Virussen uit Babylon

02 september 2004 - 22:008 minuten leestijdAchtergrondSecurity & Awareness
Marnix van Meer
Marnix van Meer

De fabrikanten van antivirussoftware beperken zich al lang niet meer tot virussen. Ook wormen, Trojaanse paarden en ander ongedierte worden door hen aangepakt. Databeveiligingsbedrijf Crypsys maakte een top 18 van meest voorkomende bedreigingen aan de hand van een analyse van de namen van ‘virussen’ zoals deze door de fabrikanten op hun websites worden beschreven.Helaas brengen de fabrikanten de malicieuze code niet duidelijk in kaart.

  
Tabel 1. Onderscheid tussen fabrikanten bij het maken van indexeringen (Bron: Crypsys).
Ruim 15 jaar geleden verscheen de eerste antivirussoftware op onze markt. Eén van de eerste producten kwam van McAfee. Het koste 20 dollar en zag alle zes virussen; updates waren niet nodig. Tegenwoordig controleert de antivirussoftware niet alleen op virussen, maar ook op andere schadelijke software zoals wormen, Trojaanse paarden (Trojan horses), ‘dialers’, ‘backdoors’, enzovoort.
De fabrikanten hebben miljoenen dollars gestopt in de promotie van hun antivirussoftware en merknaam terwijl de markt langzaam maar heel zeker verschoof naar het verspreiden van voornamelijk wormen en Trojaanse paarden. Tot op de dag van vandaag hebben we het nog steeds over ‘virussen’ terwijl dat woord in de praktijk de lading niet meer dekt.
 
  
Tabel 2. Analyse van virussen zoals beschreven op website van fabrikanten. Getallen in percentages (Bron: Crypsys).

Wildlist

De antivirussoftwarebranche nadert inmiddels de magische grens van 100.000 verschillende ‘virussen’. De Wildlist-organisatie (http://www.wildlist.org) geeft overzichten uit van virussen die daadwerkelijk ‘in het wild’ worden aangetroffen. In dat overzicht blijft de teller steken op ruim 700 (!) en dus niet op 100.000 virussen. Dit is voor een groot deel te verklaren doordat veel virussen tijdig onderschept worden en niet in het wild verspreid worden.
De Wildlist-organisatie maakt melding van in het wild aangetroffen virussen, maar niet van andere schadelijke code. Als de organisatie niet met haar tijd meegaat en zich blijft beperken tot virussen, dan heeft ze haar langste tijd gehad. Misschien moet ze overwegen om te gaan samenwerken met andere partijen die inmiddels in dit gat gesprongen zijn.

Vatbaarheid

In toenemende mate duiken er ‘virussen’ op onder de noemer ‘proof of concept’. Hiermee wordt aangetoond dat bepaalde omgevingen wel degelijk vatbaar zijn voor besmettingen. Een recent voorbeeld hiervan is het Cabir-virus voor de Nokia Serie 6 telefoons. Virusschrijvers hebben met dit virus laten zien over voldoende kennis te beschikken. De toename van het aantal mobiele apparaten met multifunctionele mogelijkheden zal nog voor een groot aantal onaangename verassingen zorgen.
De aandacht voor het Cabir-virus was zwaar overdreven omdat het niet in het wild aangetroffen is. Ook werkt het virus maar voor een beperkt aantal telefoons, en moet de gebruiker bewust de code accepteren op zijn toestel. De marketingmachines van de antivirusfabrikanten sturen heel bewust op aandacht voor dit virus aan, met het gevaar dat serieuze waarschuwingen over het hoofd worden gezien.

Analyse

De antivirusfabrikanten schermen graag met het totaal aantal virussen dat ze kunnen detecteren (wilde virussen’ of ‘proof of concepts’), maar worden plotseling heel zwijgzaam wanneer er naar gedetailleerde informatie over gedetecteerde virussen wordt gevraagd. Ook blijken er grote verschillen te bestaan in de kwaliteit van de door antivirusfabrikanten geboden informatie over virussen.
Eén van de mogelijkheden om toch een beter beeld te krijgen van de situatie, is het in kaart brengen van de analyses die de fabrikanten op hun website tonen. Deze informatie is echter niet compleet en biedt geen analyse van de 100.000 verschillende virussen.
We mogen gerust aannemen dat een fabrikant alleen informatie op zijn website plaatst wanneer die volgens hem interessant genoeg is voor vermelding.

Index van fabrikanten

Het is (nog) gebruikelijk om virussen te indexeren in een categorie. Deze categorie komt dan ook vaak weer terug in de naamgeving van het virus. Dit maakt het voor de gebruiker van antivirussoftware makkelijker om snel basisinformatie over een virus te krijgen. Zo is van het virus troj/admin meteen duidelijk dat het om een Trojaans paard gaat.
Als er een combinatie van technieken gebruikt wordt, bijvoorbeeld een Trojaans paard en een ‘dialer’ dan werkt indexeren helaas niet meer. De huidige techniek van indexeren zal daarom steeds meer zijn waarde verliezen en de fabrikanten moeten op zoek naar alternatieven. Extra handicap hierbij blijft het ontbreken van een internationale afspraak betreffende de naamgeving van virussen, waardoor er nog steeds verschillende namen voor hetzelfde virus worden gebruikt.
Tabel 1 laat zien hoeveel onderscheid fabrikanten maken bij indexeringen. Hoe hoger het getal hoe meer indexeringen er gebruikt worden bij de naamgeving.
Blijkbaar zijn nog niet alle fabrikanten er klaar voor om malicieuze code duidelijk in kaart te brengen, of blijft de controle zelfs beperkt tot virale code.
In tabel 2 is bewust geen gebruik gemaakt van de indexering van de fabrikanten omdat deze vaak te beperkt is en een vergelijking van de onderlinge merken onmogelijk maakt. Als alternatief is de naam van het virus geanalyseerd zoals deze door de fabrikant op de website wordt beschreven. Hierbij zijn de onderstaande achttien verschillende letter/cijfer-combinaties gebruikt.
De top 5 van de meest voorkomende beschrijvingen is nauwelijks verrassend.
Opvallend in de tabel is het aantal beschrijvingen van backdoor-technieken (6 procent). Het aantal beschrijvingen van adware-technieken is echter opvallend laag, helemaal als je in beschouwing neemt dat er inmiddels fabrikanten zijn die zich op deze markt richten.

Verschillen per fabrikant

Een goede informatievoorziening is van groot belang om snel en adequaat op meldingen te kunnen reageren. Zo is een melding over een hoax waarschijnlijk minder urgent dan een melding over een Trojaanse paard. Hoe eerder je deze afweging kunt maken hoe beter.
Hieronder worden de benamingen van ‘virussen’ per fabrikant vergeleken. De tabellen geven aan hoe vaak de letter/cijfer-combinaties gebruikt worden in de benamingen van de fabrikant. Hierbij moet rekening worden gehouden met een drietal redenen voor vervuiling van de cijfers.
Virussen worden in een aantal gevallen dubbel weergegeven, bijvoorbeeld als
Startpage.AZ en W32/StartpageAZ. Ondanks deze vervuiling is wel een aantal
belangrijke verschillen waarneembaar.
Bij Trend Micro wordt het de website-bezoeker onmogelijk gemaakt om een
goede analyse te maken omdat een zoekopdracht nooit meer dan driehonderd resultaten weergeeft.
Bij McAfee worden veel aliassen genoemd zoals deze door andere leveranciers
gebruikt worden. Doordat deze los vermeld staan, kan één letter/cijfer-combinatie
meerdere malen geteld zijn.

Wormen en grapjes

Windows executable virussen en wormen voor Windows 95 en hoger vallen onder de noemer W32 of Win 32 (zie tabel 3). Deze besturingssystemen van Microsoft liggen helaas erg onder vuur en zijn een dankbaar doelwit voor de virusschrijvers.
Niet iedere antivirusfabrikant geeft nauwkeurig de verschillen tussen de virussen aan. Hiermee is meteen een belangrijk kwaliteitsverschil aangegeven, want in het geval van een escalatie in de vorm van een virusuitbraak kan juist zo’n nuanceverschil ervoor zorgen dat je sneller op de juiste manier kan reageren.

  

Tabel 3. Aantal keren dat letter/cijfer-combinaties in benamingen worden gebruikt door fabrikanten (Bron: Crypsys).
Wormen zijn een soort virussen die geen applicatie of data hoeven te besmetten om zich te verspreiden. Wormen kunnen zichzelf verspreiden en doen dit vrijwel uitsluitend via mail, internet, ‘peer to peer’ en netwerk-shares. Wormen installeren wel vaak extra programma’s op de besmette computers voor bijvoorbeeld het versturen van mail of stelen van wachtwoorden. Vaak staat in de uitgebreide tekst wel gespecificeerd dat het om een worm gaat, maar bij een aantal fabrikanten is dit dus niet snel uit de naam af te leiden.
Het gebruik van Visual Basic Script raakt wat meer op de achtergrond. Nieuwe omgevingen zoals Win CE, Pocket PC, Palm en Symbian lijken een nieuwe uitdaging te vormen. Wel hebben de fabrikanten een groot aantal herkenningspatronen opgenomen voor favoriete VBS-virussen uit het verleden.
Vals alarm en grapjes (hoax en jokes) zijn niet direct schadelijk voor de it-omgeving maar vervuilen het netwerk en de backups en kosten een hoop productiviteitsverlies. De beste preventie is ze op de email gateway tegen te houden, nog voordat het de eigen mailserver bereikt.
Bij Java en JS zijn de verschillen grotendeels te verklaren door dubbele tellingen. Alleen Fsecure en Kasperski blijken nog weinig informatie te verstrekken over Java en JS code.

Trojaanse paarden

Dialers kunnen (thuis)gebruikers een hoop geld kosten. Hier is duidelijk dat de antivirusfabrikanten nog niet op één lijn zitten voor wat betreft de informatie en detectie van dialers.
Het voorbeeld van Cabir maakt duidelijk dat een enkel ‘proof of concept’ met creatief boekhouden veel dubbele vermeldingen kan geven. Het gaat hier om één virus waarvan twee varianten bekend zijn die met één antiviruspatroon te herkennen zijn.
Voor antivirusfabrikanten is de adware-wereld geheel nieuw. De magere beschrijving van adware-code is hiervan het bewijs. Het ligt in de lijn der verwachting dat antivirusproducenten op overnamepad zullen gaan om de juiste detectietechniek snel in handen te krijgen. Voor ‘spyware’, ‘backdoors’ en Trojaanse paarden is al veel aandacht, mede omdat wachtwoorden, data en privacy hiermee in gevaar komen. Kasperski, Fsecure, Norman en Trend bieden hier nog relatief weinig informatie.
Virussen in bmp-plaatjes, mp3 en via MSN of IRC komen vooral onder de aandacht via de media. De diverse antivirusscanners bieden op dit gebied nog maar beperkt informatie.

Achterhaald

De term antivirussoftware is behoorlijk achterhaald. Antivirussoftware zal namelijk steeds vaker andere schadelijke code detecteren en beschrijven. In een verzadigde antivirusmarkt lijkt dit ook een logische volgende stap. Ook combinaties met cache cleaners, popup-blockers en persoonlijke firewalls kunnen we steeds meer verwachten. De kwaliteit van deze oplossingen met extra functionaliteit is in eerste instantie afhankelijk van de detectietechnieken. Ook zullen uitstekende tools moeten worden geboden voor updates, beheer en rapportage. Op dit laatste punt blijken er wel degelijk grote verschillen te bestaan.

 
Marnix van Meer, product & marketing director Crypsys Data Security

    Whitepapers

    Computable.nl

    Slimme connectiviteit: de toekomst van bouwen

    Hoe stoom jij jouw organisatie in de bouw en installatie sector klaar voor de digitale toekomst?

    Computable.nl

    De weg van dataverzameling naar impact

    Iedere organisatie heeft data, maar niet iedereen weet hoe je het goed gebruikt. Hoe zet je waardevolle informatie om in actie?

    Computable.nl

    Beveiliging en IT samen sterk tegen bedreigingen

    Deze paper geeft concrete strategieën en handvatten om IT en Security effectiever te integreren.

    Meer lezen

    Geef een reactie

    Footer