Virussen
maken voor beginners
Herbert
Blankesteijn
Met
het Koernikova-virus is aangetoond dat elke onbenul de wereld in rep en roer
kan brengen met een 'zelfgemaakt' virus. Vereiste talenten: een virusgenerator
kunnen downloaden, met de muis een aantal knopjes op het scherm kunnen
indrukken om de eigenschappen van het virus te bepalen, en het resultaat kunnen
wegmailen naar de eerste nietsvermoedende pc-werker. Computergebruikers blijven
dom genoeg om op verleidelijke attachments te klikken in mailtjes met vreemde
onderwerpregels.
[[Wie
is er nou dommer, de maker van het virus of de mensen die eigenhandig hun
computer besmetten door hun geilheid op Anna Koernikova? Wanneer zullen mensen
eindelijk leren dat attachments altijd verdacht zijn, tenzij ze dat zeker niet
zijn? Mailvirussen sturen zichzelf naar iedereen uit het adressenboek van een
besmette computer, dus een mailvirus komt per definitie van een familielid,
kennis, zakenrelatie of collega. Een duidelijk teken dat er iets niet pluis is,
is het gebruik van een vreemde taal. Een mail in het Engels of Duits van een
Nederlander, dat is niet normaal. Hoe dan ook: alleen e-mailbijlagen die je
verwacht, als gevolg van afspraken, zijn niet
verdacht. Alle andere zijn dat wel, en moeten van blaam worden gezuiverd door
een virusscanner, maar liever nog door overleg met de afzender, telefonisch of
via de mail. Anders NIET KLIKKEN, maar WISSEN.
Geen
illusies: over een paar maanden is er weer zo'n epidemie. Mensen leren het
nooit.]] Tenzij… Tenzij we ons immuunsysteem eindelijk een kans geven. Het
beleid van de afdelingen automatisering en van de internetproviders is erop
gericht ons van de bedreigingen te isoleren. Zij proberen zoveel mogelijk
besmet materiaal ter hoogte van de e-mail server, het bedrijfspostkantoor,
tegen te houden. Beter ware het, iedere pc-gebruiker de volle laag te geven.
Wie wel eens een virus heeft gehad, kijkt in het vervolg wel uit. Een
immuunsysteem komt niet tot ontwikkeling in een steriele bel. Wie altijd aan
pathogenen blootstaat, wordt minder snel ziek, en wordt minder ernstig ziek als
hij het wordt.
Daarom
is het een groot goed dat er nu programma's zijn waarmee ook een onbenul
virussen kan maken. We zijn nu niet meer afhankelijk van wispelturige whizkids,
we kunnen het zelf. Maar: waar vind je ze? En wat zijn de beste programma's?
Welke zijn het makkelijkst in het gebruik en welke maken de beste virussen?
Vergelijkend warenonderzoek is nodig en dat heeft dan ook plaatsgevonden.
Een
groot en veelzijdig reservoir van virusgeneratoren is de site
http://vx.netlux.org. Hier kunnen maar liefst 53 virusmaakprogramma's worden
gedownload. Ook de Visual Basic (VBS) Worm Generator van de Argentijn Kalamar -
gebruikt door OnTheFly voor het Koernikova-virus - staat er nog bij, ook al is
dit programma door Kalamar van zijn eigen site weggehaald.
Voor
het onderzoek zijn er negentien gedownload, sommige vooral op grond van hun
naam. Wie kan weerstand bieden aan een Metric
Buttload of Code Generator of aan Ye
Olde Funky Virus Generator? Een aantal bleek toch programmeerervaring te
vereisen en werd uit het onderzoek weggelaten. Acht onbenul-bestendige
producten bleven er over.
|
Viruskit |
Vriendelijkheid |
Virulentie |
Variatie |
Vluchtgedrag |
|
Class
Macro Kit |
- |
- |
0 |
-- |
|
German
Virus Construction Kit |
0 |
-- |
- |
-- |
|
Randomic
Life Generator |
- |
++ |
+ |
++ |
|
Satanic
Brain Virus Toolkit |
+ |
-- |
-- |
-- |
|
VBS
Worm Generator |
++ |
0 |
++ |
+ |
|
Walrus
Macro Virus Generator |
++ |
+ |
+ |
+ |
|
Word97
Macro Virii Construction Kit |
++ |
+ |
++ |
++ |
|
Ye
Olde Funky Virus Generator |
++ |
+ |
0 |
-- |
Onhandig
was, dat virusscanner McAfee nerveus reageerde op deze dubieuze software. Hij
sloeg voortdurend alarm: tijdens het downloaden, bij kopiëren, installatie en
gebruik. Voor een virusscanner is dat begrijpelijk, maar hij bestempelde de
bestanden ten onrechte als ‘besmet met een virus’, gaf verkeerde namen op, en
de website van McAfee gaf onjuiste informatie. Het lijkt erop dat McAfee op
deze manier probeert het gebruik van virusmakers te ontmoedigen, wat overigens
niet in het belang van dit antivirusbedrijf is. Hoe dan ook, de
aspirant-viruskweker wordt aangeraden bij zijn experimenten een eventuele
virusscanner uit te schakelen, daar zo’n programma het werk sterk bemoeilijkt.
De
virusfabriekjes zijn op een aantal eigenschappen beoordeeld. Uiteraard de
vriendelijkheid voor de gebruiker. De Class Macro Kit scoort hier onder de maat
omdat het programmascherm voortdurend onverhoeds verdween en op een
ingewikkelde manier weer moest worden opgeroepen. De Randomic Life Generator
vereist voor optimale werking een handmatige ingreep in het bestand
autoexec.bat, wat ook al niets is voor een onbenul.
Onder
virulentie verstaan we hier de ernst van de mogelijke effecten van een virus.
Wie hier boven de middelmaat uit wil komen, moet bestanden wissen of de harde
schijf onbruikbaar maken. De pc laten vastlopen is niet voldoende.
De
variatie is het scala mogelijke eigenschappen van de te maken virussen. De
Satanic Brain Virus Toolkit en de Duitse kit zijn hier de minste. Hun virussen
doen niet veel meer dan piepjes veroorzaken of teksten projecteren op het
scherm. De goed scorende generatoren maken virussen met een grote keus aan
effecten, triggers en
verspreidingswijzen (via chatboxen!).
De
mate waarin een eigengebakken virus aan een virusscanner kan ontkomen noemen we
het vluchtgedrag. Van de slecht scorende producten worden alle virussen zonder
meer door een goede virusscanner gesnapt. De goede gebruiken technieken als
encryptie, stealth en ruis, die
herkenning moeilijker maken. Sommige kunnen een virus laten zoeken naar bekende
virusscanners, om deze dan te wissen.
Over
de hoogst scorende virusgeneratoren nog het volgende. De Randomic Life
Generator kan zeer kwaadaardige virussen maken, maar omdat deze geen documenten
besmetten en zichzelf niet kunnen mailen, zijn ze eigenlijk niet meer van deze
tijd. De Walrus en Word97 macromakers zijn duivelse programma’s, met als enige
nadeel dat de onbenul moet weten wat een macro is om ermee te kunnen omgaan.
Een beginnerscursus tekstverwerken kan hier uitkomst bieden. De VBS Worm
Generator biedt geen ernstiger effecten dan het laten vastlopen van de pc, maar
- we mogen ons ideële doel niet uit het oog verliezen - dat is voldoende om de
pc-gebruiker een lesje te leren. De VBS Worm Generator is zogezegd het ideale
vaccin voor de digitale samenleving, en krijgt daarom het predikaat ‘Beste uit
de test’.