Trending Stories
De nederlandse referentie voor pc utilities, antivirus en aanverwante zaken.
=Menu

VIRUS & KWAADAARDIGE CODES

Hierbij volgt achtergrond informatie over wat een  computer virus is en welke vormen er zijn. Ook beantwoorden we de vraag: ik heb een virusscanner, waarom is deze niet genoeg en kan malware ongemerkt zijn werk doen op mijn computer?

Wat betekenen de termen ‘computer virus’ en ‘malware’ eigenlijk?

Computer virussen vallen onder het kopje malware. Hoewel een computer virus vaak met kwaadwillende criminele intenties is ontwikkeld, is een virus in feite een normaal stukje software dat zichzelf kan vermenigvuldigen en zich snel kan verspreiden om andere bestanden en computers te infecteren. Het programma doet vervolgens haar werk waarvoor ze is geprogrammeerd, bijvoorbeeld bestanden wissen, bestanden stelen, computer kapot maken, of juist de computer blokkeren en gijzelen voor losgeld zoals het politievirus dit doet. Het politievirus, dat ook vaak in een adem genoemd wordt met het Ukash virus, wordt veel besproken aangezien dit type gijzelvirus (ransomware) in Nederland voor veel problemen zorgt. Een andere bekende naam is het Interpol virus. Daarnaast zijn ook speciaal ontwikkelde banking trojans een zeer gevaarlijk risico voor het verrichten van online bankzaken in Nederland.

Het investeren in een complete internet security oplossing met een krachtige malware scanner is van wezenlijk belang. Dit is niet om uw bang te maken, maar te onderstrepen dat malware tegenwoordig uiterst goed in elkaar zit en vaak een technologisch hoogstandje vertegenwoordigt die ontwikkeld wordt door een meer en meer internationaal georganiseerde cyber mafia. Internet criminaliteit is moeilijk te bestrijden met vooral geavanceerde malware wapens die nu door internet criminelen op het internet verspreid worden. Deze trend is ook relevant voor mac gebruikers. De verspreiding van mac malware voor het infecteren van Apple OS X systemen via kwetsbaarheden in allerlei applicaties is tegenwoordig ook gebruikelijk geworden.

Maar hoe werkt een computer virus dan precies?

Om zichzelf te vermenigvuldigen moet de virus toestemming krijgen om een bepaalde code uit te voeren en naar het geheugen van de pc te schrijven. Vandaar dat malicious code altijd vast zit aan een bepaalde programma of bestand. Dit bestand of programma ziet er onschuldig uit, maar zodra de gebruiker er op klikt om het bestand te openen of het programma uit te voeren kan de virus zijn werk doen. De meeste varianten hebben zijn dus afhankelijk van een actie van onze kant in de vorm van in feite een muisklik (op een video, link, bestand etc.) om haar code uit te voeren en toe te slaan. Vandaar dat het aan te raden is om nooit op bestanden, plaatjes en video’s te klikken waarom u niet heeft gevraagd. Het is van wezenlijk belang om te investeren in een goede virusscanner die actief uw computer monitort op alle mogelijke infecties en die u kunt gebruiken om bepaalde bestanden die u ontvangt te controleren op malware infecties. Deze problematiek geldt ook voor mac computers, een virusscanner voor mac OS is vooral ook nodig aangezien mac gebruikers ook veel non-mac software hebben die helaas ook vol met lekken kan zitten. Deze veiligheidslekken kunnen worden benut door malware om dus ook een mac computer te besmetten.

Welke computer virus varianten zijn er?

Er zijn twee soorten: residente en non residente varianten. Het belangrijkste verschil tussen beide is dat een nonresidente malware als doelstelling heeft om zich zo snel mogelijk te verspreiden op andere hosts (zoals computers) zodra ze de kans krijgt.

Een nonresidente variant heeft een zogenaamde finder (speur) module die de replicatie module aanspreekt zodra deze speur module een nieuwe executable bestand voor infectie heeft gevonden. De replicatie module van de virus zal vervolgens het bestand infecteren met een copy van de betreffende malifide code.

Een residente variant heeft niet deze speur ofwel finder module voor het vinden van nieuwe hosts, maar zal zich tevredenstellen met de computer waarin ze zit en zal zich daar nestelen in het geheugen. De virus zal actief blijven in de achtergrond en zal andere bestanden infecteren zodra deze worden aangeroepen door een programma’s of het Windows besturingssysteem.  Dit kan zeer vlug gaan als de malware een zogenaamde fast infector is. Dit wil zeggen dat deze malware in een snelle tijd alle bestanden zal infecteren op de computer iedere keer dat bijvoorbeeld het Windows besturingssysteem een bestand aanspreekt en opent. Aangezien deze resident virus variant in het geheugen zit is het van wezenlijk belang om een complete en goede virusscanner te hebben. Vele virusscanners bevatten niet afdoende kwaliteit om deze virus variant aan te pakken. Nadeel is dat door de snelle verspreiding van het virus over alle bestanden de computer zeer traag wordt en uiteindelijk antivirus software de virus te pakken zal krijgen…maar dan is het eigenlijk al te laat, het kwaad is al geschied. Er is ook een andere variant van een residente virus, de zogenaamde slow infector die ontwikkeld is om langzaam en beheerst de gehele computer te infecteren. Bijvoorbeeld, de malware kan zo ontwikkeld zijn dat deze alleen een bestand infecteert wanneer deze gekopieerd wordt.

Deze varianten kunnen vervolgens ook in complexiteit verschillen om een virusscanner voor de gek te houden. Een malware kan zich volledig verstoppen door middel van encryptie. Een virusscanner die virus definities gebruikt om de malware te kunnen herkennen is daardoor kansloos en moet de technologie hebben om de decryptie sleutel te herkennen van de versleutelde malware in kwestie. Dus alleen indirect kan een versleutelde code worden herkend als  mogelijke malware. Een andere techniek om ook indirecte detectie te vermijden door virusscanners van antivirus programma’s is door polymorhisme.  Polymorphisme was en is nog steeds een van de belangrijkste bedreigingen voor virusscanners aangezien deze malware de decryptie sleutel bij elke nieuwe infectie en copy van deze ook is veranderd.  Dit betekent dat goed geschreven malware geen identieke delen heeft die door een virusscanner zou kunnen worden herkend door middel van een signature ofwel definitie. Elke copy van de virus is niet identiek aan zichzelf. Alleen door het ontgrendelen van de versleutelde malicious code  kan men de eigenlijke malware dus herkennen. Een virusscanner moet dus ook een versleutelde (encrypted) virus kunnen ontgrendelen (decrypten) d.m.v. een zogenaamde polymorphic of mutation engine.

Wanneer u een Mac computer heeft, moet u zich niet direct wanen in veiligheid. Apple c.q. Mac computers hebben ook meer last van malware en we kunnen meer en meer nieuwe varianten verwachten in correlatie met de verderde groei van Apple’s marktandeel in de globale computer markt. Lees hier meer over Mac antivirus.

Conclusie:

Dus, ondanks het feit dat u een bijvoorbeeld een gratis virusscanner heeft van een antivirus vendor, kan het heel goed zo zijn dat uw computer besmet is en de malware rustig haar werk doet zonder dat u en uw antivirus software er iets van merkt. Alweer een reden om te investeren in een zeer goede en complete virusscanner van een bekende antivirus software ontwikkelaar zoals Kapersky, Panda, Symantec etc. Het loont zich om te investeren in kwaliteit aangezien meer en meer computer virus vormen gebaseerd zijn op deze polymorphische code. Een gebrekkige antivirus oplossing geeft alleen maar een vals gevoel van veiligheid en internet privacy. Internet privacy in de vorm van anoniem surfen is niet vanzelfsprekend en niet zo makkelijk te bewerkstelligen als men zou denken, vooral als men een virus op uw computer zit. 

Relevante artikels: