virus

COMPUTER VIRUS ADVIES

Hierbij volgt achtergrond informatie over wat een virus is en welke virus vormen er zijn. Ook beantwoorden we de vraag: ik heb een virusscanner, waarom is deze niet genoeg en kan een virus ongemerkt zijn werk doen op mijn computer?

Hoe werkt een virus?

virus is ongemerkt actief

Hoewel een computer virus vaak met kwaadwillende criminele intenties is ontwikkeld, is een virus in feite een normaal stukje software dat zichzelf kan vermenigvuldigen en zich snel kan verspreiden om andere bestanden en computers te infecteren. De virus doet vervolgens haar werk waarvoor ze is geprogrammeerd, bijvoorbeeld bestanden wissen, bestanden stelen, computer kapot maken etc.

Om zichzelf te vermenigvuldigen moet de virus toestemming krijgen om een bepaalde code uit te voeren en naar het geheugen van de pc te schrijven. Vandaar dat virus altijd vast zit aan een bepaalde programma of bestand. Dit bestand of programma ziet er onschuldig uit, maar zodra de gebruiker er op klikt om het bestand te openen of het programma uit te voeren kan de virus zijn werk doen. De meeste virus varianten hebben zijn dus afhankelijk van een actie van onze kant in de vorm van in feite een muisklik (op een video, link, bestand etc.) om haar code uit te voeren en toe te slaan. Vandaar dat het aan te raden is om nooit op bestanden, plaatjes en video’s te klikken waarom u niet heeft gevraagd. Het is van wezenlijk belang om te investeren in een goede virus scanner die actief uw computer monitort op alle mogelijke virus infecties en die u kunt gebruiken om bepaalde bestanden die u ontvangt te controleren op virus infecties.

Welke computer virus varianten zijn er?

Er zijn twee virus soorten: residente en non residente virus varianten. Het belangrijkste verschil tussen beide is dat een nonresidente virus als doelstelling heeft om zich zo snel mogelijk te verspreiden op andere hosts (zoals computers) zodra ze de kans krijgt.

Een nonresidente virus heeft een zogenaamde finder (speur) module die de replicatie module aanspreekt zodra deze speur module een nieuwe executable bestand voor infectie heeft gevonden. De replicatie module van de virus zal vervolgens het bestand infecteren met een copy van de betreffende virus.

Een residente virus heeft niet deze speur ofwel finder module voor het vinden van nieuwe hosts, maar zal zich tevredenstellen met de computer waarin ze zit en zal zich daar nestelen in het geheugen. De virus zal actief blijven in de achtergrond en zal andere bestanden infecteren zodra deze worden aangeroepen door een programma’s of het Windows besturingssysteem. Dit kan zeer vlug gaan als de virus een zogenaamde fast infector is. Dit wil zeggen dat deze virus in een snelle tijd alle bestanden zal infecteren op de computer iedere keer dat bijvoorbeeld het Windows besturingssysteem een bestand aanspreekt en opent. Aangezien deze resident virus variant in het geheugen zit is het van wezenlijk belang om een complete en goede virusscanner te hebben. Vele virusscanners bevatten niet afdoende kwaliteit om deze virus variant aan te pakken. Nadeel is dat door de snelle verspreiding van het virus over alle bestanden de computer zeer traag wordt en uiteindelijk antivirus software de virus te pakken zal krijgen…maar dan is het eigenlijk al te laat, het kwaad is al geschied. Er is ook een andere variant van een residente virus, de zogenaamde slow infector die ontwikkeld is om langzaam en beheerst de gehele computer te infecteren. Bijvoorbeeld, de virus kan zo ontwikkeld zijn dat deze alleen een bestand infecteert wanneer deze gekopieerd wordt.

Deze virus varianten kunnen vervolgens ook in complexiteit verschillen om een virusscanner voor de gek te houden. Een virus kan zich volledig verstoppen door middel van encryptie. Een virusscanner die virus definities gebruikt om de virus te kunnen herkennen is daardoor kansloos en moet de technologie hebben om de decryptie sleutel te herkennen van de versleutelde virus in kwestie. Dus alleen indirect kan een versleutelde virus worden herkend als een mogelijke virus. Een andere techniek om ook indirecte detectie te vermijden door virusscanners van antivirus programma’s is door polymorhisme. Polymorphisme was en is nog steeds een van de belangrijkste bedreigingen voor virusscanners aangezien deze virus de decryptie sleutel bij elke nieuwe infectie en copy van de virus ook veranderd. Dit betekent dat een goed geschreven virus geen identieke delen heeft die door een virusscanner zou kunnen worden herkend door middel van een virus signature ofwel definitie. Elke copy van de virus lijkt op een totaal nieuwe virus niet identiek aan zichzelf. Alleen door het ontgrendelen van de versleutelde virus kan men de eigenlijke virus dus herkennen. Een virusscanner moet dus ook een versleutelde (encrypted) virus kunnen ontgrendelen (decrypten) d.m.v. een zogenaamde polymorphic of mutation engine.

Conclusie:

Dus, ondanks het feit dat u een bijvoorbeeld een gratis virusscanner heeft van een antivirus vendor, kan het heel goed zo zijn dat uw computer besmet is en de virus rustig haar werk doet zonder dat u en uw antivirus software er iets van merkt. Alweer een reden om te investeren in een zeer goede en complete virusscanner van een bekende antivirus software ontwikkelaar zoals Kapersky, Panda, Symantec etc. Het loont zich om te investeren in kwaliteit aangezien meer en meer computer virus vormen gebaseerd zijn op deze polymorphische code. Een gebrekkige antivirus oplossing geeft alleen maar een vals gevoel van veiligheid.