Virussen
Iedereen heeft wel eens van een virus gehoord, op tv, radio of internet. Virussen zijn nare dingen die je niet in je pc wilt hebben. Op deze pagina vertel ik:
- hoe ze verspreid worden,
- over de verschillende soorten,
- over de oorsprong van het virus,
- hoe je je pc tegen virussen kunt beveiligen.
Vroeger verspreidden virussen zich vooral via diskettes, maar tegenwoordig worden de meeste virussen via het internet verspreid. De mogelijkheid om online informatiebestanden, programma's, muziek en afbeeldingen aan te bieden en het ongevraagd toezenden van e-mail (spam) is voor kwaadwillenden een wereld van mogelijkheden om hun virussen te verspreiden. Je biedt op een internetsite iets 'leuks' gratis aan dat natuurlijk iedereen wel wil hebben, en je stuurt het virus als extraatje mee.
De virussen kun je, afhankelijk van hun doel, verdelen in een aantal groepen:
Het Bootsector-virus
De meeste virussen zijn (master-)bootsectorvirussen, kortweg met mbr-virus aangeduid. Iedere diskette of harde schijf heeft een bootsector. In de bootsector staan de gegevens over het type schijf en de indeling ervan. Het virus nestelt zich daarin, en iedere keer als een floppy wordt geopend kopieert het virus zich naar de harde schijf van het systeem. Maar ook andersom, als een 'schone' diskette geopend wordt in een geïnfecteerde pc, wordt de diskette ook geïnfecteerd. En zo is het kringetje natuurlijk rond. Sommige bootsectorvirussen zijn erg hardnekkig en vragen om een agressief antivirusprogramma om te kunnen worden verwijderd.
File-virus
Het file-virus, ook wel bestandsvirus genoemd, hecht zich aan programmabestanden met de extensie .exe of .com. Zodra het programma wordt opgestart, voert het virus zijn handelingen uit. Soms merk je niet dat een file-virus aanwezig is, maar meestal wordt het programma wat aangetast is onbruikbaar.
Stealth-virus
Bijna iedereen heeft wel eens over stealth-technologie gehoord, waarmee vliegtuigen en boten vrijwel onzichtbaar worden gemaakt voor radar. Hieraan dankt dit virus zijn naam. Dit virus probeert zich namelijk voortdurend te verstoppen voor een virusscanner. Dat verbergen wordt onder andere gerealiseerd door instructies van de pc om te leiden. Een stealth-virus is bijvoorbeeld in staat om een geïnfecteerd bestand dat op het punt staat te worden geopend, te desinfecteren en meteen nadat het is geopend opnieuw te infecteren. Het virus zou zichzelf ook bijvoorbeeld tijdelijk uit het geheugen kunnen verwijderen. Zo zijn bepaalde typen stealth-virussen in staat om de aanduiding van de grootte van het bestand dat ze hebben geïnfecteerd zodanig aan te passen dat de oorspronkelijke grootte - dus zonder het virus erin - wordt weergegeven. De stealth-technologie wordt vaak in combinatie met andere virustechnieken gebruikt. Zo is bijvoorbeeld de groep bootsector-stealth-virussen ontstaan, buitengewoon hardnekkige versies van het bootsector-virus.
Polymorf-virus
Een polymorf-virus heeft de mogelijkheid te veranderen in een andere gedaante. Hierdoor ontstaat een virus met dezelfde functie maar met een nieuwe viruscode. De uiterlijke kenmerken veranderen dus, wat het voor virusscanners erg moeilijk maakt om polymorf virussen op te sporen en onschadelijk te maken. Polymorfe virussen komen in diverse combinaties met andere typen voor. Zo zijn er polymorfe bootsectorvirussen en polymorfe macrovirussen.
De polymorfe eigenschap komt in principe als volgt tot stand:
- Het eigenlijke virus wordt samen met een vercijferingsroutine gecodeerd en aan een bestand gekoppeld.
- Wordt het geïnfecteerde bestand opgeroepen, dan zal het eigenlijke virus worden gedecodeerd, waarna het zijn werk kan uitvoeren.
D- e vercijferingsroutine wordt samen met het virus in het geheugen gekopieerd, waarna het virus weer wordt vercijferd en aan een ander bestand gekoppeld.
- Tijdens het vercijferen van het virus wordt een andere sleutel voor de vercijfering toegepast, zodat de uiterlijke kenmerken van het geheel veranderen.
Multipartitievirus
Een multipartitievirus is een soort kruising tussen een bootsectorvirus en een file-virus. Dat betekent dat het zowel bepaalde bestandstypen aantast als de bootsector infecteert. Door deze eigenschap is dit type virus een stuk moeilijker kwijt te raken dan de afzonderlijke typen waaruit het is samengesteld.
Jokevirus
De naam zegt het al: een jokevirus is geen echt virus, maar alleen een bestandje dat de uiterlijke kenmerken van een virus heeft. Is een jokevirus ontdekt, dan hoeft de gebruiker van het systeem zich geen zorgen te maken, want het geeft niet de nare verschijnselen die aan een echt virus zijn verbonden. Alleen de melding kan als hinderlijk worden beschouwd.
Worm
Een worm is een bestand wat zich zonder hulp van iemand kan verspreiden. Een worm verspreid zich bijna altijd via email en op het moment dat een geïnfecteerde bijlage wordt geopend zal een worm uit zichzelf een mailtje sturen naar bijvoorbeeld alle mensen in je adressenboek met daarbij natuurlijk een bijlage waar de worm een kopie van zijn eigen code aan heeft toegevoegd. Als de ontvanger van het bestand deze dan ook bekijkt zal de worm zich naar aanleiding van dat adressenboek ook weer gaan verspreiden. De geïnfecteerde mailtjes die door een worm worden verstuurd zijn overigens niet terug te vinden in de map 'verzonden items', en vaak is een worm wel te herkennen aan het onderwerp van de mail of de bijlage. Bas vertelt hier meer over wormen.
BIOS-virus
De laatste tijd manifesteren zich regelmatig virussen die het BIOS van de pc aantasten. Het virus overschrijft de BIOS-instellingen, waarna het systeem niet meer kan worden opgestart. In principe kunnen alleen moederborden met een flash-BIOS hierdoor worden geïnfecteerd, maar aangezien de meeste moderne moederborden hierover beschikken, wordt de kans op infectie steeds groter.
Macrovirus
Door de ingebruikname van het 32-bitsbesturingssysteem Windows 95, werd het mogelijk om macro's op te nemen. Zij worden daarom ook wel 32bits-virussen genoemd. Een macro wordt gewoonlijk gebruikt om van font te veranderen of om automatisch een stuk tekst in te voegen. Bij een macrovirus word er echter een virus opgenomen. Het wordt meteen uitgevoerd wanneer u het bestand opent. Dit bestand kan ook van andere softwarepakketten als MS Office zijn als het maar macro's ondersteund. Het is echter niet mogelijk om geïnfecteerd te worden door een bestand dat niet uit jouw Office pakket stamt. Macrovirussen zijn echter wél platform onafhankelijk. Dus als het virus op een windows-pc is opgenomen, werkt ie ook op een Mac.
Trojan Horse
Een trojan horse is letterlijk vertaald een 'paard van Troje' en dit slaat op de oorlogsvoering tijdens de Trojaanse oorlog waar een houten paard werd gebruikt om alle manschappen in te verstoppen zodat ze toch de stad binnen konden dringen. Zo'n bestand is dan ook bedoeld dat het zich onopvallend op je harde schijf nestelt en daar zijn werk gaat doen. Een trojan verspreid zich niet naar een andere pc, maar kan bijvoorbeeld door een hacker gebruikt worden om verbinding te maken met je pc terwijl je online zit. Op deze pagina vertelt Bas meer over trojans.
Virus imposter
Een virus imposter is een bestand wat je pc een taak laat uitvoeren, maar niet echt een virus is. Het kan bijvoorbeeld heel veel dezelfde schermpjes op je beeldscherm laten verschijnen, of een programmaatje starten waarbij je dingen moet bekijken die je niet meer op een normale manier kunt stoppen.
De oorsprong van het virus
Er was eens een professor die onderzoek deed naar zichzelf reproducerende computerprogramma's.
Deze professor, Fred Cohen, gebruikte in het begin van de jaren tachtig als eerste de term 'virus'. Zijn definitie van een virus is: 'Een programma dat andere programma's kan infecteren door deze zodanig te veranderen dat er een kopie van zichzelf in ondergebracht wordt.' De keuze voor de term virus is begrijpelijk, want de biologische versie werkt op dezelfde manier. De eerste virussen ontstonden door puur toeval. In de beginjaren van de computertechniek experimenteerden programmeurs met het gelijktijdig draaien van meerdere programma's op een enkele computer. Als gevolg van programmeerfouten werden gegevens op een willekeurige wijze vernietigd. Onderzoek wees uit dat ze 'toevallig' een virus hadden ontwikkeld, dat niet alleen zichzelf vermenigvuldigde, maar ook gegevens wiste of verminkte.
Als je zoiets ontdekt hou je dat natuurlijk niet voor jezelf. Je helpt namelijk andere programmeurs die met het zelfde probleem zitten. Nou was dat in het begin ook het doel van de publicaties over de virussen, maar algauw werden er grappen uitgehaald. Er werden virussen ontwikkeld om binnen het bedrijf collega's de stuipen op het lijf te jagen met ongevaarlijke schermmeldingen. Die onschuldige schermmeldingen groeiden uit tot acties als het laten vastlopen van de computer van het slachtoffer, waarna een herstart noodzakelijk was om het systeem weer normaal te laten draaien, tot het wissen van alle gegevens op de vaste schijf.
Het eerste virus dat echt werd verspreid onder pc-gebruikers was een bootsector- en stealthvirus, dat in 1987 onder de naam Brain uitsluitend floppy's (toen alleen nog van 360 KB) aantastte. Het werd ontdekt in de universiteit van Delaware. Vrij kort daarna werd het Jeruzalem-virus in Israël ontdekt, dat tegenwoordig nog wel eens de kop opsteekt. In principe waren dit nog vrij onschuldige virussen. In de jaren daarna groeide het aantal virussen en de agressiviteit ervan gestaag.
Bescherming tegen virussen
Het beschermen van de eigen PC tegen schadelijke programma's is gebaseerd op een aantal pijlers. Eén daarvan is een goed antivirus programma (avp). De belangrijkste taak van een avp is het herkennen van virussen voordat ze hun schadelijke werk kunnen uitvoeren. Verder pretenderen de meeste avps dat ze na een virus besmetting het systeem kunnen repareren. Er is een breed scala aan avps op de markt, gratis, shareware en buyware. De tests van avps die regelmatig in de PC-bladen verschijnen leveren niet echt een eenduidig beeld op. Een avp kun je op verschillende aspecten beoordelen, waarbij je aan elk aspect een wegingsfactor kunt toekennen. Door verschillende interpretaties kan een bepaald avp in de ene test bijvoorbeeld goed scoren en in een andere test als matig uit de bus komen. Het is dus moeilijk om te spreken van het beste of het slechtste avp.
Functies van virus scanner
Om toch wat handvaten te geven bij het beoordelen van een avp, zijn hieronder wat aspecten opgesomd die men in een avp hoort terug te vinden.
- Het on-demand scannen op virussen; het programma doorzoekt (delen van) het systeem op virussen na een expliciete opdracht daarvoor
- Het on-access scannen op virussen; het avp is continu actief en controleert automatisch alle (programma) bestanden tijdens het openen
- het herkennen van virussen op grond van hun karakteristieke signatuur; hierbij wordt gebruik gemaakt van een database met virus karakteristieken; het is daarbij van groot belang dat deze database regelmatig wordt bijgewerkt. (zowel door de leverancier als door de gebruiker)
- Het herkennen van virussen met behulp van heuristiek; elk type virus heeft een karakteristieke manier van handelen hetgeen resulteert in karakteristieke kenmerken in de code van het virus. Op grond van dit soort kenmerken wordt met logisch redeneren bepaald of een programma al of niet een virus bevat.
- De bediening en configuratie van het programma; goede en eenvoudige middelen om de instellingen te veranderen; een scan te starten; de database met virus kenmerken te updaten; het maken van een reddings disk (of cd, of diskette)
- Het repareren van het systeem na een virus besmetting. Dit kan variëren van het in quarantaine zetten van een besmet bestand. Tot het verwijderen van alle sporen van een virus nadat dit zich in het systeem heeft genesteld.
Overzicht van een aantal antivirus programma's:
| scanner | producent | site | opmerkingen |
|---|
| AVG | Grisoft |
www.grisoft.com |
er is een gratis versie met gratis updates; de frequentie van deze updates is echter laag. |
| AntiVir P. | H+BEDV Datentechnik |
www.free-av.com |
gratis voor prive gebruik; informatie over de professionele versie op adres www.hbedv.com |
| Inoculate IT P.E. | Computer Associates |
antivirus.cai.com |
is gratis, er dient wel een formulier met persoonlijke gegevens te worden ingevuld, waarna men een klantnummer krijgt. |
| KAV Kapersky Anti-Virus | Kapersky Lab |
www.kasperskylab.nl |
is buyware; single user licentie voor 1 jaar vanaf 40 euro |
| McAfee virusscanner | Network Associates |
www.mcafee-at-home.com |
de algemene site op adres www.mcafee.com; is buyware; prijzen vanaf US $ 30 |
| Norton Anti Virus | Symantec |
www.symantec.com |
is buyware; prijzen vanaf f 81,- |
| Panda AntiVirus | Panda Software |
www.pandasoftware.com |
is buyware; prijzen vanaf US $ 30 |
| PC-cillin | Trend Micro |
www.antivirus.com |
is buyware; prijzen vanaf US $ 30 |
| Norman Virus Control | Norman |
www.norman.no/ |
is buyware; prijzen vanaf US $ 60 inclusief updates en e-mail support voor een jaar |
In de tabel hierboven de namen van een aantal virus scanners, waarvan McAfee en Norton Anti Virus wel de meest bekende zijn. Hoewel deze lijst een aantal gerenommeerde producten bevat is ze zeker niet compleet. Verdere informatie over antivirus producten is onder andere te vinden op de Nederlandse startpagina antivirus.pagina.nl en op de Engelstalige tegenhanger antivirus.about.com. Ook op de tucows site is de nodige antivirus software te halen. Kies via www.tucows.nl de gewenste tucows mirror. Kies het gewenste O.S. En vervolgens is in de Security box een verwijzing te vinden naar de pagina met virus scanners.
Wat is een Hoax?
Je hebt ze vast wel eens gehad. Een e-mail met daarin een melding over een 'zeer gevaarlijk virus'. Er doen op internet talloze nepvirusmeldingen de ronde die er zeer onheilspellend uitzien. Het zijn waarschuwingen voor gruwelijke, maar niet bestaande virussen die de hele harde schijf wissen en allerlei privé-gegevens van computergebruikers op Internet verspreiden. Op deze pagina vertel ik meer.
Bronnen:
www.virushelp.nl
http://www.aacc.nl/
http://antivirus.pagina.nl/
http://www.virusalert.nl/
http://www.surfopsafe.nl/
