hmm geen MSE (Microsoft Security Essentials) helaas ...

En als de gebruiker altijd no/nee antwoord op de gestelde vraag om door te gaan dan lijkt mij PC-Tools de beste?

Waar is MSE 4?

Wellicht omdat MSE geen url blocker heeft (zoals de meeste gratis varianten van betaalde pakketten) is die niet meegenomen in de test (alleen de gratis versie Avast heeft een url blocker).

De scriptscanner van MSE (alleen i.c.m IE9 en hoger) zou wel e.e.a kunnen blokkeren maar alleen als die de kwaadaardige JavaScript op de gecompromitteerde website ook als zodanig herkent.

Verder is het jammer dat de url blocker van MBAM ook niet is meegenomen in de test. Ik gebruik MBAM (o.a om de url blocker) naast mijn -gratis-AV en zou wel eens willen weten hoe effectief die is.

Ik vraag me altijd af hoe noodzakelijk een url blocker is, evenals een emailscan. Naar mijn mening is de zogenaamde "on access scan" afdoende. Moet iedere drive-by download en iedere emailworm niet eerst uitgevoerd worden, weliswaar met of zonder de gebruiker als tussenkomstigheid, maar de on access scanner zou er wel altijd alarm op moeten slaan.
Hoe denken jullie hierover?

Het lijkt me efficiënter om de malware aan de bron te blokkeren dan om de kwaadaardige payload toe te laten op je systeem, en dan maar hopen dat deze wordt gedetecteerd, geblokkeerd en volledig-zonder andere bestanden te beschadigen-verwijdert.

Als je je een beetje met deze materie bezig houdt dan weet je dat detectie, blokkering en verwijdering verschillende dingen zijn. Niet alle AV's zijn even goed in alle drie aspecten, sterker nog, de meeste laten in de verwijderingsfase resten achter die in de meeste gevallen weliswaar verder onschadelijk zijn maar toch...

In het geval van phishing-sites die lokaal verder niets installeren maar via andere technieken inlog-gegevens en andere data aan de gebruiker trachten te ontfutselen, lijkt me het nut van een url-blocker evident. Aangezien er geen kwaadaardige payload afgeleverd wordt die zich lokaal installeert zal een residente scanner je hierbij niet van nut zijn. Heb je geen software draaien die deze sites kan blokkeren dan moet je maar hopen dat je als gebruiker voldoende geïnformeerd en oplettend genoeg bent om dergelijke sites te herkennen.

Ten slotte is er het argument dat geen enkele beveiligingstechniek 100% garantie geeft en dat daarom een goede beveiligings-setup uit lagen bestaat die elkaar aanvullen en de zwakheden van elke individuele laag compenseren; herkent de url-blocker de website niet als kwaadaardig dan kan een goed rechtenbeheer de installatie van de executable eventueel blokkeren, gebeurt dat niet dan is er altijd nog de residente scanner en als ook die faalt dan kan een goede systeembewaker (HIPS) mogelijke kwaadaardige systeemveranderingen alsnog melden aan de gebruiker die dan actie kan ondernemen.

Nee, want een standaard on-access virusscanner scant bestanden tijdens het lezen. Bij de meeste exploits belandt er helemaal niets op je schijf (dat kan de maker desgewenst voorkomen door de http header Cache-Control: no-cache, no-store). En als er wel naar schijf geschreven wordt (browsercache), wordt er vaak niet uit het bijbehorende bestand gelezen - dus slaat de virusscanner niet aan.

En het zijn niet alleen URL-blockers (site gebaseerd) die malware tegenhouden, maar in mijn ervaring ook blockers van kwaadaardige javascript (content gebaseerd). Lastig is alleen dat er eindeloos veel manieren zijn om javascript te obfusceren waardoor het relatief eenvoudig is om virusscanners te omzeilen.

Voor e-mail geldt iets vergelijkbaars: deze worden vaak in database-achtige bestanden opgeslagen, en soms vindt daarbij versleuteling plaats. Zonder versleuteling moet een virusscanner maar zien te raden waar de laatste mails in die database zijn geschreven (tenzij er een API voor beschikbaar is en de virusscanner deze benut). Nb. PST files van 1GB zijn geen uitzondering, het lijkt me niet bevorderlijk voor de performance als virusscanners die 1GB elke keer helemaal gaan scannen na een wijziging (en het is nog maar de vraag of eventuele exploits en/of malware bestanden dan als bestand kunnen worden herkend). Bij versleuteling van zo'n mailboxfile is de virusscanner natuurlijk kansloos. De beste plek om e-mail te scannen is dus als deze nog 1 niet-versleuteld objectje (met daarin eventuele bijlagen) is in bijv. Outlook - via de API die mailprogramma's meestal bieden voor dit doel.

Omdat exploits de webbrowser of het emailprogramma als doel kunnen hebben is het belangrijk om in een zo vroeg mogelijk stadium, dus na onmiddellijk na ontvangst of na decryptie indien van toepassing (denk aan https en bijv. secure pop3/IMAP via SSL).

Overigens heb ik sterk het gevoel dat AV-Comparatives een veel te rooskleurig beeld schetst. In mijn ervaring zijn virusscanners bijzonder slecht in het alarm slaan bij gecompromitteerde of bewust malware verspreidende websites (denk aan laatst nu.nl, daar zijn toen heel wat PC's door besmet geraakt waarvan velen gewoon een up-to-date virusscanner draaiden).