Rotzooi

Ja, sorry. Een ander woord kan ik er niet voor bedenken. Of het wordt nog grover. Afgelopen maand is er door de virusmakers weer veel rommel over ons heen gestort. En allemaal ter meerdere eer en glorie van henzelf.

Rivaliteit

In het begin van de maand brak er een oorlog los tussen twee groepen virusschrijvers. Je zou denken dat een oorlog tussen virusschrijvers een voordeel voor de rest van de wereld op zou leveren. Niets is minder waar. Het was een oorlog met woorden en de enige manier die virusschrijvers hebben om zich te uiten, zijn hun virussen. En voor iedere uiting moest er dus een nieuwe versie van hun virus uitgebracht worden. Met als gevolg dat het virus weer net zo veel anders was als het voorgaande en dus door sommige anti-virus software niet direct werd herkend.

Op sommige dagen was het nodig om drie of meer keer een nieuw definitiebestand op te halen. Want als de ene virusschrijver een nieuwe versie had uitgebracht, kon de ander natuurlijk niet achterblijven en moest hij diezelfde dag ook een nieuwe versie uitbrengen. Maar na enige tijd zagen de virusschrijvers ook wel in dat het geen zin had.

Zip-bestanden

Niet dat die virusschrijvers tot rust kwamen. Nee, ze gingen hun tijd weer besteden aan nieuwe trucs die mensen te bewegen hun virussen te laten draaien. Vroeger werd algemeen aangenomen dat virussen zich niet via zip-bestanden konden verspreiden. Veel gebruikers hadden geen software om automatisch zip- bestanden in te kunnen zien. Maar ook daar kwam Microsoft de virusschrijvers te hulp. Windows XP laat zip-bestanden zien als gewone directories en de gecomprimeerde bestanden konden dus weer als vanouds direct worden aangeklikt.

Misleiding

Een ander team virusschrijvers richtte zich op de psyche van de ontvanger. Ze besloten het niet te zoeken in allerlei technische trucs maar in een goed uitgedachte tekst die het virus zou begeleiden. Het resultaat was een tekst waarin men deed voorkomen alsof het mailtje afkomstig was van de beheerder van de mailserver en dat het bijgaande programma nodig was voor een ongestoorde e-mail ontvangst.

Dit virus heeft voor veel overlast bij de helpdesks gezorgd. Want naast het bericht van de virusschrijver zat er van "diezelfde" beheerder ook een melding over een virus in datzelfde mailtje. Mensen werden echt paranoïde. Ze durfden op een gegeven moment op geen enkele bijlage meer te klikken.

Auto-klik

En zelfs dat klikken is bij de laatste generatie virussen niet meer nodig. Ook virusschrijvers weten dat veel mensen hun software niet updaten en er nog veel machines zijn waarop bekende gaten op misbruik liggen te wachten. Werden dergelijke gaten van oudsher uitgebuit door criminelen die vanaf het netwerk via de gaten de machines binnen drongen, tegenwoordig doen ze het via e-mail.

Het betreft hier een gat in Internet Explorer dat al ruim een half jaar bekend is en dus al lang gedicht kon worden. Een aantal mailprogramma's gebruikt nu juist dat deel van IE om HTML-mail te tonen. Bij deze truc wordt het virus niet meegestuurd met het mailtje. Nee, er wordt gebruik gemaakt van het gat om het virus automatisch te downloaden en te starten. Dit virus kan eigenlijk alleen goed worden gestopt door het up-to-date houden van de eigen machine, een personal firewall en een lokale anti-virus scanner (in deze volgorde).

Wachtwoorden

Ook virusschrijvers weten dat steeds meer organisaties uitwijken naar het centraal, op de mailserver, scannen van bijlagen. Een andere truc die deze maand is opgedoken, is het versturen van het virus in een zip-bestand dat met een wachtwoord is beveiligd. Anti-virus programma's kunnen het wachtwoord moeilijk achterhalen. Zelfs als het wachtwoord in het bijgaande mailtje wordt meegestuurd.

Een aantal anti-virus bedrijven heeft wel methoden gevonden om het wachtwoord uit het mailtje te filteren, maar dat betekent extra werk, want ieder stukje tekst dat het wachtwoord zou kunnen zijn, moet getest worden. En toen dat redelijk bleek te werken, stonden de virusschrijvers weer met de volgende truc klaar. Verstuur het wachtwoord in een plaatje! Mailprogramma's, die HTML ondersteunen, laten het plaatje zien alsof het onderdeel van de tekst is. En dus kan de ontvanger het zip-bestand weer gewoon openen.

Garantie

Ik hoop dat u begrijpt dat wij niet kunnen garanderen dat alle virussen altijd verwijderd zullen worden door onze MailScanner. Het blijft zaak om zelf goed op te letten en niet alle bestanden te openen. En up-to-date houden van de machines blijft een hoge prioriteit hebben.

Disclaimer

Dit artikel is eerder gepubliceerd als een officiële Achterkrant voor Internet Access Facilities.