De term malware – een samentrekking van "malicious software", letterlijk
kwaadaardige software – slaat op een grote familie van software met
negatieve effecten voor een computer. Deze effecten zijn al even verscheiden
als de manieren waarop ze tot stand komen. Het kan zowel gaan om
bedreigingen voor het privé-leven van de gebruikers als om verlies van
gegevens of storende reclameboodschappen die zomaar opduiken. Wat malware
gemeen heeft, is de schade die ze aanrichten aan de prestaties van de
getroffen informaticasystemen en de overlast voor de gebruikers. Het
probleem ligt echter in de moeilijkheid om ze op te sporen en om de
aangerichte schade te herstellen. De belangrijkste soorten malware worden
hierna gedetailleerd.
In de overdrachtelijke zin is een computervirus voor een computer wat een
ziekte is voor het menselijke lichaam. In beide gevallen wordt overigens het
woord virus gebruikt, omdat het om parasieten gaat die in het ene geval de
informaticaprogramma's en in het andere het immuunsysteem infecteren.
Biologen en informatici delen dus eenzelfde bekommernis: middelen
ontwikkelen om deze indringers te bestrijden.
In technischere zin is een computervirus een klein programmaatje dat
zichzelf verspreidt met de bedoeling iets te verstoren, hetzij door iets te
wijzigen, hetzij door iets te vernietigen in een informaticasysteem waarin
het door een onoplettendheid en buiten medeweten van de gebruiker werd
geïnstalleerd.
Een virus dringt binnen in een informaticasysteem via een diskette, een cd
of een download. Vervolgens reproduceert het zich en laat het zijn sporen na
in de verschillende geïnfecteerde programma's. Het manifesteert zich het
vaakst door blokkeringen of foutmeldingen.
Er zijn al duizenden virussen gemaakt en die kunnen we onderverdelen in
diverse categorieën. Tot de belangrijkste behoren de onschadelijke virussen,
destructieve virussen, stealthvirussen, slapende virussen, muterende
virussen, versleutelde virussen, polymorfe virussen, uitvoerbare virussen,
vernietigende virussen, bootsectorvirussen, Trojaanse paarden, associatieve
virussen, geblindeerde virussen, hybride virussen. Bepaalde virustypes
kunnen verschillende kenmerken vertonen, zodat deze indelingen elkaar kunnen
overlappen.
Polymorfe virussen bevatten een bijzondere code die zich bij elke besmetting
transformeert, maar steeds dezelfde schade aanricht.
De meeste polymorfe virussen zijn gecodeerd en decrypteren zichzelf pas als
ze een nieuw bestand moeten besmetten. Bijgevolg is de opsporing en de
verwijdering van deze virussen een delicate zaak.
Stealthvirussen gebruiken camouflagetechnieken om onopspoorbaar te worden. Dit soort virussen is dus verschrikkelijk voor computers, omdat ze zich verbergen. Als de gebruiker zijn antivirusprogramma start om te zien of er infecties zijn die zijn programma's kunnen aantasten, zal het stealthvirus dat opmerken en aan het antivirusprogramma een niet-geïnfecteerde versie aanbieden. Dit virus verwijderen, wordt bijgevolg een stuk moeilijker.
Een meervoudig virus is een iets complexer soort virus, omdat het de
besmettingstechnieken van bootsectorvirussen combineert met die van de
programmavirussen door zowel de bootsectoren als de programma's op de
computer te besmetten. De bootsector is de sector die het mogelijk maakt dat
uw computer opstart als u hem inschakelt. Dat is dus een cruciaal element en
als het beschadigd wordt, wordt uw machine onbruikbaar. De omvang van dit
virus is des te belangrijker wegens de twee infecties die het veroorzaakt.
Daardoor verdubbelt de kans dat het zich verspreidt naar een andere
computer. Gelukkig voor de internauten bestaan er echter niet veel
dergelijke virussen.
Zodra u een programma opstart dat is besmet met een meervoudig virus, zal
dat eerst de bootsector van uw computer infecteren. Als u vervolgens uw
computer opnieuw opstart, zal het meervoudige virus alle programma's
infecteren die nodig zijn om uw machine op te starten, evenals al die die u
daarna opent.
Macrovirussen zijn heel gevaarlijk, omdat ze in Microsoft Word-, Excel- of
PowerPoint-documenten kunnen zitten via Visual Basic. Ze kunnen zich niet
alleen heel snel en op grote schaal verspreiden, maar ook heel wat schade
aanrichten.
Heel precies bevat dit virus een aantal commando's die ervoor zorgen dat er
in de bovenvermelde Microsoft-toepassingen automatisch een aantal taken
worden uitgevoerd.
Wormen zijn onafhankelijke programma's, die vooral grote netwerken treffen zonder dat er enige menselijke tussenkomst nodig is. Ze kopiëren zichzelf van computer naar computer via een netwerk, zoals het internet. Ze kunnen de computers beschadigen, maar ook de prestaties van een bedrijfsnetwerk. Ze gaan zich echter niet toevoegen aan een andere programma en ook geen programma's besmetten. Het enige wat ze doen, is gegevens vernietigen of vertrouwelijke informatie versturen.
In het oude Griekenland was het paard van Troje een geschenk van de Grieken
aan de stad Troje. Maar in werkelijkheid was dat geschenk geen echt
geschenk, omdat de Grieken zich verschanst hielden in de buik van het paard
en zo Troje ten val brachten. Het computervirus dankt zijn naam aan deze
beroemde legende, omdat het zich eerst verschanst vooraleer het toeslaat.
Het is met name een onafhankelijk uitvoerbaar programma dat de indruk geeft
taak X uit te voeren, terwijl er in werkelijkheid ook een taak Y loopt.
Dit programma duikt vaak op in een vorm die bij de gebruikers heel gekend en
gewaardeerd is, maar die iemand met slechte bedoelingen buiten medeweten van
de eindgebruiker heeft gewijzigd om aan het programma een vernietigende
functie te hangen of waaraan de functie werd gegeven dat het aan de maker
van het virus vertrouwelijke informatie doorstuurt.
In tegenstelling tot virussen en wormen kunnen Trojaanse paarden zich niet
zelf reproduceren en vermenigvuldigen. Deze eenvoudige programma's vergen
immers een menselijke tussenkomst, namelijk het downloaden van het programma
of het gebruik van een besmette cd of diskette. De effecten zijn divers:
bestanden wissen, vertrouwelijke informatie kopiëren, een dialoogvenster
laten verschijnen of zelfs de mogelijkheid om van op afstand de controle
over uw machine over te nemen.
Logische bommen lijken heel sterk op Trojaanse paarden. In beide gevallen gaat het immers om een programma met verborgen functies die buiten medeweten van de gebruiker worden uitgevoerd. Het verschil situeert zich in de uitvoering, aangezien een bom in tegenstelling tot een Trojaans paard, dat onmiddellijk wordt uitgevoerd, is geprogrammeerd om op een bepaald moment te lopen. Dat laatste kan een specifieke datum zijn (vb.: 11 september), een toetsencombinatie (vb.: het woord "konijn" intypen, zou de bom kunnen laten afgaan) of speciale voorwaarden (vb.: het lid van een site Y kan een logische bom aanmaken dat die site vernielt als zijn naam ervan wordt verwijderd).
Adware leunt nauw aan bij spamming. Hier
gaat het om software die publiciteit genereert en ongewenst opduikt terwijl u op
het web surft.
Aanvankelijk lijkt adware niet storend. Hij wordt echter wel schadelijk als de
internaut de reclamevensters niet kan sluiten. Op dezelfde manier wordt adware
ongewenst als hij de bedoeling heeft de reclameboodschappen van bepaalde sites
te vervangen door de zijne.
Spyware (of spionagesoftware) is een programma(-onderdeel) dat zonder de
toestemming van de gebruikers persoonlijke informatie over hen verzamelt en
die via een computernetwerk zoals internet doorstuurt naar de maker of een
derde.
Als de internaut op het net surft, worden zijn interesses, opinies, wensen
enz. geanalyseerd via de sites die hij bezoekt. Hij wordt dus permanent in
het oog gehouden, wat een probleem kan vormen in verband met de wetgeving op
de bescherming van de persoonlijke levenssfeer. Het doel van deze spionage
kan variëren. Het kan bijvoorbeeld de bedoeling zijn uw consumptieprofiel te
bepalen en u op basis daarvan tijdens het surfen reclame toe te sturen.
Spyware kan eveneens in twee categorieën worden onderverdeeld. Ten eerste
kunnen we ze indelen volgens de functie die ze nastreven. Dan onderscheiden
we commerciële spyware en klikspyware. De eerste soort komt het vaakst voor
en is gekend bij de gebruikers van het programma dat de spyware bevat,
aangezien de gebruikslicentie van de software dat vermeldt. Zij manifesteren
zich in dit geval via reclamebanners, pop-upvensters enz. De tweede
categorie werkt daarentegen in de grootste discretie met in het bijzonder
een statistisch of marketingdoel. Ten tweede kunnen we een onderscheid maken
tussen geïntegreerde en geëxternaliseerde spyware. Deze indeling is
gebaseerd op de aard van de spyware. De ene soort - de geïntegreerde - zijn
eenvoudige routines in de code van een programma met als functie
persoonlijke gegevens te verzamelen en door te sturen. De andere, externe
spyware, zijn autonome toepassingen die met de software waaraan ze zijn
gekoppeld en waarvoor ze persoonlijke gegevens verzamelen en doorsturen,
converseren.
Hijackers zijn programma's die de instellingen van uw browser veranderen
(via een pagina met een valstrik via een ActiveX Control of javascript), uw
startpagina pirateren en die automatisch naar bepaalde sites laten gaan.
Op dit moment lijkt alleen de browser Internet Explorer door hijackers te
worden getroffen. De effecten van hijackers kunnen zijn: een wijziging van
uw startpagina, uw zoekpagina, uw lijst met favorieten enz. Hij kan ook
beletten dat u nog aan de opties van Internet Explorer kan.
Dialers (of nummervormers) zijn programma's die een telefoonnummer laten
vormen door een computer. Telkens als de internaut een internetverbinding
maakt, gebruikt zijn computer een dialer om het nummer van zijn
internetprovider (ISP) te vormen. Deze dialers zijn nodig en houden geen
risico in.
Omgekeerd hebben bepaalde individuen of ondernemingen met minder goede
bedoelingen schadelijke dialers ontwikkeld, d.w.z. dialers die naar heel
dure betaalnummers bellen via de telefoonlijn van een internaut. Technisch
gesproken, zal de dialer de oproep naar de ISP, als er een verbinding is
gemaakt, verbreken om een dure verbinding tot stand te brengen. De internaut
komt daar pas achter als hij z'n telefoonfactuur krijgt.
We kunnen internauten hierover alleen maar zeggen dat tegen dit type malware
geen enkel verhaal mogelijk is. Wees gewoon waakzaam als u bepaalde
bedenkelijke sites bezoekt die u voorstellen naar bepaalde webpagina's te
gaan zonder dat er om een abonnement of een creditcardnummer wordt gevraagd,
maar waarvoor u een verbindingskit moet downloaden en let ook op voor
bijlagen bij e-mails.
Een hoax is geen malware. Het is zelfs geen software. Het gaat om bedrog, een valse waarschuwing die doorgaans wordt verspreid via e-mails en die paniek wil zaaien bij de gebruikers. De link met malware komt van het feit dat het bericht meestal waarschuwt voor een nieuw virus of een nieuw computergevaar. De auteur van de hoax tracht ervoor te zorgen dat de gebruikers het bericht doorsturen. Dat veelvuldige doorsturen heeft nefaste gevolgen op de prestaties van het netwerk en kan soms een spammer helpen om actieve adressen te vinden waar hij ongevraagde commerciële mails naartoe kan sturen. In een ander type hoax wordt de gebruiker gevraagd om een reeks handelingen te stellen om zogezegd zijn machine te beschermen, terwijl de betrokken handelingen de gebruiker in werkelijkheid schade zullen berokkenen. Zo bestaan er hoaxes die de gebruikers aanraden om een bestand op hun pc te zoeken en te wissen, omdat het een virus zou zijn, terwijl het in feite om een bestand gaat dat de gebruiker nodig heeft om te kunnen werken. Bezoek even de site www.hoaxbuster.com om te leren hoe u kan bepalen of het om een hoax gaat of niet.
Het eerste wat u moet doen om problemen met malware te vermijden, is software installeren die de risico's kan verminderen. Zo is een antivirusprogramma onontbeerlijk om hopelijk te ontsnappen aan virussen en wormen. Op dezelfde manier is een firewall, die het verkeer tussen de computer en het netwerk filtert, een heel kostbaar middel om de effecten van wormen, hijackers, spyware en adware te beperken. Met deze twee tools vermijdt u het leeuwendeel van de gevaren. Het beste wapen tegen malware in al zijn soorten blijft echter: voorzichtigheid. Vaak speelt malware immers in op de verstrooidheid van gebruikers. Zo zijn er heel wat die pas actief worden als de gebruiker een bijlage bij een e-mail opent. Andere worden samen geïnstalleerd met legitieme software en profiteren van de onoplettendheid van de gebruiker – die de neiging heeft om op "Aanvaarden" te klikken zonder er echt op te letten wat hij precies aanvaardt – om onbewust zijn formele toestemming te bekomen. Daar vloeit dus de essentiële regel uit voort om problemen in verband met malware te vermijden: open nooit documenten van ongekende oorsprong of die verdacht lijken en let goed op wat er wordt gevraagd bij de installatie van software. Verder onderscheidt alleen geluk een slachtoffer van malware van iemand anders.
Praktische fiches gerealiseerd door het CRID, onder de coördinatie van Yorick Cool en Romain Marchetti