Waarom Windows-virusscanners Linux-ISO’s soms als malware aanmerken – en wat je eraan kunt doen

Het komt regelmatig voor dat mensen die Linux willen uitproberen, hun eerste ISO-bestand downloaden en vervolgens een melding krijgen van hun Windows-antivirusprogramma dat er sprake zou zijn van een virus. Dit kan behoorlijk verwarrend zijn voor beginners. Toch is er meestal geen reden tot paniek: in de overgrote meerderheid van de gevallen gaat het om een false positive – een foutieve melding van de scanner.

Waarom gebeurt dit?

Een ISO-bestand is een schijfimage. Het bevat alles wat nodig is om een besturingssysteem te installeren:

• programmabestanden en drivers,
• een bootloader,
• scripts die de schijf kunnen herindelen,
• en kernelcode die rechtstreeks toegang krijgt tot de hardware.

Voor een virusscanner op Windows ziet dit er verdacht uit. Zo’n scanner is immers getraind om alarm te slaan wanneer er bestanden voorkomen die de schijfstructuur wijzigen of op een laag niveau met het systeem communiceren. Hoewel dit volkomen legitiem gedrag is bij een besturingssysteeminstallatie, lijkt het op dezelfde technieken die ook door schadelijke software gebruikt worden.

Daarnaast beschouwen veel antivirusprogramma’s een ISO als een archief vol uitvoerbare bestanden. Omdat Windows die bestanden zelf niet kan uitvoeren, is er vrijwel geen risico dat een Windows-gebruiker door het openen van een Linux-ISO besmet raakt. Toch kan de scanner signalen afgeven omdat hij denkt dat er potentieel gevaarlijke code in staat.

Hoe groot is het risico echt?

Het risico dat er daadwerkelijk Windows-malware in een Linux-ISO belandt is nagenoeg nihil. De meeste Linuxdistributies worden samengesteld op Linuxmachines door hun eigen ontwikkelaars, vaak met behulp van geautomatiseerde bouwsystemen. Deze zijn niet ingericht om Windows-executables te produceren of op te nemen.

Toch geldt: voorzichtigheid kan geen kwaad. Er is altijd een minieme kans dat een download corrupt is geraakt of dat iemand een gemanipuleerde versie aanbiedt via een onofficiële bron.

Wat kun je doen bij een melding?

1. Controleer de ISO met een tweede scanner
   Gebruik bijvoorbeeld een andere antivirus of een online dienst zoals VirusTotal. Wordt de ISO alleen door één scanner gemeld, dan is het vrijwel zeker een false positive.

2. Verifieer de checksums of GPG-handtekeningen
   Op de officiële website van de distributie staan meestal SHA256- of andere checksums. Vergelijk deze met je eigen download. Als ze overeenkomen, weet je dat het bestand authentiek is.

3. Download altijd van officiële bronnen
   Gebruik de website van de distributie zelf, of erkende mirrors. Vermijd willekeurige downloadsites.

4. Meld een mogelijke besmetting direct bij de ontwikkelaars
   Krijg je bevestiging van meerdere scanners dat er iets mis lijkt, dan is het zinvol dit bij het project te melden. Meldingen naar doorverwijzende websites hebben weinig nut, omdat die de ISO’s niet zelf hosten.

Het is begrijpelijk dat Windows-antivirusprogramma’s soms Linux-ISO’s als bedreiging zien: de inhoud lijkt verdacht vanuit het perspectief van Windows-beveiliging. In de praktijk gaat het echter vrijwel altijd om vals alarm. Wie overstapt naar Linux doet er goed aan om downloads te controleren via checksums en eventueel een tweede scanner, maar hoeft zich meestal geen zorgen te maken.

Doo: Drifter