We zullen nog vele virussen en afgeleiden daarvan zien komen en gaan. Wat dat betreft is de historie van malware in verhouding nog maar jong. Wel beschouwd is het virus echter ouder dan het internet zoals wij dat kennen. In het begin van de jaren zeventig schreef Bob Thomas het zelfreproducerende programma met de naam Creeper virus. Wat het deed was simpelweg de tekst “I’m the creeper, catch me if you can!” weergeven op het scherm van een nietsvermoedend slachtoffer. Verspreiding vond plaats via ARPANET, de voorloper van ons aller internet. Het deed niets schadelijks. Eigenlijk best schattig, als je zo terugkijkt. Of Creeper virus echt een virus is hangt een beetje af van de gehanteerde definitie, maar er is iets voor te zeggen; Het programma dupliceerde zichzelf en.. het was irritant.

De man die over het algemeen gezien wordt als de uitvinder van het computervirus (of in elk geval de bedenker is van de term en de definitie) is Frederick Cohen, een Amerikaanse computerwetenschapper die in 1983 experimenteerde met de werking ervan. Hij wilde de mensheid waarschuwen voor de rampzalige effecten die het fenomeen teweeg zou brengen bij grootschalige verspreiding.

Cohen had al bedacht dat als hij het verschijnsel virus niet zou introduceren, en dus mensen waarschijnlijk als bijeffect niet op kwaadaardige ideeën zou brengen, anderen dat vroeg of laat toch wel zouden doen. Anno 2009 kunnen we dan ook terugkijken op een rijke traditie aan virussen en andere malware. Zie hier vijf van de meest noemenswaardige varianten die veel commotie hebben veroorzaakt in hun tijd. Het zijn ware klassiekers.

Morris (1988)

Hoewel er vaak naar Morris gerefereerd wordt als een virus, was Morris in essentie een internetworm. Vernoemd naar zijn maker, Robert Tappan Morris, was dit ‘beestje’ ietwat te wild om als huisdier te kunnen dienen. De maker heeft het effect van zijn eigen worm namelijk schromelijk onderschat, mede door het feit dat de code nog bugs bevatte op het moment dat het losgelaten werd op het internet. Als deze internetworm namelijk goed had gewerkt, zou het slechts een verwaarloosbaar klein proces zijn geweest dat op de achtergrond draaide van de op UNIX draaiende Sun 3 en VAX systemen die het infecteerde. De worm tastte geen bestanden aan en veranderde op geen enkele manier iets aan het systeem. Wat het uiteindelijk wel deed was zichzelf zodanig onzichtbaar reproduceren binnen een systeem en over het internet, dat alle geïnfecteerde systemen overbelast raakten en daardoor volledig onbruikbaar.

De enige oplossing was om het systeem fysiek af te koppelen van internet en handmatig de wormen te verwijderen. Van een geschatte 60.000 Sun 3 en VAX systemen die destijds op internet aangesloten waren, werden er 6.000 besmet. Verplaats dat eens naar deze tijd: 10% van alle systemen wereldwijd die op internet zitten geïnfecteerd. Robert Tappan Morris kreeg 3 jaar voorwaardelijk en een boete van $10.050 Dollar. Zijn verklaring was dat hij met deze code de grootte van het internet wilde meten.

Schade: Ongeveer $96 miljoen

Melissa (1999)

Melissa was een macro virus. Met andere woorden, een virus dat geschreven is in dezelfde programmeertaal waarin macro’s geschreven worden. Net als andere macro’s, kan ook het virus dan dus volautomatisch geactiveerd worden bij het openen van bijvoorbeeld een Microsoft Word bestand.

Melissa was de creatie van David Lee Smith. Hij noemde zijn virus naar een lapdancer uit Florida en had naar verluid geen snode bedoelingen. Het meest opzienbarende aan Melissa, was de snelheid waarmee het zich verspreidde. Het was de eerste keer dat een virus de kenmerken van een macro virus kracht bijzette met razendsnelle verspreiding via e-mail. Via Microsoft Outlook verstuurde het zichzelf naar de eerste 50 contactpersonen met het onderwerp “Important Message From (naam afzender)”. Na het openen van de bijlage door de ontvanger verspreidde het zichzelf vervolgens weer verder. De schade aan systemen varieerde van variant tot variant, het virus had namelijk vele smaken.

Bedrijven als Microsoft, Intel en Lockheed Martin werden gedwongen om hun e-mail gateways dicht te gooien. Ondanks het feit dat Melissa vrij simpel te verwijderen was en de ergste dreiging maar van korte duur was, ontstond er in dit korte tijdsbestek alsnog een enorme schade. Melissa was het begin van een nieuwe lichting virussen. Antivirus bedrijven spreken over 108 unieke varianten op het virus. De verkoopcijfers van antivirus programma’s schoten naar exorbitante hoogte na Melissa.

David Lee Smith hing ondanks zijn vermeende gebrek aan kwade intenties een celstraf van 40 jaar boven het hoofd. Toen hij echter gewillig bleek om de FBI een handje te helpen met het opsporen van andere cybercriminelen, werd dat slechts 20 maanden en een boete van $5.000. Vervolgens heeft hij geholpen om de maker van het Anna Kournikova virus op te sporen, onze eigen Jan de Wit.

Schade: Ongeveer $80 miljoen

ILOVEYOU (2000)

De ILOVEYOU of VBS/Loveletter worm is waarschijnlijk de duurste tot op heden. De sleutel tot succes van dit virus was het feit dat de e-mail die de gebruiker ontving niet alleen van een bekende kwam (zoals bij Melissa), maar dat er ook ogenschijnlijk een liefdesbrief in de bijlage zat. Ongelooflijk veel mensen openden uit nieuwsgierigheid dit tekstbestand. Er kon immers geen virus in een dergelijk bestand zitten, toch? Schijn bedroog, want het betrof geen .txt-, maar een .vbs-bestand. Het geniepige van dit virus was namelijk dat met de standaard Windows instellingen de werkelijke extensie .vbs niet getoond werd. Microsoft was begonnen met het verbergen van bestandsextensies. Er werd daarbij simpelweg geteld vanaf het eind van de bestandsnaam en het liet alles tot en met de eerste punt weg.

Het virus verspreidde zich op een soortgelijke manier als het Melissa virus. Voordat het dit deed, werden veel bestanden op het systeem van het slachtoffer overschreven met kopieën van het virus. Ook kon het ILOVEYOU virus een programma downloaden van het internet, dat gebruikersnamen en wachtwoorden terugstuurde naar de makers van het virus.

De Filippijnse programmeur Reomel Lamores is vrijwel zeker de auteur van het ILOVEYOU virus. Hij heeft vastgezeten als verdachte in de zaak, maar is nooit veroordeeld omdat er in de Filippijnen geen wet was tegen computermisbruik in deze vorm.

Schade: $5.5 miljard

Nimda (2001)

Een week na de aanslagen van 11 september stak deze internetworm de kop op. De speculatie dat Al Qaeda nu ook de digitale wereld in de as wilde leggen, verspreidde zich bijna even snel als het virus zelf. Binnen 22 minuten na lancering was Nimda namelijk de meest wijdverspreide elektronische lintworm op het internet. De naam Nimda is ontstaan door admin achterstevoren te spellen.

Het bijzondere aan de Nimda worm is dat het zich op vele verschillende manieren kon verspreiden. Net als ILOVEYOU en Melissa kon de worm zich via e-mail verspreiden, maar daarnaast ook door het bezoeken van een geïnfecteerde website, door zich in kwetsbare servers te nestelen, of via een gedeeld netwerk. Hiermee was Nimda wellicht de meest complexe worm tot dan toe. Deze geavanceerde malware maakte niet zoals de ILOVEYOU worm overal kopieën van zichzelf, maar zag in .exe bestanden een warm nestje. Wanneer de worm wakker werd, zorgde het voor een virtuele verkeersopstopping door een Denial of Service aanval in te zetten.

Een ander unicum waar de ICT wereld op getrakteerd werd was dat bij verspreiding via e-mail, de bijlage niet eens geopend hoefde te worden om de computer te infecteren. Previewen in Outlook was voldoende. De maker van de Nimda worm werd nooit gepakt, hoewel het waarschijnlijk is dat de malware van oorsprong Aziatisch was.

Schade: $635 miljoen

SQL Slammer (2003)

In 2003 vormde SQL Slammer de basis voor twee enorme internet aanvallen dat jaar. De worm maakte misbruik van een lek in Microsoft SQL Server om zich te verspreiden. SQL Slammer was de eerste bestandsloze worm en daarmee de eerste die de potentie van een flash-worm in de praktijk bracht. Binnen luttele minuten infecteerde het honderdduizenden computers over de hele wereld, waardoor uiteindelijk delen van het internet werden platgelegd.

De simpliciteit van SQL Slammer is opzienbarend. Afhankelijk van je perspectief is dat wellicht de schoonheid van de worm. Eigenlijk was de worm niets anders dan een hele korte code die willekeurige IP adressen genereert en zichzelf vervolgens daar naartoe probeerde te sturen. Als het adres vervolgens behoorde tot een host die een ongepatchte versie van Microsoft SQL Server Resolution Service draaide, werd deze host geïnfecteerd. Omdat de code zo klein was, bevatte het ook geen regel om zichzelf naar disk te schrijven en nestelde het zich in het geheugen van de computer. De worm was erg makkelijk te verwijderen, maar hij verspreidde zich zo snel dat er geen kruid tegen gewassen was. Vluchten werden geannuleerd, geldautomaten staakten en in Seattle lag het alarmnummer 911 zelfs plat. De maker van het virus is nooit gepakt.

Met dezelfde basistechniek als SQL Slammer lanceerde de Lovesan of MSBlaster worm een nog grotere aanval later in 2003. Deze worm heeft uiteindelijk naar schatting van Microsoft 25 miljoen unieke computers geïnfecteerd, waardoor de aanvallen waarschijnlijk de grootste zijn in de geschiedenis.

Schade: Ongeveer $1 miljard (Lovesan/ MSBlaster: $1.3 miljard)

Bron: Techworld