"Het opvolgen van dit advies vormt momenteel geen groot gevaar, maar het heeft wel een enorm potentieel om dat te worden. Cybercriminelen kunnen kwaadaardige bestanden plaatsen in één van de folders waarvan Microsoft adviseert die uit te sluiten van scannen. Of ze kunnen een bestandsextensie gebruiken die ook op de uitsluitingslijst staat", blogt malware-onderzoeker David Sancho van Trend Micro.

Snelheid vs security

De ophef is over een advies dat Microsoft geeft aan beheerders om het scannen op malware, zoals virussen, sneller te laten verlopen. Dat advies is in oktober al gepubliceerd in een Knowledge Base-artikel, dat van toepassing is op Windows 2000, XP en 2003. Trend Micro krijgt daar nu vragen over van klanten, aldus Sancho. Hij ergert zich er ook aan dat deze informatie publiekelijk bekend is gemaakt.

In het support-artikel krijgen systeembeheerders van Microsoft het advies om antivirusuitzonderingen te maken voor bepaalde mappen en bestanden. Dit betreft de SoftwareDistribution-map, waar Windows Update-bestanden zich bevinden. Daarnaast bepaalde bestandsextensies (.edb,. .chk, en .log), op specifieke locaties. En tot slot enkele bestanden in bepaalde mappen die zijn gerelateerd aan Group Policy-instellingen.

'Kan zinnig zijn'

Volgens de Windows-leverancier kan het geen kwaad de genoemde bestanden en mappen over te slaan bij malwarescans. "Deze bestanden lopen geen gevaar voor infectie." Het toch scannen van die bestanden kan zware prestatieproblemen opleveren, meldt Microsoft. Dat komt doordat het besturingssysteem die bestanden heeft vergrendeld (file locking), waardoor Windows en antivirus er om 'vechten'.

Sancho erkent dat het wel zinnig kan zijn om Windows Update en bepaalde bestanden voor Group Policy-beheerregels uit te sluiten van virusscanning om het systeem snel te houden. Hij vreest echter voor wijdverbreide toepassing en dan wijdverbreid misbruik van deze uitzonderingen door malwaremakers.

Niet voor beginners

"Dit is niet iets voor beginnende gebruikers of beheerders", stelt Sancho. Securitybedrijf nCircle is het hiermee eens, meldt Computerworld. Maar directeur Andrew Storms van die concurrent ziet geen probleem in de openlijke publicatie van Microsofts whitelist-advies. Hij denkt niet dat cybercriminelen zich nu hierop storten om hun malware te verbergen.

"Waar malware is opgeslagen in het bestandssysteem is niet de wortel van het dilemma van antivirussoftware. Dat zit juist in het feit dat antivirus een achteraf-handeling is met een blacklist-benadering voor security. Het helpt wel doordat het een extra verdedigingslaag vormt, maar het zal echt niet alles afvangen."

Grondig bestuderen

Trend Micro-onderzoeker Sancho komt met het 'tegenadvies' deze maatregelen van Microsoft grondig te bestuderen alvorens ze eventueel toch te implementeren. "Sluit geen bestanden uit tenzij er een kritieke reden is om dat te doen. En wees dan bewust van de risico's die een dergelijke handeling met zich mee kan brengen."

Microsoft houdt in het advies nog wel een slag om de arm. "Bepaalde aanbevelingen van leveranciers van antivirussoftware hebben wellicht voorrang boven de aanbevelingen in dit artikel."

Daarnaast stelt de Windows-producent ook dat beheerders niet 'blind' uitzonderingen moeten maken op basis van bestandsnaamextensies. "Microsoft heeft geen controle over andere bestanden die dezelfde extensie gebruiken als de bestanden die hier worden vermeld."