Antimalwaresoftware

Uit Wikipedia, de vrije encyclopedie
Naar navigatie springen Naar zoeken springen

Antimalwaresoftware is software die computersystemen beschermt tegen malware. Malware is een samentrekking van malicious software (kwaadaardige software) en is een verzamelnaam voor alle software die als schadelijk of potentieel ongewenst kan worden beschouwd. Antimalwaresoftware biedt bescherming tegen allerlei soorten malware zoals bijvoorbeeld virussen, spyware, adware en rootkits. Hierdoor kan het beschouwd worden als de opvolger van de traditionele antivirussoftware. Deze software bood vroeger enkel bescherming tegen virussen en werd ook antivirussoftware genoemd, omdat virussen vroeger de meest voorkomende soort malware waren. De meeste producten en diensten die de naam "antivirus" dragen hebben in de loop der tijd ook functies gekregen om bescherming te bieden tegen andere soorten malware, maar dragen desondanks nog steeds de naam "antivirus". Hierdoor heeft de meeste antimalwaresoftware en antivirussoftware tegenwoordig dezelfde functionaliteit.

Soorten malware[bewerken]

Malware kan in verschillende vormen voorkomen, die meestal in een van de volgende categorieën kunnen worden ondergebracht:

  • De 'viruscategorie':
    • Computervirussen: schadelijke code die bestanden beschadigt door een kopie van zichzelf er aan vast te hangen of het oorspronkelijke bestand te overschrijven, of gewoonweg overlast voor de computergebruiker veroorzaakt (door bijvoorbeeld het scherm te vullen met allerlei foutberichten of cd-romstations plotseling te openen of te sluiten).
    • Computerwormen: doet hetzelfde als een virus, maar heeft de mogelijkheid zich zelfstandig te verspreiden via computernetwerken en e-mails.
    • Trojaanse paarden: schadelijke software die zichzelf voordoet als een nuttig, leuk of zelfs broodnoodzakelijk bestand of programma, en eenmaal geïnstalleerd verschillende schadelijke acties kan ondernemen (meestal betreft dit het stelen van gevoelige informatie zoals wachtwoorden of ongeautoriseerde toegang verlenen aan een hacker). Vaak voorkomende voorbeelden van Trojaanse paarden zijn valse antivirusprogramma's (ook wel rogueware genoemd).
    • Rootkits: schadelijke programma's die zich diep in het besturingssysteem nestelen en kunnen gebruikt worden om hun eigen aanwezigheid of die van andere programma's te verbergen, de internettoegang uit te schakelen of antimalwareprogramma's onklaar te maken.
  • De 'spywarecategorie':
    • Spyware: software die gegevens verzamelt over de computergebruiker en deze vervolgens doorstuurt naar zijn maker. Meestal worden deze gegevens dan voor reclamedoeleinden gebruikt. Spyware kan echter ook gebruikt worden om gebruikersnamen, wachtwoorden en andere gevoelige gegevens te stelen, om er vervolgens identiteitsfraude mee te plegen. Dit soort spyware wordt een keylogger genoemd.
    • Adware: potentieel ongewenste programma's die ongewenste reclamevensters weergeven.
    • Dialers: programma's die een modem met een duur telefoonnummer verbinden. Vanwege het kleine aantal inbelmodems dat nog gebruikt wordt, zijn deze meestal geen ernstige bedreiging.
    • Diverse hackprogramma's, waaronder backdoors en IRC-bots.
    • Soms worden tracking cookies ook als een vorm van spyware beschouwd.

Tegenwoordig komen er ook meer en meer hybride vormen voor, zoals bijvoorbeeld het Stuxnet-virus. Deze malware verbergt zichzelf (rootkitfunctionaliteit), verspreidt zich zelfstandig via USB-sticks en LAN-netwerken (wormfunctionaliteit) en saboteert de Iraanse nucleaire installaties (virusfunctionaliteit). Deze hybride vormen kunnen niet in een bepaalde categorie geplaatst worden, daarom is het makkelijker om gewoon van malware te spreken.

Antivirus versus antispyware[bewerken]

Vroeger (voor de millenniumwisseling) was het gebruikelijk een apart antivirus- en antispywareprogramma te hebben. Dit komt door het toen relatief veel voorkomen van virussen en wormen, terwijl spyware, adware en Trojaanse paarden nog maar in hun beginfase zaten. De meeste computers hadden toen zelfs geen antispyware. Vandaag de dag echter komen virussen vanwege betere systeembeveiligingsfuncties zoals bijvoorbeeld geheugenbescherming, sandboxing en DEP (Data Execution Prevention) steeds minder voor. Spyware, adware en Trojaanse paarden daarentegen vormen nu de belangrijkste bedreiging voor computergebruikers. Daarom heeft men stilaan antivirusprogramma's laten samensmelten met antispywareprogramma's om volledige bescherming tegen alle bedreigingen te kunnen bieden. Tegenwoordig komen antivirus- en antispywaretoepassingen op zichzelf bijna niet meer voor. Desondanks wordt het woord 'antivirus' vaak nog (verkeerdelijk) gebruikt om een antimalwareprogramma aan te duiden.

Detectiemethodes[bewerken]

Malwaredatabases[bewerken]

In de aanpak met databases inspecteert de software een bestand en gebruikt daarbij een lijst van bekende malwarecode (malwaredefinities) die door de makers van de antimalwaretoepassing zijn geïdentificeerd. Wanneer een stuk code in het bestand overeenkomt met malware uit de lijst, kan de software een van de volgende acties ondernemen:

  • Proberen het bestand te herstellen door de malware uit het bestand te verwijderen.
  • Het bestand in quarantaine plaatsen (zodat het bestand niet meer toegankelijk is voor andere programma's en de malware geen schade meer kan aanrichten).
  • Het geïnfecteerde bestand verwijderen.

Om deze aanpak succesvol te houden, moeten de malwaredefinities regelmatig bijgewerkt worden. Bij nieuwe, geïdentificeerde malware kunnen gebruikers en technici hun geïnfecteerde bestanden opsturen naar de makers van de antimalwaresoftware, om zo deze informatie in toekomstige malwaredefinities te verwerken.

De aanpak met malwaredatabases onderzoekt, wanneer er in realtime gewerkt wordt, de bestanden wanneer het besturingssysteem deze aanmaakt, opent, sluit, downloadt of verzendt via e-mail met als opzet om malware onmiddellijk bij ontvangst te herkennen. Een systeembeheerder kan meestal ook instellen dat de antimalwaretoepassing op een regelmatig tijdstip alle bestanden op de harde schijf van de gebruiker scant.

Hoewel deze aanpak op een efficiënte manier de uitbraak van malware tegenhoudt, omzeilen schrijvers van malware de antimalware door het schrijven van "oligomorfe", "polymorfe" en meer recent "metamorfe" malware. Deze malware encrypteert stukken van zichzelf of camoufleert zich zodat ze niet overeenkomt met hun bekende malwaredefinities. Het duurt ook even voor volledig nieuwe malware in deze databases wordt opgenomen.

Detectie van verdacht gedrag[bewerken]

In tegenstelling tot de vorige methode probeert deze methode niet om bekende malware te identificeren. In plaats daarvan houdt ze het gedrag van alle programma's in de gaten. Wanneer bijvoorbeeld een programma gegevens schrijft naar een ander uitvoerbaar programma, kan de antimalwaresoftware dit als verdacht gedrag zien, de gebruiker waarschuwen en om een reactie vragen.

Deze vorm van detectie biedt bescherming tegen malware die nog niet in de databases voorkomt. Dit kan zorgen voor een aantal fout-positieven (foutief als gevaarlijk geïdentificeerde bestanden), en gebruikers worden vlug achteloos voor de waarschuwingen. Wanneer een gebruiker elke waarschuwing wegklikt, heeft de antimalwaresoftware geen nut meer voor die gebruiker. Dit is een groeiend probleem, aangezien meer ontwerpen van niet kwaadaardige programma's andere .exe-bestanden aanpassen zonder deze fout-positiefkwestie in acht te nemen. Moderne antimalwaresoftware gebruikt deze techniek daarom steeds minder, of in combinatie met andere methodes.

Andere methodes[bewerken]

Sommige antimalwaresoftware emuleert het begin van de code van een nieuw uitvoerbaar bestand dat het systeem aanroept, vooraleer het de controle aan het nieuwe bestand zelf overdraagt. Als het programma zelfmodificerende code lijkt te gebruiken of op een andere manier het gedrag van malware lijkt te vertonen (het zoekt bijvoorbeeld onmiddellijk naar andere uitvoerbare bestanden), toont dit een mogelijk risico aan. Ook hier zijn er fout-positieven mogelijk.

Bij nog een andere detectiemethode gebruikt men een sandbox. Een sandbox emuleert het besturingssysteem en voert het programma uit binnen deze simulatie. Nadat het programma is beëindigd, analyseert de software de sandbox op wijzigingen die op malware kunnen wijzen. Normaal gesproken vinden zulke detecties enkel plaats tijdens manueel gestarte scans omdat ze veel capaciteit en processorkracht van de computer opeisen.

Combinaties[bewerken]

Moderne antimalwaretoepassingen gebruiken meestal combinaties van bovenstaande methodes om zo veel mogelijk malware te kunnen detecteren en het aantal foutpositieven toch zo laag mogelijk te houden.[1]

Aanvullende bescherming[bewerken]

Het installeren van antimalwaresoftware is niet voldoende om een computersysteem tegen malware te beschermen, daar antimalwaresoftware nooit 100% van alle malware kan detecteren (malwaredefinities raken snel verouderd door de voortdurende aanmaak van nieuwe malware, en detectie van verdacht gedrag is niet voldoende vanwege het fout-positief- en fout-negatiefprobleem). Daarbovenop bestaan er verschillende methodes om kwaadwillende software te versleutelen en te verpakken in bijvoorbeeld een ZIP-archief, zodat zelfs bekende malware niet ontdekt kan worden door antimalwaresoftware. Om deze 'gecamoufleerde' malware op te sporen is een krachtige mogelijkheid nodig om deze bestanden te ontsleutelen of uit te pakken om ze te kunnen onderzoeken. Populaire antimalwareprogramma's hebben dit niet altijd en nemen daarom soms zelfs bekende malware niet waar.

Daarom is het belangrijk enkele andere aandachtspunten in acht te nemen:

  • Het installeren van updates: wanneer er een beveiligingslek in software ontdekt wordt, wordt dit meestal opgelost door middel van een beveiligingsupdate. Daarom is het belangrijk op regelmatige basis zijn besturingssysteem en geïnstalleerde programma's (vooral de browser en zijn plug-ins) te updaten.
  • Het installeren en gebruiken van een firewall: een firewall kan verdachte netwerkverbindingen opmerken en blokkeren. Een firewall kan bijvoorbeeld voorkomen dat een zich via het lokale netwerk verspreidende worm op de computer wordt geïnstalleerd of dat spyware verzamelde informatie via internet verzendt.
  • Het opleiden van de gebruikers; de gebruikers leren hoe ze veilig kunnen omgaan met computers (zoals het niet downloaden en uitvoeren van onbekende programma's van het internet) vertraagt/voorkomt de verspreiding van malware en vermindert de nood aan antimalwaresoftware.
  • Computergebruikers zouden niet altijd hun computer mogen gebruiken als systeembeheerders. Als ze eenvoudigweg zouden werken in standaardgebruikersmodus, zouden veel malwaretypes zich niet kunnen verspreiden (of hun schade zou ten minste beperkt blijven). Dit is een van de verschillende redenen waarom malware relatief zeldzaam is op UNIX-achtige systemen.
  • Men kan het risico op malware dat men loopt terwijl men op het internet surft beperken door een moderne en veilige webbrowser te gebruiken. Niet alleen bevatten deze minder beveiligingslekken, maar deze hebben ook vaak geavanceerdere beschermingsfuncties zoals een XSS-filter en maken deze gebruik van diensten zoals Google Safe Browsing of het SmartScreen-filter om onveilige websites en downloads tegen te houden.

(Mogelijke) nadelen[bewerken]

Sommige antimalwaresoftware vermindert de systeemprestaties aanzienlijk. Gebruikers schakelen vaak de antimalwarebescherming uit om dit prestatieverlies tegen te gaan en lopen zo een verhoogd risico op een succesvolle infectie. Voor maximale bescherming moet de software altijd ingeschakeld zijn (ondanks tragere prestaties). Sommige antimalwaresoftware is ontworpen om minder invloed op de systeemprestaties te hebben.[2]

Het kan soms ook nodig zijn om de malwarebescherming (tijdelijk) uit te schakelen bij het uitvoeren van belangrijke updates, zoals de Windows Service Packs, of het updaten van de stuurprogramma's van de grafische kaart. Ingeschakelde antimalwaresoftware kan tijdens een zulke belangrijke installatie ervoor zorgen dat de update niet correct verloopt of helemaal niet lukt door deze te blokkeren op ernstig te vertragen (door bijvoorbeeld elk bestand dat gebruikt wordt om de update uit te voeren te scannen).

Testorganisaties[bewerken]

Sommige testorganisaties testen antimalwaretoepassingen en gerelateerde programma's. Voorbeelden hiervan zijn AV-Comparatives, AV-test.org, Virus Bulletin, ICSA Labs, West Coast Labs, GFI Software en Eicar.

Antimalwarebedrijven[bewerken]

Er zijn verschillende bedrijven die antimalwaresoftware ontwikkelen en uitgeven, al dan niet voor enkel bepaalde types malware (dan vooral enkel antispyware) of in combinatie met andere functies zoals een firewall, hulpprogramma's om de prestaties van de computer te verbeteren en het systeem op te ruimen, ... . Enkele voorbeelden hiervan zijn:

Externe links[bewerken]

Zie ook[bewerken]