Dagelijks zijn er duizenden mensen bezig met het analyseren van malware en het ontwikkelen van signatures om de nieuwste wormen en virussen te detecteren en stoppen. Wij interviewden Roel Schouwenberg Senior Research Engineer voor Kaspersky Lab (Benelux) over zijn werkzaamheden als virusanalist.

Heb je een speciale opleiding als virusanalist gevolgd?
Nee, hoewel je intern in het bedrijf wel dingen moet leren met betrekking tot het maken van (engine specifieke) virus signatures en dergelijke. Dit duurt best een hele tijd. Uiteraard moet je wel al over de nodige kennis mbt. code, OSen en (eventueel) wiskunde beschikken.

Waar bestaat je functie uit?
Mijn functie bestaat voornamelijk uit het analyseren van malicious code, er diep(er)gaande research op te doen en het in de gaten houden van mijn regio. Hierbij komen natuurlijk ook de gerelateerde zaken bij kijken. Daarnaast schrijf ik artikelen.

Hoe gaat de analyse van een nieuw stuk malware in z'n werk
Als we een malware ontvangen, op welke wijze dan ook, wordt het door een aantal systemen heen geloodst. Deze geven ons op z'n minst aanwijzingen met betrekking tot welke klasse ze horen, in de meeste gevallen ook de familie.

Als de familie al direct bekend is, hoeft er alleen nog een signature voor de betreffende malware gemaakt te worden. In gevallen waar dit niet opgaat wordt er naar de code gekeken. Het is dan aan de virusanalist om te zeggen of het toch een malware is van een bekende familie, of juist niet.

Uit recent onderzoek blijkt dat Kaspersky gemiddeld binnen 2 uur malware geanalyseerd heeft. Zijn jullie onderzoekers beter/sneller dan die van Symantec of testen jullie op een andere manier?
Deze vraag is onmogelijk echt correct te beantwoorden. Om de vraag juist te kunnen beantwoorden zouden de procedures e.d. van beide bedrijven naast elkaar gelegd moeten worden wat niet mogelijk is.

Tussen de tijd van het verschijnen van een virus en een signature is een gebruiker onbeschermd, en heeft een virusscanner dus geen zin?
Een virusscanner beschermt tegen honderdduizenden malware, als één sample nog niet gedetecteerd wordt is het zeker niet dat een virusscanner geen zin heeft.
Ongeveer tweehonderd nieuwe malware zien het licht per dag, door die constante stroom is een virusscanner gewoonweg absolute noodzaak, ook al kan het soms enkele uren duren eerdat er een update uit is voor een specifieke sample. Daarnaast is het zo dat bijvoorbeeld voor Trojan-Downloaders en Trojan-Droppers bekende malware downloaden/ droppen welke de AV al detecteert.

Heeft Kaspersky 24 uur per dag mensen die malware analyseren, en hoe communiceren die met elkaar?
Uiteraard heeft Kaspersky Lab 24/7/365 mensen aan het werk die malware analyzeren en updates releasen. Het is geen maandag tot en met vrijdag, 9 tot 5 taak waar we mee bezig zijn. Er wordt namelijk ook 24/7/365 malware de wereld ingestuurd. Het WMF gebeuren en dan met name onze ontdekking van de WMF IM-Worm op 31 december zijn daar goede recentelijke voorbeelden van. Het communiceren gebeurt voornamelijk mbv. de (computer)systemen die we gebruiken, email en verbaal contact.

De laatste tijd verschijnen er veel varianten, is het nog wel een uitdaging om die te analyseren, omdat het vaak zeer kleine aanpassingen betreft?
Goede vraag. Het analyseren van deze varianten is normaal gesproken geen uitdaging, maar is een verplicht nummer wat er nou eenmaal bijhoort. Echter was het vroeger ook zo dat er veel varianten van dezelfde familie uitkwamen met slechts minieme aanpassingen, dus in dat opzicht is het alleen de hoeveelheid die veranderd is. Dit is een van de hoofdredenen waarom veel virusanalisten het na een paar jaar voor gezien houden en bijvoorbeeld naar R&D gaan.

Wat was de meest bijzondere malware die je de afgelopen maanden geanalyseerd hebt?
Laatst kwam ik een IRCBot tegen welke IM-Worm functionaliteit bevatte voor zo goed als elke IM client. Dit was de 'absolute' confirmatie van de trend in de IM malware evolutie - malware heeft steeds vaker IM spreading functionaleit aan boord ipv. van een extra malware(IM-Worm) gebruik te maken.

Op het technisch vlak: Virus.Win32.Nsag. Deze malware infecteert wininet.dll en werkt als een soort hook voor een Trojan welke bepaald internetverkeer bespioneert. Om op deze manier de 'oude' virustechnieken nog eens gebruikt te zien worden vond ik uitermate fascinerend.

Wat moeten lezers van Security.NL doen die ook in de anti-virus industrie willen gaan werken?
Om virusanalist te kunnen worden zul je over talent moeten beschikken, de baan is slechts voor een select gezelschap weggelegd. Als je over het talent en de interesse + motivatie en ethiek beschikt zal er niet veel in je weg staan.

Er zijn aardig wat virus analisten die geen vervolgopleiding hebben gedaan, dus deze is min of meer optioneel. Mocht je er toch een willen volgen dan is wiskunde de beste optie, niet informatica.