Hou beestjes buiten!

Wie dacht dat virussen zo langzamerhand een aflopende zaak zijn, komt helaas bedrogen uit. Gewoon rondsurfen op internet kan je al zo’n gedrocht aan de laars lappen, maar het gebeurt ook steeds vaker via zoiets ogenschijnlijk onschuldigs als e-mail. Antivirussoftware moet je tegen dat soort vandalenstreken beschermen. Diskidee zocht uit of die bescherming ook wel doet wat de reclame belooft.

Windows is zo lek als een zeef. Dat lezen we geregeld in allerlei artikelen. Het heeft bugs die je systeem instabiel maken, het heeft gaten in zijn beveiliging die hackers toegang gegeven tot je systeem en virussen hebben ook al niet veel moeite om je systeem te besmetten. Auteurs van virussen richten zich natuurlijk juist op Windows, want dat is nu eenmaal het meest gebruikte besturingssysteem. Je hoort dan wel eens roepen dat je geen last hebt van dingen als het Lirva- of Yaha-virus en allerlei ander vies spul dat via e-mail naar je toekomt als je geen Windows draait. Dat is natuurlijk wel zo, maar dan kun je ook niet al die Windows-software op de markt draaien. En laten we wel wezen: als je een winkel binnenloopt, voor welk besturingssysteem vind je dan software in de rekken? Juist ja: voor Windows. Hoewel je leven met een ander besturingssysteem erg aangenaam kan zijn omdat het niet crasht en geen hackers aan boord laat en geen virusinfecties te vrezen heeft, kan het een heel groot probleem zijn om er software voor te vinden.

Voor de meeste mensen komt het er dus op neer dat Windows een vast gegeven is en zij niet echt een andere keuze hebben. Er is dus een markt voor software die al die gaten en lekken en kwetsbaarheden van Windows dicht. Antivirussoftware bijvoorbeeld. Helaas loopt zulke software per definitie achter op de prestaties van de virusmakers. Zo moet een nieuw virus eerst pc’s besmet hebben voordat de antivirusspecialisten aan het werk kunnen gaan en er een remedie voor bedenken. Virusauteurs ontdekken steeds nieuwe dingen en verzinnen steeds nieuwe trucjes. Het valt dan ook op, dat de allernieuwste virussen steeds meer schade aanrichten. In het slechtste geval moet je zelfs een nieuw moederbord kopen. En ook bedrijven worden niet gespaard: er zijn hopen virussen die complete servers of tenminste allerlei diensten daarop platleggen en zelfs gespuis dat Windows-systemen zo beschadigt dat alleen een format en restore helpt.

Preventie!
Laten we wel wezen: detectie is niet genoeg. Een scanner vindt namelijk alleen maar virussen die al bekend zijn. Als er dan een virus op je systeem komt dat nog niet bekend is, kan dat vrijelijk zijn gang gaan en heel wat schade aanrichten. Ga er dus vanuit dat een scanner nooit alle virussen kan vinden en dat er dus altijd wel door de mazen van het net glippen. Dat blijkt ook uit onze detectietest: van de bijna negentienduizend virussen die we voorlegden aan de scanners bleken zelfs de allerbeste er een dikke vijfhonderd niet te vinden. En dat gaat hier over bekende virussen! Reden te over dus om zeker geen blind vertrouwen te hebben in antivirussoftware. Een scanner helpt je om bekende virussen te detecteren, maar je hebt dus nood aan maatregelen die een virus verhinderen van zijn vuile werk te doen. We plaatsen al die maatregelen onder de noemer preventie. Goede preventie zorgt ervoor dat een onbekend virus je systeem niet kan infecteren, of zich althans niet kan voortplanten. Zelf moet je natuurlijk ook een paar dingen doen en laten. Voer dus programma’s die je van anderen krijgt nooit zomaar uit en lees documenten ook nooit zomaar in. Eerst even een virusscan uitvoeren is de boodschap. Alles wat je van het internet haalt of wat via e-mail al dan niet ongevraagd naar je toe wordt gestuurd is natuurlijk per definitie verdacht. Klik nooit op aanhangsels! ActiveX en VB-scripts zijn erg goede manieren om virussen in je systeem te smokkelen. Uitschakelen dus of tenminste software draaien die dergelijke applets in de gaten kan houden.

Paniekzaaien
Geregeld verschijnen allerlei berichten over nieuwe virussen. Hoe weet je nu wat daarvan echt is en wat gewoon een paniekzaaierig verzinsel is? Er bestaan goede webpagina’s hierover. Je kunt een blik werpen op de Computer Virus Myths Homepage en dan zie je meteen of een bericht een verzinsel is. Informatie over de laatste nieuwe echte virussen is te vinden op de websites van de meeste antivirussoftwareproducenten. Een andere mogelijkheid is de WildList: dat is een lijst van virussen die werkelijk pc’s geïnfecteerd hebben en gerapporteerd werden door virushulporganisaties (meestal afdelingen van antivirussoftwareproducenten) wereldwijd.

De test
We onderzochten zes antivirusproducten. Bij dit artikel vind je een tabel en twee pdf-bestanden (kijk rechts bovenaan onder de hoofding “Bijlagen” in het kadertje met de titel “Dossiers”). De tabel bevat productinformatie waarin je kunt zien wat voor opties voorzien zijn en de resultaten van een detectietest die je laten zien hoe goed de programma’s zijn in het opsporen van virussen. We hebben zelf een viruscollectie samengesteld van virussen die al ooit in onze contreien voorkwamen, of toch zoveel mogelijk. In totaal zitten er 18.741 virussen in onze collectie. Daarvan zijn de overgrote meerderheid van het COM-type (14.727 stuks): dit zijn niet de nieuwste maar wel nog steeds heel veel voorkomende virussen. Voorts hebben we 3.730 EXE-bestanden met een virus aan boord en daar zitten wel nieuwe bij, onder meer beestjes zoals Nimda en het beruchte CIH-virus. Macrovirussen zijn natuurlijk ook belangrijk. Er zijn er duizenden, maar je kunt ze onderverdelen in enkele tientallen hoofdgroepen. Wij hebben uit elke hoofdgroep één of meer macrovirussen gekozen en zullen dat te zijnertijd nog uitbreiden. Momenteel hebben we 269 verschillende macrovirussen. Dat zijn niet alleen Office-macro’s, maar ook VB-scripts en dergelijke. Om het wat vollediger te maken hebben we ook nog vijftien bestanden met niet door de gebruiker uitvoerbare binaire bestanden (zoals OBJ- en DLL-bestanden, VXD-drivers voor Windows, startsectordata enzovoorts). We noteerden hoeveel virussen door elk product herkend werden van elke soort en drukten het totaal uit als een percentage. Helaas bleek geen enkele scanner in staat ze allemaal te herkennen, zelfs de meest recente niet.