Hoe werken anti – malware tools?

groen schild met vink er inMalware scanners zijn krachtige software producten die onmisbaar zijn in ons dagelijks leven. Indien je jezelf ooit hebt afgevraagd hoe een antivirus programma een virus herkent, wat een antivirus doet op je computer, of je regelmatig systeemscans moet uitvoeren en andere antwoorden staan in dit artikel.

Een antivirus programma is een relevant onderdeel van een multi-layered (in meerdere lagen) veiligheidsstrategie. Het constante gevaar dat browsers, plugins en besturingssysteem lopen, maakt antivirus bescherming noodzakelijk, ook wanneer je een slimme computer gebruiker bent.

On-acces scannen
Op je computer draait op de achtergrond antivirus software die elk bestand controleert dat je opent. Dit proces is algemeen bekend als on-access scannen (OAS), op de achtergrond scannen, resident (intern) scannen, realtime bescherming en meer, afhankelijk van je antivirusprogramma.

Op het moment dat je een .EXE bestand dubbelklikt, zou je denken dat het programma meteen start, maar dat is niet zo. De antivirus software in je computer kijkt eerst het programma na en vergelijkt het met bekende virussen, wormen en andere vormen van malware. Je antivirus software doet ook een “heuristische” controle, het controleert dus dat het programma geen slecht gedrag vertoont hetgeen zou kunnen wijzen op de aanwezigheid van een nieuw of onbekend virus.

Andere bestandstypes die virussen kunnen bevatten worden ook gescand door het antivirus programma. Een zip archiefbestand kan bijvoorbeeld gecomprimeerde virussen bevatten en een Word document een kwaadaardige macro. Bestanden worden gescand op het moment dat ze worden gebruikt. Een .EXE bestand zal bijvoorbeeld meteen worden gescand zodra het gedownload is en voordat het geopend wordt.

Een virusscanner kan ook worden gebruikt zonder on-access scanner, maar dit is meestal geen goed idee, want de scanner zou een aantal virussen niet kunnen vangen die door gaten in de programmabeveiliging op de computer terechtkomen. En een virus is veel moeilijker te verwijderen nadat het je systeem heeft besmet. (En je weet ook nooit met zekerheid of de malware geheel is verwijderd of niet.)

 

Malware detecties gevonden met spybot search and destroy + av

 

Volledige systeemscans
Door de on-access scanfunctie is het meestal niet nodig om volledige systeemscans uit te voeren. Als je een virus naar je computer downloadt, zal je antivirus programma het meteen merken en reageren en je hoeft dus zelf geen scan te starten.

Toch kunnen volledige systeemscans soms nuttig zijn. Een volledige systeemscan is bijvoorbeeld handig vlak na de installatie van een antivirus software, om te kijken of er geen latente virussen zich op de computer bevinden. De meeste programma’s zijn zo ingesteld dat ze regelmatig volledige systeemscans uitvoeren, vaak een keer per week. Zo kunnen ze telkens de allernieuwste virusdefinitiebestanden gebruiken om eventuele slapende virussen in je systeem te ontdekken.

Scans van de gehele harde schijf kunnen ook nuttig zijn om een computer te herstellen. Als je een geïnfecteerde computer wilt repareren kun je, in plaats van een volledige herinstallatie van Windows, de harde schijf in een andere computer plaatsen en een volledige systeemscan naar virussen uitvoeren. Toch, wanneer een antivirus programma je computer beschermt, hoef je meestal geen volledige systeemscans uit te voeren, want het antivirus scant continu op de achtergrond en doet al zijn eigen, regelmatige, volledige systeemscan.

Virusdefinities

Om malware te detecteren, vertrouwt je antivirus software op virusdefinities. Het downloadt daarom automatisch nieuwe, bijgewerkte definitiebestanden, soms een keer per dag, soms vaker. De definitiebestanden bevatten signatures (handtekeningen) voor virussen en andere malware die met de tijd worden aangetroffen. Tijdens het scannen van bestanden, als de antivirus programma merkt dat een bestand overeenkomt met bekende malware, zal het voorkomen dat het bestand wordt uitgevoerd en zal dezelfde bestand in ‘quarantaine’ plaatsen. Afhankelijk van de instellingen van je virus programma, zal de antivirus automatisch het bestand verwijderen of je laten kiezen om het bestand toch te laten uitvoeren indien je zeker bent dat het een false-positief (fout-positief) is.

Antivirus fabrikanten moeten continu up-to-date blijven met de nieuwste malware en definitie updates vrijgeven die ervoor zorgen dat de malware wordt gevangen door hun programma’s. De antivirus laboratoria beschikken over verschillende instrumenten om virussen te onderzoeken en uit elkaar te halen. Deze virussen worden in sandboxes (zandbakken) geactiveerd, in een afgeschermde ruimte dus waar programma’s kunnen werken zonder andere processen te verstoren. De laboratoria zorgen dan voor tijdige updates die de gebruikers zullen beschermen tegen nieuwe types malware.

 

computervirussen

 

De heuristische methode
Antivirus programma’s gebruiken ook de heuristische methode. Deze methode laat toe dat een antivirus programma nieuwe of gewijzigde vormen van malware identificeert, zelfs zonder virusdefinitiebestanden. Wanneer, bijvoorbeeld, een antivirus programma merkt dat een programma op je systeem alle EXE bestanden probeert te openen en je systeem te infecteren door het programma zelf daarin te kopiëren, dan kan de antivirus dit programma herkennen als een nieuw, onbekend type virus.

Toch is geen antivirus programma perfect en de heuristische methode moet niet te agressief zijn, of het kan ook legitieme software als virus markeren.

False positives (fout-positieven)
Omdat er zoveel verschillende software in omloop is is, kan het gebeuren dat een antivirus programma af en toe een bestand als virus ziet terwijl het eigenlijk volledig veilig is. In zo’n geval praten we van een “false positive” (fout-positief). De antivirus bedrijven maken soms opmerkelijke fouten zoals Windows systeembestanden of populaire programma’s van derden of zelfs hun eigen antivirus programma bestanden als virus identificeren. Deze false positieves kunnen schadelijk zijn voor de besturingsysteem van gebruikers en, over het algemeen, komen dergelijke fouten uiteindelijk in het nieuws, zoals toen Microsoft Security Essentials Google Chrome als een virus identificeerde, of toen AVG de 64-bits versies van Windows 7 beschadigde, of Sophos zichzelf als malware had geïdentificeerd.

Het gebruik van de heuristiesche methode kan ook het aantal false positives verhogen. Het is mogelijk dat een antivirus merkt dat een programma zich zo gedraagt als een kwaadaardig programma en identificeert het dus als virus.

False positives zijn, ondanks dit, vrij zeldzaam in het normaal gebruik. Over het algemeen, moet je je antivirus geloven wanneer het zegt dat een bestand kwaadaardig is. Ben je onzeker of een bestand eigenlijk een virus is of niet, kun je proberen dit bestand naar VirusTotal te uploaden. VirusTotal zal het bestand met een aantal verschillende antivirus producten scannen en je laten weten wat ze ervan vinden.

De werking van het Detectievermogen
Het detectievermogen van antivirus programma’s, waar zowel virusdefinities als heuristiesche methodes gebruikt worden verschilt per programma. Sommige antivirus maatschappijen kunnen heuristische methodes toepassen die effectiever zijn of ze stellen meer virusdefinities beschikbaar dan hun concurrenten, waardoor hun antivirus een hogere detectievermogen heeft.

Er zijn organisaties waar de verschillende antivirus programma’s regelmatig worden getest, waarbij hun detectievermogen wordt vergeleken in de praktijk. AV-Comparitives publiceert geregeld studies die de huidige stand van detectievermogen van antivirus producten vergelijken. Er blijkt niet één product te zijn die consequent aan de top blijft omdat het detectievermogen de neiging heeft om te fluctueren na verloop van tijd. Kijk naar bovengenoemde detectievermogen studies als je echt wilt weten hoe effectief een antivirus programma is en welke de beste is op de markt.

Het testen van een beveiligingsprogramma werkt als volgt

Om te testen of een antivirus programma naar behoren werkt, kun je het EICAR testbestand gebruiken. Dit is een standaard manier om antivirus programma’s te testen. Het EICAR bestand is niet gevaarlijk, maar het laat antivirus programma’s denken gevaarlijk te zijn waardoor het als een virus wordt gezien. Hiermee kun je de reacties van je antivirus programma testen zonder een levend virus te gebruiken.
Antivirus programma’s zijn ingewikkelde stukken software en er kunnen dikke boeken worden geschreven over dit onderwerp. Wat we hopen is dat je, na het lezen van dit artikel, de grondbeginselen beheert van hoe antivirus software werkt. Voor de beste virusscanners kun je onder andere op deze website kijken.

In de cloud

Normaliter wordt de antivirus database op jouw apparaat geüpdatet met de nieuwste definities van schadelijke software. Met de cloud is dit niet meer nodig. De virus definities worden geladen van uit de cloud zonder dat jij ze hoeft te downloaden. Lees er alles over cloud antivirus in dit artikel.