Waarom antivirus-software het soms mis kan hebben

© PXimport

Waarom antivirus-software het soms mis kan hebben

Geplaatst: 14 juni 2020 - 06:03

Aangepast: 14 december 2022 - 13:13

Ap de Smits

Soms wil je iets installeren en slaat de antivirusscanner alarm. Vaak terecht, maar lang niet altijd. Je hebt dan te maken met een zogenaamde 'false positive'. Hoe herken je ze en weet je zeker dat je software veilig installeren kunt?

Dat iedere computergebruiker antivirussoftware op de pc geïnstalleerd moet hebben, is natuurlijk een open deur. Er zijn nogal wat programma’s in omloop, zowel gratis als commercieel. Zeker binnen Windows 10 scoren de ingebouwde firewall en antimalware-programma Defender uitstekend als het aankomt op het beveiligen tegen dreigingen.

Wil je toch liever een commercieel product dat aanvullende functies biedt, dan is het goed om vergelijkende tests te lezen en te kiezen voor producten die bieden wat je zoekt.

Hoe werkt een virusscanner?

Antivirussoftware hanteert vaak meerdere technieken om gevaren te herkennen. Zo is er de database met kenmerken van bekende malware. Meldingen van dreigingen die aan de hand hiervan worden herkend, zijn vrijwel 100 procent betrouwbaar. De ene dreiging is echter de andere niet.

Virussen, trojans en ransomware zijn vormen van kwaadaardige software die echte schade berokkenen. Daarnaast bestaan er ook ‘potentieel ongewenste programma’s’, in het Engels Potentially Unwanted Programs of kortweg PUP’s. Hieronder vallen onder meer adware en spyware. Deze dreigingen brengen het systeem geen schade toe, maar je kunt ze als ongewenst ervaren.

Het herkennen van dreigingen vanuit een database helpt niet tegen de allernieuwste gevaren die nog niet in de database staan. Daarom kijken de meeste scanners ook naar het gedrag van programma’s. Aan dat proces zitten haken en ogen. Neem bijvoorbeeld programma’s om een vergeten wachtwoord te achterhalen of om wijzigingen in het systeem aan te brengen. Dat zijn acties die je vaak bewust wilt uitvoeren. Toch zal menig scanner zulke software in eerste instantie blokkeren. Je moet je dus bij elke waarschuwing afvragen: waarom wil mijn scanner dit tegenhouden en is dat terecht?

Second opinion van VirusTotal

 

© PXimport

Als je scanner een mogelijk gevaarlijk programma vindt, dan komt de dreiging meestal meteen in quarantaine te staan om het te isoleren van de andere bestanden. Zolang je niets met het bestand doet, is het niet gevaarlijk. Je kunt het uit quarantaine halen en vervolgens laten scannen op virustotal.com. Hier krijg je een second opinion van tientallen verschillende scanners.

Uiteraard is het raadzamer om zo’n scan meteen na het downloaden van de betreffende software te doen - tenzij je scanner dan al ingrijpt en het bestand in quarantaine plaatst).

Ieder programma dat je downloadt stuk voor stuk handmatig uploaden bij Virustotal is natuurlijk vervelend. Dat kan makkelijker en wel met het programma Winja. Dit programma voegt een optie toe aan het contextmenu van de Verkenner, waardoor je met één muisklik een scan kunt aanvragen bij Virustotal.

De resultaten krijg je in een venster van Winja te zien en kun je ook per scanner bekijken. Ook kun je met één klik het rapport op de site van Virustotal opvragen.

 

© PXimport

Resultaat beoordelen

Wanneer je via Virustotal een scan uitvoert, zijn er drie mogelijkheden: de scan vindt niets, een paar scanners geven een waarschuwing of een heleboel alarmbellen gaan af. De eerste en laatste situatie zijn het gemakkelijkst; in het eerste geval is het vrijwel zeker dat er geen probleem is met het bestand. In het laatste geval is direct verwijderen van het gedownloade installatiebestand sterk aan te bevelen.

Maar wat als één of twee scanners zeggen iets te vinden? Dan is het goed om naar de details te kijken. Zijn het scanners van een gerenommeerd merk? Zo zijn er bijvoorbeeld scanners die proberen dreigingen met kunstmatige intelligentie te herkennen en die techniek is nog niet echt volwassen. Ze waarschuwen dan ook voor bijna elk onbekend programma.

Vaak duidt zo’n enkele waarschuwing – zeker als die van een weinig gerenommeerde scanner komt – op een false positive en is er dus niets aan de hand. Alleen jij kunt echter dat oordeel vellen. Bij twijfel, niet installeren! Dan houd je je pc sowieso virusvrij, zonder risico's.

Deel dit artikel
Voeg toe aan favorieten