Wat is eigenlijk een virusscanner?

G DATA Guidebook

De eerste computervirussen stammen uit de jaren '80. Kort daarna werden er ook programma's gemaakt om virussen te bestrijden. In 1987 nam G DATA de leiding in het ontwikkelen van's werelds eerste virusscanner. Deze virusscanner werd de basis van de traditionele beveiligingsoplossing. Deze maakt gebruik van zogenaamde virushandtekeningen die de computer controleert op de aanwezigheid van virussen, wormen, Trojaanse paarden en andere malware.

Hoe werken virusscanners?

Virussen hebben een host nodig, dus ze infecteren bestanden die al op de computer staan. Wormen kunnen zich daarentegen verspreiden zonder een dergelijke host en vaak zonder de hulp van de gebruiker. Trojaanse paarden verbergen vaak hun kwaadaardige bedoelingen in programma's die legitiem lijken - net als het historische houten paard. Elk stukje malware functioneert anders en is daardoor onder te verdelen in bijna ontelbare andere subgroepen. Maar ondanks de uitgebreide reeks schadelijke programma's kunnen patronen worden gedetecteerd. In hun code zijn kwaadaardige eigenschappen te ontdekken - en de virusscanner kan deze gebruiken om ze nauwkeurig te identificeren.

De virusscanner gebruikt handtekeningen om Trojaanse paarden, spyware en andere software op te sporen die door criminelen wordt verspreid. Deze zijn over het algemeen vergelijkbaar met gedetailleerde profielen die de virusscanner gebruikt om de bestanden op een computer te scannen, een beetje als een elektronische sheriff. Als de eigenschappen die zijn opgeslagen in de handtekening overeenkomen met die van de vermoedelijke indringer, springt de virusscanner onmiddellijk in actie en "arresteert" de malware.

Hoe ziet een virushandtekening eruit?

Maar "sheriffs" in de wereld van cybercrime kunnen niet helemaal hun eigen weg gaan, zoals die in het Wilde Westen. In het digitale tijdperk is er geen sprake van één welomschreven bandiet die voor problemen zorgt. Daarom hebben de huidige handtekeningsprofielen heel vaak geen betrekking op één malwarestam. De handtekening biedt ook de mogelijkheid om een breed scala aan bestanden te detecteren die code bevatten waarin bekende kwaadaardige eigenschappen zijn ingebed. Het sleutelwoord hier is heuristiek.

De cybersheriff is niet alleen op zoek naar een 30-jarige man met een grote snor en een zwarte hoed. Hij is op zoek naar een man tussen de 20 en 40 met wat gezichtsbeharing en tal van andere functies. Dit speciale type van virushandtekening stelt verschillende prioriteiten aan het gedetailleerde profiel dat we kennen uit het Wilde Westen. Terwijl het Wilde Westen-profiel slechts enkele, maar zeer specifieke kenmerken beschrijft, bevat de meer uitgebreide virushandtekening een veel groter aantal typische punten die elk enigszins vaag kunnen zijn. Hierdoor vindt de cybersheriff over het algemeen niet één schurk, maar kan hij tot duizenden gevaarlijke bestanden met behulp van een enkele handtekening vinden. Ook hier is echter voorzichtigheid geboden. Als de kenmerken te vaag worden beschreven, is het mogelijk dat een bestand ten onrechte als verdacht wordt geclassificeerd - een zogenaamde vals-positieve detectie.

Technisch betekent dit dat de heuristiek gebaseerd is op minder specifieke gegevens, in plaats van gebruik te maken van virushandtekeningen precies bedoeld voor een specifieke malwarestam. Dit omvat bijvoorbeeld kennis van algemene patronen waarvan bekend is dat een groot aantal malware-stammen ze vertonen. Bovendien controleert de heuristische methode of specifieke code-elementen in combinatie met andere functies problemen kunnen veroorzaken. Zo kan een heuristisch proces proactief ingrijpen, nog voordat een zeer specifieke handtekening beschikbaar is.

Wat betekent het als een virusscanner "reactief" werkt?

Een virusscanner in de traditionele zin van het woord kan alleen dingen detecteren die analisten van tevoren in de vorm van handtekeningen hebben "aangeleerd". Als er geen handtekening is voor een kwaadaardig bestand, kan deze basisaanpak niet werken. Daarom verwijzen deskundigen naar virusscanners als reactief - ze zijn gebaseerd op een reactie op de analyse van malware die ooit al eens is aangetroffen. De virusscanner kan hier pas op jagen als een handtekening heeft aangegeven hoe de tegenstander eruit ziet. Daarom moeten virusscanners alleen worden gezien als basisbescherming of als een aanvulling op een uitgebreidere beveiligingsoplossing.

Hoe vaak moet ik mijn virusscanner updaten?

Analisten kunnen relatief snel virushandtekeningen genereren. Vandaar dat elke handtekening-update de bibliotheek die de virusscanner aan virussen bezit vergroot. Regelmatige updates zijn cruciaal om de digitale sheriff in staat te stellen zoveel mogelijk profielen te detecteren. Op deze manier wordt de virusscanner zich steeds meer bewust van nieuwe malwarestammen en kan deze in uw systeem worden gedetecteerd. G DATA beveiligingsoplossingen voeren automatische handtekeningsupdates uit.

Wat gebeurt er als de virusscanner iets vindt?

Als de virusscanner malware heeft gevonden, kan hij deze desinfecteren, in quarantaine plaatsen of verwijderen. In veel gevallen kunnen geïnfecteerde bestanden worden hersteld. Met desinfectie verwijdert de antivirussoftware de kwaadaardige componenten uit het geïnfecteerde bestand en reconstrueert het oorspronkelijke bestand. Als de desinfectie succesvol is, wordt het bestand automatisch teruggezet naar de oorspronkelijke locatie en kan het weer als normaal worden gebruikt.

Als de desinfectie mislukt of als niet duidelijk is of een bestand geïnfecteerd is, plaatst de software het in quarantaine. Het kan hier geen schade veroorzaken en het geïnfecteerde bestand is nog steeds beschikbaar voor mogelijke reparatiepogingen. Door een bestand in quarantaine te plaatsen worden alle risico's voor uw computer geëlimineerd. De quarantaine-optie is ook handig als systeembestanden geïnfecteerd lijken te zijn. Het systeem kan beschadigd raken als deze eenvoudigweg worden verwijderd. Als de computer tijdens de quarantaine probleemloos verder draait, kan het betreffende bestand indien nodig later worden gewist.

Hoe schakel ik mijn virusscanner uit?

Onder "Instellingen" en "Antivirus" vindt u de afzonderlijke componenten van uw G DATA beveiligingsoplossing. Als u op de componenten klikt, kunt u deze in- of uitschakelen door het selectievakje helemaal boven in het venster uit te schakelen. Hoewel het natuurlijk technisch mogelijk is om de virusscanner uit te schakelen, wordt dit niet aanbevolen. De realtime bescherming van de virusmonitor controleert uw computer grondig op bedreigingen en moet daarom altijd ingeschakeld blijven.

Heeft mijn smartphone ook een virusscanner nodig?

Een smartphone is in feite een mini-versie van een computer. Uw smartphone kan op dezelfde manier geïnfecteerd raken als uw computer. Daarom heeft die een soortgelijke bescherming nodig.

Hoe vaak moet ik scannen op virussen?

Om uw computer en uw gegevens veilig te houden, moet u regelmatig malwarecontroles op uw systeem uitvoeren. Er zijn verschillende manieren om een scan te starten.

  • Idle scan: Deze maakt handig gebruik van de tijd waarin uw computer is ingeschakeld, maar niet wordt gebruikt. De virusscanner gebruikt bijvoorbeeld uw lunchpauze om uw systeem grondig te controleren. De stationaire scan werkt als een screensaver - hij pauzeert onmiddellijk zodra u weer aan het werk gaat.
  • Opstartscan: Het systeem wordt gescand voordat de pc wordt gestart, zodat malware die zich mogelijk op het systeem bevindt, geen invloed kan hebben op de virusscanner. Afhankelijk van de virusscanner kan dit automatisch of handmatig gebeuren. G DATA biedt een speciale versie van de software voor een dergelijke bootscan die wordt uitgevoerd voordat Windows wordt gestart.
  • Scannen bij toegang: De realtimebescherming voert een scan uit wanneer u een bestand gaat gebruiken. Dit gebeurt wanneer bestanden worden gegenereerd, bijgewerkt of geopend. Zo lang als het bestand inactief blijft, wordt het niet gescand. De meeste virusscanners gebruiken hiervoor digitale "vingerafdrukken". Als er iets verandert in een bestand, verandert ook de vingerafdruk. Dit betekent dat de scanner sneller kan bepalen welke bestanden hij moet scannen, wat de analyse versnelt. Voor een "scan bij toegang" moet de virusscanner constant zijn ingeschakeld.
  • Scannen op aanvraag: Scannen op aanvraag is een alternatief voor de virusscan die constant op de achtergrond wordt uitgevoerd. Er zijn twee verschillende soorten scans op aanvraag: De gebruiker moet actief de geïnstalleerde virusscanner om de analyse van een bestand vragen. Dat kan met een muisklik of op basis van een ingestelde planning.
  • Online scanner: Een andere vorm van scannen op aanvraag zijn online scanners die niet op de computer zijn geïnstalleerd. Ze scannen afzonderlijke bestanden of URL's die door de gebruiker naar de online scanner worden geüpload.

Wat doet een online scanner zoals VirusTotal?

Terwijl de meeste virusbeschermingsprogramma's op de lokale computer worden gedownload en geïnstalleerd, zijn er online alternatieven voor een scan op basis van handtekeningen, zoals virustotal.com of virscan.org. Online scanners zoals deze analyseren individuele bestanden of scannen een door u geselecteerde URL op gevaarlijke inhoud - zonder dat u een programma hoeft te installeren. Meer dan 40 leveranciers van antivirussoftware hebben hun virusscanners beschikbaar gesteld in de basisversie (voor bestanden) en een deel van hun Cloud-technologieën (voor URL's). VirusTotal en dergelijke tonen een lijst van welke malware op een bepaald moment door de betreffende virusscanner is gevonden. Daarom worden online scanners ook wel "second opinion scanners" genoemd, die een second opinion - of meer dan 40 extra opinions - geven over een ontdekking. Ze scannen een bestand, maar voorkomen een infectie niet en kunnen niet helpen met verwijderen.

Het nadeel met zo'n online scan is echter dat u de gegevens moet uploaden naar een externe server. Of u meer veiligheid creëert of uw gegevens vrijwillig aan vreemden overdraagt, is de vraag. Bovendien, als geen van de vermelde online scanners iets vindt, betekent dit niet automatisch dat alles goed is! Veel malwarestammen zijn ofwel goed vermomd tegen handtekeningdetectie of zijn alleen zichtbaar door hun gedrag. Dergelijke online scanners bieden dan ook geen alternatief voor een alomvattende beveiligingsoplossing.

 

Virusscanner of malwarescanner?

De term "virusscanner" is verankerd in het dagelijks gebruik, maar wordt dubbelzinnig gebruikt. Enerzijds staat het voor de hierboven beschreven basisbescherming - scannen met handtekeningen. In veel gevallen wordt het echter gebruikt om elk onderdeel van een beveiligingsoplossing als geheel te beschrijven. Dat is niet echt nauwkeurig en niet in overeenstemming met de werkelijkheid.

Hoe dan ook, als we daar specifiek over willen zijn, moet de virusscanner als traditionele scantechnologie consequent een malwarescanner worden genoemd. Het scant de computer immers niet alleen op virussen, maar ook op vele andere vormen van malware. Het spoort ook wormen, spyware, ransomware, adware, potentieel ongewenste programma's (PUP's) en malware op die colloquiaal bekend staan als Trojaanse paarden.