Minder nieuwe malware of juist meer?

© CIDimport

  Lees hier wat dit betekent.

© CIDimport

Alle software, waaronder ook virussen en andere malware, bestaat uit code. AV TEST kijkt naar de code van malware. Als deze niet 100 procent overeenkomt met de code van eerder ontdekte malware, dan telt AV TEST het als een nieuwe sample. Klinkt logisch. Maar is het dat ook?

Om een stuk malware als zodanig te kunnen herkennen, wordt een virushandtekening gecreëerd. Een virusscanner scant elke code die de pc binnenkomt en vergelijkt deze met de kwaadaardige codes die vastgelegd zijn in de virushandtekeningen. Als er een match is, betreft de binnenkomende software kwaadaardige software (malware) en wordt deze tegengehouden. Maar een virusscanner is niet afgesteld op een 100 procent match. Als een code sterk overeenkomt met een code die opgeslagen ligt in een virushandtekening, houdt de scanner deze óók tegen. Meestal worden er tientallen, honderden of soms zelfs duizenden varianten van één schadelijke code gemaakt door malwareschrijvers. Dat proces kan worden geautomatiseerd, dus het kost de malwareschrijvers weinig tijd om dit te doen. Maar: het heeft nauwelijks effect, omdat er bij de eerste variant die wordt losgelaten op het internet al een virushandtekening wordt gemaakt door de antivirus-industrie. Door die handtekening wordt niet alleen de vers ontdekte malware tegengehouden, maar ook alle varianten die volgen. Omdat de antivirus-industrie prima samenwerkt, beschikken alle antivirusproducten in no time over deze virushandtekening en wordt geen enkele variant van de code nog doorgelaten. 

Malwaresoort versus malware sample

Om deze reden telt G DATA niet nieuwe malware samples, maar nieuwe malwaresoorten. Met andere woorden: pas als een nieuw stuk schadelijke code niet wordt herkend door bestaande virushandtekeningen, tellen de experts hem als een nieuwe soort. Met deze telmethode vonden de experts van G DATA 5,14 miljoen nieuwe soorten malware in 2015 (veel minder dus dan de 144 miljoen nieuwe malware samples van AV TEST) en 6,83 miljoen in 2016. Met andere woorden: het aantal nieuwe soorten malware steeg in 2016 met zo’n 33 procent ten opzichte van 2015. In de praktijk betekent dit dat er in 2016 een 33 procent hogere kans was dat uw pc in aanraking kwam met een nieuwe soort malware, die niet door uw (up-to-date) antivirus-product zou worden herkend op basis van het opsporen met virushandtekeningen. In het eerste kwartaal van 2017 zit er ook nog beslist geen rem op de groei van nieuwe malwaresoorten: elke 4,2 seconden kwam er een nieuwe soort malware bij. Dat was een stijging van bijna 73 procent ten opzichte van het eerste kwartaal van 2016.

Anders dan de cijfers van AV TEST suggereren, wordt er dus zeker niet langzamer gewerkt door malwareschrijvers. Er wordt vooral slimmer gewerkt. Oude codes worden minder ‘gerecycled’, in plaats daarvan wordt er tijd en moeite gestoken in het creëren van compleet nieuwe kwaadaardige codes. De conclusie dat het internet langzaamaan veiliger zou worden, is dan ook volledig onterecht.

Proactief scannen!

Hoewel elke virusscanner ook werkt met virushandtekeningen, blijkt uit de cijfers van G DATA nog maar eens dat het tegenhouden van nieuwe malware meer maatregelen vergt. Een pakket moet beschikken over verschillende proactieve detectiemethoden die kwaadaardige code kunnen herkennen op basis van wat de code voor gedrag teweeg brengt in de computer, of bijvoorbeeld aan de hand van bepaalde kenmerken van de code zelf. Ook als de code nog nooit eerder is waargenomen, moet de beveiligingssuite snel inzien dat de code gevaarlijk is en moet uitvoering van die code worden tegengehouden. Dat een pakket goed scoort in een vergelijkende test waarbij getest wordt met bekende malware, zegt niet veel over hoe een pakket scoort wanneer het geconfronteerd wordt met een compleet nieuwe malwaresoort. Let er bij de keuze voor een beveiligingspakket dan ook goed op dat het pakket van uw keuze goede proactieve detectiemethoden tegen nieuwe malwaresoorten biedt.

© CIDimport

Proactieve pakketten

Alle Windows-producten van G DATA (Antivirus, Internet Security en Total Security) zijn voorzien van proactieve detectiemethoden. Ze herkennen malware niet aan de code, maar aan de manier waarop dit stukje software zich gedraagt. Als bepaalde pc-processen worden aangevallen, komen deze pakketten in actie. Het gaat hierbij onder andere om: