Wat virus- en malwarebescherming voor je kan betekenen

Leveranciers van anti-virusprogramma’s (AV) laten je graag denken dan zonder hen de wereld vergaat. Of in ieder geval je gegevens. Sommige Windows-gebruikers hebben het tegenovergestelde beeld: Anti-virusprogramma’s verlagen de prestaties van het systeem, irriteren gebruikers met onnodige waarschuwingen en blokkeren perfect onschadelijke apps, terwijl de eigenlijke kwaadaardige software er nog steeds doorheen kan glippen.

Hoewel anti-virussoftware ongelofelijk vervelend kan zijn, biedt het een essentieel vangnet. Zonder anti-virussoftware moet je uiterst voorzichtig zijn met alle interacties met de buitenwereld om malware-infectie te voorkomen. Om het zo beknopt mogelijk te zeggen: Zonder anti-virusbescherming geen internet.

De huidige anti-virusprogramma’s lijken sterk elkaar op de manier waarop ze gebruikers beschermen tegen kwaadaardige software, kortweg “malware”. Hun realtime beschermingsmodules controleren alle bestanden zodra ze binnenkomen. Een webbeveiligingsmodule probeert de toegang tot schadelijke sites te voorkomen. Tot slot controleert een on-demand scanner alle lokale gegevens op mogelijke infecties.

Het klopt dat al deze methoden rekenkracht vereisen, d.w.z. dat ze de prestaties van het systeem enigszins verminderen. Er worden echter verschillende methoden gebruikt om deze impact te verminderen. Een daarvan is een aanpak op meerdere niveaus om schadelijke software te identificeren.

Een korte inleiding: hoe virusbescherming werkt

De eenvoudigste manier om dreigingen te identificeren is door de code te vergelijken met “handtekeningen” van bekende malware. Simpel gezegd komt dit neer op het controleren of het te analyseren bestand overeenkomt met een controlesom van een zwarte lijst.

Deze aanpak heeft het nadeel dat aanvallers de herkenning van handtekeningen kunnen omzeilen door kleine codewijzigingen. Roep heuristische analyse ten tonele, waarbij het anti-virusprogramma de detectiecriteria verruimt door een breder patroon, zoals een specifiek stukje code in plaats van het hele bestand.

Heuristische analyse heeft het voordeel dat het gemakkelijk is om varianten van een bedreiging op te sporen. Echter.... en er is altijd een echter met anti-virus software .... aangezien heuristiek een zekere mate van giswerk met zich meebrengt, zijn ze geneigd om geldige toepassingen te verwarren met malware.....

Een andere benadering is een gedragsanalyse. Voor dit doel worden verdachte toepassingen eerst uitgevoerd in een “zandbak”, geïsoleerd van het besturingssysteem. Deze detectiemethode is echter zeer arbeidsintensief, d.w.z. als dit op je computer wordt uitgevoerd, kan ‘sandboxing’ de prestaties van je computer aanzienlijk beïnvloeden.

Om deze problemen te beperken, hebben anti-virusontwikkelaars online reputatiesystemen ontwikkeld. Als het lokale anti-virusprogramma niet zeker is van een bestand, kan het direct contact opnemen met de servers van de leverancier om te controleren of het bestand in een gecentraliseerde whitelist is opgenomen. Als bekend is dat de code ongevaarlijk is, mag het worden gebruikt. Is de code onbekend, dan wordt deze als monster naar de servers van de fabrikant gestuurd voor centrale analyse. Daar wordt het monster uitgevoerd in een virtuele Windows-omgeving waar het gedrag wordt gecontroleerd op ongebruikelijke activiteiten.

Dit alles gebeurt meestal zonder dat de gebruikers zich daar zorgen over hoeven te maken. Zie anti-virusprogramma’s als vriendelijke kleine elfen die op de achtergrond werken en je veilig houden. Maar soms kunnen zelfs elfen het mis hebben.

Wanneer anti-virusprogramma’s op hun bek gaan

Ondanks de beveiligingen van whitelists en online reputatiecontroles zal anti-virussoftware soms zijn doel voorbijschieten. Onschadelijke software mag zijn taken niet goed uitvoeren, de toegang tot onschuldige websites wordt geblokkeerd. Deze fouten worden “vals-positieven” genoemd.

Een recent voorbeeld voor een vals-positief voorbeeld is Comodo Internet Security Pro, dat onder bepaalde omstandigheden gebruikers ervan weerhoudt om SoftMaker Office 2018 te gebruiken. Met de standaardinstellingen kan de geïntegreerde firewall van Comodo de toegang tot de activeringsservers van SoftMaker blokkeren. Als gevolg hiervan kan de software de geldigheid van een licentie niet controleren en mislukt de activering.

Softwareontwikkelaars die door zo’n probleem worden getroffen, hebben weinig andere mogelijkheden dan contact op te nemen met de anti-virusproducent, hen te overtuigen van de legitimiteit van hun software en te vragen om hun product toe te voegen aan de whitelist van het bedrijf. Dit kan even duren. In de tussentijd moeten gebruikers het doen met workarounds.

In het geval van Comodo Internet Security Pro en SoftMaker Office 2018 is op dit moment de enige manier om een succesvolle activering te garanderen, het uitschakelen van de module “Website Filtering” van de anti-virussuite. Dit doe je door de instellingen van Comodo Internet Security te openen en te navigeren naar Website Filtering. In dit gedeelte moet u “Enable Website Filtering (Recommended)” uitschakelen en je keuze bevestigen door op OK te klikken.

In het algemeen moet je heel voorzichtig zijn bij het uitschakelen van elementen van je anti-virusprogramma. De beste oplossing is het creëren van uitzonderingen voor specifieke toepassingen - dit creëert in wezen een lokale whitelist. Voordat je een dergelijke uitzondering toevoegt, moet je echter eerst nogmaals controleren of dit de veiligheid van de computer niet in gevaar brengt. Gelukkig zijn er verschillende gratis online diensten om te helpen bij deze beoordeling.

Hoe je kunt controleren of een bestand onschadelijk is

Sommige anti-virustoepassingen zijn zeer rigoureus: Verdachte bestanden worden snel verwijderd of naar “quarantaine” gestuurd, een speciale container waar het geen kwaad kan. Dit gebeurt vaak al voordat het anti-virusprogramma een waarschuwing geeft.

Er zijn verschillende manieren om te controleren of een dergelijk bestand vals-positief is of zo kwaadaardig als de anti-virussoftware denkt dat het is. Vaak moet je een bestand terughalen uit de quarantaine. Aangezien het proces zeer toepassingsspecifiek is, moet je hun documentatie raadplegen voor details. Om te voorkomen dat het herstelde bestand direct weer wordt verwijderd, moet je soms eerst een tijdelijke uitzondering maken.

Daarna kun je het bestand uploaden naar een online virusscanserver zoals HerdProtect, Jotti’s Malware Scan, Opswat Metadefender Cloud of VirusTotal. Pas op dat je nooit dubbelklikt op een verdacht bestand voordat je het uploadt! De dienst gaat verder met het controleren van de upload met behulp van meerdere virusscanners - dit kan enkele minuten duren.

De resultaten van online virusscanners kunnen moeilijk te interpreteren zijn. Echter, als meer dan een paar engines het erover eens zijn dat het bestand kwaadaardig is, had de lokale anti-virus waarschijnlijk gelijk. Er moet speciale aandacht worden besteed aan de resultaten die als heuristische resultaten (meestal aangeduid als “heur”). Zoals eerder vermeld, is heuristische analyse vrij vatbaar voor fouten.

Online virusscanservices zijn niet perfect: het kan gebeuren dat alle scanners de kwaadaardigheid van een geüpload bestand niet detecteren. Dit gebeurt nogal eens met bestanden die je als e-mailbijlage hebt ontvangen. Dit type malware wordt vaak op maat gemaakt om de anti-virusprogramma’s te omzeilen.

Gewoonlijk zijn anti-virusmakers binnen een paar uur op de hoogte en hebben ze een oplossing. Daarom kun je, als je een bestand na eerste analyse verdacht blijft, het dan een paar uur laten staan en dan kun je het opnieuw uploaden. Dit resulteert vaak in duidelijk verschillende resultaten, die elke twijfel moeten wegnemen.

Wees echter voorzichtig met het uploaden van persoonlijke gegevens naar online virusscanners. De meeste van hen sturen verdachte bestanden door naar de individuele anti-virusverkopers voor verdere analyse. Dit wordt meestal aangegeven in de gebruiksvoorwaarden van de online scanner, die niemand ooit lijkt te lezen.

Hoe kies je je anti-virus

Als u een privé-gebruiker bent met Windows, is Windows Defender een goede anti-virusoplossing. Het is ontwikkeld door Microsoft en integreert daarom naadloos in Windows. Windows Defender vertrouwt zowel op handtekeningen als op online reputatiecontroles. Het probeert zo onopvallend mogelijk te zijn, ook al is het gratis.

Alle andere gratis anti-virustools zijn in wezen advertenties voor hun commerciële broers. Dit betekent dat ze meer moeite doen om de aandacht op zichzelf te vestigen, omdat ze een product moeten verkopen. Windows Defender volgt een ander business model.

Als je je computer voor zakelijke doeleinden gebruikt, is Windows Defender mogelijk niet de beste keuze. Het gebruik van de software vereist een actieve deelname aan “SpyNet”, Microsoft’s wat onhandig genoemde reputatiedienst. Als Windows Defender verdachte bestanden op een computer vindt, zal het deze zonder te vragen naar Microsoft uploaden. Hierdoor kunnen vertrouwelijke gegevens mogelijk aan derden worden doorgegeven.

De reden voor dit gedrag is dat Microsoft ook een commerciële anti-virusoplossing met de naam “Endpoint Protection” verkoopt, ontworpen voor zakelijke klanten. Windows Defender voedt in wezen Endpoint Protection met malwaremonsters.

Professionele gebruikers kunnen ervoor kiezen om in plaats daarvan te opteren voor een commerciële anti-virusoplossing. De meeste van hen bieden de keuze om verdachte bestanden niet te uploaden, ook al kan dit de mate van bescherming verminderen. Bovendien bieden ze extra beschermingslagen - sommige zijn nuttig, andere nogal twijfelachtig.

Commerciële anti-virusverkopers bieden meestal verschillende pakketten aan met verschillende functies en prijsniveaus: Het basis anti-virusprogramma biedt alleen de hoogstnodige functionaliteit. De internetbeveiligingssuite voor het middensegment bevat extra functies zoals veilige surf-omgevingen voor internetbankieren, advertentieblokkers, wachtwoordkluizen en ouderlijk toezicht. Bij een deluxe versie stapelen de prachtopties zich op, veel daarvan bieden twijfelachtige voordelen.

Om te kunnen beslissen welk pakket je moet kiezen, kun je eerst een testversie installeren om je vertrouwd te raken met de toepassing en te beslissen of deze aan je behoeften voldoet. Neem de tijd om na te gaan of de toepassing probeert je de “handboeien om te doen”, d.w.z. u te dwingen hun product te blijven gebruiken.

Wachtwoordkluizen zijn bijvoorbeeld een over het algemeen zeer goed idee, maar de bij de internetbeveiligingspakketten gebundelde wachtwoordkluizen missen vaak de mogelijkheid om de gegevens te exporteren naar een formaat dat andere wachtwoordkluizen kunnen lezen. In het ergste geval zit je vast aan een inferieur anti-virusprogramma omdat het je wachtwoorden gegijzeld houdt.

Hulpmiddelen om het besturingssysteem “af te stemmen” of “schoon te maken” zijn ook van dubieus nut, gezien het feit dat Windows al functies als “Schijfopruiming” en “Opslaginzicht” bevat om de ruimte op de vaste schijf te herstellen. Een “registry cleaner” kan het besturingssysteem beschadigen en Microsoft staat er om bekend dat het de ondersteuning aan klanten die dergelijke tools gebruiken, weigert.