Internet security center

Waarom cybercriminelen proberen anti-virussoftware te bestrijden

Om een computer te infecteren met schadelijke software, moeten cybercriminelen het volgende doen:

  • De gebruiker ertoe verleiden een geïnfecteerd bestand te starten, of
  • Proberen binnen te dringen op de computer van het slachtoffer via een beveiligingslek in het besturingssysteem of de applicatiesoftware die op de computer wordt uitgevoerd

Professionelere cybercriminelen zullen ook proberen anti-virussoftware te omzeilen die op de computer van het slachtoffer wordt uitgevoerd.

Technieken die worden gebruikt bij het bestrijden van anti-virussoftware

Om de kans te vergroten dat ze hun doelen halen, hebben cybercriminelen allerlei technieken ontwikkeld om anti-virussoftware te bestrijden, waaronder:

  • Code inpakken en coderen
    Het merendeel van de wormen en trojans wordt ingepakt en gecodeerd. Hackers ontwerpen ook speciale hulpprogramma's om items in te pakken en te coderen. Elk internetbestand dat is verwerkt met CryptExe, Exeref, PolyCrypt of een aantal andere hulpprogramma's, blijkt schadelijk te zijn.

    Om ingepakte en gecodeerde wormen en trojans te detecteren, moet het anti-virusprogramma worden voorzien van nieuwe methoden voor het uitpakken en decoderen van items, of nieuwe handtekeningen voor elk exemplaar van een schadelijk programma.
  • De code aanpassen
    Door de code van een trojan te combineren met spaminstructies, waardoor de code er anders uitziet maar de trojan zijn oorspronkelijke functionaliteit behoudt, proberen cybercriminelen hun schadelijke software onherkenbaar te maken. In bijna alle gevallen waarbij de trojan wordt gedownload van een geïnfecteerde website, wordt code in realtime aangepast. De e-mailworm Warezov gebruikte deze techniek en veroorzaakte een aantal ernstige epidemieën.
  • Camouflagetechnieken
    Rootkit-technologieën worden veel gebruikt door trojans en kunnen systeemfuncties stoppen en vervangen om zo het geïnfecteerde bestand onzichtbaar te maken voor het besturingssysteem en anti-virusprogramma's. Soms worden zelfs de registervertakking waar de trojan is geregistreerd en andere systeembestanden verborgen. De backdoor-trojan HacDef is een voorbeeld van schadelijke code die gebruikmaakt van deze technieken.
  • Anti-virusprogramma's en updates aan de anti-virusdatabase blokkeren
    Veel trojans en netwerkwormen gaan actief op zoek naar anti-virusprogramma's in de lijst met actieve applicaties op de computer van het slachtoffer. De malware probeert dan het volgende te doen:
    • De anti-virussoftware blokkeren
    • De anti-virusdatabases beschadigen
    • Verhinderen dat updateprocessen van anti-virussoftware correct worden uitgevoerd
    Om de malware te verslaan, moet het anti-virusprogramma zichzelf verdedigen door de integriteit van de databases te bewaken en de eigen processen te verbergen voor de trojans.
  • De code op een website maskeren
    Bedrijven die anti-virusoplossingen ontwikkelen, zijn snel op de hoogte van de adressen van websites die trojanvirusbestanden bevatten. Hun virusanalisten kunnen de inhoud van die sites bestuderen en de nieuwe malware toevoegen aan hun databases. Om scans door anti-virusprogramma's tegen te gaan, kan een webpagina echter worden aangepast. Wanneer er dan een aanvraag wordt verzonden door een bedrijf dat anti-virusoplossingen ontwikkelt, wordt er een bestand gedownload dat geen trojan is.
  • Massale aanvallen
    Bij een massale aanval worden in korte tijd grote aantallen nieuwe trojanversies verspreid via internet. Hierdoor ontvangen bedrijven die anti-virusoplossingen ontwikkelen grote aantallen nieuwe exemplaren die ze moeten analyseren. De cybercrimineel hoopt dan dat in de tijd die nodig is om elk exemplaar te analyseren hun schadelijke code de kans krijgt om binnen te dringen op de computers van gebruikers.

© 1997 – 2014 Kaspersky Lab ZAO

All Rights Reserved. Industry-leading Antivirus Software