Anti-virus

Anti-virus en anti-malware. Beide termen verwijzen naar computerbeveiligingssoftware, maar wat betekenen ze nu precies, waarin verschillen ze van elkaar en hoe verhouden ze zich tot de digitale bedreigingen van vandaag de dag?

Malwarebytes heeft nauwgezetheid hoog in het vaandel staan, met name waar het beveiligingsconcepten betreft die vaak met elkaar verward en door elkaar gebruikt worden: anti-virus en anti-malware. Beide termen verwijzen inderdaad naar computerbeveiligingssoftware, maar wat betekenen ze nu daadwerkelijk, waarin verschillen ze van elkaar en zijn ze beide nog steeds relevant bij de bestrijding van de digitale bedreigingen van vandaag de dag?

Laten we deze termen eens één voor één nader bekijken en in de semantische wereld van de computerbeveiliging duiken.

Wat is het verschil tussen anti-virus- en anti-malwaresoftware?

De termen ‘anti-virus’ en ‘anti-malware’ betekenen grotendeels hetzelfde. Ze verwijzen beide naar software die ontwikkeld is voor de detectie van, de bescherming tegen en de verwijdering van kwaadaardige software. In tegenstelling tot wat zijn naam doet vermoeden, beschermt anti-virussoftware tegen meer dan virussen alleen. Het is enkel een enigszins verouderde naam voor wat het doet. Ook anti-malware is ontwikkeld om bescherming te bieden tegen virussen. Anti-malwaresoftware heeft simpelweg een moderne naam die alle soorten kwaadaardige software omvat, waaronder virussen. Anti-malware nu kan besmetting door een virus voorkomen en besmette bestanden verwijderen. Anti-malware hoeft echter niet toegerust te zijn voor het herstellen van bestanden die door een virus veranderd of vervangen zijn. Zowel anti-virus als anti-malware valt onder de bredere term ‘computerbeveiliging’.

Wat is computerbeveiliging?

Computerbeveiliging (of cyberbeveiliging) is een overkoepelende term voor elke strategie die erop gericht is iemands systeem te beschermen tegen kwaadaardige aanvallen die bedoeld zijn om geld, persoonsgegevens en systeembronnen (cryptojacking, botnetten) te stelen, en tegen nog veel meer andere slechte zaken. De aanval kan gericht zijn op uw hardware of software of plaatsvinden via sociale technieken.

Bedreigingen van de computerveiligheid en de bijbehorende tegenmaatregelen zijn vandaag de dag erg verschillend en specifiek, maar de markt streeft vanzelfsprekend naar eenvoud in de communicatie met de consument. Daarom beschouwen veel mensen ‘virussen’ nog steeds als de grootste bedreiging voor hun computer. In werkelijkheid vormen virussen slechts één type cyberbedreiging, die toevalligerwijs veel voorkwam toen computers nog in hun kinderschoenen stonden. Ze zijn tegenwoordig allesbehalve de meest voorkomende bedreiging, maar de naam is gebleven. Het is een beetje hetzelfde als elke ziekte een verkoudheid noemen.

“De termen ‘anti-virus’ en ‘anti-malware’ betekenen grotendeels hetzelfde. Ze verwijzen beide naar software die ontwikkeld is voor de detectie van, de bescherming tegen en de verwijdering van kwaadaardige software.”

Wat is een computervirus?

Een computer- of pc-virus is (gewoonlijk) een stukje schadelijke software dat twee kenmerken heeft:

  • Het moet geactiveerd worden door een nietsvermoedende gebruiker. Het activeren van een virus kan al gebeuren door het openen van een kwaadaardige bijlage in een e-mail (malspam) of het starten van een besmet programma. Wanneer dat gebeurt, probeert het virus zich te verspreiden naar andere systemen in het netwerk van de computer of op de contactlijst van de gebruiker.
  • Hij moet zich kunnen repliceren. Als de software zich niet kan repliceren, is het geen virus. Dit proces van zelfreplicatie kan optreden door andere bestanden op het systeem van de gebruiker te veranderen of volledig te vervangen. In beide gevallen moet het resulterende bestand hetzelfde gedrag vertonen als het oorspronkelijke virus.

Computervirussen zijn al decennialang actief. In theorie vinden ‘zelfreproducerende automaten’ (d.w.z. virussen) hun oorsprong in een artikel dat eind jaren 1940 gepubliceerd werd door de wiskundige en uomo universale John von Neumann. De eerste virussen verschenen in de jaren 1970 op platformen die voorafgingen aan de personal computer. De geschiedenis van de moderne virussen begint echter met een programma genaamd Elk Cloner, dat in 1982 Apple II-systemen begon te infecteren. Het virus, dat werd verspreid via geïnfecteerde diskettes, was op zichzelf onschadelijk, maar het verspreidde zich naar alle op het systeem aangesloten schijven. Het verspreidde zich zo snel dat velen het beschouwen als de eerste grootschalige virusuitbraak in de geschiedenis.

Vroege virussen zoals Elk Cloner waren grotendeels bedoeld als onschuldige grap. De makers deden het voor hun ego en om op te kunnen scheppen. In de beginjaren 1990 hadden deze kwajongensstreken echter een schadelijke karakter gekregen. Pc-gebruikers kregen te maken met aanvallen van virussen die ontwikkeld waren om gegevens te vernietigen, systeembronnen te vertragen en toetsaanslagen vast te leggen (ook wel keylogger genoemd). De behoefte aan tegenmaatregelen leidde tot de ontwikkeling van de eerste anti-virusprogramma’s.

De eerste anti-virusprogramma’s konden uitsluitend reageren. Ze konden alleen besmettingen detecteren nadat ze opgetreden waren. Bovendien detecteerden de eerste anti-virusprogramma’s virussen op relatief eenvoudige wijze door te zoeken naar de kenmerken van hun signatures. Ze wisten bijvoorbeeld dat er een virus met de naam ‘PCdestroy’ was. Als het anti-virusprogramma dan deze naam herkende, kon het de bedreiging uitschakelen. Als de aanvaller echter de bestandsnaam veranderde, was de anti-virus mogelijk niet zo effectief. Hoewel de eerste anti-virussoftware ook specifieke digitale vingerafdrukken of patronen kon herkennen zoals codereeksen in netwerkverkeer of bekende schadelijke instructiereeksen, waren ze altijd in de achtervolging.

De eerste anti-virusprogramma’s op basis van signatures konden bekende virussen gemakkelijk detecteren, maar nieuwe aanvallen bleven buiten schot. In plaats daarvan moest een nieuw virus eerst geïsoleerd en geanalyseerd worden om zijn signature te bepalen. Daarna kon hij toegevoegd worden aan de lijst met bekende virussen. De gebruiker van het anti-virusprogramma moest regelmatig een steeds grotere database met honderdduizenden signatures downloaden. En ondanks dat was een aanzienlijk deel van de apparaten niet beschermd tegen nieuwe virussen die niet in de database opgenomen waren. Het gevolg was een constante wedloop om het groeiende aantal bedreigingen bij te houden, omdat er steeds weer nieuwe virussen ontwikkeld en de wijde wereld ingestuurd werden.

De huidige staat van computervirussen en anti-virusprogramma’s

De huidige pc-virussen zijn meer een overgeleverde bedreiging dan een aanhoudend risico voor computergebruikers. Ze waren al decennialang rond en zijn niet wezenlijk veranderd. In feite stamt het laatste echt ‘nieuwe’ virus dat zich via interactie van gebruikers gerepliceerd heeft, uit 2011 of 2012.

Als computervirussen niet echt een probleem meer vormen, waarom noemen mensen hun beveiligingssoftware dan toch nog steeds anti-virussoftware?

Het komt erop neer dat deze naam gewoonweg ingebakken is. Virussen waren in de jaren 1990 groot nieuws, en beveiligingsbedrijven begonnen de naam eigenlijk te gebruiken voor cyberbedreigingen in het algemeen. Zo was de term ‘anti-virus’ geboren. Decennia later gebruiken veel beveiligingsbedrijven deze term nog steeds om hun producten op de markt te brengen. Het is een vicieuze cirkel geworden. Omdat consumenten veronderstellen dat virussen synoniem zijn met cyberbedreigingen, noemen bedrijven hun computerbeveiligingsproducten ‘anti-virussoftware’, waardoor consumenten op hun beurt weer denken dat virussen nog steeds het probleem zijn.

Er is echter één grote maar. Hoewel ‘virus’ en ‘anti-virus’ niet echt anachronismen zijn, vormen veel moderne cyberbedreigingen vaak een veel groter gevaar dan hun virale voorgangers. Ze verbergen zich dieper in onze computersystemen en kunnen detectie beter ontlopen. De grillige virussen uit het verleden hebben plaatsgemaakt voor een heel scala aan kwaadaardige geavanceerde bedreigingen zoals spyware, rootkits, Trojaanse paarden, exploits en ransomware, om er maar een paar te noemen.

Toen deze nieuwe typen aanvallen opdoken en de eerste virussen voorbijstreefden, zetten anti-virusbedrijven hun missie voort tegen deze nieuwe bedreigingen. De anti-virusbedrijven wisten echter niet goed in welke categorie ze zichzelf onder moesten brengen. Moesten ze hun producten op de markt blijven brengen als een ‘anti-virusprogramma’ met het gevaar dat ze zichzelf tekortdeden? Moesten ze een andere ‘anti-bedreigingsterm’ voor hun producten gebruiken zoals bijvoorbeeld ‘anti-spyware’? Of moesten ze voor een all-inclusiveaanpak kiezen en alles in één productserie combineren die alle bedreigingen aanpakte? De antwoorden op deze vragen zijn afhankelijk van het anti-virusbedrijf.

Voor Malwarebytes is computerbeveiliging de hoogste en de overkoepelende categorie. En daarom is het zinvol om al onze beveiligingsinspanningen onder te brengen in één term die meer omvat dan alleen virussen. Bijgevolg is de term die het merendeel van onze inspanningen omvat, ‘anti-malware’. Dit staat voor ‘anti-kwaadaardige software’.

“Omdat consumenten veronderstellen dat virussen synoniem zijn met cyberbedreigingen, noemen bedrijven hun computerbeveiligingsproducten ‘anti-virussoftware’, waardoor consumenten op hun beurt weer denken dat virussen nog steeds het probleem zijn.”

Als virussen niet zo’n grote bedreiging meer zijn, waarom heb ik dan eigenlijk computerbeveiliging nodig?

Virussen vormen slechts één type malware. Hoewel er nog steeds virussen bestaan, zijn er tegenwoordig andere vormen van malware die vaker voorkomen. Hieronder staat een aantal veelvoorkomende bedreigingen die Malwarebytes uit kan schakelen:

  • Adware is ongewenste software die is ontwikkeld om advertenties op uw scherm te doen verschijnen, meestal in een webbrowser maar soms ook in mobiele apps. Het presenteert zich als legitiem of volgt in het voetspoor van een ander programma om u ertoe te verleiden het op uw pc, tablet of mobiele apparaat te installeren.
  • Spyware is malware die stiekem en zonder toestemming de activiteiten van de computergebruiker observeert en die vervolgens rapporteert aan de auteur van de software.
  • Een virus is malware die zich hecht aan een ander programma en, wanneer het wordt geactiveerd, zichzelf repliceert door andere computerprogramma’s te wijzigen en deze te infecteren met eigen stukjes code.
  • Wormen zijn een type malware die zich net als virussen verspreidt maar die voor activatie geen interactie van gebruikers vereist.
  • Een Trojaans paard is eerder een leveringsmethode voor infecties dan zelf een infectie. Om gebruikers ertoe te verleiden het te openen, doet een Trojaans paard zich meestal voor als een nuttig hulpmiddel. Trojaanse paarden kunnen elke vorm van malware bevatten, waaronder virussen, spyware en ransomware.
  • Ransomware is een vorm van malware die uw apparaat vergrendelt en/of uw bestanden versleutelt en u vervolgens dwingt om losgeld te betalen om ze terug te krijgen. Ransomware wordt het favoriete wapen van cybercriminelen genoemd omdat het een winstgevende snelle betaling vereist in moeilijk te traceren cryptovaluta. De code voor een aanval met ransomware is eenvoudig te verkrijgen via online criminele marktplaatsen, en bescherming ertegen is moeilijk.
  • Een rootkit is malware die de aanvaller beheerdersrechten geeft op het geïnfecteerde systeem en zich actief verbergt voor de normale computergebruiker. Rootkits verbergen zich ook voor andere software op het systeem, zelfs voor het besturingssysteem zelf.
  • Een keylogger is malware die alle toetsaanslagen van de gebruiker op het toetsenbord registreert. Hierbij wordt de verzamelde informatie meestal opgeslagen en verzonden naar de aanvaller, die op zoek is naar gevoelige informatie zoals gebruikersnamen, wachtwoorden of creditcardgegevens.
  • Kwaadaardige cryptomining, soms ook wel driveby-mining of cryptojacking genoemd, is een steeds vaker voorkomende vorm van malware of een aanval via een browser die op verschillende manieren binnendringt, waaronder via malspam, driveby-downloads en kwaadaardige apps en extensies. Hiermee kan iemand anders de CPU of GPU van uw computer gebruiken om cryptovaluta zoals Bitcoin of Monero te minen. Dus in plaats van dat u zelf de rekenkracht van uw computer verzilvert, sturen cryptominers de verdiende cryptomunten naar hun eigen account en niet naar de uwe. In wezen steelt een kwaadaardige cryptominer dus uw middelen om geld te verdienen.
  • Exploits zijn een soort bedreiging die misbruik maakt van bugs en kwetsbaarheden in een systeem, zodat de maker van de exploit de malware af kan leveren. Exploits worden onder meer gekoppeld aan malvertising, een aanval die via kwaadaardige advertenties op meestal legitieme websites exploits binnenbrengt. U hoeft niet eens op een advertentie te klikken om getroffen te worden. Exploits en hun bijbehorende malware kunnen zichzelf op uw computer installeren in een driveby-download. Het enige dat van u wordt verwacht, is dat u op de verkeerde dag een betrouwbare site bezoekt.

Hoe werkt anti-malware?

De ouderwetse methode van bedreigingsdetectie op basis van signatures is tot op bepaalde hoogte effectief, maar moderne anti-malware detecteert ook bedreigingen die gebruikmaken van nieuwere methoden om kwaadaardig gedrag op te sporen. Anders gezegd: detectie op basis van signatures lijkt een beetje op het zoeken naar de vingerafdrukken van een crimineel. Het is een uitstekende manier om een bedreiging te identificeren, maar alleen als u weet hoe hun vingerafdrukken eruitzien. De detectie van moderne anti-malware gaat een stap verder, waardoor het bedreigingen kan identificeren die het nog nooit heeft gezien. Door de structuur en het gedrag van een programma te analyseren, kan het verdachte activiteiten detecteren. Als we de analogie voortzetten, is het enigszins vergelijkbaar met constateren dat een bepaalde persoon altijd op dezelfde plaatsen rondhangt als bekende criminelen en inbrekersgereedschap in zijn zak heeft.    

Deze nieuwere, effectievere computerbeveiligingstechnologie heet heuristische analyse. ‘Heuristiek’ is een term die onderzoekers verzonnen hebben voor een strategie die bedreigingen detecteert door de structuur van een programma, zijn gedrag en andere kenmerken te analyseren.

Elke keer dat een heuristisch anti-malwareprogramma een uitvoerbaar bestand scant, legt het de algemene structuur, de programmalogica en gegevens onder een loep. Het is continu op zoek naar zaken zoals ongewone instructies of waardeloze code. Op deze manier beoordeelt het de waarschijnlijkheid dat een programma malware bevat.

Een groot voordeel van heuristiek is bovendien dat het malware in bestanden en bootrecords kan detecteren voordat het de kans heeft om in actie te komen en uw computer te besmetten. Met andere woorden: heuristische anti-malware is proactief, niet reactief. Bepaalde anti-malwareproducten kunnen de verdachte malware ook in een sandbox uitvoeren. Dit is een gecontroleerde omgeving waarin de beveiligingssoftware kan bepalen of een programma veilig is of niet. Door malware in een sandbox uit te voeren kan de anti-malware kijken wat de software doet, welke acties het uitvoert en of het zichzelf probeert te verbergen of uw computer aantast.

Een andere heuristische methode beschermt gebruikers door de kenmerken van webpagina’s te analyseren om zo risicovolle sites te identificeren die exploits kunnen bevatten. Als het iets verdachts tegenkomt, wordt de site geblokkeerd.

Kortom: anti-virussoftware op basis van signatures is als de uitsmijter van een nachtclub die een dik boek met politiefoto’s bij zich heeft en iedereen buitenzet die in dit boek voorkomt. Heuristische analyse is de uitsmijter die naar verdacht gedrag speurt, mensen fouilleert en degenen met een wapen naar huis stuurt.

“‘Heuristiek’ is een term die onderzoekers verzonnen hebben voor een strategie die bedreigingen detecteert door de structuur van een programma, zijn gedrag en andere kenmerken te analyseren.”

Ontwikkelingen in computerbeveiligingsprogramma’s

Twee relatief nieuwe vormen van malware hebben de ontwikkeling gestimuleerd van detectiemethoden die zonder signatures werken: exploits en ransomware. Hoewel deze bedreigingen in veel opzichten op andere bedreigingen lijken, zijn ze veel moeilijker te detecteren. Bovendien is het haast onmogelijk om ze te verwijderen nadat ze gedetecteerd zijn.

Exploits ontlenen hun naam aan het feit dat ze kwetsbaarheden in een systeem, software of webbrowser letterlijk exploiteren of uitbuiten door op uiteenlopende manieren kwaadaardige code te installeren. Maatregelen tegen exploits zijn ontwikkeld ter bescherming tegen deze aanvalsmethode. Ze beschermen tegen flashexploits en kwetsbaarheden in browsers, waaronder nieuwe exploits die nog niet geïdentificeerd zijn of kwetsbaarheden waarvoor nog geen patches zijn gemaakt.

Ransomware maakte in 2013 een spectaculaire opwachting op het malwaretoneel. Ransomware maakte naam door computergegevens te kapen en te versleutelen en door vervolgens betalingen te eisen om de gegijzelde gegevens vrij te geven. Het dreigde zelfs de gegevens te wissen als er niet vóór een bepaalde deadline betaald zou worden.

Aanvankelijk resulteerden deze bedreigingen in de ontwikkeling van speciale anti-exploit- en anti-ransomwareproducten. Sinds december 2016 integreert Malwarebytes beveiliging tegen exploits en kwaadaardige websites in de Premium-versie van Malwarebytes for Windows. Verder heeft het sindsdien anti-ransomware toegevoegd voor nog geavanceerdere bescherming tegen anti-malware.

De toekomst van computerbeveiligingsprogramma’s (die hier al aan de gang is)

Kunstmatige of artificiële intelligentie (AI) en automatisch of machinaal leren (ML) zijn de nieuwste sterren in de anti-malwaretechnologie.

Via AI kunnen machines taken uitvoeren waarvoor ze niet specifiek geprogrammeerd zijn. AI voert niet blind een beperkte set commando’s uit. In plaats daarvan analyseert AI een situatie op een ’intelligente’ manier en richt het zijn acties naar een bepaald doel, bijvoorbeeld het identificeren van tekenen van ransomwareactiviteiten.

ML is de programmering van programma’s die in staat zijn patronen in nieuwe gegevens te herkennen en die vervolgens de gegevens op een manier ordenen die de machine instrueert hoe ze moet leren.

Anders gezegd: AI richt zich op het maken van slimme machines, terwijl ML gebruikmaakt van algoritmen waarmee de machines op basis van ervaring kunnen leren. Deze beide technologieën zijn uitermate geschikt voor computerbeveiliging, met name omdat het aantal bedreigingen dat elke dag binnendringt, en hun verscheidenheid te overweldigend is voor methoden op basis van signatures of andere handmatige oplossingen. Zowel AI en ML zit nog steeds in de ontwikkelingsfase, maar ze zijn ongelooflijk veelbelovend.

Malwarebytes gebruikt in feite al een automatisch lerende component die malware detecteert die het nog nooit eerder tegen is gekomen, ook wel bekend als zero-day of zero-hour bedreigingen. Andere componenten van ons softwareplatform voeren detecties uit op basis van gedrag en heuristische analyse. Dit betekent dat ze een bepaalde code niet als kwaadaardig hoeven te herkennen maar dat ze vaststellen dat een bestand of website zich anders dan normaal gedraagt. Deze techniek is gebaseerd op AI en ML en is voor onze gebruikers beschikbaar met zowel realtimebescherming als on-demandscannen.

In het geval van ICT-professionals die meerdere zakelijke eindsystemen moeten beveiligen, is de heuristische benadering bijzonder belangrijk. We weten namelijk nooit wat de volgende grote malwarebedreiging wordt. Heuristiek kan dus een belangrijke rol spelen in Malwarebytes Endpoint Protection, net als AI en ML. Samen creëren ze meerdere beschermingslagen die alle niveaus van de aanvalsketen van zowel bekende als onbekende bedreigingen aanpakken.

Een gram preventie vs. een pond remedie

Al onze apparaten zijn kwetsbaar voor malware: van desk- en laptops tot tablets en smartphones. Als u de keuze hebt, voorkomt u dan niet liever een besmetting dan dat u met de gevolgen ervan aan de slag moet?

Traditionele anti-virussoftware is niet geschikt voor deze taak, wat wel blijkt uit de regelmatige krantenkoppen over weer een nieuwe succesvolle cyberaanval.

Wat moet u nu doen om veilig te blijven? Welke computerbeveiligingssoftware – anti-virus of anti-malware – moet u kiezen om de bedreigingen het hoofd te bieden die bestaan uit oude virussen en nieuwe malware?  

Feit is dat traditionele anti-virussoftware niet geschikt is voor deze taak, wat wel blijkt uit de regelmatige krantenkoppen over weer een nieuwe succesvolle cyberaanval. Het is ontoereikend tegen oprukkende zero-day bedreigingen, het laat ransomware met succes computers kapen en het verwijdert malware niet volledig. Er is een geavanceerd computerbeveiligingsprogramma nodig dat flexibel en slim genoeg is om het groeiend aantal geraffineerde bedreigingen van vandaag de dag steeds een stap vooruit te kunnen zijn.

Malwarebytes for Windows vervult deze behoefte aan geavanceerde computerbeveiliging (samen met Malwarebytes for Mac, Malwarebytes for Android en de zakelijke oplossingen van Malwarebytes). De producten van Malwarebytes beschermen tegen malware, hacks, virussen, ransomware en toekomstige bedreigingen, zodat een veilige online beleving ondersteund wordt. Onze technologie op basis van AI en heuristiek blokkeert bedreigingen waarvoor traditionele anti-virussoftware niet slim genoeg is.

Branche-experts roemen Malwarebytes for Windows om zijn rol op het gebied van gelaagde bescherming. Het biedt betrouwbare bescherming zonder afbreuk te doen aan de systeemprestaties. Het verwijdert alle sporen van malware, het blokkeert de meest recente bedreigingen en voert scans snel uit.

Ongeacht het computerbeveiligingsprogramma dat u kiest, is uw eerste verdedigingslinie kennis. Blijf daarom op de hoogte van de nieuwste bedreigingen en bescherming door regelmatig het blog van Malwarebytes Labs te lezen.

Onmisbare informatie over computerbeveiliging

Wilt u op de hoogte blijven van de nieuwste ontwikkelingen in computerbeveiliging? Abonneer u op onze nieuwsbrief en ontdek hoe u uw computer kunt beschermen tegen bedreigingen.

Selecteer uw taal