{\rtf1\ansi\ansicpg1252\uc1 \deff0\deflang1033\deflangfe1043{\fonttbl{\f0\froman\fcharset0\fprq2{\*\panose 02020603050405020304}Times New Roman;}{\f16\froman\fcharset238\fprq2 Times New Roman CE;}{\f17\froman\fcharset204\fprq2 Times New Roman Cyr;}
{\f19\froman\fcharset161\fprq2 Times New Roman Greek;}{\f20\froman\fcharset162\fprq2 Times New Roman Tur;}{\f21\froman\fcharset186\fprq2 Times New Roman Baltic;}}{\colortbl;\red0\green0\blue0;\red0\green0\blue255;\red0\green255\blue255;
\red0\green255\blue0;\red255\green0\blue255;\red255\green0\blue0;\red255\green255\blue0;\red255\green255\blue255;\red0\green0\blue128;\red0\green128\blue128;\red0\green128\blue0;\red128\green0\blue128;\red128\green0\blue0;\red128\green128\blue0;
\red128\green128\blue128;\red192\green192\blue192;}{\stylesheet{\nowidctlpar\widctlpar\adjustright \fs20\lang1043\cgrid \snext0 Normal;}{\*\cs10 \additive Default Paragraph Font;}}{\info{\title De creativiteit van virusmakers}{\author Ik}{\operator Ik}
{\creatim\yr2006\mo11\dy13\hr9\min15}{\revtim\yr2006\mo11\dy13\hr11\min20}{\version11}{\edmins72}{\nofpages2}{\nofwords616}{\nofchars3999}{\*\company }{\nofcharsws4604}{\vern73}}\paperw11906\paperh16838\margl1417\margr1417\margt1417\margb1417
\deftab708\widowctrl\ftnbj\aenddoc\hyphhotz425\hyphcaps0\formshade\viewkind4\viewscale100\pgbrdrhead\pgbrdrfoot \fet0\sectd \linex0\headery709\footery709\colsx709\endnhere\sectdefaultcl {\*\pnseclvl1\pnucrm\pnstart1\pnindent720\pnhang{\pntxta .}}
{\*\pnseclvl2\pnucltr\pnstart1\pnindent720\pnhang{\pntxta .}}{\*\pnseclvl3\pndec\pnstart1\pnindent720\pnhang{\pntxta .}}{\*\pnseclvl4\pnlcltr\pnstart1\pnindent720\pnhang{\pntxta )}}{\*\pnseclvl5\pndec\pnstart1\pnindent720\pnhang{\pntxtb (}{\pntxta )}}
{\*\pnseclvl6\pnlcltr\pnstart1\pnindent720\pnhang{\pntxtb (}{\pntxta )}}{\*\pnseclvl7\pnlcrm\pnstart1\pnindent720\pnhang{\pntxtb (}{\pntxta )}}{\*\pnseclvl8\pnlcltr\pnstart1\pnindent720\pnhang{\pntxtb (}{\pntxta )}}{\*\pnseclvl9
\pnlcrm\pnstart1\pnindent720\pnhang{\pntxtb (}{\pntxta )}}\pard\plain \nowidctlpar\widctlpar\adjustright \fs20\lang1043\cgrid {\fs24 De creativiteit van virusmakers
\par Herbert Blankesteijn
\par
\par Ondanks zichzelf bewondert Beet de inventiviteit van de verspreiders van malware, kwaadaardige software. Ze vinden steeds weer verrassende manieren om hun on-waren te verspreiden. Het is bijna een plezier om er kennis van te nemen.
\par
\par In minder dan twee maanden heeft Beet de volgende vondsten verzameld, stuk voor stuk een Amerikaans octrooi waardig (in Europa zijn octrooien op software niet toegestaan).
\par
\par }{\fs24 Het is bekend dat veel virussen elkaar naar het leven staan: Netsky en Mydoom bijvoorbeeld maakten er een sport van elkaar te wissen op besmette pc's. Verschillende virussen op \'e9\'e9
n pc zitten elkaar in de weg omdat ze de pc willen gebruiken in dienst van de virusmaker, bijvoorbeeld door websites aan te vallen. Ook is het al lang routine dat een vir
us antivirussoftware uitschakelt. Het Trojaanse paard SpamThru is de eerste die zelf antivirusssoftware installeert. Het gaat om een illegale kopie van Kaspersky, die uiteraard SpamThr
u zelf ongemoeid laat. Zo verzekert SpamThru zich ervan de besmette pc voor zichzelf te hebben.
\par
\par In toenemende mate zitten er virussen in filmpjes die via internet worden uitgewisseld. Een vide
obestand als zodanig kan geen kwaadaardige software bevatten (al kunnen video's van Windows Media en Real Video wel verwijzen naar websites, en dus ook naar malafide websites die gebruikmaken van lekken in Internet Explorer). Maar het hier bedoelde gevaar
is dat een filmpje bij het starten zegt: u moet eerst deze codec installeren. Een codec is een manier om video-informatie zo effici\'eb
nt mogelijk te verpakken, en een dergelijke melding komt ook bij betrouwbare video's voor. Maar virusontwerpers kunnen inmiddels hun wanproducten ook via een codec installeren. Oppassen dus met video's uit dubieuze bronnen.
\par
\par }{\fs24 De 288ste variant van de worm Opanki helpt zijn maker aan statistieken over zijn besmette computers. Zonder blikken of blozen gebruikt deze worm Google Analytics, een gratis dienst voor het bedrijfsleve
n
. Google Analytics vertelt bedrijven waar hun klanten zitten, wat ze doen op de website van het bedrijf, hoeveel ze besteden en dergelijke. Niet al deze informatie is van toepassing op besmette pc's maar wel bijvoorbeeld waar ze zijn gelokaliseerd. Er zij
n meer manieren om dit te achterhalen (het ip-nummer bijvoorbeeld) maar Google levert de virusmaker kant-en-klare informatie verpakt in keurige grafieken en kaarten.
\par
\par Spamberichten verwijzen vaak naar websites waar dubieuze goederen worden verkocht. Omdat deze sites nogal eens uit de lucht worden gehaald, wordt in de spam-mails in eerste instantie verwezen naar een gratis homepage. Dit tussenstation verwijst dan
automatisch naar de eigenlijke louche webwinkel. Als deze winkel plotseling
moet verhuizen, hoeft alleen de verwijzing op de gratis website te worden aangepast. De link in reeds verzonden spam-mails blijft zo gewoon werken. De gratis websites komen niet gauw op de zwarte lijst van spambestrijders t
e staan, omdat bij dezelfde provider duizenden bona fide consumenten hun homepage hebben.
\par
\par Er is een levendige handel in dit soort doorstuur-sites. Niet alle spammers beheersen kennelijk deze techniek. Zij die dat wel doen verhuren hun gratis accounts door voor 25 dollar per week.
\par
\par Het laatste voorbeeld betreft Wikipedia. Malwareverspreiders hebben onlangs in de Duitse versie van Wikipedia de pagina over de worm Blaster voorzien van een verwijzing naar zogenaamde reparatiesoftware, die zelf malware bevatte. Zo maakten ze gebruik van het betrouwbare imago van Wikipedia. In
e
erste instantie werd de pagina hersteld, maar in de 'geschiedenis' van de pagina was de malafide informatie nog aanwezig, zodat de virusmakers er nog steeds naar konden lin
ken. Tegen hun principes in hebben de beheerders van Wikipedia ook deze informatie verwijderd.
\par
\par Heeft Beet teveel gezegd? Slimheid heeft een bepaalde schoonheid, ook in dienst van het kwaad.
\par }}