Na een periode waarin virussen relatief simpel in elkaar zaten, ziet beveiligingsbedrijf Kaspersky de laatste tijd weer steeds complexere varianten opduiken. Qua gedrag lijken deze programma’s meer op hun voorgangers van vroeger. Ze liften natuurlijk niet meer mee op diskettes, maar op USB-sticks en andere hedendaagse opslagapparaten.

Een recent voorbeeld is de worm Fujack, die vorige week door Kaspersky-onderzoeker Roel Schouwenberg is aangetroffen op de mp3-speler LT-200 Victory. “Fujack infecteert alle bestanden op de computer”, zegt hij. Het programma “hecht” zich als het ware eraan vast. Bij het opstarten van Word wordt bijvoorbeeld Fujack ook opgestart. Op die manier probeert het zich verder te verspreiden. Schouwenberg: “Tien jaar geleden zag je dat vaak bij virussen. Kreeg je het op je computer, dan tastte het alle bestanden aan. Maar dat is lange tijd veel minder geweest.”

Een paar jaar lang heeft Kaspersky vooral te maken gehad met wormen en Trojaanse paarden, vertelt hij. Vaak waren het unieke bestanden, die zich hooguit naar elders op de harde schijf kopieerden. Maar het lijkt erop dat de ‘oude virustactieken’ bezig zijn met een terugkeer. Schouwenberg ziet hier echt een trend in. Een probleem is daarbij dat sommige virusscanners de geïnfecteerde bestanden niet kunnen ontsmetten, volgens hem. “Ze kunnen alleen aanbieden om die bestanden te verwijderen. En dan heb je wel een probleem.”


Het kost virusschrijvers meer tijd om zo’n virus te maken, omdat ze complexer zijn. Maar dat geldt ook voor de detectie en ontsmetting, legt de onderzoeker uit. Een gewone Trojan is binnen twintig minuten te detecteren en onschadelijk te maken. Maar bij zo’n complexer virus kan daar een dag overheen gaan. De cybercrimineel heeft dus veel langer de tijd om zijn virus uit te buiten.

USB-stick als taxi
Deze complexe virussen worden steeds populairder in China, vertelt Schouwenberg. Ze worden vaak naar draagbare opslagapparaten gekopieerd. En laat China nu juist het land zijn waar veel USB-sticks en mp3-spelers worden gemaakt. Zo verbazingwekkend is het dus niet dat nieuwe producten al geïnfecteerd zijn wanneer ze hier over de toonbank gaan.

Schouwenberg denkt dat de mp3-spelers van Victory al in de fabriek in China besmet zijn geraakt. Het zou bijvoorbeeld kunnen dat ze zijn getest op een gewone pc, waarmee ook op internet wordt gesurft. Zonder adequate beveiliging is het zo gebeurd.

Het voorval met de Victory mp3-speler staat niet op zich. Eerder werden infecties bespeurd bij externe schijven van Maxtor, iPods en navigatiesystemen van TomTom. Grote merken, die niet kunnen voorkomen dat zij hun producten afleveren met een ongewenst extra.

Schouwenberg vermoedt dat er op dit moment wel meer geïnfecteerde mp3-spelers en andere producten in winkels liggen, waarvan gewoon nog geen melding is binnengekomen. “Je weet ook nooit zeker of de mp3-speler de bron is, of de pc.” Het is in ieder geval een duidelijke trend, die zich dit jaar duidelijker zal manifesteren, meent hij.

Waarom is het verspreiden van malware via externe opslag zo populair? De onderzoeker noemt de autorun-functie in Windows als een verklaring. Zodra een USB-stick wordt ingeplugd, wordt de malware automatisch opgestart. De virusschrijver voegt daarvoor een autorun-commando toe. Met het tweede servicepakket voor Windows XP, en zeker in Vista, is hier behoorlijk de rem op gezet. Maar toch blijven externe opslagapparaten een risicofactor, zoals dat vroeger gold voor diskettes.

Een reden is ook dat er met veel vertrouwen wordt omgegaan met externe opslag. “Op de werkplek gelden zeer strenge restricties voor wat je mag doen op een pc met internettoegang”, illustreert Schouwenberg. Dergelijke regels zijn er echter níet voor het gebruik van USB-sticks of schijven. Dus zo vindt het virus alsnog een ingang.