Virussen in toom houden door beperken aantal e-mails

De BBC bericht dat de Engelse onderzoeker Matthew Williamson een nieuwe methode bedacht heeft om e-mailvirussen aan te pakken. Williamson concludeert dat een groot deel van de overlast wordt veroorzaakt door de zeer snelle verspreiding van nieuwe virussen, gecombineerd met een relatief trage respons van anti-virus organisaties. Dit leidt ertoe dat kwaadaardige code al zeer veel schade kan aanrichten voordat een geschikte remedie beschikbaar is. Een alternatieve oplossing ligt dan ook enigszins voor de hand: probeer besmettingen te voorkomen in plaats van ze na afloop te bestrijden. Hiervoor heeft de onderzoeker van HP een systeem ontwikkeld dat een maximum stelt aan het aantal verzonden e-mails van een bepaalde computer per tijdseenheid. De verspreiding van allerlei soorten virussen en wormen zo op deze manier zodanig geremd kunnen worden dat onderzoekers meer tijd krijgen voor het ontwikkelend van een oplossing.

De theorie is aan de praktijk getoetst door een groep computers met Nimda te laten besmetten. Daaruit bleek dat zonder beperking aan het aantal verbindingen, alle machines binnen enkele minuten geïnfecteerd waren. Werd daarentegen de 'virusremmer' ingeschakeld, dan daalde de infectiesnelheid drastisch. Williamson stelde verder dat de software een verwaarloosbare invloed had op het dagelijks gebruik van de pc, zodat normale gebruikers er niets van zouden merken. De onderzoeker is zich bewust van de inventiviteit van virusschrijvers, maar stelt dat zijn virusremmer alleen omzeild kan worden door langzamer verspreidende virussen te schrijven. Als dat gebeurt, dan bereikt de software zijn doel dus alsnog:

It works by limiting the number of connections at any one time from an infected computer. This has the effect of throttling the spread of the virus, giving technicians time to spot and eliminate the bug.
[...] Dr Williamson admitted that virus writers are ingenious and are always looking for ways around the latest anti-virus measures. But he said that one of the advantages his anti-virus measure was that the way to get round it was to write a slower virus. This in turn would give technicians more time to deal with it.

IT-banen

Reacties (70)

div-er 27 november 2002 13:56

Ik reageer alleen wanneer het echt nodig is, en in al deze reacties kom ik alleen commentaren tegen, geen concrete oplossingen.

Er zijn nog steeds gratis virusscanners, en verdomd goeie ook: Esafe bijvoorbeeld. Is gelijktijdig een firewall, en de nieuwste versie heeft zelfs een anti-spamfilter.

Zet in je emailprogramma de optie aan dat mailtjes niet groter mogen zijn dan bijv. 50kb. Dan kun je daarna altijd nog beslissen ze wel of niet te downloaden van de mailserver.

Kies (inderdaad) voor een andere client, voor Windows zijn er opties genoeg. Zolang je maar niet dat kl#$%te voorbeeldscherm van Outlook (Expres) hebt. Want daar gaat het fout.

Een adresboek bijhouden in een andere applicatie is inderdaad ook een oplossing, en helemaal niet moeilijk. Denk bijvoorbeeld aan Word (die maakt van een emailadres een hyperlink) of Excel (doet dat ook): bij deze laatste kun je zelfs een ABC-tje aanleggen op de tabbladen (zoals een ouderwets telefoonklappertje).

Geen opties:
- dat alle virusscanners nu maar gratis of gesubsidieerd moeten zijn. Medicijnen kosten toch ook geld?
- verplichte online scanning: maak je jezelf te afhankelijk van je provider: ik wil zelf kunnen beslissen.

Succes iedereen! Ik zit in ieder geval safe!

mjtdevries @div-er • 27 november 2002 16:41

Sorry, maar het gaat hier niet om het ontvangen van mails, maar om het versturen.

Verder zijn dit soort tooltjes juist bedoeld voor nieuwe virussen die de virusscanners nog niet herkennen. (hoe goed ze ook mogen zijn)

M.a.w. je zit niet safe.

div-er @mjtdevries • 27 november 2002 16:47

<quote on>
Sorry, maar het gaat hier niet om het ontvangen van mails, maar om het versturen.

Verder zijn dit soort tooltjes juist bedoeld voor nieuwe virussen die de virusscanners nog niet herkennen. (hoe goed ze ook mogen zijn)

M.a.w. je zit niet safe.
<end quote>

Jawel, in mijn geval: een virus dat email wil gaan versturen, kan dit eenvoudig weg niet omdat ik geen Outlook gebruik. Mocht het dan toch lukken, dan slaat Esafe alarm dat er een ongebruikelijke actie bezig is, en of ik daar wel weet van heb, etc. etc.
Daar komt dan nog bij, voordat het virus bij mij binnenkomt wordt het dus enerzijds gescand en anderzijds kijk ik mee als er al te grote bestanden bij de mail zitten.

Nog ter info: Esafe werkt niet alleen op basis van de signatures van virussen die bekent zijn, maar ook op basis van 'verdachte handelingen' (vandal actions).

Sinds ik deze combinatie gebruik heb ik nergens meer last van. Toen ik nog Outlook + McAfee gebruikte was het zo af en toe toch raak.

En dus, ik hou virussen in toom, door ze uberhaupt de kans niet te geven zich te vermenigvuldigen.

mjtdevries @div-er • 28 november 2002 09:29

Je zit nog steeds niet safe.

Als je een mailclient hebt waarvan het adresboek op enegerlei wijze door een 3rd party applicatie uitgelezen kan worden dan kan het misbruikt worden.

Dat Esafe niet alleen op basis van signatures van virussen, maar ook op basis van verdachte handelingen, helpt ook niet afdoende.
ALLE bekende virusscanners doen dat immers al jaren!

Je kan op die manier virussen redelijk in toom houden, maar er komen altijd nieuwe die niet opgemerkt worden door welke virusscanner dan ook.
Als dat een mass-mailer is kan je met zo'n tooltje de verspreiding wat in toom houden.

Maar in toom houden is heel iets anders dan safe zitten!!

WhiteDog 27 november 2002 12:56

Een andere oplossing: gebruik een andrere mailcliënt, een virusscanner of Linux, en je hebt nooit meer last van email-virussen

Edit: "domme" gebruikers die toch alle attachments openen niet meegerekend natuurlijk

Verwijderd @WhiteDog • 27 november 2002 13:03

"domme" gebruikers die toch alle attachments openen niet meegerekend natuurlijk

die zijn toch vaak de reden van het kwaad of zie ik dat niet zo??

Verwijderd @Verwijderd • 27 november 2002 13:09

Maar de vraag is dan wel of dit virus dan wel snel wordt opgemerkt door de bedrijven die de Anti-virusupdates maken.

Uitstekend punt! De reden dat dergelijke worms en trojans opvallen is de hoeveelheid verkeer die ze genereren en de bijbehorende logfiles. Als de verspreidingssnelheid afneemt zal er ook minder snel aan de bel getrokken worden door systeembeheerders.

Ik zat laatst nog een discussie ergens te lezen over 'het ideale virus' en daar kwam dit ook in terug. Vanuit het oogpunt van de onopgemerkte verspreiding is het ook handig om het virus zelf een beperking op te leggen, dan verdwijnt het namelijk in de berg serverlogs zonder dat iemand het ooit opmerkt. Pas op het moment dat de trigger daar is komt het dan naar buiten, en dan is het natuurlijk al te laat.

Verwijderd @Verwijderd • 27 november 2002 13:43

Zoals het hierboven is uitgelegd is: als je de 'verstuur'snelheid kleiner is dan kan het virus natuurlijk ook minder snel verstuurd worden. Concept is is simpel, maar het nadeel is wel weer dat het ten koste gaat van je eigen 'verstuur'snelheid. Echt innovatief zou zijn, als daar niet ten koste van zou gaan.

Even goed lezen voordat je reageert!

Niet de verstuursnelheid moet omlaag, maar de verstuurfrequentie. (Dus het aantal mailtjes per tijdseenheid.) Zolang die grens maar boven je normaal gebruik ligt, heb je daar dus absoluut geen last van.

En natuurlijk is het het beste om deze begrenzing in de mail server in te bouwen. De SMTP server zou kunnen begrenzen op IP adres.

Olaf van der Spek @Verwijderd • 27 november 2002 17:21

En dan connect het virus toch simpel naar de SMTP server van de receiver in plaats van naar de server van je ISP?

Fear-factoR @WhiteDog • 27 november 2002 13:34

waarom zou je geen virussen kunnen ontvangen in Linux, voor Linux zijn net zo goed virussen geschreven...

Unipuma @Fear-factoR • 27 november 2002 13:55

Het verschil tussen Linux en Windows is dat bij Linux de meeste gebruikers NIET als root zijn ingelogd.
Bij Windows 9x heeft iedereen zowieso al ALLE rechten, en bij WIndows 2000 en Windows XP zitten veel mensen met administrative rechten ingelogd, omdat het anders te onhandig is om elke keer te moeten in en uitloggen als je iets wilt veranderen.
Dus onder Windows draait bijna elk virus met volledige rechten op het systeem. Bij Linux draait een virus slechts onder locale rechten, waardoor onder andere besmetting van onderdelen van het besturingssysteem nagenoeg onmogelijk wordt.
Daarnaast wordt met Linux niet standaard een mailclient meegeleverd (men kan kiezen uit vele mogelijkheden bij installatie), omdat dit 'geintegreerd' is met het operating system. Elke windows machine beschikt over Outlook Express, waar tegenaan te programmeren is om te verspreiden. Voor Linux zul je een virus moeten schrijven wat alle mogelijke vormen van email clients kan misbruiken iets wat veel ingewikkelder is.

Inherent is dus de beveiliging op een Linux machine hoger.

Verwijderd @Unipuma • 27 november 2002 14:37

Denk dat tot nu toe de voornaamste reden nogsteeds is dat er gewoonweg te weinig gebruikers zijn onder Linux, om daar voor de maker genoeg voldoening uit te halen..
Als er meer Linux-gebruikers komen, dan zullen de Linux virussen ook sterk gaan toenemen, ongeacht wat jij zegt, inloggen als root/normale gebruiker....
Daar is het een virus voor, om gemaakte beveiligingen/instellingen te verbreken.
Nog een paar jaartjes, en er zijn ook echt wel genoeg virussen te vinden om Windows en Linux.

Iemand een idee wat de percentages virussen zijn, vergeleken met Windows en Linux? en dan een vergelijking met soorten virussen, en geen windows virus cloons.. versie A/B/C +?

berend_engelbrecht @Unipuma • 27 november 2002 18:09

Er zijn soms wel verrassende overeenkomsten. Er gaat op dit moment een apache-worm rond, die veel op code red lijkt, zie
bugtraq id 5363.

Hoewel dit probleem simpel te voorkomen is door OpenSSL uit te schakelen of de aanbevolen patches te installeren, heb ik gelezen dat maar erg weinig beheerders van apache servers dat gedaan hebben. Ik denk dat Windows systeembeheerders i.h.a. alerter zijn, juist door de slechte reputatie van Windows.

Het enge is dat deze 'slapende' worm zich hierdoor ongemerkt kan verspreiden en kan dan vervolgens door een onbekende partij voor een DDoS attack of zo iets gebruikt worden.

Verwijderd @Unipuma • 27 november 2002 16:43

Daar is het een virus voor, om gemaakte beveiligingen/instellingen te verbreken.
Nog een paar jaartjes, en er zijn ook echt wel genoeg virussen te vinden om Windows en Linux.

In windows hoef je weinig te breken, de meesten voeren toch zowizo een .exe / .src / .vbs uit. Daarentegen is het voor een programma verdomd moeilijk om nieuwe veiligheidslekken te vinden, en bestaande gaten worden vrij snel gedicht, vooral omdat de kennis niveau van een gemiddelde linux gebruiker veel hoger ligt. In elk geval is de top100 tegenwoordig gevuld met dingen die de gebruiker zelf moet activeren of gebruiken een oude lek die automatisch een attachment uitvoert, als de virusmakers ze innovatief blijven gedragen heb ik weinig te vrezen

Verwijderd @WhiteDog • 27 november 2002 13:11

Tja, deze man denkt dat de grootste besmetting zich voordoet in de periode voordat de Anti-Virus Company's een geupdate dat klaar hebben. Ik denk eerder dat de meeste besmettingshaarden pc's van "domme" (thuis)gebruikers zijn die geen anti-virus hebben draaien, alles openen wat ze tegenkomen en/of een dat hebben van een jaar oud.

Leuk bedacht maar ik zie dit niet zo snel als oplossing.

Loft @Verwijderd • 27 november 2002 13:16

Ik wel.

Mensen die ik ken doen redelijk veel moeite om virussen buiten te houden.

Anitivirus scanner op de email, via ISP, van Planet (werkt goed!!)
Daarna Mailwasher gebruiken www.mailwasher.net
En dan pas je mail ophalen..

Werkt goed. Probleem blijft dat (in hun geval) er altijd een paar kennissen zijn die dat niet doen en die verspreiden de e-mails. Er op aanspreken heeft ook geen zin. Ze snappen het niet, ze willen het niet, ze kunnen het niet....
Die mensen moet je gewoon een tijdelijk afsluiten, cq dwingen maatregelen te nemen.

MaxxBass @WhiteDog • 27 november 2002 13:27

Ja, en als iedereen linux gebruikt, wat zullen die virusmakers dan doen? Juist...linux virussen maken...
Geen oplossing dus...

Daarbij is die methode welke HP zogenaamd heeft verzonnen toch al oud? Mcafee Outbreak werkt op dezelfde manier, in de 'hawk' oplossing in de laatste virusscanner zit dat toch ook?

Verwijderd @WhiteDog • 27 november 2002 14:13

Een andere oplossing: gebruik een andrere mailcliënt, een virusscanner of Linux, en je hebt nooit meer last van email-virussen

Een virusscanner herkent nooit meteen de nieuwste emailvirussen ook al update je elke seconde de antivirusbedrijven zelf lopen altijd minstens een dag achter. En daarna is het kwaad vaak al geschied.

avon @WhiteDog • 27 november 2002 14:23

Als meer mensen linux zouden gebruiken, worden
daar ook zeker virussen voor ontwikkeld!..

windows heeft alleen grootste doel groep.

DJSmiley 27 november 2002 12:56

Mjah.... dat is wel te verzinnen, maar of het handig is...

gewoon op elke SMTP server beperken, bv max 5 mailtjes per 15min aanbieden

maar aan de andere kant... mailinglijsten, groothandels, enz, mailen allemaal naar veel tegelijk.. is dat dan ook een virus?? Idee is handig, praktijk anders

Verwijderd @DJSmiley • 27 november 2002 13:08

Je zou een soort van gemiddelde kunnen bereken van een SMTP server over bv een maand. Dat gemiddelde per uur + 10% en daar een melding aanhangen voor de admin. Dus wanneer er in één keer twee zoveel mailtjes worden aangeboden per uur is er waarschijnlijk iets mis.

feuniks @Verwijderd • 27 november 2002 13:16

Je zou het probleem van de meellijsten etc. op verschillende manieren kunnen aanpakken. Ten eerste zou je bepaalde accounts (zoals die van de meellijsten) kunnen excluden van de restricties. Ten tweede, je zou als meel administrator iemand tijdelijk rechten kunnen geven om naar veel gebruikers meels te sturen.
Voor de duidelijkheid: De meeste problemen komen doordat GEBRUIKERS zelf veel meels sturen. Als ze zelf maar een paar kunnen sturen dan is het probleem al heel veel minder. Beter zou misschien nog wel zijn dat als een gebruiker zoveel wil versturen dat hij dan een waarschuwing krijgt (in begrijpelijke taal) dat dat niet zomaar kan en dat hij zich met iemand van de helpdesk / ISP etc. in verbinding moet stellen. Vervolgens zou de computer geen enkele meel moeten versturen als er een steady flow van meels komt / blijft komen, want dat is dan gegarandeerd een virus.

SambalBij @DJSmiley • 27 november 2002 13:31

maar aan de andere kant... mailinglijsten, groothandels, enz, mailen allemaal naar veel tegelijk.. is dat dan ook een virus?? Idee is handig, praktijk anders

Dan ben je behalve van mailvirussen ook meteen van een hoop spam af

Twee vliegen in één klap zegmaar

BTB 27 november 2002 12:59

Klinkt wel logisch. Alleen: waar wil je die beperking inbouwen? In ALLE mail-clients? Het volstaat nl. niet om dat in de SMTP-hosts te doen, want die zijn makkelijk te omzeilen.

Overigens zou een vergelijkbare aanpak voor spam kunnen worden voorgesteld. Er is geen reden voor een normale gebruiker om meer dan eens per 5 minuten een mailtje te sturen.

Verwijderd @BTB • 27 november 2002 13:05

Ik mail soms toch echt wel vaker dan eens per 5 minuten op mijn werk.

Stel ik heb een lan met 300 dekstops. Wanneer die elke vijf minuten allemaal een mail sturen met een virus. Zijn dat 3600 mogelijk besmettingen per uur. Dus ontvangende partijen.

Kortom, ik zie dit niet als oplossing.

Kahlan @Verwijderd • 27 november 2002 15:23

Maar als diezelfde 300 desktops op het moment dat ze een mailtje ontvangen deze direct forwarden aan zeg het WAB, dan heb je in het ergste geval \300^20 mailtjes (als 20 het gemiddeld aantal personen in een windows address book is). Dan is je mailserver allang plat. Wees dan maar blij met een miezerige 3600 mailtjes

Kahlan @Verwijderd • 27 november 2002 15:23

[edit] removed; blijkbaar een refreshprobleempje..

PowerFlower @BTB • 27 november 2002 13:03

Overigens zou een vergelijkbare aanpak voor spam kunnen worden voorgesteld. Er is geen reden voor een normale gebruiker om meer dan eens per 5 minuten een mailtje te sturen.

Jij bent begrijp ik op geen enkele nieuwsbrief o.i.d. geabonneerd? Ik verstuur ongeveer ééns in de maand een mail aan ongeveer 3000 mensen. Daar is echt wel een reden toe hoor en ze zijn blij met de info over hoe ze kunnen inloggen en het systeem gebruiken

Wildfire

@BTB • 27 november 2002 15:06

Er is geen reden voor een normale gebruiker om meer dan eens per 5 minuten een mailtje te sturen

Dat is dus een idiote opmerking. Er zijn meer dan genoeg mensen die achter elkaar diverse mailtjes tikken en versturen. Niet alleen tweakers doen dat...

mjtdevries @BTB • 27 november 2002 16:09

Op je mailserver natuurlijk. Daar moeten al die mails doorheen, dus dat is ook de uitgelezen plek om te kijken of bv een bepaald identiek mailtje ineens verdacht veel verstuurd wordt door verschillende mensen.

prammen 27 november 2002 12:57

OK.... Als we nou gewoon helemaal niet meer emailen....

Verwijderd @prammen • 27 november 2002 13:51

Geef me je email dan maar, dan zal ik je niet emailen ok?

Maar vind het een slim idee. Want bedenk je wel dat die virussen exponentieel zich verspreiden en als je de kopieertijd vertraagd dan maakt het echt een verschil uit hoor. En ook inderdaad een slimme manier om massale emails (spammers) te irriteren.
En ook al gaan ze slimme trukjes verzinnen om het te omzeilen ze moeten er meer moeite voor gaan doen en dan haken er al een aantal mensen af.

Denk ook dat het slecht is om blindeling op virusscanners te vertrouwen. Er kan altijd een nieuwe variant komen die door de mazen heenglipt.
Dus scannen en backuppen lijkt mij slim om te blijven doen.

Verwijderd 27 november 2002 13:08

De theorie is aan de praktijk getoetst door een groep computers met Nimda te laten besmetten.

Als deze entry in je log ziet:
GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 404 3 3396 96 0 HTTP/1.0 www - - - dan weet je toch hoe laat het is?

Een goede virusscanner doet wonderen, en als men deze niet heeft zal de voorgestelde oplossing zeker weten niet aanwezig zijn.

Waarom ga je met zandzakken slepen i.p.v. dijken bouwen???

mjtdevries @Verwijderd • 27 november 2002 16:07

Omdat je met deze methode ook de nog niet bekende virussen kan ontdekken en de verspreiding daarvan kan tegengaan.

Vandaar dat McAfee een dergelijke tool (Outbreak) al een jaar lang bij zijn virusscanner voor mailservers meelevert.

HP heeft blijkbaar niet gekeken naar wat de anti-virus fabrikanten al hadden, voor ze zelf wat gingen verzinnen.

RetepV 27 november 2002 13:08

Maar ja, de beste oplossing was altijd nog geweest: Microsoft's ongebreidelde 'adopt and embrace' strategie te verbieden. Dan hadden de meeste mensen nu een e-mail programma gehad dat was geschreven door mensen die e-mail belangrijker vinden dan geld.

Je kan natuurlijk ook een 'internet rijbewijs' instellen en op die manier domme gebruikers weren.

Een beetje tweaker let wel op de twee groene lampjes linksonder en trekt de stekker eruit als die meer brand dan zou moeten

.

Trouwens, een beetje tweaker heeft zonealarm op zijn computer staan. Heeft me nu ook al 2 keer gered omdat er een popupje omhoog kwam dat een bepaald programma toegang tot het internet wilde hebben

.

Ok een beetje virusschrijver target dan natuurlijk zonealarm weer.

Volgens mij zijn we nu nog bezig met de nasleep van de internet-hype. Het wordt vanzelf wel rustiger. In principe kunnen virussen zich op dit moment voornamelijk zo snel verspreiden omdat er zo veel domme gebruikers zijn. Die gebruikers worden vanzelf wel slimmer, en dan zakt het wel weer wat in.

Netwerkproviders zouden er trouwens ook wel eens wat aan kunnen doen. Dat kost inderdaad geld ja, maar het kost ook geld om weer een nieuwe kabel te trekken omdat de oude te weinig capaciteit hebben om al die virussen te kunnen transporteren.

Verwijderd @RetepV • 27 november 2002 16:15

offtopic:
[quote]

Een beetje tweaker let wel op de twee groene lampjes linksonder en trekt de stekker eruit als die meer brand dan zou moeten .
[/quote]

volgens mij gaat een beetje tweaker zich zorgen maken als deze lampjes wat meer uit staan dan aan... (telefoon via internet, online gamen, etc)
enneh, een beetje tweakert heeft ook een server in de meterkast staan, waar ook de modem inzit/aanhangt.

maargoed, ik denk dat dit een beetje nutteloos is, het duurt misschien wel langer voordat het virus vanaf 1 computer verspreid is, maar het gaat nog steeds razendsnel als xhonderd computers zijn geinfecteerd...
en dan is het al te laat...

edit: typo

edit 2: toevoeging

Kahlan @RetepV • 27 november 2002 15:26

Je kan natuurlijk ook een 'internet rijbewijs' instellen en op die manier domme gebruikers weren.

:+Eeehm EDL (www.edls.nl als ik het goed heb)...

Verwijderd 27 november 2002 13:33

Correct me if I am wrong maar in Groupshield bestaat dit toch al min of meer. Het aantal mails wordt in de gaten gehouden en als het er drastisch meer mails worden verstuurd dan kan de mailserver on hold gezet worden.

mjtdevries @Verwijderd • 27 november 2002 16:30

Min of meer?

Zeg maar gerust VEEL MEER.

En die tool: (outbreak) kan je ook vertellen dat ie mails moet vergelijken op attachments, grootte, subject etc.
En dan niet alleen van 1 persoon, maar ook als 1000 man ineens tegelijk 5x hetzelfde mailtje versturen.

En in plaats van je mailserver stil zetten kan ie ook gewoon eerst de beheerder waarschuwen en pas als die niet reageert andere stappen nemen. Die optie heb ik zelf liever :-)

Perseus|IA 27 november 2002 12:56

Zou dit ook werken op systemen van spammers

Op zich is dit een goed iniatief, maar ik kijk nog wel even de kat uit de boom voor ik het implementeer op de werkstations die ik beheer. En ik vraag me af of het wel practisch uitvoerbaar is.

Zou dit ook werken met mensen die constant HOAXen blijven doorsturen ?

kodak

Bedrijfsnieuws

27 november 2002 13:53

Ik verbaas me iedere keer weer dat zelfs de meest simpele oplossingen vaak nog niet daadwerkelijk globaal toegepast worden en je er nog het nieuws mee kunt halen. Echt diep treurig dat we zelfs nu, 2002, nog onderzoek moeten doen naar het effect van een mail zend quota. Maar wellicht ben ik al in 1985 iets te veel verwend met de toekomst blikken van Chriet Titulaer en gaat de vooruitgang me daarom niet snel genoeg.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (70)

Sorteer op:

Weergave: