"Elke dag ontvangen we 8.000 verdachte bestanden"

De moeizame strijd tegen malware

11 december 2007 | Jamie Biesemans In het afgelopen jaar was er evenveel malware als in de twintig jaren daarvoor, blokletterde een studie vorige week. Toevallig was ZDNet net op dat moment op bezoek in het Moskovische hoofdkwartier van Kaspersky Labs, een rijzende ster in de securitywereld.

De Russische maker van antivirussoftware profileert zich graag als een verdedigingsmuur tegen criminele malware-auteurs en stopt dan ook veel tijd en geld in snelle antwoorden op nieuwe bedreigingen. We zijn vooral benieuwd hoe antivirusexperts nog het hoofd kunnen bieden aan de onophoudelijke stroom malware. "Dit jaar moeten we meer dan twee miljoen samples van mogelijke virussen onderzoeken", zucht CEO Eugene Kaspersky.

Woodpeckers
"Elke dag krijgen we achtduizend verdachte bestanden doorgestuurd van klanten", bevestigt viruslabhoofd Stanislav Shevchenko. Wat er te veel zijn om zelf te bekijken, voegt hij er meteen aan toe. Net zoals de andere antivirusbedrijven heeft Kaspersky daarom een systeem gebouwd dat mogelijke bedreigingen automatisch bekijkt. Alleen de meest complexe worden doorgestuurd naar een analist van vlees en bloed. Zo'n onderzoeker - in de securitywereld een woodpecker genoemd - krijgt niettemin toch aardig wat te verwerken elke dag. Vaak zal hij meer dan honderd mogelijke virussen moeten bekijken, waarvan er circa tachtig ook effectief malware zijn.

Bij Kaspersky werken 32 woodpeckers in ploegverband de klok rond. Het bedrijf wijkt wat af van de norm in de industrie, want de meeste firma's hebben in verschillende landen teams van analisten zitten. Bij Kaspersky zit het merendeel in Rusland, aangevuld door een aantal lokale experts in landen zoals China, Frankrijk en Nederland.

Wat betekent dat de Russische analisten bereid moeten zijn om ook 's nachts naar ellenlange pagina's code te turen. Een typische dag van sommige analisten begint om 9.30 uur en eindigt pas om net voor 23.00 uur - een shift die enigszins onderkoeld de 'long day' heet.

De analyse kan relatief snel, dankzij een hoop tools. Maar soms is het een kwestie van in code duiken en op zoek gaan naar bewijsstukken die aantonen dat het gaat om een nieuw virus. Tijdens een demonstratie toont een expert bijvoorbeeld hoe verdachte handelingen kunnen worden opgespoord, zelfs in gecomprimeerde en vermomde code.

In onderstaand screenshot ziet u zo hoe tijdens een analyse van een verdacht SRC-bestand (normaliter een Windows-screensaver) de instructie om een bestand van het internet af te halen wordt bovengehaald. Wat verder in de code schuilt de URL waar een lading malware van moet worden afgehaald.

Maar zo simpel is het niet altijd. Virussen worden steeds vaker op professionele wijze ontwikkeld door ervaren programmeurs. Eugene Kaspersky toont bijvoorbeeld een screenshot van een in Rusland in beslag genomen pc, waarin een malware-auteur een nieuwe creatie aan het bouwen is in Delphi. "Ik was verbaasd dat deze persoon Delphi gebruikte, want dat is ongewoon voor Rusland. Meestal gebruiken Brazilianen die taal en Russen eerder C of zelfs assembler, om het voor ons moeilijker te maken."