Computervirussen - door Mark Smids

<<-------------------------------zet je browser op deze breedte---------------------------------->>

Door: Mark Smids

Index

Inleiding
Verschillende soorten virussen

Type 1 : Virus
Type 2 : Worm
Type 3 : Trojan Horse
Overzicht

Vragen (1)
Anti-virus software
slimme technieken die virussen gebruiken
Vragen (2)
Conclusie
Project (optioneel)
Referenties

Download docentenhandleiding (Word document)

Inleiding

Het is de angst van iedere computergebruiker: belangrijke gegevens op hun eigen computer worden gewist of gewijzigd door een virus. Of erger nog: je gegevens worden, zonder dat je het weet, verspreid over de hele wereld. Want ook dat kunnen virussen van tegenwoordig. Een virus wordt in de volksmond vaak als een verzamelnaam gebruikt voor drie soorten stukjes software:

Software die schade doet aan eigen bestanden en bovendien andere locale bestanden kan infecteren.
Software die zich verspreidt via e-mail en daarmee veel internetverkeer veroorzaakt. Bij de verspreiding kunnen belangrijke persoonlijke gegevens openbaar worden.
Software die poorten van je computer kan openzetten waardoor andere gebruikers via internet toegang kunnen krijgen tot jouw computer.
In deze tekst zullen de bovengenoemde drie types virussen worden beschreven en de belangrijkste verschillen en overeenkomsten worden genoemd. Vervolgens zal worden beschreven wat anti-virus software is en hoe het globaal werkt. Deze software heeft immers het doel om virussen tijdig te herkennen en uit te schakelen. Het is dus van belang dat hierover ook gesproken wordt bij dit onderwerp. Tenslotte zal een aantal slimme technieken beschreven worden die de virussen van tegenwoordig toepassen om het anti-virus programma’s moeilijk te maken. Het zal blijken dat virussen steeds ‘slimmer’ worden.

Verschillende soorten virussen

Een virus van type 1 (software die schade doet aan eigen bestanden en bovendien andere locale bestanden kan infecteren) is de oudste soort en mag eigenlijk als enige de naam virus dragen. Het oorspronkelijk doel van dit type virus was verspreiding over zoveel mogelijk bestanden op 1 computer. Het was vaak niet de bedoeling van het virus om bestanden meteen te wissen maar eerder ervoor te zorgen dat de computer langzamer werd of dat er vreemde boodschappen op het beeld kwamen te staan. Ook waren er vroeger veel virussen die date-triggered waren. Dit wil zeggen dat op een bepaalde datum het virus actief werd en dan pas schade aan je bestanden deed. Het kon dus best zo zijn dat je computer al 2 maanden met het virus geïnfecteerd was maar dat je er pas achterkwam wanneer het virus op een bepaalde datum actief werd. Een belangrijke eigenschap van een virus van dit type is dat virus zelf niet een apart programmaatje is, maar het zit als het ware aan een bestaand bestand vastgeplakt. Je zult je afvragen hoe een virus zich dan verspreidt naar andere bestanden. Dit gaat als volgt: wanneer een geïnfecteerd bestand gestart wordt, dat wil zeggen in het geheugen van de computer wordt geplaatst, blijft het virusdeel van het bestand achter in het geheugen, ook als het programma weer wordt afgesloten. Wanneer nu een ander niet-geïnfecteerd programma wordt gestart zal het virusdeel dat nog in het geheugen aanwezig is zich ook gaan hechten aan dit programma. Op deze manier worden alle bestanden besmet die je met de computer opent. Deze eigenschap, het actief blijven van het virusdeel van een programma in het geheugen, noemen we memory resident. De laatste jaren worden er vooral macrovirussen gemaakt. Ze zijn ontstaan door de groeiende populariteit van programma’s zoals Word en Excel. Deze virussen maken handig gebruik van de ingebouwde programmeertaal in programma's van Microsoft Office. Deze programmeertaal kan je gebruiken om bepaalde taken (macro's) door de computer te laten uitvoeren in bijvoorbeeld een tekst, maar deze mogelijkheid kan ook misbruikt worden door virusschrijvers. Deze virussen zijn vrijwel even gevaarlijk als andere virussen. Dus ook een onschuldig lijkend Word-tekstbestand kan zeker wel een virus bevatten!

naar index

Een virus van type 2 (Software die zich verspreidt via e-mail en daarmee veel internetverkeer veroorzaakt) is tegenwoordig het meest voorkomende virus type. Dit type virus wordt ook wel aangeduid als WORM. Een worm is een apart bestand en dus niet, zoals een virus (van type 1), een aanhangsel van een bestand. Een worm is een programma dat de mogelijkheid heeft zichzelf te verspreiden naar andere systemen vanuit zijn huidige plaats zonder evenwel andere programma’s te infecteren. Het plant zich met andere woorden vanzelf voort. Aangezien zij geen programma’s op de eigen computer infecteren zijn ze minder in aantal dan de virussen (van type 1). Meestal verspreiden ze zich via netwerk connecties. In de jaren '80 slaagde een student erin om met een worm het hele Internet lam te leggen. De wormen van tegenwoordig maken slim gebruik van het adresboek dat op de computer staat. Veel mensen zetten hier e-mail adressen van vrienden en kennissen in. Een worm kan vaak zo’n adresboek lezen en stuurt een kopie van zichzelf via e-mail naar alle e-mailadressen die voorkomen in het adresboek. Vaak zijn wormen onschuldig maar toch veroorzaken ze veel overlast. Doordat er veel e-mail verkeer op gang komt kunnen mailservers overbelast raken en zelfs crashen zodat e-mailen voor bepaalde tijd niet meer mogelijk wordt. Een worm kan alleen geactiveerd worden door het te starten. Een worm zit altijd als een bijlage in een e-mailtje. Pas wanneer je deze bijlage opent wordt de worm actief en zal het kopieën van zichzelf doorsturen naar anderen. Vaak zijn de namen van de bijlagen misleidend. Zo denk je dat het een plaatje of muziekje betreft (omdat de bestandsnaam eindigt op .JPG of .MP3) maar in werkelijkheid is het een worm.

naar index

Tenslotte is een virus van type 3 (software die poorten van je computer kan openzetten) in een aantal opzichten de gevaarlijkste. Dit omdat andere personen nu gegevens kunnen stelen van je computer. Zo kunnen personen aan je vertrouwelijke gegevens komen en veel schade aan richten (denk bijvoorbeeld aan girotel, waarmee bankzaken worden geregeld). Virussen van type 3 worden ook wel Trojan Horses genoemd: Een programma dat ontworpen is om een taak uit te voeren waar de gebruiker niet om gevraagd heeft. Het programma infecteert niet noodzakelijk andere bestanden of verspreidt zich niet naar andere systemen. Meestal doet een Trojan Horse het tegengestelde van wat de gebruiker wil. Een Trojan Horse is ook net als een worm een apart bestand, dus geen aanhangsel van een bestand. Een voorbeeld van een Trojan Horse is een login-emulator. Dit programma bootst een login scherm na en wanneer een gebruiker inlogt en zijn/haar gebruikersnaam en wachtwoord voor de eerste maal intoetst zullen deze gegevens verstuurd worden naar de virusmaker. Op deze manier krijgt de virusmaker dus toegang tot bestanden van andere mensen.

naar index
In onderstaand overzicht staan de eigenschappen van deze 3 virustypes nog eens samen gevat:

Type	Naam	Manier van verspreiden	Los programma	Doel
1	Virussen	Via virusdeel van geïnfecteerd bestand	Nee	Vertragen computer / vernietigen bestanden (al dan niet time-triggered)
2	Wormen	Via e-mail	Ja	Internetverkeer platleggen / spam veroorzaken
3	Trojan Horses	Niet	Ja	Toegang krijgen tot computers van anderen om zo bij (persoonlijke of vertrouwelijke) bestanden te komen

Vragen (1)

Noem 2 verschillen tussen wormen en virussen.
Waarom komt een virus van type 2 (wormen) tegenwoordig het meeste voor?
Beschrijf kort hoe een bestand geïnfecteerd raakt met een virus van het type 1
Welk programmapakket werkt met macro's? Zijn macro's altijd virussen?
* Je merkt dat een bepaald bestand groter is geworden (in bytes) terwijl je niks hebt veranderd in het bestand. Kan dit duiden op een virus? waarom (niet)?
* Je ontvangt een e-mailtje van een onbekend persoon zonder bijlage. Is het veilig om het e-mailtje te openen?

Anti-virus software

Het hoofddoel van anti-virus software is er voor zorgen dat de kans dat de computer geïnfecteerd raakt met een virus, worm of Trojan Horse zo klein mogelijk wordt gemaakt. Zo’n pakket software bestaat vaak uit een aantal aparte componenten. De belangrijkste onderdelen zullen nu beschreven worden:

Een belangrijk onderdeel van anti-virus software is de virusscanner. Dit programma kan alle bestanden op een computer scannen op virussen. Het is natuurlijk van belang dat de virusscanner de nieuwste virussen kan herkennen. Daarom is in de meeste virusscanners ook een update functie via Internet ingebouwd. Zo kunnen de nieuwste virusdefinities (beschrijvingen van de nieuwe virussen) worden opgehaald door ze te downloaden via Internet. Elke week verschijnt er wel weer nieuw pakket virusdefinities. Wanneer de virusscanner een virus ontdekt op de computer zal het geïnfecteerde bestand worden verwijderd of gerepareerd, indien dat mogelijk is.
Een ander onderdeel van een goed anti-virus pakket is de auto-protect optie. Dit is een programma dat altijd in het geheugen aanwezig is en iedere keer, wanneer een willekeurig bestand wordt opgestart, controleert of in dit bestand een virus aanwezig is. Ook zorgt dit programma ervoor dat inkomende e-mails eerst worden gescand op virussen (de eventuele bijlagen). Wanneer een virus wordt aangetroffen zal de bijlage van het e-mailtje vervolgens worden verwijderd.
In veel anti-virus software pakketen is ook een database van de tot dan toe bekende virussen aanwezig. Er staat dan niet alleen een lijst met virusnamen maar ook een korte beschrijving wat het virus precies doet, hoe vaak het gemiddeld voor komt en hoe gevaarlijk het is.

Deze anti-virus pakketten hebben wel als nadeel dat ze vrij duur zijn om aan te schaffen en voor de updates moet je ook per jaar een bepaald bedrag betalen. Er zijn ook gratis alternatieven. Bijvoorbeeld de online virusscanners. Het is hiermee mogelijk je bestanden te laten scannen op virussen, door een scanner vanaf het internet te laten starten. Nadeel van deze gratis virusscanners is weer dat je beperkte service hebt en soms geen reparatie mogelijkheid wanneer virussen gevonden zijn.
Hoe gaat een virusscanner precies te werk? Je zult begrijpen dat het scannen van elk bestand op een computer veel tijd in beslag zal nemen. Daarom worden alleen die bestanden gecontroleerd die uitvoerbaar zijn. Dat wil zeggen alle bestanden die rechtstreeks in het geheugen worden geladen. Deze bestanden worden dan gecontroleerd op een beperkt aantal verdachte patronen. Een verdacht patroon kan bijvoorbeeld een code zijn waarin bestanden worden verwijderd, gewijzigd of een connectie wordt gemaakt met andere computers op internet. Pas wanneer er een verdacht patroon wordt herkend, wordt in de database van virussen gekeken welke virus het is. Op deze manier kan vrij snel door alle uitvoerbare bestanden worden gescand.

Enkele slimme technieken die virussen toepassen

Virusmakers kennen vaak nog speciale trucs om virusscanners om de tuin te leiden. Sommige virussen zijn zo ontworpen dat ze, telkens als ze een bestand infecteren, van vorm en aanzicht veranderen. Dat proces heet polymorphing. De opdracht van de anti-virus software ontwerpers is dan ook, het ontdekken van het algoritme die het virus gebruikt om te veranderen van gedaante. Dit is een lastige klus, vandaar dat het soms lang duurt voordat een virusdefinitie kan worden gemaakt die het betreffende virus herkend.

Een stealth-virus is nog slimmer omdat het de veranderingen die het ondergaan heeft, verbergt voor de scanner. Zo lijkt het alsof het systeem virusvrij is, wat niet klopt. Dit betekend dus dat een bestand dat voor de infectie een bepaalde grootte had, na de infectie nog steeds dezelfde grootte heeft. Verdachte patronen worden zo verborgen wat het scannen aanzienlijk bemoeilijkt.

Tenslotte maken sommige virussen nog gebruik van disassembly protection. Dit is een techniek waardoor de ontleding van een virus door anti-virus onderzoekers bemoeilijkt wordt. Voor een virus die deze disassembly protection niet heeft is het betrekkelijk eenvoudig om te zien welk verdacht patroon in het virus programma aanwezig is.

Een vrij recente techniek die virussen gebruiken is het blokkeren van virus scanners. Bekende anti-virus pakketten kunnen niet meer gestart worden en ook niet opnieuw geïnstalleerd worden. De eerder genoemde online virusscanners bieden dan gelukkig uitkomst.

Vragen (2)

Noem een aantal programma's (onderdelen) die niet mogen ontbreken in een goed anti-virus software pakket.
Noem een aantal voor- en nadelen van online virusscanners. Wanneer is het juist handig om deze scanners gebruiken?
'Slimme' virussen kunnen de Stealth eigenschap hebben. Wat wil dat zeggen?
Noem nog een eigenschap van een 'slim' virus met betrekking tot virusscanners.
* Je wilt een virusscanner installeren op je computer maar dit wil niet lukken. Is het dan mogelijk dat er een virus op je computer aanwezig is? waarom (niet)?
* Verzin een manier hoe een virusscanner een Stealth virus toch kan herkennen.

Conclusie

Het is duidelijk geworden dat virussen in bepaalde categorieën kunnen worden ingedeeld. Ieder type virus heeft een ander doel en de verschillen onderling zijn groot.
Anti-virus software heeft als doel om virussen tijdig op te sporen en indien mogelijk het geïnfecteerde bestand te repareren. Een goed anti-virus pakket is duur maar bevat naast een goede virus scanner ook andere programma’s die er voor zorgen dat virussen buiten de deur blijven.
Virussen worden steeds slimmer. Er zijn virussen die virusscanners kunnen blokkeren of zichzelf in verschillende vormen kopiëren zodat herkennen van deze virussen zeer moeilijk wordt.

Project (optioneel)

Hoe gaat een virusscanner precies te werk bij het scannen van bestanden op virussen?

Verzin een algoritme en werk deze op papier uit. Zorg dat je oplossing een snelle oplossing is. Zoek na afloop eventueel op internet naar bestaande algoritmen en vergelijk je eigen algoritme met deze bestaande algoritmen.

Referenties

Tanenbaum, A.S. Computernetwerken, vierde editie (2003). Pearson Prentice Hall

Silberschatz / Galvin / Gagne (2003). Operating System Concepts, zesde editie. John Wiley & sons, inc.

Trinity computers (2003) http://www.trinitycomputers.nl/n%20Virussen.htm