Antivirussoftware

Uiterlijk naar zijbalk verplaatsen verbergen Antivirusprogramma ClamWin

Antivirussoftware is programmatuur die probeert om computervirussen te identificeren, tegen te houden en te verwijderen.

Antivirussoftware gebruikt daarvoor twee verschillende technieken:

De meeste antivirusprogramma's gebruiken beide technieken, met de nadruk op de eerste aanpak. Er zijn ook programma's beschikbaar die enkel de eerste techniek gebruiken.

Tegenwoordig komt antivirussoftware op zich nog maar weinig voor, meestal is het samen met antispywarefunctionaliteit in antimalwaresoftware vervat. Dit soort beveiligingssoftware beschermt niet alleen tegen virussen, maar tegen alle vormen van kwaadaardige software (malware).

Methodes voor virusdetectie

Viruslijst

In de aanpak met viruslijsten, inspecteert de software een bestand en gebruikt daarbij een lijst van bekende virussen die door de makers van de software zijn geïdentificeerd. Wanneer een stuk code in het bestand overeenkomt met een virus uit de lijst, kan de software een van de volgende acties ondernemen (in volgorde waarin de actie verkozen wordt):

  1. proberen het bestand te repareren door het virus zelf uit het bestand te verwijderen
  2. het bestand in quarantaine plaatsen (zodat het bestand niet meer toegankelijk is voor andere programma's en het virus zich niet langer kan verspreiden)
  3. het geïnfecteerde bestand verwijderen

Om deze aanpak op middellange en lange termijn succesvol te houden, worden de virusdefinities regelmatig bijgewerkt (meestal online). Bij nieuwe, geïdentificeerde virussen kunnen gebruikers en technici hun geïnfecteerde bestanden opsturen naar de auteurs van de antivirussoftware, om zo de informatie in toekomstige virusdefinities te verwerken.

De aanpak met virusdatabases onderzoekt typisch de bestanden wanneer het besturingssysteem deze aanmaakt, opent, sluit of verzendt via e-mail. Met als opzet om een virus onmiddellijk bij ontvangst te herkennen. Een systeembeheerder kan er ook voor zorgen dat de software op een regelmatig tijdstip alle bestanden op de harde schijf van de gebruiker scant.

Hoewel deze aanpak op een efficiënte manier de uitbraak van een virus tegenhoudt, omzeilen schrijvers van virussen de software door het schrijven van "oligomorfe", "polymorfe" en meer recent "metamorfe" virussen. Deze virussen encrypteren stukken van zichzelf of camoufleren zich zodat ze niet overeenkomen met hun bekende virusdefinities.

Detectie van verdacht gedrag

In plaats van bekende virussen te identificeren analyseert deze methode het gedrag van programma's. Wanneer bijvoorbeeld een programma gegevens schrijft naar een ander uitvoerbaar programma, kan de antivirussoftware dit als verdacht gedrag zien, de gebruiker waarschuwen en om een reactie vragen.

Deze vorm van antivirussoftware biedt bescherming tegen virussen die nog niet in de databases voorkomen. Dit zorgt voor een aantal fout-positieven, en gebruikers worden vlug achteloos voor de waarschuwingen. Wanneer een gebruiker elke waarschuwing wegklikt, heeft de antivirussoftware geen nut meer voor die gebruiker. Dit is een groeiend probleem, aangezien meer ontwerpen van niet kwaadaardige programma's andere .exe-bestanden aanpassen zonder deze fout-positiefkwestie in acht te nemen. Moderne antivirussoftware gebruikt deze techniek daarom steeds minder.

Andere methodes

Sommige antivirussoftware emuleren het begin van de code van een nieuw uitvoerbaar bestand dat het systeem aanroept, vooraleer het de controle aan het nieuwe bestand zelf overdraagt. Als het programma een zelfmodificerende code lijkt te gebruiken of op een andere manier het gedrag van een virus lijkt te vertonen (het zoekt bijvoorbeeld onmiddellijk naar andere uitvoerbare bestanden), wijst dit op een mogelijke infectie. Ook hier zijn er onschuldige bestanden die als malware aangeduid worden, zogenaamde false positives.

Bij nog een andere detectiemethode gebruikt men een sandbox. Een sandbox emuleert het besturingssysteem en voert het programma uit binnen deze simulatie. Nadat het programma is beëindigd, analyseert de software de sandbox op wijzigingen die op een virus kunnen wijzen. Vanwege prestatieproblemen vinden zulke detecties normaal gesproken enkel plaats tijdens manueel gestarte scans.

Aandachtspunten

Antivirussoftwarebedrijven

Enkele voorbeelden van bedrijven die antivirussoftware produceren en/of verkopen:

Testorganisaties

Testorganisaties testen virusscanners en gerelateerde programma's. Voorbeelden hiervan zijn AV-Comparatives, AV-test.org, Virus Bulletin, ICSA Labs, West Coast Labs, GFI Software en EICAR.

Zie ook

Externe links

Mediabestanden