Virussen: Zin en onzin
Rabo
band Beveiliging informatisering
Virussen, en we bedoelen dan computervirussen, halen de laatste
jaren regelmatig de pers. Wat zijn virussen, waartoe zijn ze in
staat en hoe kun je ze bestrijden? Een inventarisatie.
Nummer 23/2 december 1991
Na de komst van de PC in de jaren
tachtig, begonnen de eerste virus
geruchten de kop op te steken. Dat
was met name het geval in de wetenschap
pelijke wereld. Een groot deel van de bevei
ligingswereld stak de kop in het zand en be
val absolute geheimhouding over het feno
meen. Presentaties over het onderwerp
werden verboden en sprekers kregen een
spreekverbod.
Kerstmis Zoals zo vaak bij geheimhou
ding, sprak iemand toch zijn mond
voorbij. De eerste laboratoriumpro-
dukten werden aan den volke ge
toond. De voortplantingssnelheid
was enorm. Een computerleveran
cier maakte gebruik van de nieuw
ontdekte faciliteit en verspreidde in
bescheiden mate gratis software,
met overigens zeer waardevolle pro
grammatuur. Met Kerstmis kreeg ie
dere legale en illegale gebruiker van
het produkt een prachtige kerstgroet
op zijn PC. De historie heeft niet kun
nen vastleggen hoeveel illegale ko
pieën er op dat moment in omloop
waren.
Zuinig Het voorbeeld geeft één
van de belangrijkste bronnen aan
van virusverspreiding. De mens is
zuinig en waarom zou je betalen voor
een programma als het ook gratis
kan. Een gratis kopie-diskette van
een interessant programma is makkelijk te
maken. Of je zet zo'n programma recht
streeks, vanuit een zogenaamd bulletin
board via het netwerk op je eigen PC. Zon
der datje het merkt kun je dan een virus dat
zich geniepig aan dat programma heeft ge
hecht, mee kopiëren. Veel virussen worden
op die manier in omloop gebracht.
Programmadeel Een virus is niets meer
of minder dan een stuk van een computer
programma dat daarin eigenlijk niet thuis
hoort. Onder de naam virus worden vaak
voor het gemak ook gevat de zogenaamde
'wormen', 'Trojaanse paarden' en de 'lo
gische bommen'. Combinaties van de ver
schillende vormen komen ook voor. De een
voudigste van het stel is de logische bom.
In het programma zit een deel waarin de
programmeur een bepaalde afhankelijk
heid heeft verwerkt. Als daaraan wordt
voldaan, gebeurt dat wat de programmeur
heeft bedoeld. Dat geldt in principe voor
elke afhankelijkheid waarop het programma
moet reageren. Bij een logische bom is
die reactie, zoals de naam al zegt, iets ge
meens. Zo kunnen plotseling de gegevens
van de computer verdwijnen.
Blokkeren Trojaanse paarden zijn in fei
te logische bommen maar de naam geeft al
beter aan wat er aan de hand is. Er wordt
een aantrekkelijk produkt aangeboden,
maar als je het hebt geaccepteerd, komt de
aap pas uit de mouw. Bij wormen en virus
sen hebben we het veel meer over de ver
spreidingsmogelijkheden van delen van de
programmatuur. Een worm kan zelfstandig
leven en kan zich vermenigvuldigen. Vooral
in het vermenigvuldigings-mechaniek zit
vaak het probleem. Zo was de bekende
Morris-worm in staat om 6000 systemen,
die aan een internationaal netwerk waren
gekoppeld, te blokkeren en het netwerk te
verstoppen. Ook het wereldwijde netwerk
van IBM, waaraan veel grote systemen van
IBM zelf waren gekoppeld, kwam door een
dergelijk fenomeen tot stilstand. Daarbij
werd overigens geen echt programma ge-
3en coaputerviru is een klei co»puter rogrs na d t in staat is sich p
dive se aa ieren n o gen k nte nestelpn a nnof.biane ande e p rog ra -
aa'srof dinke teseen ni erpt i n erete a rsprei enn aa rndere PC
Soia e i u tensi jnse hooged h ab i v nd e adenaa nterr chte i
et gfo a tss- y ieea np ri bau ie .eDe es rusd n a enav el aa' o
ac n f e n es pr gca nt d n a de neagkde n van
di c i d n orr e er e c h t
hivsr v cj h in
sl h o r s e s r aad sge biltrn v viee se le
har e s f rfio ert f aatia ve rde iad ieg n d dis ejf bte n s.
Veraitkih ah, d ni soinadie opeicheken elesgl as wiesec i niee t e nde
volstnanngrtieeiar ien a iet'onsiictseve o ee eisscnerA.er av n.s
Oadataveeajbedrvpfesrotetsenvainnenhselfnn afs eldjkhriandgevordrusv n
software,leordeijdspcocpstervbrussendeebarp elv ktlibedrejgingevooendeee
processen.vDeamsieo'sakunneniaanaerkelnjkk aa dewordenidoorweenrgoe
viruspreventie.iDecbesteuviruspreventieiec n nlb de juiste houding van
PC-gebruikers ten aansien van beveiliging, r han uding kenaerkt rich
door het op lgen van ee aan al rganis t g ree aa rege n da i
kan e s uik ord akt ee ingedahec s rs -a
g e tere i se i
t vo hDeschho at Ine ar d
en.ev n gebr w en t a orisalet hni cheevoo ienib je
n geaa ovan n aantDok 1 Pg 2 Rg 4,96c Posn25c
Schermafdruk van het resultaat van Cascade-virus op een tekst.
bruikt. Hier had de uitvinder het elektroni
sche postsysteem gebruikt om een bericht
te zenden aan iedere gebruiker, die op ieder
aangesloten systeem bekend was.
Virussen Virussen kunnen niet alléén
bestaan, maar hebben altijd een gastheer
nodig. Om tot actie te komen moet de gast
heer, een computerprogramma, op het sys
teem worden uitgevoerd. Sommige virussen
zijn niet kieskeurig en kiezen soms een
gastheer waar zelf geen leven in zit. Een
tekstbestand bijvoorbeeld. Het virus kan
hier geen verdere schade meer berokke
nen, maar vernielt wel het tekstbestand.
We zullen het in het vervolg alleen nog maar
over virussen hebben en bedoelen dan alle
bovenbedoelde vormen en combinaties
daarvan.
Programmeren Virussen zijn dus stuk
ken programma, die de computer iets laten
uitvoeren. Dat betekent dat met elke vorm
van programmeren in principe een virus
kan worden gemaakt. Zo is gedemon
streerd dat bijvoorbeeld met een Wordper-
fect macro een kwaadaardige actie kan
worden gebouwd. Hetzelfde geldt voor bij
voorbeeld andere tekstverwerkers en data-
base-pakketten. Dat is niet zo merkwaar
dig want programmeurs en gebruikers
maakten al jaren fouten die onbedoelde ef
fecten hadden.
Verbergen In de wereld van de PC is het
kennisniveau om programma's aan te pas
sen groot. Op basis van ontdekte en gepu
bliceerde virusprogramma's worden daarin
kleine veranderingen aangebracht om ande
re effecten te bereiken, andere storingen te
veroorzaken en ook om herkenning te voor
komen. De makers van virussen stellen al
les in het werk om herkenning van hun virus
te bemoeilijken. Zo zijn sommige virussen
in staat om elke keer dat ze worden uitge
voerd van gedaante en structuur te verande
ren. Virussen zijn in staat om zich te verber
gen in het geheugen van de computer, op
de schijfgeheugens en besturen vaak het
operating system DOS van de PC zodanig,
dat de gewone gebruiker in eerste instantie
niets ongewoons bemerkt. Er zijn ook al de
len van virussen aangetroffen waarvan men
aanneemt dat het kwaadaardige deel nog in
omloop moet worden gebracht. Het niet
kwaadaardige deel berokkent vooralsnog
geen schade.
Bestrijden De komst van de virussen
heeft een aantal nieuwe produkten op de
markt gebracht, de virusbestrijdings-
hulpmiddelen. De bekendste vorm
is de virusdetectie-programmatuur.
Deze programma's worden gebruikt
om systemen en nieuw ontvangen
programma's te controleren op de
aanwezigheid van virussen. In eerste
instantie werden enkele tientallen
virussen herkend, nu zijn er al meer
dan zevenhonderd verschillende virus
sen en varianten.
Actueel De herkenning van de
virussen werkt pas als de leverancier
van een virusdetectie-programma de
kenmerken van een virus eenduidig
heeft kunnen vastleggen. Dat bete
kent dat het virus in omloop moet
zijn. Bovendien dient de gebruiker
een abonnement op de software te
nemen, want in feite is het produkt al
na enkele maanden sterk verouderd.
Een aantal bekende produkten wordt
gedistribueerd via bulletin boards. Besmet
ting daarvan met een virus is al een aantal
malen voorgekomen omdat deze vorm van
distributie onbewaakt is.
Preventie Software voor virus-detectie
wordt gebruikt om een programma, voordat
het wordt uitgevoerd, te controleren op de
aanwezigheid van virussen. Deze program
matuur maakt van dezelfde herkennings
technieken gebruik en heeft dus hetzelfde
probleem van veroudering. Andere pre
ventietechnieken maken gebruik van zoge
naamde controle-tellingen van het oor
spronkelijke programma. Voordat tot uit
voering van een mogelijk besmet program
ma wordt overgegaan worden eerst de con
troletellingen vergeleken. Deze techniek is
weliswaar niet aan veroudering onderhevig
maar sommige virussen zijn in staat deze
software te ontdekken en te omzeilen. Als
het oorspronkelijke programma al is be
smet, wordt dit uiteraard niet ontdekt. Een
aantal software-leveranciers heeft onge
wild besmette programma's uitgeleverd
aan klanten.
De situatie lijkt niet erg rooskleurig. Een
verdubbeling van het aantal virussen in zes
maanden geeft dat al aan. Herkenning is
een doodlopende weg, want steeds duiken
er nieuwe virussen op. Sommige vormen
van virussen kunnen zich op alle vormen
van computers, van grote IBM-installaties
tot de spelcomputer bevinden en schade
berokkenen. Alleen uitgebreide maatrege
len en goede procedures kunnen de kans
op een besmetting verkleinen.