Klopjacht op computervirussen

Melissa. Niet de naam van een nieuwe orkaan die langs de oostkust van de Verenigde Staten scheert, maar een nachtclubdanseresje. Ze werd wereldberoemd toen het naar haar genoemde computervirus als een wervelstorm over het Internet raasde. Eind maart kregen miljoenen computers een e-mail met de boodschap: „Hier is het document waar je om gevraagd hebt... laat het aan niemand zien ;-).” Het regeltje werd afgesloten met een knipoog –bekijk het symbool aan het eind van de zin maar van opzij– want de bewuste tekst was een lijst met Internet-adressen van pornosites. Zodra iemand het document opende, werd een virus actief dat e-mails verstuurde naar de eerste vijftig namen uit het adressenboek. Als een olievlek breidde het virus zich over het Internet uit.

„Melissa heeft velen de ogen geopend. Mensen gingen beseffen dat zoiets hun ook kan overkomen”, zegt Eric Chien, hoofd van het Symantec Antivirus Research Center (SARC) in Leiden. Chien lijkt met zijn 25 jaar meer op een vlotte student dan op de directeur van een onderzoeksgroep. De intelligente Amerikaan is nog maar kortgeleden in Nederland gearriveerd, nadat hij snel carrière maakte in het hoofdkwartier van Symantec in Santa Monica, vlak bij Los Angeles.

Het bedrijf Symantec is vooral bekend als de maker van Norton AntiVirus, genoemd naar de legendarische Peter Norton. Veel computeraars uit het voor-Windows-tijdperk gebruikten Norton Commander of Norton Utilities om de kwaaltjes van het oude besturingssysteem Dos te omzeilen. Inmiddels is Symantec marktleider op het gebied van antivirussoftware, mede door de overname van de antivirusafdeling van IBM. Het bedrijf heeft vijftig virusonderzoekers in vier centra, SARC's, in Los Angeles, Leiden, Tokio en Sydney. De Leidse vestiging is het hoofdkwartier voor Europa, het Midden-Oosten en Afrika.

Tijdzones
„Iemand in Frankrijk met een virusprobleem hoeft nu niet meer te wachten tot we in de VS wakker zijn. Met onze vier vestigingen dekken we alle tijdzones. Dat is nodig omdat virussen zich tegenwoordig razendsnel verspreiden. Vijf jaar geleden kregen we een virus toegestuurd en hadden we een week de tijd om een tegengif te ontwikkelen. Daarna duurde het weken voordat alle klanten dat toegestuurd kregen. Als ik nu een virusmelding krijg, heb ik in tien minuten een oplossing ontwikkeld en die verspreiden we razendsnel.”

Schrijvers van virussen gaan met hun tijd mee, ze gebruiken telkens de nieuwste technieken om hun virus te verpakken en te versturen. Chien: „Een virus is een klein computerprogramma dat zichzelf kan vermenigvuldigen. De eerste boosdoeners waren vooral Dos-virussen die via een diskette van de ene naar de andere pc verhuisden. Als zo'n virus opdook in Israël duurde het maanden voordat het in de Verenigde Staten belandde.

Sinds augustus 1995 kennen we de macrovirussen. Daarover heerst een misverstand: ze heten niet ”macro” omdat ze groot zijn, maar omdat ze verstopt zijn in kleine programma's die we macro's noemen. Daarmee zet je bijvoorbeeld in programma's als Word met één toets onderaan je brief ”Hoogachtend”. Zulke macro's zijn gekoppeld aan een brief of een rekenblad en macrovirussen verspreiden zich dus vooral snel binnen bedrijven. Maar door het toenemende gebruik van Internet reist een virus soms binnen enkele minuten over de hele wereld.”

Chien schudt de getallen uit z'n mouw: „Sinds het eerste virus in 1986 kennen we nu 43.000 verschillende virussen. Iedere dag komen er tien tot vijftien bij, op elk moment zijn er 300 tot 500 actief en elk kwartaal raakt ten minste één van elke 1000 pc's ter wereld besmet. Wij krijgen zo'n 1000 virusmeldingen per week binnen. De macrovirussen vormen op dit moment de grootste bedreiging: vorig jaar was meer dan 85 procent van alle virussen van dit type. Sommige zijn heel vervelend, ze wissen bijvoorbeeld de harde schijf. Overigens is 70 procent van alle virussen niet schadelijk maar juist grappig of onschuldig.”

Vingerafdruk
Veel moderne computers zijn uitgerust met software om virussen op te sporen, de zogenaamde virusscanners. Ze herkennen virussen aan hun 'vingerafdruk'. Chien: „Als de politie iemand op straat ziet die zich verdacht gedraagt, kan ze zijn vingerafdruk vergelijken met een computerbestand om na te gaan of het een bekende crimineel is. Ook een virusscanner heeft een bestand met 'vingerafdrukken'. Maar die methode werkt alleen bij bekende virussen. Zelfs al bieden we onze klanten tegenwoordig wekelijks aanvullingen op dat bestand, dan nog is er gevaar voor besmetting.

Symantec heeft daar een paar jaar geleden een nieuwe techniek aan toegevoegd, die we Bloodhound noemen. Als de politie iemand met een machinegeweer in het rond ziet schieten, hoeft ze niet om een vingerafdruk te vragen om te weten dat het om een crimineel gaat. Zo bekijkt Bloodhound allerlei bestanden op de harde schijf om te zien of ze zich wel normaal gedragen. Daarmee onderscheppen we 90 procent van de macrovirussen, ook al hebben we ze nooit eerder gezien.”

De nieuwste bedreiging op virusgebied is wat Chien aanduidt als ”network aware malware”. Malware is de samentrekking van ”malicious software”, een programma met kwaadaardige bedoelingen. Nog erger wordt het als die ”malware” ook voelt dat de pc op Internet of een ander computernetwerk aangesloten is, dus ”network aware” is. Melissa is daarvan een voorbeeld, evenals het veel schadelijker ExploreZip-virus dat begin juni zijn verwoestende werk verrichtte. „Deze virussen zijn zo bedreigend omdat ze zich zo snel via Internet verspreiden. We gebruiken nu dezelfde techniek om ze te bestrijden.” Daarvoor bouwde Symantec, voortbordurend op technologie waarmee IBM al in 1990 startte, een digitaal immuunsysteem. Voordat Chien naar Nederland kwam, werkte hij mee aan de ontwikkeling daarvan.

Op kweek
Het hart van het digitaal immuunsysteem is een zaal met computers in het SARC in Los Angeles. Zestien verschillende computersystemen zijn dag en nacht bezig met het bestrijden van virussen. Chien: „Zodra een gebruiker ergens ter wereld een onbekend macrovirus oploopt dat Norton AntiVirus niet direct onschadelijk kan maken, eentje van die 10 procent dus, vraagt het programma de gebruiker toestemming om het virus via een beveiligde e-mail naar het SARC te sturen. Daar gaat het virus meteen op kweek: een computer opent het verdachte document, voert allerlei taken en macro's uit, typt een paar letters, bewaart het document en vraagt het weer op, totdat het virus actief wordt.

We offeren dan een aantal schone bestanden op en kijken precies wat er verandert aan de bestanden door die infectie. Daaruit leiden we de vingerafdruk van het macrovirus af. Tegelijkertijd leren we hoe we geïnfecteerde bestanden moeten schoonmaken: wat we moeten wegknippen om weer het originele bestand terug te krijgen. De vingerafdruk versturen we direct via Internet naar al onze klanten, zodat die voor het virus immuun raken.”

De Amerikaanse onderzoeker, die niet alleen een opleiding elektronica heeft gevolgd maar ook erfelijkheidsleer studeerde, is enthousiast over de overeenkomst met het menselijk immuunsysteem. „In het menselijk lichaam zoeken cellen constant naar vreemde indringers. Vinden ze iets dan delen ze zich snel en verspreiden zich over het hele lichaam. Zo werkt het hier ook: zodra we weten dat zich een computervirus voordoet, verspreiden we een 'vaccin' over de hele wereld.” Symantec heeft zelfs een aantal digitale robots ingezet die continu Internet afspeuren op zoek naar nog niet ontdekte virussen.

Koelkast
Het digitaal immuunsysteem werkt nu sinds zes weken volledig automatisch. „We zien iedere dag in een overzicht welke virussen behandeld zijn en plotseling was het: Hé kijk, deze heeft hij automatisch verwerkt! Inmiddels heeft het systeem voor meer dan twintig macrovirussen een tegengif ontwikkeld zonder menselijke tussenkomst. We hebben het getest met Melissa en ook dat virus zou hierdoor uitgeschakeld zijn.” Chien schat dat voortaan driekwart van de meldingen van macrovirussen automatisch afgehandeld wordt.

Het maken van een tegengif door het computersysteem duurt maar enkele minuten. „Toch doen we er gemiddeld een uur over voordat we een tegengif versturen, vanwege allerlei veiligheidsmaatregels en kwaliteitscontroles.” Chien beseft dat dit nog maar het begin is. „Zodra we dit voor allerlei virussen kunnen, betekent het een grote sprong voorwaarts. Ik ben ervan overtuigd dat dit immuunsysteem straks de standaard wordt in virusbestrijding.”

Zal het ooit lukken virussen uit te roeien? „Ik geloof van niet. Er komen steeds nieuwe programma's en nieuwe toepassingen zoals mobiele telefoons, en je kunt nu al internetten vanaf de deur van je koelkast. Voor al die toepassingen zullen virusschrijvers virussen ontwikkelen. Straks moet je ook je koelkast uitrusten met Norton AntiVirus.

Maar ik geloof wel dat we al die virussen kunnen bestrijden met een digitaal immuunsysteem. Daarom gaan we voor Melissa-achtige virussen een mini-Internet bouwen waarmee we kunnen zien wat er gebeurt als een virus zich over Internet verspreidt.

Chien heeft het nu flink druk want over enkele maanden moet een kopie van het digitaal immuunsysteem gereed zijn. „Die komt in Leiden te staan. Als backup. Voor het geval het randje van Californië de oceaan inschuift bij de volgende grote aardbeving.”

Een gratis testpakket van Norton AntiVirus is te downloaden op www.symantec.com. Norton AntiVirus 6.0 kost ƒ 76,- (Windows) of ƒ 134,- (Macintosh).

„Pak geen snoep aan van een vreemde meneer”