Malware Removal Information

Ga naar de inhoud

Hoofdmenu

Malware - Securitysuites

Malware info

Malware versus Securitysuites.

Securitysuites maken gebruik van diverse methoden om malware te detecteren:

  • Webfilter

  • Signature Scan

  • Heuristic Scan

  • Gedragsanalyse

  • Cloud-scanning


Malware maakt gebruik van exploits om zich te verspreiden.
Exploits zijn beveiligingslekken, kwetsbaarheden in software. Deze kwetsbaarheden worden misbruikt door de malwaremakers om de malware te verspreiden, te droppen op de computer.
Dagelijks worden duizenden nieuwe malware samples verspreid via het internet en ook dagelijks verschijnen nagenoeg evenveel nieuwe websites die deze malware vespreiden.
Veel van deze malware heeft een korte levensduur. Vaak bedraagt deze zelfs minder dan 24 uur.
Door deze korte levensduur worden een beperkt aantal computers besmet en vaak wordt deze malware niet gedetecteerd door de scanners.

Firewalls hebben een webfilter geintegreerd. Deze webfilter moet de gekende (geïnfecteerde) websites met exploits blokkeren.
Aangezien er dagelijks duizenden nieuwe sites bijkomen, kunnen niet alle sites gekend zijn en kunnen ze door de mazen van het net glippen.
Onbekende websites worden door de securitysuites gecontroleerd op schadelijk code. Bevatten deze sites oude gekende exploits dan kan de site alsnog geblokkeerd worden.
Wordt gebruik gemaakt van zero-day-exploits of nieuwe ongekende malware, dan wordt de webfilter omzeild en downloadt de exploit de malware waardoor deze toegang krijgt tot de computer.De exploit tracht ook de code uit te voeren die de malware activeert.

Voor dat de malware geactiveerd kan worden moet het de signature en heuristic scan van de virusscanner passeren.
Virusscanners controleren alles wat via het web wordt gedownload.
Ze scannen de malware op basis van gekende signatures.
Een signature bestaat uit de hash-waarde, de metadata (grootte, herkomst, datum,..) en eventueel een stukje kwaadaardige code.
De signature van de gedownloade malware wordt vergeleken met de signature database.
Komt deze voor in de database dan wordt de malware verwijderd.

Indien er geen herkenning is op signatures, gebeurt een heuristic scan met gedragsanalyse.
De heuristic scan analyseert de code van het bestand.
Malware wordt gecomprimeerd, versleuteld, verpakt om snelle herkenning tegen te gaan.
Tijdens de heuristic scan wordt het bestand uitgepakt met behulp van verschillende algoritmes.
De code die zo verkregen wordt, wordt gecontroleerd op afwijkend gedrag.
De code wordt uitgevoerd in afgeschermd gebied, een virtuele omgeving, en door de scanner wordt gelet op verdachte acties. Aan deze acties worden scores / waardes toegekend.
Indien een bepaalde waarde overschreden wordt krijg je de vraag of je het programma wil toestaan of dat het geblokkeerd moet worden.
Wordt de waarde zodanig overschreden dat het absoluut op malware duidt, dan wordt het proces afgebroken en wordt het bestand als malware gelabeld.
Indien door de virusscanner geen verdachte activiteit wordt waargenomen, wordt het uitvoeren van het bestand toegestaan.
In deze fase wordt door heel wat securitysuites gelogd welke wijzigingen aan het systeem worden toegebracht.
Mocht alsnog iets verdacht geconstateerd worden dan kunnen deze wijzigingen weer ongedaan gemaakt worden.
Ook het uitvoeren van de code wordt door de scanner dus nauwlettend in de gaten gehouden.
De gegevens die op dit moment verkregen worden, kunnen eventueel nog vergeleken worden met de gegevens van een cloud-database.
Cloud-databases zijn uitgebreider en paraktischer in gebruik voor het opslaan van signatures en kunnen veel meer malware-informatie bevatten dan de plaatselijke databases.


Malware gebruikt allerlei technieken om detectie te omzeilen:

  • Korte levensduur

  • Opvulling malwarebestand met ongebruikte zinloze code.

  • Versleuteling van de malwarebestanden / bestandsvermomming.

  • Gebruik van een 'timer' om de uitvoering van de schadelijke code te vertragen.

  • Dynamische code om herkenning tegen te gaan. (wijziging van hashwaardes)


Terug naar de inhoud | Terug naar het hoofdmenu