Volgens MessageLabs woedt er momentele op het internet een virusoorlog, gevoerd door virusschrijvers die gecodeerde .zip bestanden gebruiken om antivirus filters te omzeilen.
Virusschrijvers gebruiken meer en meer codeertechnieken om antivirusfilters te omzeilen, zo meldt de leverancier van beheerde beveiligingsoplossingen MessageLabs. Op elk moment circuleren er honderden, zoniet duizenden virussen die de pc’s van particulieren en bedrijven besmetten. Een analyse van virussen toont aan dat er een oorlog is uitgebroken tussen de ontwerpers van deze virussen.
Deze oorlog ging van start in januari toen het Netsky virus begon met het verwijderen van MyDoom en Bagle virussen in de computers die het besmette. Dit zorgt voor grote problemen bij IT departementen en systeem administrators die nog steeds afhankelijk zijn van antivirus scanners om hun netwerken te beschermen.
De virusvarianten Netsky.F, Bagle.K en MyDoom.H lijken erg op hun voorgangers. Ze proberen zich allemaal te verspreiden via e-mails met willekeurige onderwerpen en besmette ZIP, EXE en PIF bestanden. Ze werken allemaal met SMTP motoren waarmee ze e-mailadressen kunnen genereren. Bagle en MyDoom creëren ook open proxies op besmette systemen die door anderen kunnen worden gebruikt om spam te versturen of om spyware te installeren.
Maar er is de toename van de virussen in .zip bestanden. Sommigen van deze virussen zijn gecodeerd en kunnen niet gedetecteerd worden door traditionele antivirusscanners. Virusschrijvers zijn begonnen met het gebruiken van .zip bestanden en andere bestandstypes die als veilig aanzien worden. De filters kunnen op die manier omzeild worden. Het doel is om besmette bestanden te verbergen in .zip bestanden. In de e-mail wordt er een paswoord mee gegeven om het bestand te openen. Op die manier kunnen de virussen op de pc geïnstalleerd worden.
De antivirusdienst van MessageLabs kan het merendeel van gecodeerde bestanden scannen. Skeptic, de scanmotor van MessageLabs, bekijkt de e-mail en analyseert de inhoud op zoek naar mogelijke paswoorden. Berichten scannen met paswoorden die uitsluitend gekend zijn door de zender en de ontvanger, is haast onmogelijk. Maar als virusschrijvers de berichten hebben gemaakt, dan kennen de bestemmelingen de paswoorden niet. Zo kunnen ze dus ook hun computers niet besmetten.
