Macro-miltvuur

Het moet 1985 geweest zijn, toen ik er voor het eerst van hoorde. De facultaire computertovenaar verspreidde met een air van geheimzinnigheid het nieuws: er was een nieuw soort programma's gesignaleerd, dat stiekem je computer binnendrong en daar rare geintjes flikte. 'Trojaanse paarden', fluisterde hij veelbetekenend. 'Ah, Trojaanse paarden', knikten wij veelbetekenend maar niet-begrijpend terug. Het leek ons wel spannend, eigenlijk.

Tien jaar later zijn virussen, want daar had hij het over, niets nieuws meer. Als je de berichten in de media mag geloven, is het klimaat in de computerwereld ongezonder dan dat om acht uur in de tram op een natte ochtend in november. En het is waar, er zwerven hordes digitale ziekmakers rond, in steeds weer nieuwe varianten, waartegen het afweermechanisme van computers geen weerstand bezit. Gelukkig zijn de meeste tamelijk onschuldig, maar voor wie een echt kwaadaardig exemplaar tegenkomt, is dat uiteraard een schrale troost.

Traditioneel nestelen virussen zich vanaf een floppy in de opstartsector van uw harde schijf, om zich van daar naar nieuwe floppies te verspreiden. Soms ook liften ze mee met programma's. Maar altijd proberen ze om buiten het gewone systeem om in contact te komen met schijven en diskettes.

Onlangs is een heel nieuwe stam van virussen opgestaan, die zich nu als miltvuur lijkt te verspreiden. Een virustype dat niet in opstartsectoren nestelt, niet op programmabestanden parasiteert, en systeemonafhankelijk is. Windows, Windows95, Windows NT, OS/2, Apple, dat maakt niets uit, omdat het ongedierte huist in ogenschijnlijk doodgewone gegevensbestanden: tekstbestanden van de populaire tekstverwerker Microsoft Word. Lach niet te snel, WordPerfect gebruikers! Uw lieveling heeft ongetwijfeld nu al de aandacht van een ambitieuze frustro die vindt dat waar Word vóórgaat, WordPerfect niet mag achterblijven.

Voor zover bekend werd het eerste van deze virussen gemaakt door ene Joel McNamara in 1994, bij wijze van experiment: Word is uitgerust met een bijzonder krachtige macrotaal, zou je daarmee geen virus kunnen maken? Nou, dat kon, en het is nog doodsimpel ook. Word documenten zijn altijd gebaseerd op een sjabloon. Zo'n sjabloon is eigenlijk een gewoon tekstbestand, maar dan met een paar bijzondere eigenschappen: het geeft zijn basisopmaak, zoals marges en papierformaat, automatisch mee aan elk nieuw bestand dat erop gebaseerd wordt, en het is de opslagplaats voor de macro's die in elk erop gebaseerd tekstbestand beschikbaar zijn. En net zoals tekstbestanden uit sjablonen worden afgeleid, worden sjablonen uit elkaar afgeleid. Het is allemaal één grote familie.

De uiteindelijke moeder van alle sjablonen op elke computer die met Word is uitgerust, is een sjabloon met de toepasselijke naam Normal. Macro's die in dat sjabloon zitten, gelden voor alle bestanden, ongeacht het sjabloon waarop ze gebaseerd zijn.

Alles wat je dus nodig hebt voor een virulent baasje, is een macro die bij het openen van een bestand automatisch zichzelf kopieert naar het sjabloon Normal. Zo'n macro zal zichzelf daarna automatisch naar elk nieuw geopend tekstbestand kopiëren. En macro's die zichzelf starten bij het openen van een bestand, dat is juist een mooie standaardfunctie van Word.

McNamara hield zijn vondst aanvankelijk voor zich, tot er een andere virusmacro opdook, het bekende Concept-virus, herkenbaar aan nieuw-toegevoegde macro's met de namen AAAZAO, AAAZFS en PayLoad. Dit 'virus' doet niet veel bijzonders: het zet een venstertje met een 1 erin op het scherm, vermoedelijk bedoeld als generatieteller, maar de maker was te dom om dat goed te programmeren.

Ondertussen kopieert het zichzelf rechtstreeks naar alle bestanden die nieuw geopend worden. Dat valt op, want zulke bestanden kunnen, omdat ze een macro bevatten, ineens alleen maar als sjabloon worden opgeslagen. McNamara liet zijn - onschuldige - virus toen ook maar los, bij wijze van waarschuwing. Maar binnen de kortste keren verscheen weer een nieuw macro-virus, dit keer een dat wel degelijk kwaad doet: het Nuclear-virus. Het zet op bepaalde momenten onder afgedrukte pagina's de tekst STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC, maar probeert ook een ordinair virus op uw systeem te installeren. En sinds 14 oktober is er het Colors-virus, dat echt kwaadaardig is.

Wat doe je ertegen? Macrovirussen zijn eenvoudig te schrijven, en als je geen tekstbestanden van elkaar meer kunt lezen, waar blijven we dan met onze informatiemaatschappij? Ten eerste kunnen de gebruikers van een Nederlandstalige versie van Word vooralsnog gerust zijn: alle bekende virusmacro's werken alleen met de Engelstalige versie. Maar dat kan veranderen. Verder levert Microsoft op zijn BBS en op zijn site op het World Wide Web een set gereedschap voor preventie en reparatie, maar die werkt alleen bij bekende varianten.

Een simpele, maar redelijk effectieve bescherming is deze. Maak om te beginnen een backup van het sjabloon Normal, op een floppy. Ten tweede moet u weten hoe u geïnfecteerde bestanden kunt herkennen. Gewone tekstbestanden kunnen in Word geen macro's bevatten dat is voorbehouden aan sjablonen. Geïnfecteerde bestanden zijn dus sjablonen, of als tekstbestand gecamoufleerde sjablonen. Maar in die camouflage zit een gat: anders dan bona fide tekstbestanden, zijn zulke bestanden niet op een bepaald sjabloon gebaseerd. Is een van elders verkregen tekst op geen enkel sjabloon gebaseerd, en kunt u het ook niet aan een sjabloon koppelen, dan zit u in de gevarenzone: u bent misschien al geïnfecteerd. Kijk dan meteen of er in het sjabloon Normal vreemde macro's zijn bijgekomen. Als dat zo is, vervangt u dat sjabloon onmiddellijk door de backup, en gooit u het verdachte document weg zonder het nog open te maken.Rik Smits

Adressen Microsoft: BBS 023-5634221. Voor België 02-7350045. Compuserve: Go word MSOFFICE; World Wide Web: http://www.microsoft.com/msofficed MSOFFICE; World Wide Web: http://www.microsoft.com/msoffice