2024-04-10 Help! ReflexBlue bevat een Virus!!!
Geschreven door: Rogier Bessem
Geen paniek! Je kunt rustig blijven ademhalen. Al geeft je virusscanner aan dat ReflexBlue een virus bevat is dit meestal niet zo. Lees in deze blog waarom de virusscanner je onterecht waarschuwt.
Waarom geeft jouw virusscanner aan dat ReflexBlue een virus bevat
Computervirussen zijn op zijn minst heel vervelend en kunnen zelfs gevaarlijk zijn. Makers van computervirussen hebben over het algemeen malafide doelen. Ze proberen informatie van je te stelen of je computer te gijzelen.
Omdat hiermee veel geld te verdienen is besteden deze virusmakers veel tijd aan het onzichtbaar maken van het virus voor de virusscanner die jij op je computer hebt staan.
Dit is een grote uitdaging voor de makers van de virusscanner. Ze moeten ervoor zorgen dat hun virusscanner bestanden inspecteert op zo’n manier dat ze toch herkennen dat het bestand een virus bevat. Hiervoor gebruiken ze veel verschillende manieren van inspectie. Een aantal zijn heel concreet en kunnen met zekerheid zeggen dat een bepaald virus herkend is. Andere manieren zijn veel minder concreet. Deze geven slechts een waarschijnlijkheid aan dat iets een virus is. De virusscanners moeten er ook voor zorgen dat ze virussen kunnen herkennen die nog nooit eerder zijn gesignaleerd. Al met al dus een behoorlijke uitdaging.
Deze uitdaging is zo groot is dat virusscanners ook fouten in hun analyse kunnen maken. Een virusscanner kan soms aangeven dat een bestand veilig is terwijl deze in werkelijkheid helemaal niet veilig is. Dit noemen we met een engelse term false-negative. Daar tegenover staat dat een virusscanner ook kan aangeven dat een bestand onveilig is terwijl er niets aan de hand is met het bestand. Dit noemen we dan een false-positive.
Voor de makers van een virusscanner is het belangrijk om de hoeveelheid false-negative en false-positive uitslagen te beperken. Te veel false-positive meldingen zorgt ervoor dat je jouw virusscanner als een vervelend systeem gaat ervaren. Misschien zelfs wel zo vervelend dat je de scanner uitschakelt. Te veel ‘false-negative’ uitslagen en je verliest het vertrouwen in je virusscanner omdat 'ie virussen niet heeft gedetecteerd.
De virusscanner moet dus zo werken dat het een goed compromis vindt tussen het aantal false-negatives en false-positives. Meestal kiest de maker van de virusscanner ervoor om wat meer false-positives toe te staan als dat het aantal false-negatives omlaag brengt.
Omdat virusscanners altijd zo’n compromis moeten maken kan het dus zijn dat ReflexBlue als virus wordt aangemerkt terwijl deze dat in werkelijkheid niet is.
Wat je kunt doen met zo’n melding van je virusscanner
Als een virusscanner vindt dat een bestand geïnfecteerd is met een virus dan verwijderd de virusscanner dit bestand meestal direct. Sommige scanners verplaatsen het bestand naar een quarantaine locatie, andere verwijderen het bestand volledig.
Melden van een false-positive bij de producent van de virusscanner
De virusscanner registreert veel informatie over het geïnfecteerde bestand. Je kunt in de virusscanner deze informatie terug vinden en je kunt daar ook aangeven dat je vind dat het een false-positive identificatie is. Zodra je dat doet worden de gegevens van dit bestand naar de producent van de virusscanner gestuurd. Deze gaat die gegevens verder onderzoeken om te bepalen of het een echt virus betreft. Als het bestand geen virus bevat dan passen ze de virusscanner aan zodat deze het bestand als veilig aanmerkt. Dit proces duurt meestal een aantal dagen.
Gebruik online een andere virusscanner om het bestand nogmaals te analyseren
Er zijn op het internet een aantal gratis virusscanners te vinden waar je bestanden naartoe kunt uploaden. Als deze scanners het bestand veilig vinden dan kun je er redelijkerwijs van uitgaan dat het bestand veilig is.
Het bestand uitsluiten voor analyse
Nadat je via de online virusscanners jezelf hebt overtuigd dat het om een false-positive melding gaat kun je in de virusscanner het bestand uitsluiten voor analyse. Hiermee voorkom je dat de scanner het bestand verwijderd. Op deze manier kun je toch gebruik blijven maken van ReflexBlue terwijl je wacht op een nieuwe release van de virusscanner.
Als de virusscanner bestanden heeft verwijderd die ervoor zorgen dat ReflexBlue niet meer werkt op jouw PC dan kun je via de gebruikelijke manier ReflexBlue opnieuw installeren op je machine. Omdat je eerder al in de virusscanner hebt aangegeven dat het bestand uitgesloten moet zijn voor analyse zal je na herinstallatie weer gebruik kunnen maken van ReflexBlue.
Neem contact op met de helpdesk van ReflexSystems
Mocht het jou of jouw systeembeheerder niet lukken om te bepalen of de virusmelding terecht is neem dan contact op met onze helpdesk. Je kunt natuurlijk ook contact met ons opnemen als het opnieuw installeren van ReflexBlue niet lukt.
Waarom ReflexSystems niet altijd kan voorkomen dat je deze melding krijgt
Er zijn veel verschillende virusscanners. Elke virusscanner heeft zijn eigen manier om te bepalen of een bestand veilig is of niet. Sterker nog, de manier hoe deze bepaald of het bestand veilig is wordt geheim gehouden. Anders wordt het de makers van het virus wel heel erg gemakkelijk gemaakt.
Dit zorgt ervoor dat het voor ReflexSystems niet mogelijk is om te voorkomen dat onze producten altijd volledig vertrouwd worden door de virusscanners.
Wat doet ReflexSystems er aan om dit soort meldingen te voorkomen
Al onze programma’s worden digitaal ondertekend met een code-signing certificaat. Dit zorgt ervoor dat een kwaadwillende partij niet zomaar aanpassingen aan onze producten kan maken.
Het certificaat zorgt er ook voor dat de producenten van virusscanners onze producten herkennen als afkomstig van ReflexSystems. Hiermee bouwen we een steeds betere reputatie op bij deze producenten. Een goede reputatie zorgt ervoor dat we minder snel gezien worden als een mogelijke bedreiging.
Dit opbouwen van de reputatie gaat vrij langzaam. Onze software moet voldoende vaak gebruikt worden voordat de reputatie hoog genoeg is. De maatstaf hiervoor is het gebruik van de software over de hele wereld.
Aangezien ReflexBlue nog niet die mondiale schaalgrootte heeft bereikt is het opbouwen van de reputatie een langdurig proces. Toch is dit de enige manier om in de toekomst te voorkomen dat onze producten slachtoffer worden van verkeerde veiligheidsanalyses. Wij blijven daarom onze producten op zo’n manier publiceren dat we uiteindelijk die hoge reputatie bereiken.