Een kwaadaardige en slimmere opvolger van Sobig.F zal binnen twee weken internet tot in zijn voegen doen kraken. Dit virus zal meer schade veroorzaken dan een worm die net als Blaster het rpc-lek in Windows misbruikt.
Tot nu toe hebben de schrijvers na het aflopen van de geldigheidsduur van een Sobig-variant telkens binnen twee weken een nieuwe, krachtigere variant internet opgestuurd. "Sobig.F deed zijn werk tot vorige week. Dus voor eind van deze maand is het raak", rekent de Nederlandse antivirusspecialist Righard Zwienenberg voor. In september 2001 stuurde hij de eerste waarschuwing voor het Nimda-virus uit.
Evolutie
Sobig-virussen evolueren, waardoor nieuwe varianten iedere keer weer slimmere zwakheden in computersystemen uitbuiten en beter misbruik maken van typisch gedrag van de mailontvanger. Hij verwacht dat de nieuwe Sobig een mogelijkheid à la Bugbear kan bevatten om berichten met virussen in verschillende talen te versturen of bestaande berichten uit gekraakte postbussen als drager voor het nieuwe virus uit te laten gaan.
Van opvolgers van Blaster, die het rpc-lek in Windows gebruiken om met hun kwaadaardige code computers te besmetten, verwacht hij minder vuurwerk. "Bedrijven hebben de benodigde patches aangebracht in de betrokken besturingssystemen en poorten op de firewall dichtgezet." Hij zag maandagmorgen een nieuwe Zwitserse variant op de Blaster-worm op de virusuitwisselingsdienst van alle leveranciers Aved.net voorbij komen. "Al zeven leveranciers hadden een hulpmiddel klaar om deze variant op Blaster.a de das om te doen. Gevaarlijk is het dus niet", concludeert hij. Naast een aansluiting op deze uitwisseldienst heeft hij een groot aantal computers rechtstreeks op internet aangesloten. Na besmetting slaan die alarm.
Nachtmerries
Zwienenberg is lid van Caro (Computer Antivirus Research Organisation), een club van twintig toponderzoekers rond de universiteit van Hamburg, die op persoonlijke titel gevraagd zijn om mee te denken over trends in computervirussen. "In wat we ‘nightmare-sessions’ noemen overdenken we nieuwe kwetsbaarheden en aanvallen die daar weer op zullen volgen", zegt Zwienenberg. XML in Office 2003 is één van die nachtmerries. In deze software is niet meteen te zien of in XML-bestanden macro’s, objecten of active-X-onderdelen ingesloten zijn. Dit geldt ook voor XML-bestanden die met Word zijn aangemaakt. Deze moeten volledig gescand worden om virussen eruit te kunnen halen. "De scantijd loopt daardoor enorm op. Een gemiddeld XML-bestand heeft al snel een omvang van 100 MB", stelt Zwienenberg.
Hij is sinds eind jaren tachtig betrokken bij het onderzoek naar virussen. In 1988 belemmerde een variant op het Jeruzalem-virus het goed functioneren van een aantal applicaties waar hij als student van de Technische Universiteit Delft aan bouwde. Sinds die tijd heeft het virusonderzoek hem niet meer losgelaten. In 1995 stapte hij over van zijn eigen bedrijf naar antivirussoftwareleverancier Thunderbite. Door de overname van deze speler in 1998 kwam Zwienenberg bij de Noorse concurrent Norman terecht. < BR>
