Antivirus Software

Antivirus software, afgekort ook vaak antivirus genoemd, is software die virussen weet te identificeren, detecteren, tegen te houden en van uw systeem te verwijderen. Antivirus software voorkomt dat malware en virussen schade kunnen aanrichten en beperkt zich niet alleen tot het verwijderen van computervirussen. Ook wormen, Trojaanse paarden, spyware en adware worden door de software opgespoord en onschadelijk gemaakt.

Definitie Antivirus

Antivirus - vaccine, antivirus - vaccin: antivirusprogramma (program) dat virussen (virus) ontdekt en onschadelijk maakt;
Bron: ICT woordenboek Computable

Antivirus Strategie

Antivirus software maakt gebruik van een verscheidenheid aan strategieën. Meestal wordt er gebruik gemaakt van Signature-gebaseerde detectie. Deze vorm van detectie zoekt naar bekende patronen van gegevens binnen de uitvoerbare code. Het is echter mogelijk dat computers besmet raken met virussen waar nog geen handtekening voor bekend is.

Om deze zero-day bedreigingen tegen te gaan kan er gebruik worden gemaakt van een heuristische benadering. Door een heuristische benadering kunnen er ook nieuwe virussen en varianten op bestaande virussen worden gevonden. Sommige antivirus software kan voorspellen welke actie een bestand zou uitvoeren als het wordt geopend. Dit wordt getest in een 'zandbak', of 'sandbox'. Als blijkt dat het bestand kwaadaardige acties uitvoert, wordt het aangemerkt als virus.

De meeste antivirus programma’s maken gebruik van een combinatie van deze strategieën. De nadruk ligt daarbij op het scannen van al bekende virussen door middel van Signature-gebaseerde detectie.

Hoe werkt antivirus software?

Signature-gebaseerde detectie

De eerste techniek waarbij wordt gewerkt met Signature-gebaseerde detectie werkt op basis van viruslijsten. De antivirus oplossing analyseert applicaties, bestanden en scripts en maakt daarbij gebruik van een lijst van bekende virussen die door de ontwikkelaars van de oplossing is opgesteld. Als de antivirus oplossing in een bestand of applicatie een stuk code of script vindt dat overeen komt met een virus dat op de lijst staat, dan onderneemt de software actie. Antivirus software kan op basis van het gevonden virus een van de volgende acties uitvoeren:

  • De antivirus oplossing probeert het bestand dat is gevonden te repareren door het virus uit het bestand te verwijderen;
  • Het bestand dat is gevonden, wordt door de oplossing in Quarantaine geplaatst. Hierdoor kan het virus zich niet meer verspreiden;
  • De antivirus oplossing verwijdert het volledige bestand.

De aanpak van virussen op basis van de Signature-gebaseerde detectie werkt alleen goed als het antivirus pakket regelmatig wordt voorzien van de nieuwste updates. Gebruikers van antivirus software kunnen de leverancier van het pakket op de hoogte brengen als zij besmet raken met een virus dat nog niet bekend is.

Cybercriminelen proberen de aanpak van virussen op basis van de Signature-gebaseerde detectie te omzeilen door virussen te ontwikkelen die zichzelf doormiddel van encryptie ‘onzichtbaar’ maken voor antivirus software. Dit soort virussen nomen we ogliomorfe, polymorfe of metamorfe virussen.

Sandbox techniek

De tweede techniek maakt gebruik van een zogenaamde zandbak-methode. De Antivirus oplossing voert programma’s, bestanden en scripts uit in een zogenaamde zandbak (Sandbox). De software analyseert het gedrag van het bestand dat wordt uitgevoerd in de Sandbox. Op deze manier kan antivirus software ook zogenaamde zeroday virussen detecteren en onschadelijk maken.

Deze vorm van detectie wordt echter alleen gebruikt als de gebruiker zelf een volledige scan uitvoert op zijn systeem. Een reden daarvoor is dat de prestaties van het systeem kunnen verslechteren als deze methode wordt uitgevoerd.

Definitie Sandbox

Sandbox - Zandbak - Model gebruikt voor het ontvangen van java applets als methode van beveiliging tegen kwaadwillende applets. In de zandbak mogen applets doen en laten wat zij willen, daarbuiten bepaalt het systeem wat het accepteert. Dit heeft nogal beperkingen. vandaar dat men nu overhelt naar het gebruik van een TTP om de betrouwbaarheid van een applet te garanderen via een digitale handtekening
Bron: ICT woordenboek Computable

Analyse van gedrag

Antivirus software kan ook het gedrag van applicaties analyseren. Als een programma gegevens schrijft naar een ander programma kan de antivirus oplossing dit zien als verdacht gedrag. De gebruiker van het systeem krijgt dan een waarschuwing waarop hij moet reageren.

Deze methode biedt bescherming tegen virussen die nog niet bekend zijn. De gebruiker moet zelf beslissen of hij toch wil doorgaan met het uitvoeren van de applicatie. Een nadeel van deze methode is dat gebruikers de meldingen van de antivirus software snel wegklikken waardoor de methode onbruikbaar wordt.

Analyse op basis van Heuristics

Meer geavanceerde antivirus software maakt gebruik van een heuristische analyse om nieuwe malware of varianten van bekende malware te identificeren. Virussen starten meestal met een enkele infectie waarna het virus wordt verfijnd door de makers of andere aanvallers. Deze mutatie van het virus kan het virus snel laten groeien. Daarnaast ontstaan er door de mutatie vele tientallen varianten van hetzelfde virus. De detectie op basis van de signature van het bekende virus werkt in het geval van mutaties niet.

Toch bevatten deze mutaties nog delen van de originele code. Door deze delen te analyseren kan de antivirus software het virus detecteren.

Definitie Heuristic

Heuristic - Heuristiek, Heuristisch - Ondogmatische ervaringsregel, die bijvoorbeeld wordt gebruikt voor de detectie van virussen of security risico's
Bron: ICT woordenboek Computable

Detectie van Rootkits

Anti-virus software probeert ook te scannen op rootkits. Een rootkit is een soort malware die ontworpen is om een volledige pc over te nemen zonder gedetecteerd te worden. Rootkits kunnen functies veranderen binnen het besturingssysteem en kunnen in sommige gevallen het antivirus programma aantasten. Het verwijderen van Rootkits is vaak zeer lastig. Soms is zelfs een volledige herinstallatie van het besturingssysteem nodig om de rootkit van het systeem af te krijgen.

Realtime protectie

Antivirus kan op de achtergrond realtime bestanden scannen. Realtime protectie controleert op de achtergrond het systeem op verdachte activiteiten.

Waarop moet u letten bij Antivirus software

  • De kosten van antivirus – Als u een abonnement afsluit wordt dat vaak automatisch verlengd
  • Nep antivirus software – Er circuleert veel software die doet alsof het antivirus software is maar in feite zijn dit malware applicaties
  • Let op met de instellingen van antivirus pakketten - Sommige pakketten kunnen verdachte bestanden direct verwijderen. Het komt wel eens voor dat een legitiem bestand verwijderd wordt waardoor uw pc niet goed meer functioneert
  • De performance van uw PC - Deze kan worden aangetast door de realtime detectie van antivirus applicaties
  • Nieuwe virussen - Deze worden niet altijd gedetecteerd
  • Omzeilen van antivirus software - Steeds vaker proberen cybercriminelen antivirus applicaties te omzeilen
  • Rootkits - Antivirus software heeft moeite met het ontdekken van Rootkits

Meer over Antivirus

Kennis

Meer documenten >>

 

Aansluitend op Antivirus Software

My Marqit

Registreer je gratis voor de volgende voordelen:

  • Kosteloos toegang tot alle informatie
  • Onbeperkt downloaden van whitepapers
  • Altijd up-to-date via de Marqit nieuwsbrieven
E-mailadres
Wachtwoord
Wachtwoord [vergeten?]