Een kwaadaardige worm vermomd als Jennifer Lopez

Virussen kunnen op diverse manieren schade aanrichten. Een overzicht van de belangrijkste varianten, van worm tot paard.

Bootsectorvirussen

Brain, het allereerste pc-virus, van de Pakistaanse broers Farooq Alvi, infecteerde de boot- of opstartsector van een schijf. Iedere schijf, zowel een diskette als een harddisk, bestaat uit sectoren. Dit zijn de laden uit een ladenkast. Daarin kan informatie worden opgeslagen. In de eerste lade, de boot- of opstartsector, staat een klein systeemprogramma dat altijd wordt uitgevoerd als de diskette in een station wordt geplaatst of als de harde schijf wordt opgestart. De schijf maakt zich zo bekend aan de pc.

Een bootsectorvirus hangt aan dit gedeelte van de schijf. Als een gebruiker een geïnfecteerde diskette in zijn pc stopt, is zijn computer meteen besmet. Het virus nestelt zich in de bootsector van de harde schijf en infecteert vanuit daar andere diskettes. De meeste bootsectorvirussen zijn geschreven voor MS-DOS. Het grootste deel van alle virussen (80 procent) zou behoren tot deze groep. Het aantal besmettingen was het hoogst halverwege de jaren negentig. Een bootsectorvirus is relatief eenvoudig te maken en vermenigvuldigt zich snel. Een variant is het master-bootsectorvirus. Voorbeelden zijn Form, Michelangelo, Stoned en het al eerder genoemde Brain.

Bestandsvirussen

Een bestands- of file-virus infecteert programmabestanden, zoals tekstverwerkers, rekenprogramma's en spelletjes. Dit virus besmet uitvoerbare code. Het hecht zich onder meer aan bestanden die eindigen op .com en .exe. Zodra dit programma wordt uitgevoerd, komt het virus in actie. Er zijn diverse sooren bestandsvirussen, die zich op verschillende manier hechten aan hun `gastheer'. Een bestandsvirus kan andere bestanden besmetten als een geïnfecteerd programma wordt uitgevoerd vanaf een diskette, een harde schijf of een netwerk. Bekende voorbeelden zijn Jeruzalem en Cascade.

Macrovirussen

Macrovirussen zoals Melissa, NiceDay en Groov tasten geen programma's aan, maar gegevensbestanden. Dat zijn vooral databestanden van Microsoft Office-programma's, zoals Word, Excel en Powerpoint, maar nieuwe soorten richten hun pijlen nu ook op andere programma's. Een macro is een voorgebakken serie handelingen in een computerprogramma. Bijvoorbeeld in Word: open bestand, selecteer tekst, verander lettertype in Times New Roman en sla bestand op. In plaats van iedere keer deze handelingen één voor één uit te voeren, maakt de gebruiker een macro om alles met één actie te doen. Macro's kunnen behoorlijk complex zijn, helemaal sinds Microsoft in Office 97 de mogelijkheid bood macro's te schrijven in de programmeertaal Visual Basic. Bedankt, zeiden de virusschrijvers. Zij gebruiken de interne taal van Office om kwaadaardige acties toe te voegen aan gewone macro's. Als het programma waarin de macro wordt uitgevoerd, niet goed controleert of de macro een bepaalde actie wis alle bestanden in de map `Mijn documenten' wel mag uitvoeren, kan het macrovirus zijn verwoestende werk doen. Macrovirussen zijn gemakkelijk te maken. Er zijn duizenden soorten.

Scriptvirussen

Het bekende Loveletter- of I Love You-virus dat in mei 2000 opdook, is een voorbeeld van een scriptvirus. Of eigenlijk is het een combinatie van een scriptvirus en een e-mailworm. Loveletter stuurde nietsvermoedende computergebruikers een mailtje met een attachment. Dat leek een liefdesbrief of in latere versie een naaktfoto van bijvoorbeeld actrice Jennifer Lopez, maar dat was in werkelijkheid een programmaatje geschreven in de taal Visual Basic Scipt (VBS). Wie de bijlage opent, activeert het script en raakt besmet.

Een script is net als een macro een serie opeenvolgende handelingen. Er zijn diverse talen om scripts in te schrijven, zoals VBS en Javascript.

Combinaties

Een combinatie van een bootsectorvirus en een bestandsvirus wordt een multipartite of polypartite virus genoemd. Dit type is moeilijk te verwijderen van een besmette pc. Als de bootsector is schoongemaakt, maar de bestanden niet, dan zal de bootsector weer worden vervuild. En omgekeerd. Voorbeelden van deze combinatievirussen zijn Anthrax en Tequila. De laatste tijd duiken steeds meer combinaties van virussen, wormen en trojaanse paarden op. Volgens antivirusbedrijven zijn deze blended threats zeer gevaarlijk.

Verschijningsvormen

Virusschrijvers gebruiken diverse methoden om niet ontdekt te worden. Het stealth-virus probeert zich te verstoppen, zodat het niet door een virusscanner kan worden gedetecteerd. Het virus doet dat door zichzelf bijvoorbeeld tijdelijk uit het geheugen te wissen. Een polymorf virus kan zichzelf muteren. De uiterlijke kenmerken van het virus veranderen. Virusscanners hebben hiermee grote moeite.

Wormen

Een worm is een programma dat zichzelf kan voortplanten van systeem naar systeem. Het programma staat op zichzelf. Het heeft geen ander bestand nodig om zich te vermenigvuldigen, in tegenstelling tot een `echt' virus. Er zijn twee soorten: een bestandstype en een netwerktype. De bestandsworm verplaatst zich echt in een netwerk. Het verwijdert zich als het van het ene werkstation naar het andere gaat. De netwerkworm gebruikt het netwerk niet alleen om zich te reproduceren, maar ook voor de communicatie tussen de klonen onderling. Een worm kan zich door een netwerk verplaatsen via e-mail, maar ook via andere communicatieprotocollen op internet. Wormen als MSBlaster en SQL Slammer plaatsen zich via een fout in een Microsoft-dienst in het geheugen en gaan daar vandaan op zoek naar nieuwe slachtoffers. De eerste echte worm was de Robert Morris Internet Worm (1988), genoemd naar een Amerikaanse student.

Dankzij de sterk gestegen populariteit van internet nam ook het aantal wormen fors toe. Antivirusbedrijven zien vooral een toename van wormen die zich massaal en razendsnel verspreiden via e-mail. Tijdens de eerste drie minuten dat SQL Slammer zich in januari verspreidde, verdubbelde het aantal besmette machines iedere 8,5 seconden. Dat is meer dan 250 maal sneller dan Code Red, die zich in 2001 iedere 37 minuten verdubbelde. Virusbestrijders waarschuwen voor virussen die worm-technieken combineren met andere `virale elementen'. Zie verder onder `combinaties'.

Trojaanse paarden

Trojaanse paarden zijn bedriegers, bestanden die claimen iets begeerlijks te zijn, maar eigenlijk kwaadaardig zijn. Een belangrijk verschil tussen virussen en Trojaanse paarden is dat Trojan horses zich niet repliceren. Een Trojaans paard bevat programmacode die als het programma wordt getriggerd kan leiden tot verlies of diefstal van gegevens. Een bekend voorbeeld is Back Orifice. Dit programma creëert een achterdeurtje op de pc, waarmee een hacker op afstand de computer kan besturen. Hij kan bijvoorbeeld een keylogger installeren. Dat is een programma waarmee aanslagen op het toetsenbord worden opgeslagen. Zo krijgt de hacker de beschikking over wachtwoorden en creditcardgegevens. Back Orifice wordt ook wel enigszins eufemistisch een remote management tool genoemd. Andere voorbeelden van trojaanse paarden zijn spyware en adware, programmaatjes bij onder meer Kazaa met reclame.

Hoaxen

Hoaxen zijn valse waarschuwingen voor virussen, bijna altijd via e-mail. Bijvoorbeeld `heeft u het bestand winword.exe' op uw pc? Dan heeft u een virus. Wis zo snel mogelijk winword.exe'. De gebruiker die deze tip opvolgt wist geen virus, maar het programma Microsoft Word. Hoaxen zijn irritant en verstoppen het e-mailverkeer. De Nederlandse website www.nepwaarschuwing.nl geeft een uitgebreid overzicht van hoaxen en andere digitale kettingbrieven. Zie pagina 4

Trends

Virussen volgen de technologie. Hoe geavanceerder computers worden, hoe slimmer de virussen. Antivirusbedrijven verwachten dat nieuwe virussen blended-threat-technieken blijven gebruiken. Ze zullen verschillende zwakheden in computers en netwerken exploiteren en ze voeren aanvallen uit via meerdere methoden, bijvoorbeeld via e-mail, bestandsoverdracht en webbrowsers.

De toename van (ongeautoriseerd) gebruik van instant messaging (ICQ, Microsoft Messenger) en peer-to-peer-applicaties (Kazaa) maken dat deze programma's een aantrekkelijk doel vormen voor toekomstige gecombineerde aanvallen.

Virussenbestrijders verwachten verder dat virussen en wormen met elkaar gaan communiceren. Zo zouden zij aan elkaar kunnen doorgeven waar de zwakke plekken in een computernetwerk zitten. Virusbedrijven rillen bij de gedachte aan zogenoemde flash-virussen, die eerst een volledig computersysteem in kaart brengen en vervolgens pijlsnel toeslaan. Deze programma's worden ook wel Warhol-virussen genoemd. Iedere virusschrijver claimt zijn vijftien minuten roem. Zoals ook de Pakistaanse broers Farooq Alvi een plaats kregen in de virusgeschiedenis.

Bronnen: Virusalert.nl, Symantec, Network Associates, Kaspersky, Govcert.nl, KPNCert, Virushelp.nl, InterNLnet, Webwereld, BBC.