G DATA Software AG: Antivirus, Virenschutz, Virenscanner, Internet Security

Steeds weer hoor je in de media berichten over gestolen creditcardgegevens, leeggeplunderde online-rekeningen en diverse andere bedreigingen van het internet. Mogelijk hebt u zelfs eens iets dergelijks meegemaakt. Om uzelf zo goed mogelijk te beschermen, is het handig om van dergelijke risico’s bewust te zijn en over een goede basiskennis te beschikken en mogelijke beveiligingsmaatregelen te beschikken.

 

Cyberveiligheid

De wereld om ons heen is zonder de inzet van computers bijna ondenkbaar. Alle gebieden van ons dagelijkse leven zijn doordrongen van computers. Om deze reden heeft ook iedereen met cyberveiligheid te maken, ook al is niet iedereen zich hiervan bewust. De term cyberveiligheid omvat de beveiliging van persoonlijke gegevens evenals de mogelijkheid ter voorkoming van, de identificatie van en de reactie op aanvallen tegen deze gegevens.

 

Risico’s

De mogelijke risico’s zijn veelzijdig. Schadelijke software die uw volledige systeem definitief kan wissen, gerichte inbraken in computersystemen waarbij gegevens worden gemanipuleerd, het oneigenlijke gebruik van uw computer om andere systemen aan te vallen of voor de diefstal van uw persoonlijke gegevens en de hieruit voortvloeiende schade. Hoewel een 100% waterdichte beveiliging een illusie is, kan men dit ideaal door triviale beveiligingsmaatregelen benaderen en het risico aanzienlijk minimaliseren.

 

Eerst willen wij proberen u te helpen de de risico's te herkennen en de bijbehorende basistermen toelichten.

 

Hackers / aanvallers

Met deze term worden ongenode gasten beschreven die op uw computersysteem eigenlijk niets te zoeken hebben. Zij maken gebruik van veiligheidshiaten en zwakke plekken en misbruiken het oneigenlijk overgenomen computersysteem voor hun eigen doelen.

 

Malware

De term malware vat software samen die op de betreffende pc ongewenste functies uitvoert zonder dat de gebruiker hiervan iets merkt. De overkoepelende term malware kan grofweg worden onderverdeeld in de volgende subcategorieën:

 

Trojaanse paarden

Trojaanse paarden – vaak ook ten onrechte trojanen genoemd – verschillen van wormen en virussen doordat zij zich niet zelfstandig reproduceren. De naam Trojaans paard is afgeleid van het historische voorbeeld en beschrijft een programma dat de gebruiker wijsmaakt een bepaalde en gewenste functie te bezitten. Daarnaast bevatten trojanen een verborgen programmaonderdeel, waardoor de besmette computer als het ware toegankelijk wordt via de achterdeur en dus volledige toegang tot het systeem biedt zonder dat de gebruiker dat in de gaten heeft.

 

Wormen

Een worm hecht zich in tegenstelling tot een virus niet aan uitvoerbare bestanden. Hij verspreidt zich door via netwerken of computerverbindingen naar andere computers over te gaan.

 

Netwerkwormen

In netwerken worden op willekeurig gekozen computers enkele poorten gescand en als een aanval mogelijk is, worden de zwakke plekken in protocollen (bijvoorbeeld IIS) of hun implementatie misbruikt voor de verspreiding. Bekende vertegenwoordigers van deze groep zijn “Lovsan/Blaser” en “CodeRed”.

Sasser gebruikt een buffer-overflow-fout in de “Local Security Authority Subsystem Service” (LSASS) en besmet computers terwijl deze verbonden zijn met het internet.

 

E-mailwormen

Bij de verspreiding per e-mail kan de worm een e-mailprogramma (zoals Outlook of Outlook Express) gebruiken of een eigen SMTP-mailengine bij zich dragen. Buiten het daaruit voortvloeiende netwerkverkeer en de verhoogde systeemresources kunnen wormen nog meer schade toebrengen. Prominente leden van deze familie zijn “Beagle” en “Sober” .

 

Peer-to-peer-wormen

P2P-wormen kopiëren zichzelf na vrijgave op peer-to-peer-ruilbeurzen zoals “Emule”, “Kazaa” enz. Hier wachten zij met verleidelijke bestandsnamen van actuele software of bekende personen op hun slachtoffers.

 

Instant-Messaging-wormen

IM-wormen gebruiken chatprogramma’s om zich te verspreiden. Zij gebruiken niet alleen de functies voor de gegevensoverdracht. Steeds vaker sturen zij een link naar een schadelijke website. Sommige IM-wormen zijn zelfs in staat met de toekomstige slachtoffers te chatten.

 

Virussen

Ook virussen richten zich op de eigen vermenigvuldiging en verspreiding naar andere computers. Daarvoor hechten zij zich aan andere bestanden of nestelen ze zich in de bootsector van gegevensdragers. Ze worden vaak ongemerkt een pc binnengesmokkeld via verwisselbare gegevensdragers (zoals diskettes), via netwerken (ook peer-to-peer), per e-mail of via internet.

 

Virussen kunnen veel verschillende plekken binnen het besturingssysteem aanvallen en werken via diverse kanalen. Men onderscheidt de volgende groepen:

 

Bootsector-virussen

Bootsector- of MBR-virussen (= Master Boot Record-virussen) plaatsen zichzelf voor de eigenlijke bootsector van een gegevensdrager en zorgen er zo voor dat bij het opstarten vanaf deze gegevensdrager eerst de viruscode wordt gelezen en daarna de oorspronkelijke bootsector. Op deze manier nestelt het virus zich ongemerkt in het systeem en wordt het vanaf dat moment bij het opstarten vanaf de harde schijf uitgevoerd. Vaak blijft de viruscode na de besmetting in het geheugen aanwezig. Dergelijke virussen noemt men geheugenresident. Bij het formatteren van diskettes wordt het virus dan doorgegeven en kan het zich op die manier ook verspreiden naar andere computers. Maar een bootsector-virus kan niet alleen tijdens het formatteren actief worden. Het is ook mogelijk dat het door het DOS-commando “DIR” wordt overgebracht vanaf een besmette diskette. Afhankelijk van de schadelijke code zijn bootsector-virussen uiterst gevaarlijk of niet meer dan hinderlijk. Het oudste en meest verspreide virus van dit type draagt de naam “Form”.

 

Bestandsvirussen

Veel virussen kunnen zich in uitvoerbare bestanden verbergen. Hiervoor kan het bestand worden verwijderd/overschreven of hecht het virus zich aan het bestand. In het laatstgenoemde geval blijft de uitvoerbare code van het bestand goed functioneren. Als het uitvoerbare bestand wordt opgeroepen, wordt de meestal in assembler geschreven viruscode uitgevoerd en pas daarna het oorspronkelijke programma gestart (indien dit niet gewist is).

 

Multipartitie-virussen

Deze virussen zijn uiterst gevaarlijk, omdat ze zowel de bootsector (respectievelijk partitietabellen) besmetten als uitvoerbare bestanden.

 

Companionvirussen

Onder DOS worden COM-bestanden uitgevoerd voor gelijknamige EXE-bestanden. In de tijd dat computers alleen of vooral via commandoregels werden bediend, was het een manier om ongemerkt schadelijke code op een computer uit te voeren.

 

Macrovirussen

Ook macrovirussen koppelen zich aan bestanden. Deze zijn echter zelf niet uitvoerbaar. Macrovirussen zijn ook niet geschreven in assembler, maar in een macrotaal als Visual Basic. Om het virus uit te voeren, moet het worden vertaald voor een macrotaal die is geïntegreerd in Word, Excel, Access en PowerPoint. Voor het overige kunnen bij macrovirussen dezelfde mechanismen werkzaam zijn als bij bestandsvirussen. Ook kunnen ze zich camoufleren, de bootsector besmetten of companionvirussen aanmaken.

 

Stealth-virussen en rootkits

Stealth-virussen, of gemaskeerde virussen, beschikken over speciale beschermingsmechanismen om zich te verschuilen voor virusscanners. Daartoe nemen ze de controle over van diverse systeemfuncties. Is dit eenmaal gelukt, dan kunnen deze virussen bij een normale aanval op bestanden of systeemonderdelen niet meer worden gedetecteerd. Ze laten de virusscanner denken dat een geïnfecteerd bestand niet besmet is of maken het bestand voor de virusscanner onzichtbaar. De camouflagemechanismen van stealth-virussen werken pas nadat het virus zich in het werkgeheugen bevindt.

 

Polymorfe virussen

Polymorfe virussen bevatten mechanismen om hun uiterlijk bij iedere besmetting te veranderen. Daartoe worden delen van het virus gecodeerd. De in het virus geïntegreerde coderingsroutine genereert daarbij voor iedere kopie een nieuwe sleutel en voor een deel zelfs nieuwe coderingsroutines. Bovendien kunnen reeksen opdrachten die niet vereist zijn voor het functioneren van het virus worden verwisseld of willekeurig worden tussengevoegd. Op die manier kunnen eenvoudig miljarden varianten van een virus ontstaan. Om er zeker van te zijn dat versleutelde en polymorfe virussen worden herkend en vernietigd, is de inzet van klassieke virushandtekeningen vaak niet voldoende. Meestal moeten er speciale programma's voor worden geschreven. De onderzoekskosten en het inzetten van speciale tegenmaatregelen kunnen daardoor extreem hoog zijn. Polymorfe virussen zijn dus zonder overdrijving te beschouwen als de hoogste klasse onder de virussen.

 

Intended virus

Een intended virus is een gedeeltelijk defect virus dat er weliswaar in slaagt een eerste bestand te besmetten, maar zich niet verder weet te vermenigvuldigen.

 

E-mailvirussen

E-mailvirussen behoren tot de zogenaamde “blended threats” (= vermengde bedreigingen). Deze malware combineert de eigenschappen van trojanens, wormen en virussen. Door het Bubbleboy-virus werd bekend dat het mogelijk is om al voor de preview van een HTML-mail een virus op de pc binnen te sluizen. De gevaarlijke viruscode verstopt zich in HTML-mails en misbruikt een beveiligingslek in Microsoft Internet Explorer. Het gevaar van dergelijke “combivirussen” mag niet worden onderschat.