
Antivirus lijkt zo lek als een mandje
Bijna een derde van alle pc's die zijn voorzien van recent bijgewerkte antivirus software lijkt desondanks besmet te zijn met malware.
Bijna een derde van alle pc's die zijn voorzien van recent bijgewerkte antivirus software lijkt desondanks besmet te zijn met malware.

Antivirus lijkt zo lek als een mandje
Bijna een derde van alle pc's die zijn voorzien van recent bijgewerkte antivirus software lijkt desondanks besmet te zijn met malware.
Deze conclusie trekt SurfRight, het Nederlandse beveiligingsbedrijf van Mark Loman, de man achter Hitman Pro.
SurfRight onderzocht 107.435 pc’s waarop hun nieuwe scan-cloud-service was geïnstalleerd. Daarop werd in 35 procent van de gevallen malware aangetroffen, wat ongeveer overeenkomt met de verwachtingen. Verrassend was dat ook verdachte bestanden werden aangetroffen op 32 procent van de computers waarop een volledig bijgewerkt anti-virusprogramma draaide.
Hoewel het oude Windows XP duidelijk kwetsbaarder is voor dergelijke bestanden dan andere Windows-versies, bleek geen van de versies, inclusief Windows 7, tegen malware bestand. De meest recente service packs bieden duidelijk de meeste zekerheid, maar ook op dergelijke volledig bijgewerkte systemen weet malware zorgwekkend vaak om de bestaande beveiliging heen te werken.
De voornaamste reden dat SurfRight de infecties wèl detecteert, ligt in het cloud-model, waarin verdachte bestanden worden doorgestuurd naar een host waar ze door een hele verzameling verschillende antivirus engines worden gehaald, naar beproefd Hitman Pro model. Standaard pc’s draaien gewoonlijk slechts één antivirus engine tegelijk (meer zorgt vrijwel onvermijdelijk voor problemen). In de nieuwe cloud-opzet van SurfRight worden de systemen vervolgens nog eens extra gecontroleerd door bijvoorbeeld het register te doorzoeken op inconsistenties.
“Ons onderzoek laat zien dat traditionele antivirus software de cybercriminelen niet weet bij te houden”, vertelt Mark Loman. “Ondanks alle inspanningen duurt het vaak dagen of zelfs weken voordat sommige antivirus-leveranciers een oplossing vrijgeven voor een nieuwe dreiging.”
Wat gaat er fout?
In heel wat gevallen ligt het probleem bij de gebruiker, en niet bij het beveiligingsproduct. De op een na meest voorkomende soort malware, die werd aangetroffen op 13.000 systemen (zo’n 12%), had te maken met nep antivirus of antispyware programma’s, die gewoonlijk de gebruiker om toestemming vragen voordat ze zichzelf installeren. Op dat moment is er nog maar één verdedigingslinie, en dat zijn de waarschuwingen van Windows User Account Control (UAC), als dat al aanwezig is - gebruikers laten zich daar gewoonlijk weinig aan gelegen liggen.
Daarnaast bestaat veruit de grootste groep infecties uit ‘algemene’ malware: bestanden die op basis van hun ontwerp of gedrag als gevaarlijk worden aangemerkt, maar waarvan de exacte dreiging nog niet is vastgesteld. Hoewel niet alle bestanden in deze groep noodzakelijkerwijs kwaadaardig zijn, is dit in potentie wel het gevaarlijkste type malware, omdat niet één enkel antivirusproduct in staat blijkt de hele groep te herkennen.
“We hebben ontdekt dat niet alle programma’s dezelfde dreigingen detecteren”, zegt Loman, die daarmee tevens de achterliggende filosofie van Hitman Pro verklaart. Loman kwam in 2004 met de eerste versie van dit programma, dat in feite niet meer was dan een verzameling aan elkaar geknoopte anti-malwareprogramma’s. Inmiddels is dezelfde filosofie verder uitgewerkt tot de huidige cloud-oplossing, waarbij nu volgens de leverancier ook de laatste rechtenkwesties met de voor Hitman Pro gebruikte software zijn afgehandeld.
SurfRight gaat ervan uit dat, zolang Windows niet in staat is meer dan één antivirusprogramma tegelijk te draaien, de oplossing gezocht moet worden in een ‘second opinion’ in de cloud. Een vergelijkbaar model wordt al langer gehanteerd door een aantal kleinere leveranciers, zoals PrevX en F-Secure, maar dat inmiddels ook wordt opgepakt door grotere partijen als Symantec en Pandalabs.
Hitman Pro 3 is gratis te downloaden. In tegenstelling tot eerdere versies van Hitman Pro wordt voor versie 3 geen software-bundel geïnstalleerd die een enorme hoeveelheid geheugen opsnoept en waarvan de verschillende onderdelen op onverwachte momenten om registratie vragen. De nieuwe versie moet een moderne pc in enkele minuten kunnen scannen, zonder daarmee in aanvaring te komen met reeds geïnstalleerde software. Scannen is gratis, maar voor het verwijderen van malware worden na een maand kosten in rekening gebracht. Wellicht ten overvloede: deze service biedt geen preventie en is daarom alleen geschikt ter ondersteuning van bestaande antivirusproducten.
Reageer
Preview