Dagelijks raken miljoenen computers met malware besmet, maar anti-virusbedrijven hebben geen precies idee hoe dit komt, zo blijkt uit rondvraag door Security.nl. Grofweg zijn er drie manieren om met malware besmet te raken. De drive-by download, waarbij aanvallers een exploit op een website verstoppen. Deze exploit misbruikt een beveiligingslek in de software van de bezoeker om onopgemerkt malware te installeren. De tweede manier is het zelf downloaden van de malware door gebruikers, die vaak via "social engineering" worden misleid om dit te doen. Het kan dan gaan om websites die video codecs beloven, e-mailbijlagen of pop-ups die waarschuwen dat het systeem besmet is en gebruikers het aangeboden programma moeten installeren. Als derde is er nog de Autorun-malware, die zich voornamelijk via USB-sticks verspreidt en de Autorun-functie van Windows gebruikte. Deze functie was in Windows 7 al aangepast en is onlangs ook in Windows XP gecastreerd, wat de impact van besmette USB-sticks drastisch moet verminderen.

Maar wat komt nu vaker voor, drive-by downloads of social engineering-aanvallen? Handig om te weten als je gebruikers wilt beschermen, maar het antwoord hierop is niet zo eenvoudig. Het Duitse anti-virusbedrijf G Data had helemaal geen antwoord, maar wel een bijzondere verklaring hiervoor. De virusbestrijder kan de informatie wel uit de gegevens halen die het van klanten ontvangt, "maar zou er een analyse op los moeten worden gelaten die in strijd is met ons eigen privacy-reglement."

De anti-virusbedrijven die het wel denken te weten, verschillen nogal. Zo zegt Righard Zwienenberg van Norman dat drive-by downloads "natuurlijk" de voornaamste infectiebron zijn. "Die zijn ook minder makkelijk te detecteren voor anti-malware producten. Als je zelf wat aanklikt, dan wordt dit op harddisk opgeslagen (een schrijfactie naar de schijf die wordt gescand). Bij een drive-by kan het een buffer-overflow in de browser (plug-in) zijn of iets dergelijks en nooit op de harde schijf komen. Er zijn geen percentages van, maar aangezien de gebruikers inmiddels wel weten dat ze niet lukraak moeten klikken en site-advisors meestal de slechte sites al blokkeren."

Zwienenberg merkt op dat percentages moeilijk te geven zijn. "Waarom... Iemand kan bijvoorbeeld met IE naar een site gaan die een drive-by heeft staan. Deze drive-by werkt op een buffer-overflow in IE8, maar niet IE9, Firefox, Opera, Chrome, etc. Die gebruikers worden dus niet geïnfecteerd, maar de drive-by is wel gepasseerd."

Voor de zelf-download problemen zijn codec's en rogue AV nog steeds populair, alhoewel we de eerste "AV" ook al hebben gezien, zo merkt de virusbestrijder op. "Natuurlijk was dit een nep-virusscanner die zich voordeed als het legitieme AVG. Dat hebben we eerder gezien, maar niet dat de gebruiker zelfs een scan-schil/gui te zien krijgt. Porno blijft toch ook hoog op de lijst staan. Voor de drive-by exploits zijn het toch de buffer overflows en stack overflows die het doen."

ZIP-bestand
Bij Symantec hebben ze dezelfde opvatting, namelijk dat drive-by downloads het gevaarlijkst zijn. De virusbestrijder baseert zich op geblokkeerde ZIP-bestanden, die het vaakst als kwaadaardige webverkeer terugkwamen. "We weten niet of deze als drive-by, Trojaans paard of door de gebruiker zelf gedownload zijn." Gegeven dat 26% van de web-gebaseerde malware ZIP-bestanden zijn, gevolgd door ASP en PHP pagina's (26%) en JavaScript (19%), en dat 90% van de geblokkeerde malware afkomstig van legitieme websites is, is het waarschijnlijker dat de meeste malware zich via drive-by downloads verspreidt."

Paul Wood van Symantec verwacht dat drive-by download aanvallen in 2011 zullen toenemen, als aanvallers zich vaker op sociale netwerksites en microbloggingsites richten om hun malware te verspreiden. Wood krijgt geen bijval van Sean Sullivan van F-Secure, die stelt dat het zelf downloaden door eindgebruikers de voornaamste infectiebron is. "Gebruikers worden via spam blootgesteld aan kwaadaardige links, Search Engine Optimization (SEO) en slecht en onverantwoord gedrag, zoals illegale software. Ik heb gelezen dat 90% van de infecties via Trojaanse paarden plaatsvindt. De overige 10% zijn drive-by download pogingen."

Als het toch om drive-by downloads gaat, dan is het vooral oppassen met Java. "Java exploits zijn erg "populair"op het moment. Voorheen was het nog voornamelijk Adobe Reader waar aanvallers zich op richtten, maar door de komst van een reguliere patchcyclus is dit veranderd. "Java heeft nog geen vast routine", merkt Sullivan op.

Social engineering
Nicolas Brulez van Kaspersky Lab zegt dat de Russische virusbestrijder geen precieze cijfers heeft. Hij schat dat social engineering malware succesvoller is dan drive-by downloads. Bij McAfee hebben ze een andere mening, maar zeker weten doet de virusbestrijder het niet. "Dit is vrij moeilijk te meten omdat we niet weten hoeveel gebruikers geraakt worden en/of hoe vaak een bestand wordt gedownload. We vermoeden dat drive-by downloads meer infecties veroorzaken, maar sinds de opkomst van sociale netwerken en P2P tools gebeuren zelf-infecties steeds vaker."

Trend Micro Rik Fergusson verklaart dat drive-by downloads een populaire tactiek zijn, maar dat ze nog altijd minder vaak voorkomen dan social engineering aanvallen. Als voorbeeld geeft Fergusson Koobface, die zich via allerlei sociale netwerken verspreidt. "De gebruiker denkt dat hij legitieme software downloadt."

Als het om drive-by downloads gaat, zijn het voornamelijk Adobe Acrobat, Adobe Flash en andere browser-plugins zoals QuickTime die het vaakst worden aangevallen. Hoewel het aantal lekken afneemt, blijkt dat veel gebruikers hun systeem nooit updaten. Vaak omdat er een auto-update mechanisme ontbreekt. "Dat betekent dat veel gebruikers gewoon niet weten dat er een probleem bestaat, laat staan een oplossing."

Gedrag
Ook bij de Tsjechische virusbestrijder ESET zijn ze ervan overtuigd dat social engineering succesvoller is dan het gebruik van exploits, omdat beveiligingslekken worden gepatcht en het vinden van nieuwe exploits niet zo eenvoudig is, aldus analist Daniel Novomesky. Het onderwijzen van eindgebruikers is volgens hem lastiger dan het vinden van een oplossing voor een beveiligingsprobleem. Zo wijst hij ook naar de Autorun-problematiek, die vooral bij eindgebruikers voor problemen kon zorgen. "Maar de slimme gebruikers wisten het probleem te vermijden door het Register aan te passen."

Novomesky heeft geen cijfers waarop hij zijn bewering kan staven, omdat veel malware zich via meerdere kanalen verspreidt. "En de besmette eindgebruiker heeft vaak geen idee wat de infectie heeft veroorzaakt." Voor de toekomst verwacht hij dat virusschrijvers nieuwe manieren blijven vinden om eindgebruikers hun malware te laten downloaden en openen. Slechts een klein deel van de huidige problemen zijn moeilijk op te lossen. "Maar de meerderheid van de problemen is door de juiste zorg en educatie te voorkomen."