Ondanks zichzelf bewondert Beet de inventiviteit van de verspreiders van malware, kwaadaardige software. Ze vinden steeds weer verrassende manieren om hun on-waren te verspreiden. Het is bijna een plezier om er kennis van te nemen.

In minder dan twee maanden heeft Beet de volgende vondsten verzameld, stuk voor stuk een Amerikaans octrooi waardig (in Europa zijn octrooien op software niet toegestaan).

Het is bekend dat veel virussen elkaar naar het leven staan: Netsky en Mydoom bijvoorbeeld maakten er een sport van elkaar te wissen op besmette pc’s. Verschillende virussen op één pc zitten elkaar in de weg omdat ze de pc willen gebruiken in dienst van de virusmaker, bijvoorbeeld door websites aan te vallen. Ook is het al lang routine dat een virus antivirussoftware uitschakelt. Het Trojaanse paard SpamThru is de eerste die zelf antivirusssoftware installeert. Het gaat om een illegale kopie van Kaspersky, die uiteraard SpamThru zelf ongemoeid laat. Zo verzekert SpamThru zich ervan de besmette pc voor zichzelf te hebben.

In toenemende mate zitten er virussen in filmpjes die via internet worden uitgewisseld. Een videobestand als zodanig kan geen kwaadaardige software bevatten (al kunnen video’s van Windows Media en Real Video wel verwijzen naar websites, en dus ook naar malafide websites die gebruikmaken van lekken in Internet Explorer). Maar het hier bedoelde gevaar is dat een filmpje bij het starten zegt: u moet eerst deze codec installeren. Een codec is een manier om video-informatie zo efficiënt mogelijk te verpakken, en een dergelijke melding komt ook bij betrouwbare video’s voor. Maar virusontwerpers kunnen inmiddels hun wanproducten ook via een codec installeren. Oppassen dus met video’s uit dubieuze bronnen.

De 288ste variant van de worm Opanki helpt zijn maker aan statistieken over zijn besmette computers. Zonder blikken of blozen gebruikt deze worm Google Analytics, een gratis dienst voor het bedrijfsleven. Google Analytics vertelt bedrijven waar hun klanten zitten, wat ze doen op de website van het bedrijf, hoeveel ze besteden en dergelijke. Niet al deze informatie is van toepassing op besmette pc’s maar wel bijvoorbeeld waar ze zijn gelokaliseerd. Er zijn meer manieren om dit te achterhalen (het ip-nummer bijvoorbeeld) maar Google levert de virusmaker kant-en-klare informatie verpakt in keurige grafieken en kaarten.

Spamberichten verwijzen vaak naar websites waar dubieuze goederen worden verkocht. Omdat deze sites nogal eens uit de lucht worden gehaald, wordt in de spam-mails in eerste instantie verwezen naar een gratis homepage. Dit tussenstation verwijst dan automatisch naar de eigenlijke louche webwinkel. Als deze winkel plotseling moet verhuizen, hoeft alleen de verwijzing op de gratis website te worden aangepast. De link in reeds verzonden spam-mails blijft zo gewoon werken. De gratis websites komen niet gauw op de zwarte lijst van spambestrijders te staan, omdat bij dezelfde provider duizenden bona fide consumenten hun homepage hebben.

Er is een levendige handel in dit soort doorstuur-sites. Niet alle spammers beheersen kennelijk deze techniek. Zij die dat wel doen verhuren hun gratis accounts door voor 25 dollar per week.

Het laatste voorbeeld betreft Wikipedia. Malwareverspreiders hebben onlangs in de Duitse versie van Wikipedia de pagina over de worm Blaster voorzien van een verwijzing naar zogenaamde reparatiesoftware, die zelf malware bevatte. Zo maakten ze gebruik van het betrouwbare imago van Wikipedia. In eerste instantie werd de pagina hersteld, maar in de ‘geschiedenis’ van de pagina was de malafide informatie nog aanwezig, zodat de virusmakers er nog steeds naar konden linken. Tegen hun principes in hebben de beheerders van Wikipedia ook deze informatie verwijderd.

Heeft Beet teveel gezegd? Slimheid heeft een bepaalde schoonheid, ook in dienst van het kwaad.

Dit verhaal is geplaatst op maandag 13 november 2006 om 12:10 uur.