Utrecht, 12 augustus 2003 - Virusactiviteit is over de eerste zeven maanden van 2003 licht gestegen, maar de kosten en gevolgen van virusuitbraken voor (groot)zakelijke gebruikers blijken mee te vallen, aldus antivirusleverancier Trend Micro (TSE: 4704, Nasdaq: TMIC). Wormachtige virussen kwamen het meest voor in de eerste zeven maanden, waarbij in de meeste gevallen sprake was van 'mixed threats', waarbij diverse middelen gebruikt worden voor aanvallen. Naast e-mail worden onderdelen van oudere virussen of backdoors en andere mogelijkheden voor informatiediefstal uit Trojans en hacker-tools ingezet.
Trend Micro gaf in de periode tot 1 augustus 2003 meer dan 130 waarschuwingen uit voor virussen met laag en middelgroot risico. Alleen in juli waren dat er al 20. De laatste, Worm_Mimail.A, sloeg toe op 1 augustus in Azië en is momenteel het meest verspreide virus van 2003. Het aantal wereldwijde medium-tot-hoge-risicowaarschuwingen steeg met circa 40 procent in de eerste helft van het jaar, in vergelijking met de eerste helft van 2002. De recente uitbraken hebben echter minder computers geïnfecteerd, minder schade aangericht en waren sneller voorbij dan grote aanvallen zoals de Melissa- of Love Letter-virusaanval van enkele jaren geleden.
Trend Micro TrendLabs ziet een tweeledige oorzaak voor deze trend. "Een daling in het aantal virusschrijvers met kennis van codeschrijven biedt meer ruimte voor amateurs, de 'script kiddies'. Zij ontwikkelen in veel gevallen nieuwe versies van oude virussen, die dus niet succesvol zijn", aldus Jamz Yaneza, senior antivirusconsultant bij TrendLabs. Yaneza heeft weinig ontzag voor het hergebruik van trucjes om personen aan te sporen op geïnfecteerde bestanden te klikken, zoals slecht geschreven berichtjes die foto's van beroemdheden of cheat-codes voor pc-spellen beloven. Het succes van deze aanpak is duidelijk dalend, tenzij deze wordt gecombineerd met een andere aanpak zoals e-mail-spoofing.
"De brede acceptatie van high-end antivirus- en e-mailfiltersoftware is de voornaamste reden voor de daling van de impact van virussen binnen bedrijfsnetwerken", vervolgt Yaneza. "De meest effectieve virussen van vroeger gebruikten bedrijfsnetwerken en e-mail van bedrijven om zichzelf snel te verspreiden. Dat risico is ondervangen doordat grote en zelfs kleinere en middelgrote ondernemingen netwerkgebaseerde antivirusbeveiliging gebruiken, waarvoor vaak binnen minuten na een uitbraak updates beschikbaar zijn."
Yaneza wijst er echter wel op dat er zeker uitzonderingen op de trend zullen blijven opduiken. In 2003 was dat bijvoorbeeld de Lovgate.F-worm (bovenaan de ranglijst van Trend Micro van meest voorkomende virussen sinds maart) en de Slammer-worm (Worm_SQL1434.D), die forse schade hebben aangericht door aanvallen op Microsoft SQL-servers in januari. Onder privé-gebruikers zijn met name Klez.H en Yaha.G nauwelijks uit te roeien ten gevolge van slechte virusbescherming.
Top-tien virussen: januari - juni 2003
1. WORM_LOVGATE.F
2. PE_FUNLOVE.4099
3. WORM_KLEZ.H
4. PE_ELKERN.D
5. JS_NOCLOSE.E
6. WORM_YAHA.G
7. PE_NIMDA.A-O
8. WORM_YAHA.K
9. PE_NIMDA.E
10 WORM_BUGBEAR.A
(Gegevens op basis van geïnfecteerde computers gesignaleerd door HouseCall(tm), Trend Micro's gratis online virusscanner voor pc's en Trend Micro(tm) Control Manager(tm), een centrale beheeroplossing voor netwerkomgevingen.)
Top-tien
Van Trend Micro's top-tien meest voorkomende virussen in de eerste helft van 2003 zijn er negen wormvirussen en/of wormachtige bedreigingen. De uitzondering is JS_Noclose, een kwaadaardige Javascript exploit, die wordt aangetroffen op websites van minder statuur. Het doel van deze exploit is de controle overnemen van browsers en deze door te verwijzen naar andere internetbestemmingen.
E-mail blijft de meest gebruikte manier van infecteren. De top-twee bedreigingen waren echter 'network-aware' wormvirussen, waarvan er één geen enkele e-mailcomponent had. De wormen Lovegate.F (Worm_Lovgate.F) en FunLove (PE_Funlove.4099) kunnen een e-mail-gateway-bescherming omzeilen door netwerkverbindingen te gebruiken, zoals mapped drives, en zich zo verspreiden binnen netwerken. Eenmaal binnen kunnen ze binnen een paar minuten duizenden pc's infecteren. Doordat ze slecht zijn te verwijderen, duiken ze vaak opnieuw op.
Virusschrijvers worden steeds handiger in het gebruik van verschillende kanalen om netwerken binnen te dringen met behulp van bijvoorbeeld peer-to-peer file-sharing zoals Kazaa, en IM-systemen zoals ICQ en Internet Relay Chat (IRC).
De succesvolle Slammer-aanval wijst echter op een andere aanpak: het gebruiken van fouten en zwakheden in populaire platforms. De kleine Slammer-worm viel een oude kwetsbaarheid in Microsft SQL Server aan en richtte de grootste schade aan op internet sinds Code Red. Leveranciers komen steeds sneller met patches en beheerders rollen ze steeds sneller uit. Het aantal kwetsbaarheden is echter zo immens, dat het vinden van een oplossing voor elke afzonderlijke bedreiging onmogelijk blijft.
# # #
Over Trend Micro
Trend Micro is leider op het gebied van netwerkantivirus- en internet-content-beveiligingssoftware en -diensten. Het wereldwijde hoofdkantoor is gevestigd in Tokio, het Europese hoofdkantoor in Marlow, Engeland. De producten worden wereldwijd geleverd door Value-Added Resellers en service providers.
Voor meer informatie en evaluatieversies: http://nl.trendmicro-europe.com/
Voor meer informatie:
Trend Micro
Anna Wright
EMEA PR Manager
Trend Micro Europe
Tel: +44 (0)1628 400534
E-mail: Anna_Wright@trendmicro.co.uk
Lammers van Toorenburg Benelux PR
Annegees van Linge
Tel: +31 (0)30 6565 070
E-mail: annegees@lvtpr.nl