NIEUWSSELECTIE  
  KORT NIEUWS  
  RADIO & TELEVISIE  
  MEDIA  

Virus schrikbarend eenvoudig

Een virus dat zich via e-mail verspreidt trof gisteren het Europese, Amerikaanse en Aziatische bedrijfsleven. De keerzijde van de nieuwe economie werd in een klap duidelijk.

Door onze redacteuren ROBERT GIEBELS en EGBERT KALSE

DEN HAAG/SINGAPORE, 5 MEI. "Dit is de donkere kant van de 'nieuwe economie'." Daniel Flores, een Costa-Ricaan die in Singapore een internetbedrijf voor beginnende 'cyberpreneurs' heeft, spreekt over het ILOVEYOU-virus dat gisteren met grote snelheid e-mail systemen over de hele wereld plat wist te leggen. Die nieuwe economie, die om internet en andere informatietechnologieën draait, heeft onder andere als theoretische eigenschap dat een hogere productie niet leidt tot hogere kosten. Dat komt door de kosteloze reproduceerbaarheid van de digitale informatie, de dobber waar de nieuwe economie, ook wel internet- of informatie-economie op drijft. Tot zover de theorie. In de praktijk klopt dat niet meer als kwaadwillende Filippijnse studenten achter hun computer kruipen en liefdesbrieven met een computervirus per e-mail gaan versturen. Dan keert de vermenigvuldiging zich binnen een paar uur wereldwijd tegen de nieuwe economie en dat gaat zeker niet kosteloos.

Het begon gisteren ergens tussen drie en vier uur 's middags plaatselijke tijd in de door ontvoeringszaken en een islamitische opstand geteisterde Filippijnen. In de hoofdstad Manila werd rond die tijd het virus op het internet gezet. De makers 'hingen' hun virus aan een e-mail die naar onder andere nieuwsorganisaties, banken en pr- bureaus werd gestuurd.

Het mailtje appelleert aan iedereen die denkt dat ergens op de wereld iemand rondloopt die een stille liefde koestert voor de ontvanger van het bericht. Omdat het mailtje ogenschijnlijk van een bekende afkomstig is, zijn velen geneigd hem te openen. Dan verschijnt de tekst: 'kindly check the attached LOVELETTER coming from me.' En als de e-mail- ontvanger dat doet, is het hek van de dam.

Het virus is van een schrikbarende eenvoud. Het is een programmaatje in de programmeertaal Visual Basic, een Micosoft-product dat op talloze computers is geïnstalleerd. Feitelijk activeert de gebruiker door het attachment aan te klikken een programmaatje dat een aantal opdrachten geeft. Eén: stuur dit bericht door aan iedereen in het adressenbestand van het mailprogramma Outlook. Twee: verander alle bestanden met de extensies MP3, CSS, HTML en JPEG (onder meer muziek en internetbestanden) in bestanden met de extensie 'vbs' (de extensie die hoort bij Visual Basic-bestanden). De bestanden worden daarmee feitelijk onbruikbaar. Uiteindelijk rest de gedupeerde gebruiker niets anders dan de harde schijf te formatteren, wissen en opnieuw installeren. Kwalijker is dat het virus ook zelfstandig contact zoekt met een website die is gestationeerd in de Filippijnen. Daar haalt het een zogenoemde executable op (een programmaatje) en installeert dat op de computer. Met dat programmaatje, een zogenoemde Backdoor Trojan (vrij naar het Paard van Troje), is het mogelijk om vanaf een andere computer in te breken in de met het virus besmette computer doordat wachtwoorden van computers via e-mail worden doorgestuurd. "Zit je te werken, gaat ineens je cd-rom-speler vanzelf open, of haalt iemand allerlei bestanden van je harde schijf zonder dat je daar erg in hebt", aldus een deskundige.

"Ik ben zo stom geweest om het mailtje met I Love You te openen", zei Daphne Ghesquiere, een woordvoerder van Dow Jones Newswires in Hongkong. "Maar wat wil je, een liefdesbrief van een afzender die je kent, die lees je natuurlijk. " In Amerika hetzelfde verhaal: "Ik ben een half uurtje van mijn plek, kom terug en opeens blijken er 177 mensen die ik ken verliefd op mij te zijn", liet Ted Canova, een directeur van een tv-station in Minneapolis weten. De eenvoud van het virus werpt meteen de vraag op hoe dit heeft kunnen gebeuren. Voor zover bekend heeft ene Spyder het virus bedacht. Deze hacker reageert overigens niet op e-mailtjes met een vraag naar zijn beweegredenen. De bekende antivirusbedrijven hadden geen weerwoord tegen de razendnelle verspreiding. Pas enkele uren nadat het virus losbarstte kwamen de eerste antivirusprogramma's via de web-sites van de bedrijven beschikbaar. Volker Ladage van antivirusbedrijf Norman zegt woensdag aan het eind van de dag voor het eerst van het virus te hebben gehoord. "Ons hoofdkantoor in Noorwegen kreeg toen de eerste meldingen binnen", zegt hij. Op zichzelf nog geen reden voor paniek, er komen dagelijks virusmeldingen binnen. Pas toen donderdagochtend vroeg bleek dat uit meerdere landen meldingen binnenkwamen, zijn de antivirusmensen van Norman aan de slag gegaan met een 'sample' van het virus. In de nacht van woensdag op donderdag kwam een zogeheten 'fix' tot stand die het virus detecteert en uitschakelt. Aan een programma dat de geleden schade moet herstellen wordt nog gewerkt. "We hopen dat uiterlijk dit weekeinde gereed te hebben", aldus Ladage.

Experts spreken van 'ten minste een miljard dollar aan schade door verdwenen bestanden', veel meer dan de 80 miljoen dollar die het vorige virus, Melissa, heeft gekost. Dat virus was eigenlijk geen virus, maar wist computersystemen lam te leggen door een stortvloed aan e-mails te versturen. De schade die ILOVEYOU heeft aangericht blijkt in Amerika het grootst. Niet alleen is de 'computerdichtheid' daar hoog, ook kwam het virus daar aan het begin van de werkdag aan. In Azië vielen de gevolgen van de 'Killer from Manila' zoals het virus is gedoopt, om die reden mee. Vanuit de Filippijnen ging het vooral naar Europa waar het om ongeveer 11.00 uur aankwam. Daarna ging het weer terug naar Azië, waar de economische centra Singapore, Hongkong en Taiwan werden getroffen.

Opmerkelijk is overigens dat alleen Microsoft-systemen zijn geraakt door het virus. Een woordvoerder van Microsoft Benelux ontkent dit overigens. Zij zegt te weten dat ook andere besturingssystemen zijn getroffen, maar kan niet zeggen welke. Microsoft geeft verder geen commentaar op de virusexplosie. Experts stellen dat besturingssystemen van Apple en Linux niet zijn getroffen door de e-mailbom.

De snelle verspreiding van het virus onder Microsoft-Outlook-gebruikers roept volgens enkele antivirusexperts de vraag op of bedrijven niet te massaal de relatief slecht te beveiligen e-mailsoftware van Microsoft hebben geïnstalleerd. Virus-killer Ladage van Norman: "Microsoft brengt met veel te grote snelheid niet goed functionerende software op de markt. Daarmee maak je dit soort massale aanvallen mogelijk. Er zitten gaten in de software." Terwijl het ILOVEYOU-virus wordt bestreden zijn er alweer twee nieuwe onderweg, getiteld Very Funny en Joke. "Nog succesvoller zou een virus denk ik zijn als het met een 'Virus Waarschuwing'-mailtje komt", merkt Flores op. Ontvangers van een elektronische liefdesbrief doen er goed aan die zo snel mogelijk in de prullenbak te gooien en de prullenbak daarna te legen. E-mails met als onderwerp 'I love you' niet openen, zelfs niet snel even doorlezen, maar onmiddellijk verwijderen.

TIPS Wie de verleiding toch niet heeft kunnen weerstaan, doet er goed aan zijn pc na te lopen op mogelijke infecties van dit hardnekkige computervirus. Een deel van de aantasting volgt pas bij het opnieuw opstarten van de pc. Het is dus zaak dat niet te doen, voor het virus gewist is. Het virus, dat love-letter-for-you.txt.vbs heet, kopieert zichzelf naar drie plekken op de pc: C:\WINDOWS\SYSTEM\MSKERNEL32.VBS C:\WINDOWS\SYSTEM\LOVE-LETTER-FOR-YOU.TXT.VBS C:\WINDOWS\WIN32DLL.VBS Deze drie bestanden dienen verwijderd te worden. Ga vervolgens met een programma dat de harde schijf doorzoekt op zoek naar bestanden met MSKERNEL32 en WIN32DLL en verwijder die. Deze bestanden tasten de registratiesleutels van de pc aan. Ook beeld- en geluidsbestanden kunnen aangetast zijn. Zo verandert het virus bijvoorbeeld jpg-plaatjes (bestanden die eindigen op .jpg of .jpeg) in .jpg. vbs-bestanden. Door de toevoeging 'vbs' (visual basic, een programmeertaal van Microsoft) worden de bestanden feitelijk onbruikbaar. Hetzelfde kan mp3-bestanden (geluid) overkomen en bestanden met de toevoegingen .vbs, .vbe, .js, .css, .wsh, .sct en .hta. Het virus vervangt verder de startpagina van het internet- bladerprogramma Explorer, dat automatisch een pagina opstart die het bestand WIN-BUGSFIX. EXE ophaalt. Dit programma maakt het hackers mogelijk om in te breken in pc's en wachtwoorden op te halen. Op internet is inmiddels een aantal programma's te vinden dat het virus onschadelijk maakt, onder andere op de websites www.drsolomon.com en www.teq-international.com. Op www.symantec.com, www.shark.nl, www.f-secure.com en www.sophos.com zijn anti-virusprogramma's op te halen die het virus herkennen. De verwachting is overigens dat vrijwel alle makers van antivirusprogramma's vandaag op hun website een aangepaste versie van hun software hebben gezet dat het liefdesvirus de baas kan. Inmiddels zouden alweer twee nieuwe virussen onderweg zijn, met gevleugelde namen als Very Funny en Joke. Nog niet zo lang geleden verspreidden de virussen HAPPY99.EXE en Melissa (in de gedaante van het bestandje LIST.DOC) huis. Een algemene tip: bekijk het programma in een 'viewer', dat het bestand wel bekijkt maar niet opent.

Zie ook:

Computervirus infecteert miljoenen computers (4 mei 2000)

( a d v e r t e n t i e s )