De intentie van virusmakers lijkt zich te verschuiven van het verkrijgen van naamsbekendheid naar het opzettelijk toebrengen van economische en technologische schade. Ter verdediging van Melissa-bedenker Smith voerde diens advocaat aan, dat het nooit zijn bedoeling was geweest werkelijk schade aan te richten. Toch moet hij twee bestaande virussen bewust gecombineerd hebben om een nieuw te maken, beweert een researcher bij een grote virusbestrijder.
De wereld trilt nog na van de schokgolven die het LoveLetter-wormvirus teweegbracht. De schade wordt nu al geschat op enkele miljarden dollars. Dat zijn aanzienlijke gevolgen, temeer wanneer in aanmerking wordt genomen dat naar alle waarschijnlijkheid het platleggen van talloze computersystemen van bedrijven overal op de aardbol niet het primaire doel van de virusmaker(s) was. Het LoveLetter-wormvirus had onder andere als een soort ‘geheime lading’ het ongevraagd opslaan van een Trojan Horse-programma op de computer van de slachtoffers, met als oogmerk wachtwoorden te stelen en die vervolgens naar een adres te sturen.
Dit sluwe voornemen vormde naar het zich laat aanzien tevens de zwakte van het plan. Het Internet-adres waarnaar de wachtwoorden werden gemaild was eenvoudig tot Manilla te herleiden. Van daaruit liep een direct telefonisch spoor naar de vermoedelijke daders.
Verwoestende wormen
Het LoveLetter-virus is de nieuwste in een reeks van wormvirussen en trojaanse paarden die gebruikmaken van het feit dat computers overal met elkaar in verbinding staan. Dat begon bij David L. Smith. Hij was een consultant voor AT&T Labs toen hij het Melissa-virus creëerde. De geheime lading van Melissa was drieledig: het infecteerde elk Word-document dat werd geopend, het veranderde settings om infectie te vergemakkelijken en het gebruikte binnen Microsoft Outlook het e-mailadresboek van het nietsvermoedende slachtoffer om zichzelf naar diens bekenden te e-mailen en aldus de infectie te verspreiden. Als een extra grapje kon Melissa – wanneer het uur en de minuut waarop het geactiveerd werd overeenkwamen met de numerieke waarden van de maand en de dag – een plagerig citaat van Bart Simpson op het scherm plaatsen.
Al spoedig nadat Melissa op 26 maart 1999 voor het eerst wereldwijd op computers opdook, werd Smith door de federale politie van de Verenigde Staten in zijn woonplaats in New Jersey gearresteerd. Speurwerk had aangetoond vanaf welk Internet-adres de eerste kopie van Melissa werd verstuurd. Nadat de betrokken service provider alle gegevens van zijn Internet-verkeer had verstrekt, hielp het de paniekerige Smith zelfs niet meer zijn computerapparatuur in een afvalbak te gooien. Het net had zich al om hem gesloten. Maar in die korte tijd had Melissa echter aanzienlijke schade aangericht. Volgens de Internet Connected Security Assurance (ICSA) bedroegen de kosten alleen al voor het Amerikaanse bedrijfsleven 80 miljoen dollar.
Melissa was een der eerste ‘wormvirussen’. Nog geen drie maanden later verscheen een tweede op het toneel, het Worm.ExploreZip, dat een mogelijk nog vervelender lading bezat. Dit virus vernietigde namelijk bij activering alle bestanden met extensies als .h, .c, .cpp, .asm, .doc, .ppt en .xls.
De schade als gevolg van dit virus was eveneens aanzienlijk. De kosten van Melissa, Worm.ExploreZip en overige virussen tezamen bedroegen gedurende het eerste kwartaal van vorig jaar volgens Computer Economics uit Californië zelfs 7,6 miljard dollar. Hierin zijn de kosten van verloren productiviteit en het herstel van schade aan (data)bestanden meegenomen. Maar dit alles valt dus nu in het niet bij de schade door het enkele LoveLetter-wormvirus. Ook autoriteiten maken zich er kennelijk meer zorgen over.
Werd David Smith na ruim een week opgepakt, het Filippijnse National Bureau of Investigation (NBI) was de verdachten van het recente LoveLetter-virus binnen vier dagen op het spoor, al dan niet met hulp van Amerikaanse collega’s.
Bedreiging voor e-handel
Virusmakers zijn al lang geen kwajongens meer. David Smith was dertig jaar oud. Het Trojaanse paard Back Orifice werd door The Cult of the Dead Cow (cDc) op 3 augustus 1998 op Internet vrijgegeven, maar de bedenker was volgens velen eveneens een dertiger en werknemer bij een multinationaal telecombedrijf. De komst van Back Orifice luidde niet alleen een afwijking van de gangbare karakteristieken van de virusmaker in – ergens tussen de 15 en 23 jaar oud, variërend dus van pubers tot jonge volwassenen – maar het introduceerde ook een nieuw soort bedreiging voor computergebruikers, en dan met name voor hen die veel van Internet gebruikmaken.
Back Orifice is namelijk geen virus in de strikte zin. Het is in feite een instrument voor beheer op afstand. Het geeft een soort ‘beheerdersprivileges’ aan een onbekende. Daarvoor wordt gebruik gemaakt van de Internet-verbinding van de getroffen computer. De bedreiging die hiervan uitgaat laat zich raden. Zolang het slachtoffer online is en Back Orifice op de achtergrond draait, heeft de onbekende die zich ergens op het Internet bevindt volledige toegang tot de betrokken computer en kan zaken laten uitvoeren zonder dat daar iets van merkbaar is. Een grotere bedreiging voor elektronisch zakendoen en de nieuwe economie is nauwelijks denkbaar.
Er loopt een duidelijke lijn van Back Orifice naar Melissa en naar het recente LoveLetter-virus. Het verbindende element is de manier waarop de virusmakers op steeds slimmere wijze gebruikmaken van zowel de ‘connected world’ van het Internet als de sociale patronen van computergebruikers. Dat hoeft overigens niet te betekenen dat het virus in kwestie van een hoog technisch niveau is. Vanuit de optiek van virusbestrijders was het LoveLetter-virus bijvoorbeeld technisch niet indrukwekkend. Zo kostte het ontcijferen van de code en het beschikbaar stellen van een bescherming de anti-virusmaker Symantec slechts anderhalf uur.
Gevaarlijker is de manier waarop dergelijke virussen inspelen op de onbedwingbare nieuwsgierigheid van mensen. Trojaanse paarden zoals Back Orifice, maar ook de Melissa- en LoveLetter-virussen, verspreiden zich via e-mail met attachment. Om infectie van het systeem te bewerkstelligen, moet de attachment worden geopend. En om dat te bereiken, krijgen de attachments wervende namen en teksten mee, zoals ‘Een nieuw gratis Internet-spel’. Als de attachment bovendien door het leven gaat onder de naam GAME.EXE, dan is de verleiding voor velen te groot. Hieraan is, beginnend met het Melissa-virus, de verhullende misleiding toegevoegd om het erop te laten lijken dat de e-mail in kwestie door een bekende werd verstuurd. Die bekende is dan, zonder dat hij dat wellicht zelf weet, al het slachtoffer geworden van het virus.
Industriële spionage
Het is moeilijk een helder beeld te krijgen wat virusschrijvers drijft om verwoestende virussen de wereld in te sturen. Ter verdediging van Melissa-maker Smith voerde diens advocaat Steven Altman aan, dat het nooit Smith’s bedoeling was geweest werkelijk schade aan te richten. Dit soort dingen gebeuren nu eenmaal op het Internet, aldus Altman.
Toch had Smith naar alle waarschijnlijkheid twee bestaande virussen, waarvan één onder de naam VicodinES bekend is, bewust gecombineerd om het nieuwe Melissa-virus te maken. De intentie van virusmakers en hackers lijkt zich te verschuiven van het verkrijgen van naamsbekendheid – waarin met veel bestwil nog wel iets van het bij de vaak jeugdige leeftijd behorende rebellerende gedrag valt te herkennen – naar het opzettelijk toebrengen van economische en technologische schade. Denk bijvoorbeeld aan recente Denial of Service-aanvallen (DoS) op enkele bekende portalen en elektronische winkels. Daarnaast zijn er virussen gekomen die tot doel hebben waardevolle informatie te ontvreemden. Hiermee wordt het terrein van mogelijke industriële spionage betreden. Ook het opzettelijk vernietigen van informatie zou hiertoe kunnen behoren, waarbij het in theorie mogelijk is dat het uiteindelijk doel kan zijn een concurrent op een strategische achterstand te zetten.
Op het Internet zijn groepen virusmakers actief die onderling ‘successvolle’ viruscodes uitwisselen. Ook worden er gebruiksvriendelijke virus-generatorprogramma’s op Internet gepost. Daar komt geen programmeerwerk meer aan te pas. Dit brengt het creëren van virussen dus ook voor amateurs binnen handbereik. Er zijn verscheidene groepen virusschrijvers actief. De meest beruchte hiervan is de 29A-groep (29A is de hexadecimale waarde voor 666). Bijna alle nieuwe virussen die nu gemaakt worden, zijn malware virussen (Network aware virusses). Malware is de verzamelnaam voor virussen die zich geheel zelfstandig via netwerken en e-mail kunnen verspreiden, zonder dat de gebruiker dit merkt. Zowel Melissa als het LoveLetter-virus zijn hier voorbeelden van. Beide zijn overigens wel handmatig in elkaar gezet op basis van andere al bekende virussen.
50.000 Boosdoeners
Virusbestrijders hebben teams van gespecialiseerde medewerkers in dienst voor het opsporen en onschadelijk maken ervan. Dit gebeurt ondermeer door het Symantec AntiVirus Research Center (SARC), waarvan vier vestigingen bestaan, onder andere in Leiden. Computergebruikers kunnen virussen melden bij Sarc, waarna de melding wordt opgeslagen in een centrale database, zodat er altijd aan gewerkt wordt door minimaal één van de vier teams, totdat de oplossing is gevonden. Daarnaast speurt een geautomatiseerd systeem van dit centrum doorlopend het Internet af naar mogelijk nieuwe (nog niet verspreide) virussen. Hiervoor wordt gekeken op de bekende sites van de virusschrijvers.
Gelet op de razendsnelle verspreiding van virussen en de economische schade die ondernemingen oplopen als cruciale systemen, zoals e-mail servers, uitvallen als gevolg van virusaanvallen, zijn er systemen en technologieën ontwikkeld om virussen zoveel mogelijk af te stoppen nog voordat deze zich kunnen verspreiden binnen ondernemingen. Scan & Deliver en Symantec AntiVirus Research Automation zijn technologieën die deel uitmaken van het Digital Immune System (DIS). Dit laatste is opgezet als een soort auto-respons systeem, waarmee complete ondernemingssystemen kunnen worden beschermd naar analogie van het menselijk immuunsysteem. Dit DIS wordt al uitgerust met anti-virustechnologieën.
Wanneer een PC of werkstation in een bedrijfsnetwerk in contact komt met een verdacht bestand, bijvoorbeeld via e-mail, wordt dat door de in Norton AntiVirus opgenomen heuristische Bloodhound-technologie opgemerkt. Deze voorziening is aangebracht, omdat er dagelijks nieuwe virussen en trojaanse paarden aan de thans bijna 50.000 bekende virussen worden toegevoegd waarvan de specifieke eigenschappen nog niet bekend zijn. Bloodhound kan verdacht gedrag van bestanden waarnemen en plaatst deze vervolgens in ‘quarantaine’.
Alle versies van Norton AntiVirus e-mailen het in quarantaine geplaatste bestand in gecodeerde vorm automatisch naar de Scan & Deliver server van het bedrijfsnetwerk. Van daaruit wordt het verdachte bestand naar Sara verstuurd. Dit analyseert vervolgens het geïnfecteerde bestand nauwkeurig, voert uitvoerige testen uit om het gedrag van het virus te bestuderen en creëert dan nieuwe definities. Die worden per e-mail teruggestuurd naar het bedrijf in kwestie. Dit is vanaf dat moment beschermd tegen het nieuwe virus. De gemiddelde responstijd van het researchcentrum bedroeg eind vorig jaar 2,81 uur.
Menselijke kwetsbaarheid
Een voor de hand liggende vraag is waarom een dergelijk wormvirus ondanks alle beschikbare anti-virustechnologieën toch zo’n ravage kan aanrichten. Daar zijn twee basisoorzaken voor. Ten eerste: menselijk gedrag. Als we post van bekenden krijgen, zelfs als die vergezeld gaat van een opzienbarende mededeling als ‘I love you’, maken we die open. Ten tweede: er zijn computergebruikers die géén virusbescherming draaien, of zich niet voorzien van de meest recente updates.
Maar ook computergebruikers die zich wél van anti-virusbescherming én de nieuwste updates voorzien, zijn daarmee niet per definitie onkwetsbaar. Nieuwe virussen bestaan uit nieuwe code. Pas nadat nieuwe virussen zijn gedetecteerd en geanalyseerd, kunnen er nieuwe virusdefinities ter beschikking worden gesteld. Norton AntiVirus maakt onder andere om deze reden gebruik van de heuristische Bloodhound-technologie. Die kan, zoals gezegd, ook bij het (nog) ontbreken van de juiste virusdefinities toch verdacht gedrag waarnemen en preventieve actie ondernemen. Virusmakers proberen daaraan te ontkomen door hun virussen te testen tegen de meest vooraanstaande anti-virusproducten. Zij wijzigen stukjes van de viruscode net zolang, totdat zelfs Bloodhound-technologie de betrokken virus niet langer als ‘verdacht’ beschouwt, bijvoorbeeld omdat de karakteristieken van het virus er niet langer als zodanig uitzien. De relatieve complexiteit van een virus heeft hier weinig mee te maken.
Anti-virusprogramma’s en bijzondere technologieën zoals Bloodhound zijn zeker zinvol. Zonder anti-virusbescherming zijn computers letterlijk overgeleverd aan virusmakers. En bij Symantec bewijst Bloodhound regelmatig zijn waarde, onder andere door nog zeer recentelijk een vooralsnog onbekend macrovirus op te merken, in quarantaine te plaatsen.
Regelmatig worden alle nieuwe definities via LiveUpdate wereldwijd beschikbaar gesteld voor alle gebruikers van Norton AntiVirus, zodat nieuwe virussen geen kwaad meer kunnen doen. In het geval van het LoveLetter-virus zijn inmiddels rond 30 varianten bekend. Al deze varianten worden gedetecteerd en onschadelijk gemaakt.
Daarbij is het usance onder anti-virusleveranciers om elkaar op de hoogte te stellen van nieuwe virussen (en varianten) en de eigenschappen daarvan te delen, opdat remedies snel en effectief op brede schaal beschikbaar zijn.
André Post, Senior Researcher Symantec AntiVirus Research Center
Virusstatistieken
Het totaal aantal virussen en Trojaanse paarden dat thans bekend is bedraagt bijna 50.000. Dit getal is afgeleid van de optelsom van alle virusdefinities. Van dit enorme aantal zijn slechts 55 virussen bijzonder actief.
In de periode na Melissa werden 43 varianten geregistreerd. Ook na het LoveLetter-virus doken snel varianten op. Symantec had op 9 mei 2000 al 29 varianten van dit virus waargenomen. Het ontstaan van varianten wordt vergemakkelijkt, omdat de code van het moedervirus inmiddels op websites is geplaatst. Daarbij laat een dergelijk wormvirus zijn code achter als het een computer heeft besmet. Indien een virusmaker in aanraking is gekomen met het LoveLetter-virus, beschikt hij dus automatisch over de code en kan hij op basis daarvan een variant maken.
Intussen is ongeveer 90 procent van de bedrijven in Europa en de Verenigde Staten geïnfecteerd geweest met het LoveLetter-virus.
De top-10
De top-10 viruslijst van het Symantec AntiVirus Research Center zag er voor Europa, het Midden-Oosten en Afrika, op 5 mei van dit jaar, als volgt uit:
