Virii & Anti Virus

Mutatie en Variant

Een variant van een virus is een lichtjes gewijzigde versie van dat virus zodat de handtekening (signature) niet meer overeenkomt met de oorspronkelijke versie van het virus. De anti-virus software heeft een update nodig van zijn signatures database. De nieuwe variant is dus niet herkent gedurende een zekere tijd. Een tijd redelijk kort omdat het virus niet volledig ongekend is.

Een mutatie van een virus geeft een nieuw virus met eigenschappen van het oorspronkelijke virus en nieuwe eigenschappen. Men kan niet spreken van een nieuw virus om dat het duidelijk 'gebaseerd' is op het originele virus. Het kan een zekere tijd duren voordat de update van de anti-virus software klaar is.

Fast infector

Snelle infectievirussen infecteren, wanneer ze actief zijn in het geheugen, niet alleen uitgevoerde programma's, maar ook programma's die alleen worden geopend. Zo kan het uitvoeren van een toepassing, zoals een antivirustoepassing die veel programma's opent zonder deze uit te voeren, tot gevolg hebben dat alle programma's geïnfecteerd raken.

Slow infector

Langzame infectievirussen zijn actief in het geheugen en infecteren alleen nieuwe of gewijzigde bestanden.

Handtekening (Signature)

Bijna dagelijks worden nieuwe virussen ‘gemaakt’. Antivirus-software heeft verschillende manieren om virussen te herkennen, maar momenteel is één van de belangrijkste dat wordt vastgesteld aan welk uniek stuk code een virus kan worden herkend. Dit wordt de virushandtekening (’signature’) genoemd. Zodra ergens op de wereld een nieuw virus wordt ontdekt, wordt gekeken aan welk stukje code het virus kan worden herkend, zodat het gestopt kan worden. Deze nieuwe handtekeningen worden via internet verspreid. U dient wekelijks, of nog beter dagelijks, te controleren of er nieuwe handtekeningen beschikbaar zijn. Bij de meeste antivirus-software kunt u instellen dat de software automatische zelf kijkt of er dit soort updates zijn en om deze zonodig te downloaden en installeren.

Stealth

Stealth is een Engelse term voor "stiekem" (bijna onzichtbaar...). Deze virussen zijn geen aparte soort virussen maar maken gebruik van bepaalde technieken zodat zij moeilijk zijn op te sporen voor de anti-virus programma's. Deze technieken zijn niet aan een speciale virussoort gebonden, maar kunnen door willekeurige verspreiders van virussen worden toegepast.

Het stealth-virus probeert zich voortdurend te verstoppen, zodat het niet door een virusscanner kan worden gedetecteerd. Het virus doet dat door zichzelf bijvoorbeeld tijdelijk uit het geheugen te verwijderen. Sommige van deze verwijderen zichzelf uit een bestand voordat de scanner dit bestand opent en infecteren het weer als de scanner het bestand gecontroleerd heeft!

Polymorph, Metamorph en Encrypting

Een polymorf virus neemt weliswaar steeds een andere vorm aan, maar het viruslichaam blijft altijd hetzelfde. Bij een metamorf virus worden de polymorfe eigenschappen ook toegepast op het viruslichaam.

Deze virussen coderen zichzelf telkens met een andere willekeurige sleutel, om scanners te omzeilen.

Heuristic

 Heuristic scanning zou moeten nieuwe, ongekende virussen herkennen. Daarbij wordt onderzocht wat de code juist doet en dat is natuurlijk veel trager en vooral moeilijker te interpreteren en levert dus wel eens valse positieven op.

Als een antivirus programma werkt met een heuristieke aanpak, zal het alle executable bestanden scannen. Het let alleen op de riskante gedeeltes van het bestand (begin en eind) en zal het programma’s eigen structuur links laten liggen. Daarna zal het beoordelen of de code een verdachte virusachtig gedrag kan gaan vertonen. Het is dus duidelijk dat het geen exacte wetenschap is.

Een groot voordeel van heuristiek scannen is de mogelijkheid om virussen in bestanden en boot records al te ontdekken voordat ze ooit gewerkt hebben.

Proactief

Proactief wordt code gecontroleerd door ze in een afgeschermd deel van de computer te activeren en te ontmaskeren. Is het 'malware' dan wordt het direct verwijderd. Dus proactief is beletten dat een virus zich kan vasthaken op een systeem.

Bij reactief werken is het viruas reeds aanezig op de PC (actie) en wordt dan verwijderd (reactie).

Rootkit

De benaming rootkit komt uit het UNIX-milieu: met root werd de zgn superuser uit een UNIX-familie aangeduid. In de jaren '80 slaagden hackers erin UNIX-systemen te infiltreren en een backdoor te installeren, die hen toeliet telkens opnieuw met root-rechten de machine over te nemen. Een rootkit is een set softwaretools die vaak worden gebruikt door een derde partij (meestal een hacker) na toegang te hebben verkregen tot een (computer-) systeem. De rootkit bevestigt zich diep in het besturingssysteem, zodat het mogelijk is dat het besturingssysteem instabiel wordt. De rootkit is bijna niet te verwijderen zonder de functie van het besturingssysteem te beschadigen.

Grosso modo kunnen rootkits op twee niveaus werken: kernelniveau en gebruikersniveau. Moderne processoren kunnen namelijk programma's in kernelmodus en in gebruikersmodus afhandelen en het onderscheid is wezenlijk: programma's in kernelmodus hebben toegang tot het gehele geheugengebied; toepassingen in gebruikersmodus krijgen specifieke geheugensegmenten toegewezen. Rootkits met kernelstrategieën kunnen dus in het werkgeheugen ongeveer doen wat ze willen. Deze tools hebben de bedoeling om lopende processen, systeem data of bestanden te lezen, wijzigen of beïnvloeden. Een rootkit helpt de indringer toegang te houden tot het systeem, zonder dat de gebruiker hier iets van merkt.

Rootkits bestaan voor allerlei besturingssystemen zoals Linux, Solaris, Mac OS en versies van Windows. Rootkits werden bekender in het najaar van 2005, toen ontdekt werd dat platenmaatschappij Sony/BMG rootkits installeerde via hun muziek cd's, om zo een kopieerbeveiliging te installeren.

Social Engineering

 Social engineering is een techniek waarbij een computerkraker een aanval op computersystemen tracht te ondernemen door de zwakste schakel in de computerbeveiliging, namelijk de mens, te kraken. De aanval is erop gericht om vertrouwelijke of geheime informatie los te krijgen, waarmee de hacker dichter bij het aan te vallen object kan komen. De beroemdste kraker die van deze techniek gebruik maakte is  Kevin Mitnick. Hij heeft zijn ervaringen verwoord in het boek The Art of Deception.

Kenmerkend voor Social engineering is dat er geen aanval op de techniek zelf wordt uitgevoerd. Een aanvaller tracht om

• De nieuwsgierigheid van een slachtoffer te wekken
• Medelijden bij een slachtoffer te wekken
• Een slachtoffer bang te maken

Vals Negatief

Een 'false negative'-fout treedt op wanneer antivirussoftware niet aangeeft dat een bestand daadwerkelijk is geïnfecteerd. False negative is ernstiger dan false positive, hoewel beide fouten ongewenst zijn. False negatives komen vaker voor bij antivirustoepassingen omdat het waarschijnlijker is dat een nieuw of radicaal gewijzigd virus niet wordt ontdekt.

Vals Positief

Een 'false positive'-fout treedt op wanneer antivirussoftware ten onrechte aangeeft dat een bestand is geïnfecteerd met een virus. False positives treden meestal op wanneer de tekenreeks voor een bepaalde virushandtekening ook voorkomt in een ander programma.

Achterdeur (Backdoor)

Een backdoor is een klein programma dat ongemerkt toegang tot je PC aan derden verschaft. Meestal maakt een backdoor gebruik van een bestaand beveiligingsgat in een besturingssysteem of andere software. Een aanvaller kan via een backdoor toegang tot je computer krijgen en bijvoorbeeld bestanden wijzigen, downloaden of verwijderen.

Drager (Dropper)

Een drager is een bestand waarmee een virus wordt geïnstalleerd op een computersysteem. Virusschrijvers gebruiken vaak dragers om hun virussen te verbergen voor antivirussoftware. De term injectieprogramma wordt vaak gebruikt voor een drager waarmee een virus alleen in het geheugen wordt geïnstalleerd.

Zandbak (Sandbox)

In de wereld van computerbeveiliging hebben experts de term zandbak overgenomen voor een omgeving waarin een (mogelijk) gevaarlijk systeem geen kwaad kan. Net als de zandbak uit de echte wereld: een ondergrond die niet stuk kan met een stevige rand.

De virusscanner creëert een omgeving waarin een programma zijn gang kan gaan zonder echt kwaad aan te richten. De scanner zelf zit als een glimlachende ouder op een bankje het gedrag te bekijken en weet snel of het allemaal veilig is of dat er juist oorlogje wordt gespeeld. In eerste geval is er natuurlijk niets aan de hand, maar in het laatste geval betreft het mogelijk een virus en is het tijd voor actie.

De sandbox heeft dus aan een beperkt deel van de functionaliteit van Windows genoeg. Aan de andere kant geldt echter dat juist op plekken waar Windows controles mist, de sandbox juist wel alert moet zijn. Immers: virussen maken graag gebruik van zwakke plekken in het besturingssysteem.

Text overgenomen van  Norman Antivirus Sandbox Technology.

EICAR

European Institute of Computer Anti-Virus Research. In samenwerking met enkele antivirussoftwarebedrijven heeft EICAR een  testbestand ontwikkeld voor antivirussoftware.

Serviceverstoring (DOS Denial Of Service)

Een aanval die speciaal is bedoeld om het normaal functioneren van een systeem te belemmeren zodat legitieme toegang tot het systeem door geautoriseerde gebruikers wordt voorkomen. Hackers kunnen 'denial of service'-aanvallen veroorzaken door gegevens te vernietigen of te wijzigen of door de servers van het systeem te overbelasten tot de service voor geautoriseerde gebruikers wordt vertraagd of verhinderd.

Een DDOS (Distributed Denial of Service) is wanneer een hacker meerdere PC's controleerd en die dan de opracht geeft een bepaalde server aan te vallen.

Controlesom (Checksum)

Een identificatiegetal dat wordt berekend uit de bestandskenmerken. Door de minste of geringste wijziging in een bestand verandert de controlesom.

Bezoekers vinden dit Dossier  Slecht         Goed

Aantal Stemmen : 4 Aantal Punten : 3