Få ting kan få blodtrykket til at stige hos en pc-bruger som beskeden om, at det er tid til en komplet antivirusscanning af harddisken. Det er ikke så underligt, fordi det kan tage flere timer at scanne en harddisk med en halv million filer.
Det er en metode, som har været brugt siden de første antivirusprogrammer kom på markedet, men som i dag er løbet ind i en mur, der gør metoden ubrugelig i dens oprindelige form.
»Den gang, vi udvekslede data på disketter, som vi tog fra pc til pc, da var den statiske scanning af filer den bedste metode. Men den er ved at være ved enden af dens levetid,« siger produktchef Jerry Egan fra Symantecs Security Response til Version2.dk
Problemet er, at antallet af nye varianter er vokset eksponentielt de seneste år. For 2007 svingede tallene fra 250.000 ifølge F-Secure til 2,2 millioner ifølge Kaspersky Lab alt efter, hvordan de nye varianter bliver opgjort. Og tallene for 2008 ser ud til at følge den samme vækstrate, så der ved udgangen af 2008 vil være dobbelt så mange varianter som ved udgangen af 2007.
Samtidig indeholder den typiske pc langt flere filer, end den typiske pc i 1990'erne, hvor den signaturbaserede harddiskscanning var den mest almindelige form for beskyttelse.
Den udvikling tvinger derfor antivirusfirmaerne til at tænke i nye baner for at undgå, at en scanning kommer til at tage så lang tid, at det går ud over brugerens mulighed for at benytte pc'en.
»Behovet for den komplette scanning er ikke forsvundet, men vi er nået til et trin i udviklingen, hvor metoden ikke længere kan optage ressourcerne på pc'en,« siger produktchef Bob Hansmann fra Trend Micros afdeling for Enterprise Security Solutions til Version2.dk.
Kræver flere lag
Et andet problem er, at mange af truslerne i dag har en kort levetid. Der er tale om varianter, som udsendes i korte byger til et antal ofre via e-mail eller på websteder, hvorefter bagmændene skifter til en ny variant.
»Førhen var trusselsbilledet, at der som regel var én bestemt virus, der var ekstremt udbredt. Så en enkelt signatur kunne beskytte en stor andel af brugerne,« siger Jerry Egan fra Symantec.
Det sker netop for at slippe forbi de signaturer, som antivirusfirmaerne distribuerer til at identificere et ondsindet program, så snart de har opdaget en ny variant.
Derfor er det i dag nødvendigt at sikre virksomhedens pc'er med flere lag af sikkerhed. Det kan være links i e-mails til websteder, hvor sikkerhedssoftwaren først spørger en database om pålideligheden af det websted, der linkes til, før brugeren kan tilgå det.
Eller det kan være firewalls, som analyserer de pakker, der sendes over netværket for eksempelvis at opdage scriptkode fra et websted, som forsøger at udnytte en kendt sårbarhed i et program.
»Lige nu udkæmpes det primære slag ved frontlinjen af de proaktive teknologier,« siger Jerry Egan.
Virus via USB
Det betyder imidlertid ikke, at den komplette scanning er helt uddød. De proaktive teknologier har alle den svaghed, at de kan gøre meget lidt, hvis et ondsindet program er sluppet forbi dem. Enten fordi den konkrete variant ikke blev opdaget, eller fordi den kom ind på systemet uden at bruge netværket.
Det kan eksempelvis ske via USB-lagermedier. Selvom der er tale om en metode, der kan virke gammeldags i lyset af de internetorme, der plagede Windows-brugere i 2004, så er flere af de avancerede trojanske bagdøre i stand til at sprede sig via netværksdrev og eksterne lagermedier.
Samtidig har der også været flere eksempler på hukommelseskort og MP3-afspillere, som er blevet solgt med ondsindede programmer.
»Derfor har jeg stadig brug for noget, der kan beskytte min pc mod de trusler, som ikke er afhængige af internettet,« siger Bob Hansmann fra Trend Micro.
For at overkomme problemet med den eksplosive vækst i antallet af ondsindede programmer er antivirusfirmaerne derfor nødt til at ændre måden, der scannes på.
Selektiv scanning
I de to seneste generationer af sikkerhedspakker har sikkerhedsfirmaerne derfor fokuseret på at reducere ressourceforbruget, så der bruges mindre hukommelse, og processerne kan køre i baggrunden.
På længere sigt er firmaerne imidlertid nødt til at gøre selve scanningen mere selektiv for at yde den nødvendige sidste forsvarsbastion mod de trusler, som slipper forbi de proaktive forsvarsværker.
»Langt størstedelen af de seneste tusindvis af ondsindede programmer fungerer ikke uden en forbindelse til internettet, som kan afsløre dem. Men der er stadig nogle få programmer, som kan gøre skade uden internetforbindelse. Dem skal vi beskytte imod med signaturer,« siger Bob Hansmann.
Trojanske bagdøre i et botnet er afhængige at at kunne kommunikere med hinanden og centrale servere. Den trafik kan opdages af en firewall, så systemadministratoren kan identificere den inficerede pc og skride til handling.
En virus, som krypterer alle dokumenter på pc'en med en stærk algoritme for at bagmanden kan opkræve løsepenge for at udlevere nøglen, vil derimod være et eksempel på en type ondsindet program, hvor en signatur kan være det bedste forsvar.
Sikre filer slipper for scanning
Men det er ikke kun antallet af signaturer, som kan reduceres. Jo færre filer, der skal scannes, jo hurtigere går scanningen. Derfor arbejder sikkerhedsfirmaerne på at indbygge hvidlister over filer på pc'en, som ikke behøver blive scannet.
Det betyder, at antivirusprogrammet holder øje med, om en fil er blevet ændret siden den seneste scanning. Hvis filen ikke er ændret, behøver den ikke blive scannet.
Samtidig kan antivirusprogrammet sende forespørgsler til sikkerhedsfirmaet via internettet for at få en opdateret hvidliste over kendte filer, som ikke skal scannes.
»Størstedelen af filerne på en pc kan udpeges som sikre, og antallet af eksekverbare filer vokser ikke eksponentielt,« siger Jerry Egan fra Symantec.
Selvom de fleste trusler i dag bliver stoppet af firewalls og proaktive foranstaltninger både på klienten og netværket, så anbefaler sikkerhedsfirmaerne stadig, at man foretager en komplet scanning mindst én gang om ugen.
»Selvom det er meget sjældent, at den finder mere end et par cookies, så scanner jeg stadig min egen pc én gang om dagen. Bare i tilfælde af, at der skulle være havnet noget på den, som ikke er blevet fanget,« siger global uddannelseschef David Perry fra Trend Micro til Version2.dk.
