Digitaal immuun-systeem gaat virusverspreiding tegen.

AMSTERDAM, 6 APRIL. De ondergrondse virusgemeenschap op Internet, een internationale subcultuur bestaande uit hackers, hobbyisten en computerdeskundigen die via websites en nieuwsgroepen met elkaar in contact staan, is zwaar aangeslagen door het Melissa-virus. De bekendste websites van de virus underground Codebreakers, Source of Kaos en Virus Exchange zijn op last van de FBI gesloten. Andere bekende sites zijn tijdelijk uit de lucht, omdat de makers vrezen dat ze in staat van beschuldiging worden gesteld vanwege het openbaar maken van virussen.

Maar wie in de voetsporen van David L. Smith, de vermoedelijke maker van het Melissa-virus, wil treden en wereldberoemd met een computervirus wil worden, heeft het nog steeds niet heel erg moeilijk. Behalve de programmacode van Melissa zijn er op Internet duizenden virussen aan te treffen die eenvoudig gekopieerd kunnen worden. Op de website Skam Werks Labs & Infection Connection, te vinden op het netwerk van de University of Central Florida, is de originele programmacode van honderden bekende virussen - waaronder Melissa en Papa - te vinden. Het lidmaatschap van de Ultimate Chaos-site levert bijna 7.000 virussen op en een paar programma's om snel zelf virussen te programmeren.

Illustratie uit The Little Black Book of Computer Viruses.

De vorige week gearresteerde programmeur David Smith (30) maakte deel uit van de digitale virus community, een gesloten circuit dat bestaat uit computerfreaks die zich verschuilen achter pseudoniemen en anonieme e-mail adressen. In de nieuwsgroep alt.comp.virus, één van de digitale trefpunten van de virus underground, postte Smith regelmatig bijdragen over virussen vanaf zijn eigen e-mail account en onder de schuilnaam Doug Winterspoon. In februari 1998 schrijft Smith in alt.comp.virus onder zijn computer handle Doug Winterspoon: ,,If virus writing isn't illegal then giving the virus to someone else shouldn't be either. It isn't illegal to own sulfuric acid and it isn't illegal to give it to someone but it is illegal to harm someone with it. Viruses are the same - the code isn't inherently illegal but the actions or misuse is.''

Virusprogrammeurs staan in hoog aanzien in een kleine kring van malicieuze hackers en digitale vandalen. Wat telt is de kwaliteit van het virusprogramma en de verspreidingsgraad. Bijna alle nieuwe virussen worden, verpakt in een foto, via seks-nieuwsgroepen verspreid. Omdat dagelijks honderdduizenden Internetgebruikers seksgroepen bezoeken met als doel zoveel mogelijk bestanden binnen te halen is het niet zo moeilijk om een nieuw virus in omloop te brengen.

Wat is er zo leuk aan virussen? ,,Virussen schrijven geeft je de kick aan de zwarte kant te staan,'' zegt Spanska, een andere bekende naam in de viruswereld, in een interview met de nieuwssite Techweb, "verboden dingen doen, de gemiddelde gebruiker de stuipen op het lijf jagen.'' Spanska, een 29-jarige programmeur uit Frankrijk, is onder meer verantwoordelijk voor het e-mail virus Happy 99 dat de afgelopen maanden de computers van tienduizenden Internetgebruikers heeft besmet. Veel virusprogrammeurs die actief zijn in alt.comp.virus geven toe dat het hen vooral om roem gaat.

Volgens virusdeskundige Sarah Gordon van IBM, die sinds 1991 onderzoek doet naar de virussubcultuur op bulletin boards en Internet, is het ,,simplistisch'' om te zeggen dat alle virusprogrammeurs kwaad in de zin hebben. ,,In het geval van virusprogrammeurs wordt algemeen aangenomen dat ze allemaal slecht zijn, '' schrijft Gordon in haar studie The Generic Virus Writer. De meeste virussen worden geschreven door een zeer diverse groep jonge mannen in de leeftijd tussen 14 en 24 jaar die een normaal ethisch bewustzijn hebben, aldus Gordon. Ze merkt wel op dat ,,veel virusprogrammeurs worden gedreven door slechte of zelfs criminele motieven en verlangens.''

Volgens de Belgische Virusexpertclub, een digitale vereniging voor virusprogrammeurs, schrijven programmeurs vooral uit hobbyisme virussen: ,,Om hun technische bekwaamheid te testen. Virussen schrijven is een enorme opdracht. De codes zijn dermate ingewikkeld dat er goed moet nagedacht worden hoe men het programma in elkaar gaat steken.'' ,,Het idee van een programma dat er vandoor kan gaan en een eigen leven kan leiden, helemaal onafhankelijk van zijn maker, is opwindend,'' schrijft virusdeskundige Mark Ludwig in zijn standaardwerk The Little Black Book of Computer Viruses.

Onafhankelijk virusdeskundige Graham Cluley, ontwerper van één van de eerste anti-virusprogramma's, is minder genuanceerd over de virussubcultuur. ,,Veel virus-writers zijn kinderen die denken dat het 'cool' is om een virus te schrijven. (…) Ik denk dat ze niet genoeg hebben nagedacht over de gevolgen van het verspreiden van hun virussen,'' zegt Cluley in een reactie per e-mail. ,,Ik denk dat veel virusprogrammeurs niet begrijpen dat ze schade en financiële verliezen veroorzaken voor andere computergebruikers,'' aldus Cluley, die de meeste virus writers ,,onvolwassen'' noemt.

Opsoring en privacy Het omstreden identificatienummer van Microsoft heeft de FBI geholpen bij het opsporen van de vermoedelijke maker van het Melissa-virus. Het besmette Word-document bevatte het nummer (global unique identifier) dat de computer identificeerde waarop het virus is gemaakt. De ontdekking van het Microsoft-nummer, door Richard Smith van het beveiligingsbedrijf Phar Lap Software, leidde tot felle protesten van consumentenorganisaties die de global unique identifier een bedreiging voor de privacy vinden. Microsoft verontschuldigde zich en stelde een gratis programma beschikbaar, waarmee computergebruikers het nummer kunnen uitzetten. (Zie 'Microsoft schendt privacy met Windows') Het was ook Richard Smith die ontdekte dat het nummer in het Melissa-virus overeenkwam met dat van de computer van de vermoedelijke maker David Smith (geen familie). In één van de documenten die Richard Smith heeft bestudeerd trof hij ook de naam van David Smith aan. Hij schroomde niet om de FBI op de hoogte te stellen waarna David Smith werd gearresteerd. ,,In general, virus writers should be much more careful about leaving their names in files. ;-),'' aldus Richard Smith in alt.comp.virus. ,,I found it *very* useful that Microsoft already adds the author name of each person who edits a .DOC file. :-)''

Zonder strafrechtelijke risico's is de virus-hobby niet. In de meeste landen met wetgeving op het gebied van computercriminaliteit is het publiceren en verspreiden van virussen strafbaar. Betrapte virusmakers krijgen steeds hogere straffen. De Amerikaanse student Robert Tappan Morris kreeg een voorwaardelijke straf en 400 uur dienstverlening voor zijn 'Internet worm', die in 1988 60.000 Internetcomputers plat legde. De Engelse computercrimineel Chris Pile, alias Black Baron, werd in 1995 tot anderhalf jaar gevangenisstraf veroordeeld. Zijn virussen zouden het Britse bedrijfsleven minstens een half miljoen pond hebben gekost. Als David Smith wordt veroordeeld volgens de wet in de staat New Jersey waar hij woont, kan hij maximaal 40 jaar gevangenisstraf krijgen en ongeveer één miljoen gulden boete.

Niet iedereen heeft last van Melissa. Fabrikanten van antivirussoftware varen wel bij alle aandacht voor de nieuwe virussen. De aandelenkoersen van Symantec (omzet 1,1 miljard gulden over 1998) en Network Associates (omzet 1,2 miljard gulden vorig jaar) stegen de afgelopen dagen met resp. 8 en 3 procent. ,,Een grote uitbarsting van een virus, vooral als er veel over wordt bericht zoals bij Melissa, is goed voor de antivirus-industrie'', aldus Chris Christiansen van marktonderzoeksbureau International Data Corp. (IDC) in een persbericht van AP. IDC verwacht dat er in 2002 voor 6 miljard gulden aan antivirus-programma's wordt verkocht. Vorig jaar werd er volgens IDC voor ongeveer 2,6 miljard gulden aan antivirussoftware verkocht, in 1997 voor 1,83 miljard en in 1996 voor 860 miljoen.

Wereldberoemd worden met een computervirus wordt overigens niet alleen in de virus underground geambieerd. Verschillende antivirusbedrijven strijden momenteel om de eer de eerste te zijn die Melissa heeft ontdekt. Zowel Network Associates als Trend Micro beweren Melissa als eerste ontdekt te hebben.

Een slimme ondernemer heeft het domein melissavirus.com geregistreerd in de hoop een graantje mee te pikken van alle publiciteit.

Zie ook:
Ultimate Chaos:
www.godnet.demon.co.uk/security.html

Skam Werks Labs & Infection Connection:
pegasus.cc.ucf.edu/~kes65601

Homepage Sarah Gordon:
www.av.ibm.com/WhosWho/SarahGordon

The Generic Virus Writer (Sarah Gordon):
www.av.ibm.com/InsideTheLab/Bookshelf/
ScientificPapers/Gordon/GenericVirusWriter.html

The Generic Virus Writer II(Sarah Gordon):
www.av.ibm.com/InsideTheLab/Bookshelf/
ScientificPapers/Gordon/GVWII.html

The Little Black Book of Computer Viruses:
logoplex.com/resources/ameagle/lbbcv.pdf

Virus Expertclub:
www.virusxpertclub.com

Website Graham Cluley:
members.aol.com/gcluley

Virusonderzoek van International Computer Security Association (ICSA)
Dit is een zip-file (1,6 MB) die u kunt downloaden door op de link te klikken.

Technische documentatie van Symantec over het Papa-virus

Technische documentatie van Network Associates over het Papa-virus

Technische documentatie van Symantec over het Ping-virus

www.symantec.com/avcenter/venc/data/melissa.html

Informatie over Melissa

Meer informatie over virussen en macrovirussen
The Norman Book on Viruses

Macro Virus Site (Universiteit van Wisconsin)

Virussen in Office (Microsoft)

Word Macro Viruses (Microsoft)

Computervirussen Door de opmars van Internet en bedrijfsnetwerken verspreiden virussen zich razendsnel. Volgens Network Associates bestaan er wereldwijd ca. 40.000 computervirussen. International Computer Security Association schat dat er in 1998 15.000 tot 20.000 virussen circuleerden. Per maand zouden er 1.000 nieuwe virussen bijkomen. De meeste van deze nieuwe virussen ontstaan in onderzoekslaboratoria van antivirusbedrijven. Andere worden door de virussubcultuur geschreven en via Internet verspreid. Enkele bekende Internetvirussen en virusachtigen die voor veel overlast hebben gezorgd zijn: Melissa, Papa, Happy 99, Remote Explorer, Back Orifice en NetBus. De meeste nieuwe virussen worden via Internet, vaak per e-mail, verspreid. Voor zover bekend werd het eerste PC-virus werd in 1986 gemaakt. Het heette Brain en kwam uit Pakistan. In 1989 waren er 30 virussen bekend. Op de website van IBM is een overzicht te vinden van 10 jaar virusgeschiedenis. De eerste worm (een virusachtig programma dat zichzelf kopieert en verder verspreidt) die voor furore zorgde, was de Internet Worm van Robert Tappan Morris, de zoon van een hoge beveiligingsambtenaar van de Amerikaanse inlichtingendienst NSA. Morris's Worm legde 60.000 Internetcomputers plat.