PrintvriendelijkPrintvriendelijke versie

Geschiedenis

Vandaag kent iedereen de term "computervirus", maar dit was eens anders. Deze term bestaat eigenlijk nog maar een kleine 21 jaar.
Ontwikkelingen die ons het computervirus brachten, moeten we ongeveer 40 jaar geleden situeren.

Overzicht

Het prille begin...

De eerste computervirussen, die toen zo nog niet heetten, doken al op in de jaren zestig. Het ging hierbij om zogenaamde "gecontroleerde computervirussen"
Deze virussen werden louter ontwikkeld om softwaremogelijkheden te testen. Na ontwikkeling verlieten ze de computer van de ontwikkelaar niet.

In de jaren tachtig zijn enkele virussen door computergebruikers verspreid. Ze infecteerden voornamelijk universiteiten en onderzoekscentra.

Het eerste computervirus

Volgens bepaalde bronnen werd reeds in 1960 het eerste computervirus tot leven gewekt. Het was gemaakt voor Unix-machines en besmette het eerste deel van de harde schijf. Voor de computerdeskundigen was dit virus echter nog onbekend.

Op 10 november 1983 zag het eerste computervirus officieel het daglicht. De Amerikaanse student Fred Cohen presenteerde toen zijn eerste virus op een Unix-systeem. Het programma was in staat zijn omgeving te veranderen en zichzelf te vermenigvuldigen.

Het eerste computervirus werd ontdekt rond 1986 en werkte op DOS-systemen. Dit virus installeerde zichzelf in het BIOS van een systeem en kopieerde vervolgens gegevens naar elke databron die gekoppeld werd aan dit systeem. Op dat moment waren dat voornamelijk diskettes.

De term "computervirus"

De term "computervirus" werd voor het eerst gebruikt in 1984 door Fred Cohen. Hij definieerde een computervirus als volgt:
«Een programma dat andere programma´s kan infecteren door deze zodanig te veranderen dat er een kopie van zichzelf in ondergebracht wordt.»

Evolutie verspreiding

In het begin verspreidden computervirussen zich redelijk traag. Reden? In het begin konden computers nog niet goed met elkaar verbonden worden. Bestanden werden dus tussen verschillende computers doorgegeven via een BBS (Bulletin Board System) of diskettes. Hierdoor bleef de verspreiding van geïnfecteerde bestanden geografisch beperkt. Maar in de loop van de tijd zijn computers meer met elkaar beginnen communiceren. Zo kwam er het LAN (Local Area Network), het WAN (Wide Area Network) en uiteindelijk hebben we nu het welbekende Internet. Ook het intensieve gebruik van e-mail zorgde voor een massala toename van macrovirussen.

In het begin van de jaren negentig, samen met de opkomst en ontwikkeling van Internet en e-mail, kwam ook de verspreiding van computervirussen in een stroomversnelling terecht. Een nieuwe manier van verspreiding was immers uitgevonden. In 81 procent van de gevallen wordt een virus nu via e-mail verstuurd naar andere computers.

Tijdslijn

1960
Het eerste computervirus werd tot leven gewekt: het was een virus dat geschreven was voor Unix.
1984
Fred Cohen introduceerde de term computervirus.
1987
Reeds 6 virussen in omloop.
Het macrovirus dook voor het eerst op.
1988
Allereerste worm van Morris besmette een deel van het Internet.
1993
Bootsectorvirussen
1994
Trojaanse paarden
1997
Massale verspreiding van wormen en zwak encryptie virussen
1998
Virussen zoals CIH en enorme verspreiding van trojaanse paarden zoals Back Orifice, NetBus en Master´s Paradise
1999
Macrovirussen die ontwikkeld werden voor PowerPoint en Access
Bijna 66.000 virussen (inclusief trojans en wormen) in omloop
2000-2005
Modem virussen, flashkill virussen, antivirusscanner virussen, sterkencryptievirus, zelfdenkende virussen en combinatievirussen

Bedreigingen door de jaren heen

1987: Jerusalem
Het Jerusalem-virus is een van de oudste computervirussen die we kennen. Hiervan zijn reeds verschillende varianten verschenen.
Het virus bevatte een bug waardoor het .EXE bestanden bleef infecteren, totdat het te groot werd voor de computer. De infectie bestond uit het toevoegen van 1808 bytes aan het oorspronkelijke bestand. Jerusalem werd op elke vrijdag de dertiende actief en verwijderde alle programma´s die op die dag gedraaid werden.
1991: Tequila
Dit polymorfische virus wist zich zeer snel te verspreiden. Het was tevens zeer moeilijk op te sporen met een virusscanner.
Een geïnfecteerd programma dat gedraaid werd, zorgde ervoor dat het virus zich in de MasterBootRecord van de harde schijf nestelde, waardoor het virus de volgende keer dat de computer werd opgestart actief in het geheugen was.
Een interessant effect was, dat het een afbeelding van een Mandelbrot set liet zien.
1999: Chernobyl / CIH
Het Chernobyl virus, ook bekend als CIH, Win95.CIH, PE_CIH, Win32.CIH en W95/CIH.1003, verscheen eind april 1999.
Het virus infecteerde uitvoerbare bestanden en verpsreidde zich telkens zo'n bestand werd uitgevoerd. Aangezien veel bestanden tijdens gebruik geopend en uitgevoerd worden, wist het virus zich zeer snel te verspreiden. Later verschenen verschillende varianten hierop.
2000: I Love You
Het I Love You virus, LoveLetter worm, Lovebug, I-Worm.LoveLetter of ILOVEYOU, werd actief op 4 maart 2000.
Deze worm stuurt gebruikers een e-mail met als titel "I Love You". Deze e-mail bevat de bijlage LOVE-LETTER-FOR-YOU.TXT.vbs
Eenmaal de gebruiker dit bestand opent, kopieert de worm zich naar de Windows systeemmap en voegt hij zichzelf toe aan het register. Hierna wordt geprobeerd een trojaans paard te downloaden en installeren, zodat aanwezige wachtwoorden naar het adres "mailme@super.net.ph" gestuurd worden.
2001: Code Red
De eerste versie van de Code Red worm verscheen op 12 januari 2001.
Deze worm maakt gebruik van een lek in Microsoft IIS servers om zich te verspreiden. De levensloop van deze worm is tweedelig.
Gedurende de eerste negentien dagen van de maand genereert de worm een willekeurige lijst IP-adressen en gaat elk van die adressen langs, in de hoop een kwetsbare machine te vinden en te infecteren. Bij de eerste versie van Code Red gebeurde dit niet naar behoren, waardoor de verspreiding traag ging. Bij een tweede versie, die een half jaar later verscheen, was dit probleem opgelost en wist het virus zich veel sneller te verspreiden. Zo konden binnen 24 uur meer dan 359.000 servers geïnfecteerd worden.
Vanaf de twintigste van de maand voerde de worm een denial of service aanval (DoS-Attack) uit op de website van het Witte Huis.
2001: Nimda
Een tweede schadelijke worm die zich in 2001 verspreidde, was de Nimda worm. Deze worm, die op 18 september voor het eerst ontdekt werd, gebruikte vier verschillende methoden om zich te verspreiden. Op deze manier wist het virus op korte tijd meer dan 2,5 miljoen computers te infecteren.
2003: Slammer worm
Op zaterdag 25 januari verscheen de snelst verspreidende worm ooit. Slammer, ook bekend als Sapphire, wist op zeer korte tijd meer dan 75.000 servers te infecteren. Het maakte gebruik van een lek in Microsoft´s SQL Server. Het virus op zich was niet schadelijk, maar wist vanwege het overbelasten van netwerken en database servers voor een immense schade te zorgen. Slammer wist zich zo snel te verspreiden, dat de geïnfecteerde populatie elke 8,5 seconden verdubbelde. Aangezien delen ven het netwerk niet genoeg bandbreedte hebben om het verkeer dat deze worm genereert te verwerken, is Slammer na 3 minuten over zijn hoogtepunt heen. Binnen 10 minuten na het verschijnen van de worm, zijn de meeste machines geïnfecteerd.
2003: MS Blaster
De MS Blaster worm, die begin augustus 2003 verscheen, is zelfs vandaag nog actief. Deze worm is ook bekend onder de namen Lovsan en Blaster. Infectie gebeurt via een lek in Microsoft´s Remote Procedure Call (RPC) Interface. De worm zoekt het Internet af naar kwetsbare computers en stuurt zichzelf naar die computer. Duizenden gebruikers die hun machine niet geüpdatet hebben, worden zodra ze verbonden zijn met Internet besmet. De worm gebruikt geïnfecteerde computers voor het uitvoeren van een denial of service aanval (DoS-Attack) op windowsupdate.com. Belangrijke eigenschap van dit virus is dat het de computer na enkele seconden reboot. Hierdoor krijgen de slachtoffers echter geen tijd om een update te downloaden.
2003: SoBig
De naam van deze worm zegt al genoeg, de SoBig worm is een van de grootste wormen van de laatste jaren. De eerste variant SoBig.A, werd begin januari 2003 ontdekt.
De F-variant die op 19 augustus verscheen, deed de antivirusindustrie verstommen. SoBig.F wist binnen enkele uren na actief worden miljoenen e-mailberichten te versturen. Ook een backdoor was aanwezig, waardoor de aanvaller toegang had tot de geïnfecteerde computers. Hiervan maakte hij gebruik om deze pc´s als spam relay servers te gebruiken. Ook werd er vertrouwelijke informatie van geïnfecteerde computers gestolen.
De levensduur van deze worm was beperkt. De virusschrijver had namelijk een einddatum geprogrammeerd, waardoor de worm op 10 september 2003 ophield met zich te verspreiden.
2003: Swen
Nog een beruchte worm uit 2003 was de Swen-worm. Swen verspreidde zich via e-mail, LAN´s, IRC en KaZaA. Het maakte gebruik van een lek in Internet Explorer om onmiddellijk vanuit de e-mail gestart te worden. De worm deed zich voor als een Windows Update, in de hoop dat veel gebruikers de bijlage zouden openen. Swen zorgde voor heel wat overbelaste mailservers. Deze worm was een van de schadelijkste van 2003.
2004: Sasser
De Sasser-worm werd op 1 mei van vorig jaar ontdekt. Hij maakt gebruik van een buffer overrun in de LSASS van Windows. Door dit lek kan de worm ongepatchte machines op afstand infecteren. Indien de aanval succesvol is, wordt er een shell gestart op poort 9996. Via deze shell port krijgt de computer de opdracht de worm te downloaden en aan andere kwetsbare computers aan te bieden.
2004: MyDoom
De eerste MyDoom-worm werd eind januari 2004 ontdekt. MyDoom.A, ook wel Shimgapi of Novarg genoemd, verspreidde zich via het netwerk van KaZaA en via e-mail. Eens de worm geopend werd, plaatste het zichzelf in de KaZaA map en zocht de computer af naar e-mailadressen. Tevens werd een backdoor geïnstalleerd, waardoor de virusschrijver toegang had tot de geïnfecteerde machines.
Besmette computers werden onder andere gebruikt voor het uitvoeren van een denial of service aanval (DoS-Attack) op www.sco.com. Een einddatum van de worm was geprogrammeerd, zodat deze na 12 februari stopte met zich te verspreiden. Toch dook begin 2005 een eerste variant op.
2004: Netsky
De Netsky-worm is een van de meest succesvole wormfamilies aller tijden. Wordt de bijlage van de e-mail geopend, dan wordt een bestand "services.exe" naar de Windows map gekopieerd en worden aanpassingen in het register gemaakt. Daarna zoekt de worm naar e-mailadressen om zich verder te verspreiden.

Woordenlijst:

CIH: het CIH virus is een voorloper van het flashkill virus.
(zie verder)
Modem virus: virus dat belt naar een andere computer en op die manier de ROM besmet.
Flashkill virus: alle flash ROMS van alle apparaten worden vernietigd
(CIH is de voorloper van het flashkill virus).
Zelfdenkende virussen: virus dat zal zelfstandig zal bepalen wanneer het zal uitbreken en kan van vorm veranderen.
IIS (Internet Information ServerServices):
De IIS is de door Microsoft ontwikkelde Internet server.
Hoofdzakelijk worden pagina's, die de Internet-taal ASP (Active Server Pages) gebruiken, op IIS geplaatst.
DoS-Attack: Denial of Service attack.
Bij Denial of Service wordt één bepaald doelwit (meestal een server)
door talloze andere computers met veel data bestookt.
Dat kan bijvoorbeeld via het Internet. De server kan dat niet aan en crasht.
IRC: Internet Relay Chat is een protocol voor chat.
LAN (Local Area Network): Computernetwerk binnen een gebouw of een bedrijf.
Toch kan een LAN meer dan alleen een kantoorgebouw beslaan.
De LAN-techniek maakt netwerken met een reikwijdte van 10 km mogelijk.
Via kabels verbonden personal computers kunnen gebruik maken van gemeenschappelijke resources als
vaste schijven, printers, databases, modem en verbindingen met andere netwerken.
LSASS (Local Security and Authority Subsystem Service):
achtergrondtaak die Windows-gebruikers aanmeldt bij het besturingssysteem.