Overzicht

Als men het over virussen, wormen en Trojaanse paarden heeft, dan heeft men het over het algemeen over een schadelijk aspect van software. Inmiddels is het overkoepelende begrip malware (een samentrekking van malicious = kwaadaardig of schadelijk en software) ingeburgerd. Onder malware vallen programma's die met kwaadaardige bedoelingen elektronische gegevens ontoegankelijk maken, wijzigen, verwijderen of voor onbevoegden toegankelijk maken. Malware heeft altijd een schadelijke functie (in het Engels 'payload') en heeft verschillende effecten. Dit kan variëren van een ongevaarlijke melding over de eigen aanwezigheid tot het achterhalen van persoonlijke gegevens en het wissen van de harde schijf. Malware kan worden onderverdeeld in drie groepen: Trojaans paarden, wormen en virussen. Spyware en 0190-dialers behoren tot de Trojaanse paarden. In ruimere zin vallen ook hoaxes

Trojaanse paarden

Trojaanse paarden – vaak ook ten onrechte trojanen genoemd – verschillen van wormen en virussen doordat zij zich niet zelfstandig reproduceren. De naam Trojaans paard is afgeleid van het historische voorbeeld en beschrijft een programma dat de gebruiker wijsmaakt een bepaalde en gewenste functie te bezitten. Daarnaast bevatten trojanen een verborgen programmaonderdeel, waardoor de besmette computer als het ware toegankelijk wordt via de achterdeur en dus volledige toegang tot het systeem biedt zonder dat de gebruiker dat in de gaten heeft.
De mogelijkheden van Trojaanse paarden om zich te verbergen zijn vrijwel onbeperkt. Zij kunnen zich in commandoregels voor UNIX-beheerssystemen verstoppen als passwd, ps of netstat (zogenaamde 'rootkits'), of als 'Remote Access Trojans' (zogenaamde RAT's, ook wel 'backdoor' genoemd) binnendringen. Deze verraderlijke programma's worden echter ook via e-mail verstuurd als zogenaamde screensavers of spelletjes. Om het systeem te besmetten met het schadelijke programma hoeft het slechts één keer te worden opgestart.

Overeenkomsten tussen virussen en wormen

Virussen en wormen zijn opgebouwd uit de volgende componenten:

Reproductiecomponent	Dit programmacomponent zorgt voor de vermenigvuldiging van het virus. Dit is een vast onderdeel van alle virussen en wormen: De besmetting kan plaatsvinden via diskettes (en andere verwisselbare gegevensdragers), vrijgegeven mappen, netwerkscans, peer-to-peer-netwerken of e-mails en chatberichten. Hierbij gebruiken de schadelijke programma's talrijke verschillende aanvalspunten, die deels alleen bij bepaalde combinaties van hardware, software en besturingssysteem functioneren.
Herkenningscomponent	In het herkenningsdeel wordt gecontroleerd of er al sprake is van een infectie met dit virus. Elk programma mag slechts eenmaal worden besmet, om de verspreiding te versnellen en de vermomming in stand te houden.
Schadelijke component	De schadelijke functies (in het Engels 'payload') van virussen en wormen kunnen in de volgende groepen worden onderverdeeld: Met backdoor-programma's verschaft een hacker zich toegang tot de computer en de gegevens. Zo kan hij de gegevens manipuleren of Denial of Service (DoS)-aanvallen starten. Er kunnen gegevensmanipulaties worden uitgevoerd. Dat varieert van (meer of minder grappige) meldingen, weergaven en geluiden tot de verwijdering van bestanden en stations. De toegang tot gegevens kan bijvoorbeeld via een codering worden belemmerd. Er kan ook informatie worden bekeken en verzonden. Het doel van deze aanvallen is het bemachtigen van wachtwoorden, nummers van creditcards, inlognamen en andere persoonlijke gegevens en bedrijfsgeheimen. Vaak worden geïnfecteerde computers gebruikt voor Denial of Service (DoS)-aanvallen. DoS-aanvallen hebben tot doel een dienst of website door een overvloed aan aanvragen te overbelasten. Als de aanval alleen van één bron afkomstig is, kunnen dergelijke aanvallen erg gemakkelijk worden afgeslagen. In Distributed Denial of Service (DDoS)-aanvallen worden daarom besmette computers misbruikt om die aanval te ondersteunen. DoS- en DDoS-aanvallen kunnen tot doel hebben het doelsysteem plat te leggen, de bandbreedte en de opslagcapaciteit te overbelasten of de dienst in het netwerk ontoegankelijk te maken. Een expliciet schadedeel kan echter ook ontbreken. Maar de verspilde bewerkingstijd, de benodigde netwerkbandbreedte en de verhoogde geheugenbelasting vormen toch al een payload.
Conditiecomponent	Zowel de verspreiding als de schadelijke functie kunnen afhankelijk van voorwaarden geprogrammeerd zijn. In het eenvoudigste geval start de schadelijke code automatisch, zonder dat het slachtoffer daar iets van merkt. In enkele gevallen moet de payload door het slachtoffer zelf worden gestart. Dat kan de activering van een besmet programma zijn, het openen van een e-mailbijlage tot een phishing van persoonlijke gegevens. Het starten van de schadelijke code kan ook aan voorwaarden gekoppeld zijn. Bij bepaalde virussen treedt bijvoorbeeld de schade pas op een bepaalde datum of na een bepaald aantal oproepen op. De activering kan ook afhankelijk zijn van het feit of bepaalde programma’s op de computer aanwezig zijn.
Camouflagecomponent	Wormen, trojanen en virussen proberen te voorkomen ontdekt te worden door de gebruiker en virusscanners. Hiervoor maken ze gebruik van een reeks aan mechanismen. Zij herkennen bijvoorbeeld dat een debug-programma draait of beschermen zichzelf door overvloedige en verwarrende (assembler)-programmaregels. Ze verbergen de sporen van een infectie. Daarvoor wordt o.a. de uitgave van statusmeldingen of logboekgegevens vervalst. Bijvoorbeeld: een geheugenresident virus kan het systeem voorspiegelen dat een reeds verwijderd programma nog steeds actief is in het geheugen dat hij gebruikt. Deze methode is voornamelijk van rootkits bekend. Om ontdekking tegen te gaan, versleutelen vele virussen zichzelf en/of hun schadelijke code. Bij de decodering kan steeds dezelfde sleutel worden gebruikt, de sleutel kan uit een lijst afkomstig zijn (oligomorf) of de sleutels kunnen steeds opnieuw worden aangemaakt (polymorf). Met inpakprogramma’s worden uitvoerbare bestanden zodanig geherstructureerd dat zij alleen met nieuwe virushandtekeningen kunnen worden herkend.

Wormen

Een worm hecht zich in tegenstelling tot een virus niet aan uitvoerbare bestanden. Hij verspreidt zich door via netwerken of computerverbindingen naar andere computers over te gaan.

Netwerkwormen

In netwerken worden op willekeurig gekozen computers enkele poorten gescand en als een aanval mogelijk is, worden de zwakke plekken in protocollen (bijvoorbeeld IIS) of hun implementatie misbruikt voor de verspreiding. Bekende vertegenwoordigers van deze groep zijn “Lovsan/Blaser” en “CodeRed”.
Sasser misbruikt een buffer-overflow-fout in de Local Security Authority Subsystem Service (LSASS) en besmet computers terwijl deze verbonden zijn met internet.

E-mailwormen

Bij de verspreiding per e-mail kan de worm een e-mailprogramma (zoals Outlook of Outlook Express) gebruiken of een eigen SMTP-mailengine bij zich dragen. Buiten het daaruit voortvloeiende netwerkverkeer en de verhoogde systeemresources kunnen wormen nog meer schade toebrengen. Prominente leden van deze familie zijn Beagle en Sober.

Peer-to-peer-wormen

P2P-wormen kopiëren zichzelf na vrijgaven op Peer-to-peer-ruilbeurzen zoals Emule, Kazaa enz. Hier wachten zij met verleidelijke bestandsnamen van actuele software of bekende personen op hun slachtoffers.

Instant-Messaging-wormen

IM-wormen gebruiken chatprogramma’s om zich te verspreiden. Zij gebruiken niet alleen de functies voor de gegevensoverdracht. Steeds vaker sturen zij een link naar een schadelijke website. Sommige IM-wormen zijn zelfs in staat met de toekomstige slachtoffers te chatten.

Virussen

Ook virussen richten zich op de eigen vermenigvuldiging en verspreiding naar andere computers. Daarvoor hechten zij zich aan andere bestanden of nestelen ze zich in de bootsector van gegevensdragers. Ze worden vaak ongemerkt een pc binnengesmokkeld via verwisselbare gegevensdragers (zoals diskettes), via netwerken (ook peer-to-peer (P2P)), per e-mail of via internet.

Virussen kunnen veel verschillende plekken binnen het besturingssysteem aanvallen en werken via diverse kanalen. Men onderscheidt de volgende groepen:

Bootsector-virussen

Bootsector- of MBR-virussen (= Master Boot Record-virussen) plaatsen zichzelf voor de eigenlijke bootsector van een gegevensdrager en zorgen er zo voor dat bij het opstarten vanaf deze gegevensdrager eerst de viruscode wordt gelezen en daarna de oorspronkelijke bootsector. Op deze manier nestelt het virus zich ongemerkt in het systeem en wordt het vanaf dat moment bij het opstarten vanaf de harde schijf uitgevoerd. Vaak blijft de viruscode na de besmetting in het geheugen aanwezig. Dergelijke virussen noemt men geheugenresident. Bij het formatteren van diskettes wordt het virus dan doorgegeven en kan het zich op die manier ook verspreiden naar andere computers. Maar een bootsector-virus kan niet alleen tijdens het formatteren actief worden. Het is ook mogelijk dat het door het DOS-commando DIR wordt overgebracht vanaf een besmette diskette. Afhankelijk van de schadelijke code zijn bootsector-virussen uiterst gevaarlijk of niet meer dan hinderlijk. Het oudste en meest verspreide virus van dit type draagt de naam 'Form'.

Bestandsvirussen

Veel virussen kunnen zich in uitvoerbare bestanden verbergen. Hiervoor kan het bestand worden verwijderd/overschreven of hecht het virus zich aan het bestand. In het laatstgenoemde geval blijft de uitvoerbare code van het bestand goed functioneren. Als het uitvoerbare bestand wordt opgeroepen, wordt de meestal in assembler geschreven viruscode uitgevoerd en pas daarna het oorspronkelijke programma gestart (indien dit niet gewist is).

Multipartitie-virussen

Deze virussen zijn uiterst gevaarlijk, omdat ze zowel de bootsector (respectievelijk partitietabellen) besmetten als uitvoerbare bestanden.

Companionvirussen

Onder DOS worden COM-bestanden uitgevoerd voor gelijknamige EXE-bestanden. In de tijd dat computers alleen of vooral via commandoregels werden bediend, was het een effectieve manier om ongemerkt schadelijke code op een computer uit te voeren.

Macrovirussen

Ook macrovirussen koppelen zich aan bestanden. Deze zijn echter zelf niet uitvoerbaar. Macrovirussen zijn ook niet geschreven in assembler, maar in een macrotaal als Visual Basic. Om het virus uit te voeren, moet het worden vertaald voor een macrotaal die is geïntegreerd in Word, Excel, Access en PowerPoint. Voor het overige kunnen bij macrovirussen dezelfde mechanismen werkzaam zijn als bij bestandsvirussen. Ook kunnen ze zich camoufleren, de bootsector besmetten of companionvirussen aanmaken.

Stealth-virussen en rootkits

Stealth-virussen, of gemaskeerde virussen, beschikken over speciale beschermingsmechanismen om zich te verschuilen voor virusscanners. Daartoe nemen ze de controle over van diverse systeemfuncties. Is dit eenmaal gelukt, dan kunnen deze virussen bij een normale aanval op bestanden of systeemonderdelen niet meer worden gedetecteerd. Ze laten de virusscanner denken dat een geïnfecteerd bestand niet besmet is of maken het bestand voor de virusscanner onzichtbaar. De camouflagemechanismen van stealth-virussen werken pas nadat het virus zich in het werkgeheugen bevindt.

Polymorfe virussen

Polymorfe virussen bevatten mechanismen om hun uiterlijk bij iedere besmetting te veranderen. Daartoe worden delen van het virus gecodeerd. De in het virus geïntegreerde coderingsroutine genereert daarbij voor iedere kopie een nieuwe sleutel en voor een deel zelfs nieuwe coderingsroutines. Bovendien kunnen reeksen opdrachten die niet vereist zijn voor het functioneren van het virus worden verwisseld of willekeurig worden tussengevoegd. Op die manier kunnen eenvoudig miljarden varianten van een virus ontstaan. Om er zeker van te zijn dat versleutelde en polymorfe virussen worden herkend en vernietigd, is de inzet van klassieke virushandtekeningen vaak niet voldoende. Meestal moeten er speciale programma's voor worden geschreven. De onderzoekskosten en het inzetten van speciale tegenmaatregelen kunnen daardoor extreem hoog zijn. Polymorfe virussen zijn dus zonder overdrijving te beschouwen als de hoogste klasse onder de virussen.

Intended virus

Een intended virus is een gedeeltelijk defect virus dat er weliswaar in slaagt een eerste bestand te besmetten, maar zich niet verder weet te vermenigvuldigen.

E-mailvirussen

E-mailvirussen behoren tot de zogenaamde 'blended threats' (= vermengde bedreigingen). Deze malware combineert de eigenschappen van trojanen, wormen en virussen. Door het Bubbleboy-virus werd bekend dat het mogelijk is om al voor de preview van een HTML-mail een virus op de pc binnen te sluizen. De gevaarlijke viruscode verstopt zich in HTML-mails en misbruikt een beveiligingslek in Microsoft Internet Explorer. Het gevaar van dergelijke “combivirussen” mag niet worden onderschat.

Trojaanse paarden

Trojaanse paarden (TP) hebben geen eigen verspreidingsroutines. Zij worden via e-mail verstuurd of liggen op ruilbeurzen of op websites op de loer. De classificatie geschiedt aan de hand van hun schadelijke functie.

Backdoors

Backdoors openen een achterdeur die toegang geeft tot de geïnfecteerde computer. Op deze manier kan de computer door de aanvaller op afstand worden bestuurd. Meestal kan aanvullende software worden geïnstalleerd en wordt de computer met andere zombie-pc’s in een botnet geïntegreerd. Er bestaan echter ook legitieme gebruiksmogelijkheden. Veel systeembeheerders gebruiken op afstand te gebruiken programma's om computers te beheren. Vooral bij grote bedrijven is dit erg handig. Normaal gesproken heeft de systeembeheerder toegang tot het systeem met medeweten en goedkeuring van de gebruiker van de pc. Pas wanneer deze backdoor-functies zonder medeweten van de pc-gebruiker worden gebruikt en er schadelijke handelingen worden verricht, verandert een backdoor-programma in malware.

Adware

Adware registreert de activiteiten en processen op een computer, zoals het surfgedrag. Op een geschikt moment worden vervolgens reclameboodschappen weergegeven. Of de resultaten van zoekopdrachten worden gemanipuleerd.

Spyware

Met spyware worden gegevens gestolen: wachtwoorden, documenten en gegevens, registratienummers van software, e-mailadressen en nog veel meer. De gegevens worden op gegevensdragers gezocht of uit het netwerkverkeer gefilterd. Ook de gegevens uit webformulieren (in het bijzonder bij online-banken) worden verzameld. In het ergste geval hebben de aanvallers dan toegang tot alle e-mailaccounts, forums en online-shops die het slachtoffer gebruikt. Online-criminelen gebruiken deze vermomming graag.

Downloader en droppers

Veel Trojaanse paarden hebben een specifieke taak. Downloaders en droppers hebben de taak een bestand op de geïnfecteerde computer te laden of te kopiëren. Eerst proberen zij vaak de veiligheidsinstellingen van het systeem te verlagen.

Dialer

Dialers worden vaak ongemerkt op de computer geïnstalleerd. Als de verbinding per modem wordt opgebouwd, wordt bij de eerstvolgende verbinding een duur servicenummer of dergelijke gebruikt. Met de wetgeving voor het bestrijden van misbruik van (0)190/(0)900 servicenummers zijn sinds 15 augustus 2003 enkele beperkende maatregelen (maximale tarieven, registratie) van kracht geworden. De dialers blijven echter een lastige plaag die in bepaalde gevallen tot grote financiële schade kan leiden. Met anti-dialerprogramma’s zoals Dialer Control kan men zich tegen ongewenste dialers beschermen.

Malware in bredere zin

Voor de volledigheid dienen wij hier nog enkele andere lastige en voor een deel ook schadelijke categorieën te noemen die wij niet als malware classificeren.

Hoaxes

Hoaxes zijn vermeende foutmeldingen die vaak via e-mail worden verspreid. De ontvangers wordt gevraagd om de e-mailwaarschuwing aan vrienden en bekenden door te sturen. Meestal gaat het bij deze meldingen echter alleen om paniekzaaierij. Meer ...

Spam

Een eveneens dure en lastige plaag is het versturen van ongewenste reclamemail of propagandamail. Moderne anti-spamprogramma's combineren statische (tekstanalyse, overzichten van mailservers) en statistische (gebaseerd op de Bayes-theorie) procedures om ongewenste post uit te filteren.

Phishing

Onder phishing verstaat men de poging persoonlijke gegevens zoals loginnamen, wachtwoorden, creditcardnummers, banktoegangsgegevens enz. via vervalste websites of e-mails te verkrijgen. Vaak wordt het slachtoffer hiervoor naar vervalste websites gelokt. In de afgelopen jaren is dit fenomeen sterk toegenomen. Gespecialiseerde Trojaanse paarden zorgen intussen voor miljardenschade. Meer hierover vindt u op de website www.antiphishing.org (Engels).