wel een ‘update’ voor de eigen producten. Volgens de woedende concurrent Sophos schendt NA hiermee de ongeschreven gedragsregels van antivirusbedrijven. Het is gebruikelijk dat makers van antivirussoftware de code van een virus dat ‘in het wild’ wordt ontdekt (bij klanten) aan elkaar doorgeven. Zo voorkomen zij verspreiding van het virus. Analiste Helen Flynn van onderzoeksbureau Gartner bevestigt dit. "Misschien wilde NA een persbericht uitbrengen voordat een ander bedrijf dat deed."
Rest volgt
Inmiddels hebben ook softwareleveranciers Symantec en Data Fellows hun antivirusproducten uitgerust met detectie- en verwijderingsmogelijkheden voor Remote Explorer. De laatstgenoemde meent bovendien dat het gevaar van dit virus nogal wordt overschat. "Het virus maakt gebruik van geavanceerde methodes die problemen zouden kunnen veroorzaken binnen een NT-gebaseerde organisatie. Aangezien het virus zich niet gemakkelijk verspreidt van de ene naar de andere organisatie is er derhalve geen reden tot paniek", aldus het persbericht van Data Fellows eind december.
Gratis tegengif
Softwareleverancier Symantec meldde een week daarvoor al dat de nieuwste versie van zijn Norton Antivirus-software het door concurrent Network Associates ontdekte NT-virus kan elimineren. Deze ‘update’ is verkrijgbaar voor alle platformen waar Norton op draait. Daarnaast heeft het Symantec Antivirus Research Center (Sarc) een apart programma ontwikkeld dat het virus kan isoleren en verwijderen uit het geheugen van een NT-computer terwijl die gewoon blijft functioneren. Dit hulpmiddel is gratis verkrijgbaar op de website van Symantec (http://www.symantec.com/avcenter/warn/remexp_repair.html).
