Anti-virusfabrikanten profiteren van eigen falen

I Love You is lappendeken van bestaande, bekende software

Leveranciers van anti-virusprogrammatuur profiteren van rondwarende virusplagen als het recente 'I love you', maar blijken niet goed in staat bekende gevaren af te vangen. Sinds jaar en dag vertrouwen virusscanners naast lijsten met bekende virussen ook op heuristische technologie die virussen detecteert op eigenschappen als softwarecode en gedrag. 'I love you,' dat is samengesteld uit bestaande virus-code, is echter niet onderschept.

Het Scandinavische Norman Data Defense Systems, onder meer eigenaar van de bekende Thunderbyte-virusscanner, kwam vorige week donderdagochtend al met een tegenmiddel op de proppen. De anti-virusleverancier had efficiënt gebruik gemaakt van het feit dat de 'I love you'-besmetting was begonnen op de Filippijnen en zich met de tijd verspreidde naar het Westen.
Ook het Britse Sophos wist de gegeven tijd te benutten en was één van de drie bedrijven die als eerste met een antwoord op het e-mailvirus kwamen. Symantec was er ook vlot bij om eigen software uit te brengen die gebruikers veilig stelt voor 'I love you', ook bekend als Loveletter.

Voorbereidingstijd

Het verspreidingspatroon van de nep-liefdesmail gaf Amerikaanse bedrijven, zowel potentiële slachtoffers als anti-virusleveranciers, zeker twaalf uur de tijd om zich voor te bereiden. Grote producenten van virusscanners, zoals Network Associates en Symantec, hebben echter wereldwijd crisiscentra die zich storten op het ontwikkelen van tegenmiddelen zodra er nieuwe virussen opduiken. Die centra zijn juist bedoeld om de verspreiding van virussen als Melissa en I Love You het hoofd te bieden. Toch bleek dit niet afdoende om grote klappen bij het Amerikaanse bedrijfsleven te voorkomen.
Sophos heeft dan ook vorige week een internationaal virus-uitwisselingsinitiatief opgezet om de anti-virusindustrie te verenigen in de bestrijding van dergelijke plagen. Overigens hebben Symantec en Network Associates al bedankt voor het lidmaatschap van deze zogeheten Revs (rapid exchange of virus samples). Elk van deze bedrijven streeft er immers naar zich te verheffen boven de concurrentie; het delen van kennis, hoe miniem dan ook, druist daar tegenin.

Opmerkelijk

Beveiligingsexperts vinden het opmerkelijk dat 'I love you' niet van tevoren is herkend. Deze plaag maakt namelijk gebruik van enkele gedocumenteerde beveiligingsgaten in het besturingssysteem Windows en e-mailprogramma's als Outlook en Eudora. Bovendien is de Loveletter opgebouwd uit brokken van andere, reeds gedefinieerde virussen.
De meest bekende daarvan is het e-mailvirus Melissa dat vorig jaar de wereld overspoelde. Dit virus richtte op de besmette computers geen kwaad aan, maar stuurde zichzelf door naar alle e-mailadressen in het adressenbestand van Microsofts Outlook. Dat veroorzaakte een dusdanig zwaar e-mailverkeer dat complete mailsystemen plat gingen. Toch is het min of meer afgeleide 'I love you' onder de radar van anti-virussoftware door gevlogen.