Het immuunsysteem van de computer

Virusbestrijding is een on going business. Virusmakers bedenken steeds nieuwe trucs en de bestrijders spannen zich in om hen bij te houden. Toch is ieder nieuw virus weer een verrassing.

Huub Delea

 

Informatie
Product	Bedrijf	Telefoon	internet
ThunderStore	ASCIT	024 6488415	www.ascit.com
AV-site voor Dr Solomon en MacAfee software	Virusforum	NL: 070-3077111; Bel.:03/830.77.77	Forum@dataalert.com en Forum@dataalert.be
Norton	Symantec	071-4083111	www.symantec.com/avcenter
Aladdin	Aladdin Knowledge Systems	030-6880800	www.aks.com
Sophos Antivirus	Crypsys	0183- 622848	www.crypsys.nl

Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game’s over. I’m outta here.” Dat was de vrij onschuldige payload van het Melissa-virus, vermoedelijk gemaakt door een Taiwanese student informatica, die het virus op geniale manier zichzelf liet verspreiden via de email-adreslijst van de besmette computer.
Virusbestrijding vereist tegenwoordig meer dan het installeren van een virusscanner. Nieuwe vormen van besmetting verschijnen met dezelfde frequentie als nieuwe software- pakketten. De motivatie achter het maken van een virus is onduidelijk. De maker van het Melissa-virus dat zich in april snel verspreidde via e-mail schijnt een Taiwanese student informatica te zijn. Geniaal? Ja. Kwaadaardig? Niet per se. Het Melissa-virus had een vrij onschuldige pay-load: Het zette een ongewenste tekst in Word-documenten en maakte tevens de ‘Macro virus alert” van Word ontoegankelijk vanuit het menu. Het lijkt erop dat het Melissa-virus voor de maker een proeve van bekwaamheid was en een manier om zijn persoonlijke stempel op de wereld te drukken. Virusbedenkers zijn mensen net als anderen. Wat populair is, raakt ook hen. Een populaire datum als 9-9-1999 of 1-1-2000 spreekt tot de verbeelding. Wat te doen als deze data als ‘triggerdatum’ voor een virus wordt gebruikt? Dat is nog eens wat anders dan een Y2K-probleem.

Standaardbericht van Melissa

Hi [naam van de ontvanger]

I received hour email en I shall send you a a reply ASAP

Till then, take a look at the attached ZIP-file

Bye

Computervirussen worden niet alleen gemaakt, ze ontwikkelen zich ook. Regelmatig steken nieuwe vormen de kop op. Melissa en het in juni ontdekte Worm-virus vereisen nieuwe vormen van bestrijding. Worm gebruikt evenals Melissa e-mail om zich te verspreiden, maar nu via de In-Box van de besmette computer. Het virus stuurt vrienden en relaties een vriendelijk standaard-bericht met het verzoek een besmet attachment te openen, zoals de tekst bovenaan deze pagina.

naar top

De payload van Worm is zeer schadelijk. Na het openen van het ZIP-file verschijnt een foutmelding die de gebruiker om de tuin leidt. Ondertussen is het virus actief en vernietigt de inhoud van bestanden met de extensie “.c, .cpp, .h, .asm, .doc, .xls, en .ppt”.
Volgens Annerieke Kamphuis van ASCIT (ThunderStore) duiken er iedere maand honderden nieuwe virussen en varianten van bestaande virussen op met een dusdanige softwaretechnologie dat een filescanner van een jaar oud er niets tegen kan doen. Andere voorbeelden zijn de actuele Java- en html-virussen, die alleen met actuele of geüpdatete virusscanner bestreden kunnen worden. Uitsluitend een update van de bibliotheek van virussigna- turen is niet meer voldoende. Een regelmatige update van het virusprogramma biedt meer zekerheid en kan veel ellende voorkomen.

Updaten is beter dan genezen

Volgens ASCIT vindt 78 procent van al het computergebruik plaats zonder enige vorm van virusbescherming. Bij de overige 22 procent wordt antivirussoftware gebruikt, al dan niet resident geïnstalleerd. Het hebben van een virusscanner en hem zo nu en dan gebruiken is echter niet voldoende. Vanwege de soms verrassende gevaren van internet moet antivirussoftware bij het booten van de PC gelijk gestart worden. En de antivirussoftware moet fatsoenlijk beheerd worden, lees: regelmatig geactualiseerd worden. Wat is namelijk het geval: 60% van de geïnstalleerde AV-scanners worden na installatie nauwelijks tot nooit geüpdatet, 25% van de gebruikers update zo nu en dan, circa 4 keer per jaar. Twaalf procent van de gebruikers update regelmatig; dat betekent één maal per maand. Het resterende gedeelte van drie procent update wekelijks/dagelijks, naar gelang de mogelijkheden van de gebruikte software daarvoor geschikt is (bv. elektronisch op te halen updates via het Internet).

Een online update: het antivirus-programma legt  contact via internet en  vergelijkt het eigen versie- nummer met de laatste toevoeging.

De grote virusbestrijders, Dr Solomon, Computer Associates (voorheen MacAfee), Aladdin (voorheen eSafe), ThunderStore, Symantec (Norton Antivirus) en Sophos houden de ontwikkeling van virussen nauwgezet in de gaten en passen de virusbibliotheek én de bestrijdingsmethodes voortdurend aan. Deze bekende pakketten bieden vrijwel allemaal de mogelijkheid voor eenvoudige updates via internet. Veel AV-pakketten waarschuwen de gebruiker ook en wie het Norton-pakket gebruikt, krijgt zo nu en dan meldingen dat de gebruiker moet controleren of een update beschikbaar is. Door regelmatig te updaten kun je kort na verschijnen van de virussen al van de nieuw ontwikkelde bestrijdingsmethodes profiteren.

Intussen wordt tevens de functionaliteit van de AV-programma’s uitgebreid. ThunderStore roemt de eigen heuristische scanner die de activiteiten van een computervirus kan herkennen, ook al is de precieze identiteit van het betreffende virus (nog) niet in de bibliotheek opgenomen. Aladdin prijst de eigen Macro-Terminator. Symantec (Norton) biedt een complete suite van beveiliging en anti-crash producten. Dit zijn zaken die de werking en ook het beheer van de antivirussoftware kunnen verbeteren. De veiligste manier van beschermen tegen
virussen is en blijft een regelmatige update van de AV-software.

naar top