Gevaar van nieuwe malware is zeker niet geweken
AV TEST is één van ’s werelds grootste labs voor het testen van antivirusproducten. Om dit werk te kunnen doen, heeft het instituut dan ook een overweldigend aantal malware samples in het archief. Elk jaar rapporteert AV TEST hoeveel nieuwe kwaadaardige bestanden er zijn aangetroffen. In 2016 viel dit aantal voor het eerste in de geschiedenis lager uit dan het jaar ervoor. In 2015 ontdekte het lab 144 miljoen nieuwe malware samples, terwijl er in 2016 ‘slechts’ 127 miljoen werden aangetroffen. Ook in het eerste kwartaal van 2017 lijkt de toename aan nieuwe malware af te nemen volgens de statistieken van AV TEST.
Veiligheid niet vergroot
Kunnen we dan nu opgelucht adem halen? Gaat malware langzaam uitsterven en wint het internet aan veiligheid? Niet als we naar de statistieken van het G DATA SecurityLab kijken, dat juist een toename van 32,9% rapporteert. Het verschil is te verklaren door het volgende feit: AV TEST en G DATA tellen verschillende dingen. Maar de methode van G DATA geeft, naar mijn bescheiden mening, een betrouwbaarder beeld van de daadwerkelijke situatie.
Ik moet een klein beetje technisch worden om duidelijk te maken waar het verschil in de waargenomen trends nu precies vandaan komt. Ik probeer dat maar even in Jip en Janneke-taal, al is het alleen maar omdat dat de uitleg voor mijzelf ook eenvoudiger maakt.
AV TEST kijkt naar de code van een stukje malware. Als dat niet 100% overeenkomt met dat van een eerder ontdekt stukje malware, dan telt het als een nieuwe sample. Dat klinkt als een logische methode om nieuwe malware te tellen. Maar het G DATA SecurityLab denkt daar anders over.
Virushandtekening
Om een stuk malware te kunnen herkennen, wordt een virushandtekening gecreëerd, waarvan de schadelijke code die moet worden herkend het belangrijkste criterium is. Maar als een andere code sterk overeenkomt met die oorspronkelijke code, houdt de betreffende virushandtekening deze óók tegen. Meestal worden er tientallen, honderdtallen of soms zelfs duizendtallen varianten van één schadelijke code gemaakt door malwareschrijvers. Dat proces kan worden geautomatiseerd, dus het kost weinig tijd. Maar: het heeft dus nauwelijks effect, omdat er bij de eerste variant die wordt losgelaten op het internet al een virushandtekening wordt gemaakt door de antivirus-industrie. De antivirus-industrie kent een sterke samenwerking. Daardoor beschikken alle antivirusproducten binnen no time over deze virushandtekening. Zo wordt deze malware massaal tegengehouden. Evenals alle varianten van deze malware die daarna nog volgen.
Stijging
Om deze reden telt G DATA niet nieuwe malware samples, maar nieuwe malwaresoorten. Met andere woorden: pas als een stuk schadelijke code niet wordt herkend door bestaande virushandtekeningen, tellen onze experts hem als een nieuwe soort. Met deze telmethode vonden wij in 2015 5,14 miljoen nieuwe soorten malware (een veel lager aantal dan de 144 miljoen nieuwe malware samples van AV TEST) en in 2016 6,83 miljoen. Een toename van bijna 33% en dus geen afname.
In de praktijk betekent dit dat er in 2016 een 33% hogere kans was dat je pc in aanraking zou komen met een nieuwe soort malware, die niet door je (up-to-date) antivirus-product zou worden herkend (althans, op basis van de reactieve detectie op basis van virushandtekeningen. Nagenoeg alle fabrikanten van beveiligingssoftware bieden in hun pakketten naast deze ouderwetse reactieve bescherming ook allerlei proactieve detectiemethoden die kwaadaardige code kan ontdekken, bijvoorbeeld op basis van het gedrag dat de code teweeg brengt in de pc. Hier leest u daar meer over). In het eerste kwartaal van 2017 zien wij ook nog beslist geen rem op de groei van nieuwe malwaresoorten: elke 4,2 seconden kwam er een nieuwe soort malware bij. Dat was een stijging van bijna 73% ten opzichte van het eerste kwartaal van 2016.
Slimmer
Anders dan de cijfers van AV TEST suggereren, wordt er dus zeker niet langzamer gewerkt door malwareschrijvers. Er wordt vooral slimmer gewerkt. Oude codes worden minder gerecycled. In plaats daarvan wordt er tijd gestoken in het creëren van compleet nieuwe kwaadaardige codes. De conclusie dat het internet dus langzaamaan wint aan veiligheid is dan ook een heel onterechte.
Meer statistieken over malware van het G DATA SecurityLab: https://blog.gdatasoftware.com/2017/04/29666-malware-trends-2017.
Dirk Cools, Country Manager G DATA Benelux
