Verwijder geïnfecteerde bestanden (1)
Benodigdheden?
- Quarantainecomputer
- Antivirussoftware
Wat?
Voor de fysieke overdracht werden reeds de virusdefinities van de quarantainecomputer geüpdatet. Nu worden de overgedragen data op virussen gecontroleerd. Hiervoor bestaan twee methoden:
- Het scannen van bestanden
- De antivirussoftware scant alle bestanden op de computer en vergelijkt deze met een databank waarin alle gekende virussen opgelijst zijn.
- Bij een overeenkomst is het bestand met het overeenkomstige virus uit de databank geïnfecteerd.
- De antivirussoftware kan dan het virus verwijderen, het geïnfecteerde bestand in quarantaine plaatsen zodat het virus zich niet kan verspreiden, of het hele bestand verwijderen.
- Het identificeren van verdacht gedrag van computerprogramma's
- Deze techniek dient om niet bekende virussen te detecteren.
- Deze methode wordt minder vaak gebruikt omdat ze niet altijd even betrouwbaar blijkt.
Tijdens deze fase wordt het archief een eerste maal gecontroleerd op geïnfecteerde bestanden. Later zal men op het werkstation met een andere antivirussoftware een tweede maal scannen. Op deze manier maakt men gebruik van meerdere virusdefinities en is het risico op missen van malware miniem.
Waarom?
Virussen kunnen dataverlies veroorzaken. De controle op virussen en malware vormt een belangrijke kwaliteitscontrole bij de overdracht van digitaal archief. Alle bestanden moeten virusvrij zijn vooraleer ze op het werkstation terechtkomen om te voorkomen dat zij geen andere bestanden op het netwerk contamineren.
Wanneer?
Een eerste viruscontrole gebeurt in quarantaineomgeving, nog voor het schonen.
Hoe?
Controleer de overgedragen bestanden op virussen met een actuele antivirussoftware. Het is aangewezen om tijdens deze eerste controle een betalende antivirustool te gebruiken.
Opgelet!
Wees er zeker van dat jouw antivirussoftware verborgen, gecomprimeerde en versleutelde bestanden kan analyseren. Niet elke virusscanner is hier geschikt voor. Wanneer je antivirussoftware dit niet ondersteunt, is het aangewezen om bestanden eerst zichtbaar te maken en te decomprimeren. Dit gebeurt zonder het archief te kopiëren naar de harde schijf van de quarantainecomputer.
Antivirussoftware loopt steeds achter de feiten aan. Zij bieden een antwoord op reeds bestaande virussen en malware.
- Het is dus aangewezen om voor recente bestanden na de viruscontrole de bestanden nog een periode in de quarantaineomgeving te houden zodat nieuwe virussen bij een volgende update van de antivirussoftware wel herkend worden.
- In de praktijk zal dit niet zo dwingend zijn, omdat het meestal over oude bestanden gaat.
Bij de keuze van een antivirussoftware is het belangrijk dat je rekening houdt met oude of verouderde virussen. veel producenten verwijderen na verloop van tijd oude virussen uit hun databanken, hoewel verouderde bestanden deze virussen nog wel kunnen bevatten!
Zorg ervoor dat uw antivirussoftware regelmatig geüpdatet wordt. Werk hiervoor een procedure uit.
Wanneer virussen niet verwijderd kunnen worden, worden de geïnfecteerde bestanden helemaal verwijderd uit het archief. Afhankelijk van wat in de overeenkomst is vastgelegd, worden de bestanden vernietigd of teruggegeven.
- Soms kan het echter van belang zijn om deze bestanden wel in een inactieve staat op te nemen in het containerbestand (bijvoorbeeld voor later onderzoek). Documenteer steeds wat met de geïnfecteerde bestanden gebeurt.
Indien mogelijk, is het interessant om deze eerst controle uit te voeren in Linuxomgeving. Het verspreiden van virussen en verder contamineren van bestanden wordt op deze manier tot een minimum herleid. Dit komt omdat de meeste virussen bestemd zijn voor Windows. Ook het verwijderen van malware zal op deze manier vaak gemakkelijker verlopen.
Meer lezen?
AIMS Work Group, 2012. AIMS Born-Digital Collections: An Inter-Institutional Model for Stewardship