De meerderheid van de Windows-gebruikers opent geïnfecteerde bestanden, maar door het gebruik van een virusscanner blijft de schade beperkt. Mikko Hypponen, hoofdonderzoeker bij het Finse F-Secure, twitterde onlangs dat 0,29% van de Windows-gebruikers met de F-Secure virusscanner, op een doorsnee dag malware probeert te openen. De anti-virussoftware voorkomt dit echter.

"Ervan uitgaande dat de gebruikersbasis uniform is, wat een grote aanname is, zo moet ik toegeven, kunnen we een jaarlijks percentage extrapoleren", aldus Hypponen tegenover Security.nl. Wordt de 0,29% naar 365 dagen geëxtrapoleerd, dan blijkt dat 34,6% van de gebruikers geen malware probeert te openen. "Dat betekent dat 65,4% van onze gebruikers een geïnfecteerd uitvoerbaar bestand zou openen, als ze geen virusscanner zouden gebruiken."

Mogelijk dat het werkelijke percentage hoger ligt, omdat virusscanners ook via drive-by downloads verspreidde malware stoppen. Hierbij weet de gebruiker niet eens dat er geprobeerd wordt zijn computer te infecteren. Het kan dan zowel om websites als besmette bestanden gaan.

Sandbox
"We sandboxen ook binaire bestanden met onbekende hashes", merkt Hypponen op. Daarbij gebruikt de virusbestrijder de middelen die cybercriminelen juist gebruiken om virusscanners te omzeilen. "Ze denken dat we een probleem met variabele encryptie hebben, dus de huidige exploit-packs, zoals Blackhole, gebruiken voor elk slachtoffer een verschillende versleutelde binary. Dat betekent dat de gebruiker de eerste gebruiker op de planeet is die een bepaald bestand uitvoert", gaat Hypponen verder.

Voor de virusbestrijder zijn dit soort bestanden een grote rode vlag. "Als je een doorsnee eindgebruiker bent, hoe groot is dan de kans dat je de eerste persoon op de planeet bent die een bepaald bestand uitvoert? Sandbox that bitch", stelt de Finse virusexpert. Hij vindt dat virusscanners, ondanks alle kritiek die ze krijgen, nog steeds zinnig zijn.

Besparing
Joe Pindar van het Secure X Design blog, besloot met de cijfers van Hypponen een berekening uit te voeren. Daarbij kijkt hij naar het aantal infecties dat binnen een onderneming zou hebben plaatsgevonden als er geen virusscanner werd gebruikt.

Dit zou extra kosten met zich meebrengen voor het opnieuw installeren van het besturingssysteem, wat weer tijd van systeembeheerders kost. Een virusscanner zou zich, afhankelijk van de omvang van de onderneming, al binnen 33 dagen terugverdienen.