Worm-infectie - Automatisch besmet
Een computervirus is een klein programmaatje dat zichzelf verspreidt van computer naar computer, vaak met destructieve gevolgen, zoals het wissen van bestanden op een harde schijf. Hiervoor is echter over het algemeen wel een gebruiker nodig die de "besmetting" in gang zet. Dit kan bijvoorbeeld gebeuren doordat de gebruiker een programma uitvoert dat reeds besmet is, of een document opent waarin een virus in de vorm van een macro opgenomen is. Sommige virussen, of beter wormen, kunnen echter ook geheel zelfstandig zich verspreiden.
Inhoudsopgave
Introductie
Al vaker zijn maatregelen aan de orde gekomen waarmee je als gebruiker voorkomt dat een computer besmet raakt met een virus. Scan alle gedownloade programma's met een up-to-date zijnde virusscanner. Open nooit zomaar attachments, ook niet van bekenden, als niet vaststaat wat de inhoud is. Maak backups, veel en vaak.
Het probleem van deze maatregelen is dat ze er van uit gaan dat er een virus kan zitten in een programma of bestand dat van "elders" naar de computer wordt overgehaald. Nu is dat ook wel zo, maar de route waarlangs ze overgehaald worden, is niet altijd een download in Netscape of Internet Explorer, of een binnenkomend e-mailtje. Een virus kan ook binnendringen via een IRC chat sessie of een Webpagina.
Virus of worm?
Beveiligingsdeskundigen maken vaak onderscheid tussen "virussen" en "wormen". Een virus is een stuk code dat programma's infecteert en zich verspreidt als dat programma wordt uitgevoerd, vergelijkbaar met hoe een echt virus zijn gastheren infecteert en zich zo verspreidt. En zowel echte als computervirussen kunnen vervelende gevolgen hebben.
Een worm is een programma dat in staat is om zichzelf te verspreiden, zonder dat daarvoor enige actie van de gastheer nodig is. In de echte wereld zijn bijvoorbeeld vlooien hier een voorbeeld van: de gastheer hoeft niets te doen, de vlooien verspreiden zich vanzelf naar een geschikte locatie. Een computerprogramma dat als worm functioneert, kan zichzelf bijvoorbeeld installeren in de StartUp folder van Windows, waardoor het automatisch gestart wordt als de computer wordt aangezet. Vervolgens kan het wachten tot een netwerkverbinding tot stand komt, en dan andere computers zoeken en deze infecteren. Het kan ook, net als een vlo die eitjes legt, andere programma's voorzien van de worm-code.
Via de achterdeur
Een worm dringt zelfstandig een computersysteem binnen. Aangezien er weinig gebruikers zullen zijn die de worm daarbij zullen helpen, zal deze zich moeten behelpen met gaten in de beveiliging van het systeem. Beveiligingsgaten en programmeerfouten vormen een achterdeur om een systeem binnen te dringen zonder dat de gebruiker dat ziet.
Welke achterdeuren er zijn, hangt natuurlijk heel sterk af van het systeem. Een bekende truc is het gebruik maken van een programmeerfout in een programma dat data leest van een netwerkverbinding. Vaak gaat de programmeur er van uit dat deze data een bepaalde vorm heeft en niet langer is dan een zeker aantal tekens. Als de worm nu data in een andere vorm stuurt, bestaat de kans dat het programma zich "verslikt" en verkeerd reageert. Daarbij kan het gebeuren dat een deel van de data terechtkomt op plaatsen waar normaal een deel van het programma hoort te staan. Bij het verder uitvoeren van het programma wordt dan per abuis deze data uitgevoerd. De maker van de worm kan dus op deze manier elke instructie laten uitvoeren die hij wil, als hij de data die zijn worm stuurt zorgvuldig in elkaar zet.
In de praktijk betekent dit dat bijvoorbeeld het datumveld van een e-mailtje aangevuld wordt met vijfhonderd tekens, waarvan de laatste vierhonderd code. Aangezien een datum normaal veel korter is, zal een onzorgvuldig geschreven programma zich verslikken in een dergelijke datum, waarna de vierhonderd tekens code uitgevoerd worden. Dit is voldoende om bijvoorbeeld de rest van de worm automatisch te downloaden, waarna het systeem kan worden geinfecteerd. De code kan ook Back Orifice of Netbus installeren. Deze datum-bug werd onlangs aangetroffen in Microsoft Outlook en Outlook Express.
Andere achterdeuren zijn er ook. Op Unix-achtige systemen, zoals Linux, is het soms mogelijk voor gebruikers op de ene computer om zonder wachtwoord op de andere computer in te loggen. Dat is natuurlijk erg gemakkelijk voor een worm op die ene computer. Het is daarom verstandig om deze "rlogin/rsh" dienst uit te zetten.
Een worm kan ook misbruik maken van een functie in een ander programma. Zo is het mogelijk om via mIRC, een bekend chatprogramma, bestanden uit te wisselen. Standaard worden deze bestanden in de directory van het programma gezet. In deze directory staat ook het configuratiebestand van het programma. Als de worm nu een aangepast configuratiebestand stuurt naar een slachtoffer, en deze neemt het bestand aan, dan wordt hiermee zijn eigen configuratie overschreven. De nieuwe configuratie bevat dan meestal instructies waarmee de worm toegang krijgt tot het systeem.
Sommige achterdeuren vereisen enige interactie met de gebruiker. Zo is het mogelijk om met bepaalde Javascripts het systeem te infecteren. Standaard vraagt de browser vooraf of dit script moet worden uitgevoerd. Veel mensen zijn echter geneigd om automatisch op "Yes" te klikken. Op die manier wordt de achterdeur opengezet en kan de worm toeslaan.
Verstoppertje
Nadat een worm toegang heeft gekregen tot een systeem, is alles mogelijk. Een worm kan in principe bestanden wissen of de hele harde schijf formatteren. Dit heeft echter weinig zin; de worm kan zichzelf dan echter niet meer verder verspreiden, en daar was het nu net om te doen. Een worm is dan ook meestal veel minder opvallend dan een virus. Hij zal zich bij voorkeur in de achtergrond installeren en er voor zorgen dat de gebruiker hem niet tegenkomt in de taaklijst. Het verder verspreiden gebeurt liefst ook onopvallend, bijvoorbeeld alleen wanneer het systeem langer dan een uur niet gebruikt is, of juist wanneer het druk bezig is, omdat de gebruiker het dan waarschijnlijk niet in de gaten krijgt.
Wormen zijn dan ook vaak moeilijk op te sporen. Vaak doen ze niet meer dan in de achtergrond actief zijn. Ze kunnen echter ook "op commando" actief worden, en bijvoorbeeld een denial of service aanval ondernemen tegen een andere computer. Een worm kan ook bepaalde gegevens verzamelen over het gedrag van de gebruiker, en deze op een rustig moment doorsturen naar een bepaald e-mail adres.
Conclusie
Tegen wormen valt weinig te ondernemen. Wie dezelfde veiligheidsmaatregelen neemt als tegen virussen, is redelijk beschermd. Het is daarnaast wel vereist om regelmatig de laatste updates te downloaden van alle programma's op het systeem, zodat eventuele fouten in het programma gerepareerd worden. En een firewall kan in ieder geval wormen tegenhouden die zich via het internet verder willen verspreiden. Het is dus alleen al hierom verstandig om een firewall te installeren.