Antivirussoftware binnen enkele uren omzeild

Afgelopen weekend is het ontwikkelaars op de DEFCON 16-conferentie in Las Vegas gelukt om in enkele uren zeven virussen en drie exploits zo aan te passen dat ze voorbij commerciële antivirussoftware kwamen. De poging was onderdeel van de ‘Race To Zero'-wedstrijd. In die wedstrijd krijgen ontwikkelaars een serie broncodes van virussen of exploits en moeten ze deze codes zo snel mogelijk aanpassen dat ze voorbij vijf antiviruspakketten komen. Elke code in de serie is moeilijker dan de voorgaande.

De eerste code die de deelnemers moesten aanpassen was die van het DOS-virus Stoned. Hierna kregen ze vervolgens de broncodes van de virussen Netsky, Bagel, Sasser, Zlob, Welchia en Virut. Onder de exploits die aangepast moesten worden, zaten enkele Windows-bugs waaronder een bug in Word, een bug in de bewegende cursor van Vista en een bug in de SQL database 2000-engine (ook wel het ‘Slammer'-worm genoemd). De bug in Word werd uit de wedstrijd geschrapt omdat te weinig deelnemers een kwetsbare versie van Windows 2000 hadden waarop ze konden testen.

Het belangrijkste doel voor de ‘Race To Zero'-wedstrijd is om aan te tonen hoe zwak antivirussoftware is dat zich baseert op ‘signatures'. Dit soort software kan door hackers vrij snel worden omzeild. Signature-antiviriussoftware blokkeert programma's door de code te vergelijken met de codes van bekende virussen. Deze manier van virusbestrijding vergt minder CPU-gebruik maar voor veel ontwikkelaars heeft het zijn langste tijd gehad. Antivirusbedrijven beseffen dit gelukkig ook en veel bedrijven ontwikkelen antivirussoftware dat kijkt naar hoe programma's zich gedragen in plaats van hoe de broncode er uit ziet.