Overslaan en naar de inhoud gaan
Achtergrond PRO
16 mei 2002 leestijd 3 minuten 0 reacties

Klez-virus grijpt om zich heen

Wie gewend was weinig virus- e-mails te ontvangen, piept de laatste weken wel anders. Het Klez-virus grijpt dusdanig om zich heen dat naar schatting 7 procent van de pc’s in de wereld er mee is geïnfecteerd. Daarmee is Klez zijn rivalen SirCam en Nimda ruimschoots gepasseerd.
jli
jliMeer van deze auteur
Business
Shutterstock
Shutterstock

Klez.a dook eind vorig jaar op, maar leidde nog niet tot veel infecties. Inmiddels zeggen bedrijven als Symantec dagelijks duizenden meldingen te ontvangen van de laatste varianten Klez.e, Klez.h en Klez.k. Ook bij de Britse virusexperts Messagelabs lijken de Klez-grafieken welhaast door het plafond te gaan. Toch valt het met de schade wel mee, zegt Marius van Oers, antivirusexpert bij de Amsterdamse vestiging van Network Associates (fabrikant van de beveiligingssoftware van McAfee). “Klez wordt redelijk goed onderschept. Bij bedrijven is de overlast daarom niet zo groot, maar particulieren hebben er wel hinder van.” Dat komt, zo zegt Van Oers, doordat Klez gebruikmaakt van een al maanden oud ‘lek’ in Outlook Express en MS Outlook. De zogenoemde Automatic Execution of Embedded MIME Type zorgt ervoor dat bijvoegsels al geopend kunnen worden in de ‘preview pane’, die juist ontwikkeld is om te voorkomen dat scripts en/of executables kunnen toeslaan. Veel particulieren hebben verzuimd de reparaties die Microsoft voor Outlook in omloop heeft gebracht te installeren, waardoor Klez zich snel kan vermenigvuldigen. Honderd gedaanten Het virus kan meer dan honderd verschillende gedaanten aannemen en spreekt zijn slachtoffers aan met ‘How are you’, ‘Lets be friends’, ‘Darling’, ‘So cool a flash, enjoy it’, ‘Honey’, ‘Please Try Again’, ‘Welcome to my hometown’, ‘The Garden of Eden’ of een raadselachtig ‘SOS!’. Ook duiken er sinds vorige week mailtjes op waarbij ‘reparaties’ voor het Klez-virus worden meegestuurd, die in werkelijkheid ook weer virussen blijken te zijn. Klez is eigenlijk een mailserver die een worm op de harde schijf achterlaat: een programma dat in staat is zichzelf te vermenigvuldigen en te verspreiden. In het ergste geval kan het bestanden waaronder programma’s overschrijven door de bestaande code door nullen te vervangen. Het geïnfecteerde bestand blijft dan wel op de harde schijf staan, maar werkt niet meer. Om zich te verspreiden zoekt het virus op de harde schijf naar allerlei e-mailadressen. Van Oers: “Daardoor lijkt het alsof het mailtje door een bekende is gestuurd.” Doordat berichten naar willekeurige adressen worden verzonden, kan het gebeuren dat internetgebruikers tegen hun wil op allerlei mailinglijsten worden geabonneerd. Enkele Klez-varianten zijn zelfs in staat gebleken om documenten van de harde schijf mee te sturen. Verschillende vertrouwelijke stukken zijn zo in de openbaarheid gekomen. Weer andere varianten schakelen de antivirussoftware uit door registersleutels te wissen of door de antivirusbestanden zelf te verwijderen. Sommige viruskenners waarschuwen nadrukkelijk voor 6 juli, de datum waarop Klez de complete harde schijf zou kunnen wissen. Niet uniek Echt innovatief is het virus niet, zo zegt Marius van Oers van Network Associates. “Het virus is niet uniek om wat het kan, maar omdat een groot aantal mogelijkheden voor het eerst bij elkaar zijn gebracht.” Niemand weet waar het virus vandaan komt, ook al bevat het een toelichting in gebrekkig Engels: ‘Not bug free, because of a hurry work’ staat er te lezen. Van Oers vermoedt dat de Klez-varianten van verschillende bronnen komen. “Er zijn virusclubs waar code wordt uitgewisseld, iedereen levert een bijdrage.” De snelle verspreiding heeft in elk geval als voordeel dat het virus goed kan worden onderschept. Veel gevaarlijker zijn virussen die zich langzaam verspreiden. Is e-mail nu nog de meest gebruikte methode om virussen te verspreiden, inmiddels worden ook andere kanalen gebruikt. Ook via de berichtendienst MSN Messenger zijn al virussen verspreid. De methode die daar toegepast is, zal volgens Van Oers steeds vaker gebruikt worden. In een tekst wordt namelijk verwezen naar een webpagina die zelf viruscode bevat. Dergelijke ‘embedded’ virussen zijn minder goed te bestrijden. Daar staat tegenover dat virusschrijvers steeds vaker het risico lopen om opgepakt en gestraft te worden. Zo heeft David L. Smith, de schrijver van het Melissa-virus, vorige week twintig maanden gevangenisstraf gekregen. Melissa zorgde in 1999 voor enorme schadeposten bij bedrijven. Smith noemde zijn daad onlangs een ‘grote vergissing’. In Nederland is de uit Sneek afkomstige Jan de W., die vorig jaar februari het Kournikova-virus verspreidde, in hoger beroep gegaan tegen zijn veroordeling. De virusschrijver werd in september 2001 veroordeeld tot 150 uur dienstverlening. De W. vreest dat het strafblad een belemmering kan vormen voor zijn carrière.

Lees dit PRO artikel gratis

Maak een gratis account aan en geniet van alle voordelen:

  • Toegang tot 3 PRO artikelen per maand
  • Inclusief CTO interviews, podcasts, digitale specials en whitepapers
  • Blijf up-to-date over de laatste ontwikkelingen in en rond tech

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in