KB » Computer » Beveiliging

Beveiliging

    Tweeten

Introductie

In hoofdlijnen moet je je tegen 2 dingen beschermen:

Naast gebruik maken van hulpmiddelen als firewalls en scanners, kan je zelf ook het nodige doen om problemen te voorkomen.


Algemene firewall info

Vanaf het moment dat je PC met Internet verbonden is moet je een firewall actief hebben. Tegenwoordig hebben de kastjes (routers/modems) die voor de verbinding met de buitenwereld zorgen vaak ook al een ingebouwde firewall, dus in principe zou het moeilijk moeten zijn om je PC ongevraagd te benaderen vanaf het Internet.

Maar een firewall heeft nog een andere functie, nl. verhinderen dat programma's op je PC dingen naar buiten sturen zonder dat dat jouw bedoeling was. Een goede firewall vraagt dus bij elk nieuw programma dat verbinding met Internet probeert te maken aan de gebruiker of hij daar toestemming voor geeft, en zo ja, eenmalig of (min of meer) permanent.

In principe hoef je zo'n vraag maar 1 keer te beantwoorden. Maar als je bv. je browser vervangt door een hogere versie, ook al is het maar 10.1 door 10.2, dan is het niet meer hetzelfde programma en krijg je de vraag opnieuw.

Er zit standaard een firewall in Windows ingebouwd, maar die is, zoals de meeste Microsoft produkten, zeer middelmatig.

ZoneAlarm

Als je meer mogelijkheden wilt kan je ook nadenken over de gratis versie van ZoneAlarm. Je kan naast alleen de firewall (ZoneAlarm Free Firewall) ook kiezen voor een combinatie met antivirus (ZoneAlarm Free Antivirus + Firewall), maar daar heb ik geen ervaring mee.

In tegenstelling tot de Microsoft firewall bestookt die je wel af en toe met lastige vragen (of een programma toegang tot Internet mag hebben), waarop het antwoord vaak zelfs voor een expert niet zo eenvoudig is. Hier meer info over ZoneAlarm.

Emsisoft firewall (Online Armor)

En als je het echt goed wilt doen kan je het beste de firewall van Emsisoft aanschaffen (niet gratis, dus), maar die produceert nog ingewikkelder vragen dan ZoneAlarm


Windows firewall

Windows firewall uitschakelen

Als je een andere firewall, zoals ZoneAlarm hebt draaien, kan je het beste de ingebouwde Windows firewall uitschakelen. Dat doe je als volgt:

ZoneAlarm

Onderstaand info over problemen met dit programma, de lastige vragen die het stelt, en later uitleg over de meer ingewikkelde aspecten van het programma.

Betekenis van de vragen die ZoneAlarm stelt

Melding Versie Extra informatie Betekenis en/of oplossing
SUSPICIOUS BEHAVIOR
Handy Backup 5.4 may be trying to prevent 'Handy Backup 5.4' from running each time your computer is started by modifying the registry key: HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
11.0.000.057
SUSPICIOUS BEHAVIOR
programma may be trying to prevent 'ander_programma' from running each time your computer is started by modifying the registry key: register_sleutel
11.0.000.057
SUSPICIOUS BEHAVIOR
Handy Backup 5.4 Agent is trying to launch D:\PROGRAM FILES\Novosoft\HANDY BACKUP\backup.exe, or use another program to gain access to privileged resources
11.0.000.057 Application: D:\PROGRAM FILES\Novosoft\HANDY BACKUP\hbagent.exe Zie hier voor de algemene betekenis van dit soort meldingen.
In dit geval wil de service die bij mijn backup-programma hoort het backup-programma zelf starten, dus niets aan de hand.
SUSPICIOUS BEHAVIOR
programma is trying to launch ander_programma, or use another program to gain access to privileged resources
11.0.000.057 Application: nog_een_ander_programma Houdt vaak in dat het ene programma het andere probeert te starten, wat op zich niet zo ongewoon is. Als je bv. op een link in een mail klikt en je browser draait nog niet, zal je browser alsnog gestart worden.
REPEAT PROGRAM
Handy Backup 5.4 is trying to access the Internet.
11.0.000.057 Identification: Unknown
Application: D:\PROGRAM FILES\Novosoft\HANDY BACKUP\backup.exe
Destination IP: 127.0.0.1 Port 7507
* This program has previously asked for Internet access.
REPEAT PROGRAM
PSPad.exe is trying to access the trusted zone.
11.0.000.057 Identification: Unknown
Application: N:\Tools DVD\Tools\Editors\PSPad\PSPad.exe
Destination IP: 192.168.178.1 DNS
* This program has previously asked for Internet access.
SUSPICIOUS BEHAVIOR
procexp11.33 is trying to install a new driver or service: PROCEXP113
11.0.000.057 Application: N:\Tools DVD\Tools\System internals\Procexp\procexp11.33.exe Zie hier voor de algemene betekenis van dit soort meldingen.
In dit geval is het geen probleem, want ik heb dit programma van de site van Microsoft, en weet dat het 100% betrouwbaar is. Bovendien staat in de help-informatie van het programma ook dat het een nieuwe driver installeert.
SUSPICIOUS BEHAVIOR
programma is trying to install a new driver or service: driver_of_service
11.0.000.057 Application: padnaam_van_het_programma Dit is echt gevaarlijk, want een stuurprogramma of service heeft vaak veel meer privileges dan een normaal programma. Blokkeren tenzij je behoorlijk zeker weet dat het geen kwaad kan.

Problemen met ZoneAlarm

ZoneAlarm niet te killen met Taakbeheer, Process Explorer e.d.

Je kan ZoneAlarm afsluiten via het icoontje in het systeemvak (system tray).

Maar als er een probleem is (ik heb momenteel een vraag openstaan die nergens meer op reageert), dan heb je dus geen enkele manier meer om het programma te sluiten. Ondertussen slurpt het wel 50% van mijn CPU-capaciteit op.

Enige oplossing lijkt dus PC te herstarten.

Extra uitleg over ZoneAlarm

Emsisoft

Onderstaand info over problemen met dit programma, de lastige vragen die het stelt, en later uitleg over de meer ingewikkelde aspecten van het programma.

Vragen die door Online Armor gesteld worden

Melding Versie Betekenis en/of oplossing
Autorun detected

Program:
C:\Program Files (x86)\ABBYY FineReader 11\Bonus.ScreenshotReader.exe

Which program requested this change?
E:\Tools DVD\Tools\System internals\Autoruns\autoruns11.1.exe

What does this mean?
The program Bonus.ScreenshotReader.exe wants to start automatically with your computer.

What should I do?
If you are installing a program you know is safe, then Allow this action. If you see that an unwanted program runs next time you start Windows, you can block it in the "Autoruns" list.
8.1.0.4 Ik verwijderde met AutoRuns een programma waarvan het bestand toch niet gevonden werd (File not found). Dat was meegekomen met een OCR-programma.
Autorun detected

Driver:
...\PROCEXP151.SYS
Product Name: Process Explorer
Product Version: 15.00
Company: Sysinternals - www.sysinternals.com
Descripton: Process Explorer


Which program requested this change?
E:\Programs\Sysinternals\procexp64.exe

What does this mean?
The program PROCEXP151.SYS wants to start automatically with your computer.

What should I do?
If you are installing a program you know is safe, then Allow this action. If you see that an unwanted program runs next time you start Windows, you can block it in the "Autoruns" list.
8.1.0.4 Ik verwijderde met AutoRuns een programma waarvan het bestand toch niet gevonden werd (File not found). Dat was meegekomen met een OCR-programma.
Autorun detected

Program:
D:\Install.exe

Which program requested this change?
C:\Windows\explorer.exe

What does this mean?
The program Install.exe wants to start automatically with your computer.

What should I do?
If you are installing a program you know is safe, then Allow this action. If you see that an unwanted program runs next time you start Windows, you can block it in the "Autoruns" list.
8.1.0.4 Ik deed een CD van een Engelse cursus in de DVD-speler. Ik weet niet waarom alleen deze CD een dergelijke melding geeft.
An installer wants to run

Module:
...\DBUpdate.atw
Product Name: TUTUpdate
Product Version: 1.00

Parent program:
...\TUT_UPDATER.EXE

What does this mean?
Online Armor has detected that this program is probably an installer.

What should I do?
If you are intentionally installing software and trust DBUpdate.atw, check "Trust this program" and "Install mode" and click Allow. If this alert appeared without a known action by you (particularly if you are currently surfing the internet), you should consider Blocking it.
8.1.0.4 Deze melding volgde op deze.
UltimateTroubleshooter.exe wants to set global hook

Program:

UltimateTroubleshooter.exe
Product Name: TUT
Product Version: 4.92
Company: AnswersThatWork.com
Descripton: The Ultimate Troubleshooter

Hook details: HOOK_MOUSE
Module: C:\Windows\system32\MSVBVM60.DLL

What does this mean?
The program may try to control other processes by placing a dll into their address space.

What should I do?
If you do not recognize UltimateTroubleshooter.exe then you should Block this request and seek help on the Online Armor support forums.
8.1.0.4 Ik startte een programma dat informatie geeft over andere programma's.
Driver Magician Lite.exe wants to set global hook

Program:

...\Driver Magician Lite.exe
Product Name: Driver Magician Lite
Product Version: 3.98
Company: GoldSolution Software, Inc.
Descripton: Device drivers backup tool for Windows

Hook details: HOOK_MSGFILTER
Module: C:\Windows\SysWow64\mscomctl.ocx

What does this mean?
The program may try to control other processes by placing a dll into their address space.

What should I do?
If you do not recognize Driver Magician Lite.exe then you should Block this request and seek help on the Online Armor support forums.
8.1.0.4
A program wants to run

Program:

...\FreeCommanderPortable.exe
Product Name: FreeCommander 2009 Portable
Product Version: 2009.02b
Company: Marek Jasinski & contributors
Descripton: FreeCommander 2009 Portable

Parent Program: ...\2xExplorer.exe

What does this mean?
Online Armor can't make a decision on whether this file is good or bad because it has not been classified by us yet.

What should I do?
If that program was intentionally started and you trust the source of the file, click Allow. If this alert appeared without any known action and you're currently surfing the internet, consider Blocking it.
8.1.0.4 Ik startte FreeCommander, een zeer bekende file manager.
A program you have trusted has changed

Module:

...\nvSCPAPI.dll
Product Name: NVIDIA GeForce 3D Vision
Product Version: 7.17.13.3158
Company: NVIDIA Corporation
Descripton: NVIDIA 3D Vision Control Panel API

Parent Program: ...\Google\Chrome\Application\chrome.exe

What does this mean?
Online Armor takes a unique fingerprint of a program. This means that any changes to the program are detected, so you can decide again whether or not to allow the program to run, or access the internet. This protects you from programs that try to replace legitimate programs with malware.

What should I do?
Usually, this will happen after you have updated to a new version of a program. In which case, everything is fine. However, if something "suspicious" just happened, for example you received an email with an attachment and ran it - consider blocking.
8.1.0.4 Ik startte FreeCommander, een zeer bekende file manager.
A dangerous program wants to run

Program:

...\DriverView.exe
Product Name: DriverView
Product Version: 1.16
Company: NirSoft
Descripton: DriverView

Parent Program: ...\2xExplorer.exe

What does this mean?
Online Armor has detected that this file is a virus or a dangerous program.

What should I do?
The program DriverView.exe was determined to be dangerous. It is highly recommended that you Block this action.
8.1.0.4 Ik startte een oude versie van een programma waarvan ik zeker weet dat het betrouwbaar is.
2xExplorer.exe wants to access hard disk directly

Program:

...\2xExplorer.exe
Product Name: 2xExplorer Application
Product Version: Omega
Company: Varate Vgiolitzndes Records
Descripton: 2xExplorer MFC Application

Device name: \??\O:

What does this mean?
Direct disk access is a dangerous and unusual action. Malware, viruses and rootkits can use this to install themselves to a system or to access sensitive data.

What should I do?
Until you are sure this program is safe, you should Block it.
8.1.0.4 2xExplorer.exe is een file manager die ik zeer veel gebruik, en (afgezien van dat het programma een aantal bugs bevat, en soms iets niet wil doen) me nog nooit problemen heeft bezorgd. Maar wel interessant om te leren dat het programma blijkbaar Windows (deels) omzeilt, en de schijf op een dubieuze (maar wel snellere) manier benadert.
A program wants to use the internet

Program:
...\DriverGenius\Liveupdate.exe
Product Name: LiveUpdate
Product Version: 10.00.0526
Company: Driver-Soft Inc.
Descripton: LiveUpdate

What does this mean?
The program is not flagged as good or bad by the Online Armor team. We cannot make this decision for you automatically.

What should I do?
Some programs need to connect to the internet to get updates or activate. Other programs use the internet to serve advertising or other undesirable content. If you expect this program to connect to the internet, consider Allowing this request.
8.1.0.4 Ik startte een programma dat controleert of alle stuurprogramma's in orde zijn, en het moet dus logischerwijs contact maken met Internet om de nieuwste definities op te halen.
Diagnosis: Program is attempting to download data invisibly from the internet
File name: c:\...\Adobe AIR Updater.exe

What does this mean?
While executing this program, Anti-Malware detected a possibly malicious behavior. The program is attempting a hidden transfer of data from the Internet. If you haven't intentionally started the program displayed above, then it is a good idea to block the program and possible also place it in quarantine. If you know what the program is, and are sure that it is not dangerous, then click on [Allow this behavior] or [Exclude from protection].
8.1.0.4 Updaten van Adobe AIR, melding 1.
Diagnosis: Program is behaving in a similar manner to Spyware (LAN bypass backdoor)
File name: c:\...\Adobe AIR Updater.exe

What does this mean?
While executing this program, Anti-Malware detected a possibly malicious behavior. The program is attempting a hidden transfer of data to the Internet. If you are sure you want this program to continue its invisible dat transfer, allow it. If you haven't intentionally started the program displayed above, then it is a good idea to block the program and possible also place it in quarantine. If you know what the program is, and are sure that it is not dangerous, then click on [Allow this behavior] or [Exclude from protection].
8.1.0.4 Updaten van Adobe AIR, melding 2.
Diagnosis: Program is attempting to install invisibly
File name: c:\...\AppData\Local\Cln9E0A.tmp

What does this mean?
While executing this program, Anti-Malware detected a possibly malicious behavior. The program is attempting to install something invisibly. If you haven't intentionally started the program displayed above, then it is a good idea to block the program and possible also place it in quarantine. If you know what the program is, and are sure that it is not dangerous, then click on [Allow this behavior] or [Exclude from protection].
8.1.0.4 Updaten van QuickTime

Problemen met Online Armor

Extra uitleg over Online Armor


Algemene info over virussen, spyware, e.d.

Malware is een verzamelnaam voor virussen, spyware, rootkits, en alle andere soorten software die slechte bedoelingen hebben.

Functies van scanners

Virus- en spywarescanners hebben 2 belangrijke functies:

Vertraging door scanners

Een complete scan van een PC kan aardig lang duren. Dat is op zich nog niet zo erg, maar sommige scanners gebruiken zoveel van de capaciteit van de computer, dat je zelf bijna niet meer kunt werken. De ene scanner doet dat veel meer dan de andere, en een term voor het beslag dat een scanner op je PC legt is de zgn. footprint. Op mijn werk kan ik regelmatig door de MacAfee scanner 1 a 2 uur nauwelijks werken omdat hij 30 procent van de capaciteit van de CPU (rekeneenheid) gebruikt.

Los van het kiezen van een scanner met een lage footprint, zijn er nog andere oplossingen voor dit probleem. In bijna elke scanner kan je instellen wanneer de scan moet gebeuren. Als je weet dat je PC rond etenstijd vrijwel altijd aanstaat, laat de scanner dan in die periode draaien. Of laat desnoods 1 x per week je PC 's nachts aanstaan.

Een echt goede scanner zal je zelfs de mogelijkheid bieden om te kiezen voor een kortdurende scan met veel beslag op het systeem, of een langdurige, trage scan waar je niet veel van merkt tijdens het werken op de PC.

Meerdere scanners naast elkaar op het systeem installeren

Je kan zoveel scanners naast elkaar installeren als je wilt, zolang je maar aan 1 voorwaarde voldoet: in maar 1 van de scanners mag de online shield functie geactiveerd zijn.

Als 2 (of meer) scanners bij elke actie op de PC tegelijk gaan zitten kijken of het wel in de haak is, kunnen ze elkaar flink in de haren zitten.

Deïnstalleren van scanners

Van op zijn minst 3 scanners weet ik dat ze soms moeilijk te verwijderen zijn als je wilt overschakelen op een andere: Norton, MacAfee en AVG Antivirus.

Soms zijn er speciale verwijderingsprogramma's. Ik geef hier echter geen links, omdat niet voor elke versie van de scanner hetzelfde verwijderingsprogramma gebruikt moet worden. Als je echter in Google zoekt op bv. "Norton removal tool", dan kom je vanzelf bij het gewenste programma terecht.


Virus- en spywarescanners

Introductie

Geen enkele virusscanner is perfect. Ook al gebruik je 1 scanner als online shield (een schild tegen nieuwe beschermingen), installeer nog een 2e scanner om af en toe een grondige scan van je PC te doen.

De virusscanners die je gebruikt als online shield en om je PC af en toe extra te scannen kan je het beste gewoon op de PC installeren. Maar besef dat er ook online scanners zijn, websites waar je naar toe kunt gaan zodat ze vervolgens vanaf Internet je PC analyseren, en portable virusscanners.

False positives

Bijna alle scanners geven verschillende resultaten, en soms heb je sterke twijfels over of een bestand door een virusscanner terecht als besmet wordt bestempeld.

In dat geval kan je het bestand uploaden naar de website Jotti. Het wordt daar door zo'n 20 verschillende scanners gehaald, en als bv. maar 2 van de 20 zeggen dat het bestand besmet is zou het kunnen zijn dat het gaat om een false positive.

Emsisoft Antimalware

Dit produkt en MBAM behoren tot de betere, hoewel ze allebei relatief onbekend zijn. Maar zie bv. deze pagina op de site van Emsisoft, waar je diverse tabelletjes kan vinden over de prestaties van Emsisoft.

Emsisoft Emergency Kit (gratis)

Je kan sowieso gratis een eenmalige scan doen met de Emsisoft Emergency Kit, die je zelfs niet eens hoeft te installeren. Je kan hem dus ook vanaf een USB-stick uitvoeren, en je kan hem hier downloaden.

Klik in de map EEK op het programma start.exe, en daarna op Emergency Kit Scanner. Waarschijnlijk zal er dan een melding komen over dat er miljoenen definities geladen worden (zelfs als je ze een half uur eerder al gedownload hebt, maar dan hoef je nu niet lang te wachten).

Er staan nu 4 vakken op het scherm, en in het 1e zal waarschijnlijk staan Update nu!, als de virusdefinities niet up-to-date zijn (anders is het vak groen, en staat onderin VIRUSDEFINITIES ZIJN ACTUEEL). Bij mij staat onderin het blok:
LAATSTE UPDATES 101 DG GELEDEN
VIRUSDEFINITIES ZIJN VEROUDERD

Na klikken op het 1e vak kan het downloaden wel even duren. Je ziet het voortgangspercentage in beeld.

Daarna kan je in het 2e vak klikken op MALWARE SCAN of AANGEPASTE SCAN. In het 1e geval worden alle aangesloten harde schijven gescand met standaardopties.

In het 2e geval staan onder Aangepaste Scan linksboven de schijven die gescand gaan worden. Door een schijf te selecteren en dan rechts te klikken op Map verwijderen kan je deze schijf uitsluiten van de scan.

De opties zou ik laten zoals ze zijn. Evt. kan je op de i erachter klikken om meer informatie over de optie te krijgen.

En daarna kan je rechtsonder klikken op Scan starten.

Na afloop van de scan zie je een lijst van de gevonden virussen (die hopelijk helemaal leeg is), en aan het eind van elke regel hoog groot het risico is.

Standaard zijn alle items geselecteerd (met een vinkje ervoor). Door op het plusje eronder te klikken kan je zien in welke bestanden dit item voorkomt.

Je hebt 3 acties tot je beschikking (nadat je evt. nog een aantal items gedeselecteerd hebt): niets doen, verwijderen, of in quarantaine zetten. Het voordeel van het laatste is dat je de actie evt. weer ongedaan kan maken.

MalwareBytes AntiMalware (MBAM)

De gratis versie kan je hier downloaden, en je ziet op deze pagina ook meteen duidelijk de verschillen met de betaalde versie.

Vipre

Vipre is niet gratis, maar wel zeer voordelig als je legale gebruiker wilt zijn en veel PC's hebt. Je mag het met 1 licentie op zoveel PC's in je huis installeren als je wilt. Dat biedt bijna geen enkel ander pakket.

Omdat een vriend er positieve ervaring mee had of er positieve verhalen over gelezen had (dat weet ik even niet meer) besloot ik het aan te schaffen.

Omdat Vipre een paar jaar geleden (ca. 2010) nog vrij nieuw was in de anti-virus wereld, schenen ze zich te onderscheiden door hun uitmuntende service. Daar heb ik echter andere ervaringen mee.

Ten eerste bleef mijn mailprogramma (Thunderbird) regelmatig hangen als Vipre weer eens meende een virus tegen te komen bij het binnenhalen van mijn mailtjes. Een virusscanner behoort (afhankelijk van de instellingen) op zo'n moment gewoon iets te doen met het besmette mailtje, of aan mij vragen wat er moet gebeuren, maar niet het ophaalproces opknopen.

Ten tweede beantwoordde ik een mailtje met alleen tekst, dat probleemloos was ontvangen, door zelf een stuk tekst toe te voegen en het te versturen. Dat mocht echter niet van Vipre, want er zat een virus in. Dat kan dus niet, dat er geen virus in zat bij het binnenhalen, en ineens wel nadat ik wat tekst had toegevoegd (en geen bijlages).

Nou zit in elk produkt wel eens een foutje, maar vervolgens ging de communicatie met de helpdesk bijzonder moeizaam. Het 1e wat ik de medewerker vroeg was om mijn mailtje, dat ik hem toegestuurd had (met de virusscanner uit), zelf ook eens te versturen (desnoods aan zichzelf). Dan zou hij dus ook de melding moeten krijgen. Pas na 4 mailtjes heen en weer, telkens opnieuw stellen van dezelfde vragen, etc., zou hij dat dan eindelijk gaan proberen. En sindsdien nooit meer iets gehoord.

Kortom: afrader!!!

AVG Antivirus

Ik heb zeker zo'n 5 jaar lang (t/m ca. 2010) dit produkt aan al mijn vrienden aangeraden, en had het ook zelf op veel van mijn PC's geinstalleerd.

Maar met elke versie werd ik minder enthousiast. Het produkt werd steeds groter en trager, en er draaiden steeds meer processen op de PC speciaal voor dit pakket.

Dat is eigenlijk mijn grootste bezwaar tegen AVG, het beslag dat het pakket op de PC legt. Uit testen komt deze scanner er zeker voor een gratis programma bepaald niet slecht van af.

Ad-Aware

Lavasoft heeft een gratis spywarescanner, die tegenwoordig geloof ik ook virusscanner is.

Deïnstallatieproblemen

Met de niewste versie moet je behoorlijk oppassen. Ik had hem geïnstalleerd, maar was er na korte tijd zat van (omdat bepaalde functies niet werkten). Ik wilde het product op de reguliere manier deïnstalleren, maar maakte daarbij een grote fout.

In de lijst met producten stond Ad-Aware nl. 2 keer, het hoofdprodukt en de bescherming tegen het bezoeken van gevaarlijke websites. Helaas besloot ik het hoofdprodukt eerst te deïnstalleren. Maar de Browsing Protection zit geintegreerd in Internet Explorer, en is natuurlijk ook verweven met het hoofdprodukt van Ad-Aware. De consequentie was dat ik zowel Internet Explorer niet meer kon starten, als Browsing Protection niet meer kon deïnstalleren.

Ik heb verschillende dingen geprobeerd: een Reset op het Advanced tabblad van Internet Options (daarvoor hoef je Internet Explorer niet te starten); opnieuw intstalleren van Ad-Aware, en proberen eerst de Browsing Protection te deïnstalleren.

In het 2e geval raakte ik wel beide componenten van Ad-Aware kwijt, maar IE is nog steeds niet te starten. Ik denk dus dat ik er niet aan ontkom om IE volledig te verwijderen van het systeem en opniew te installeren.


Rootkits en scanners

Introductie

Rootkits zoeken met GMER (versie 2.1.18952)

Dit programma is bepaald niet voor beginners. Ik denk dat zelfs veel gevorderde computergebruikers (inclusief mijzelf) moeite zullen hebben met het interpreteren van de resultaten.

Plezierig is dat je het programma niet hoeft te installeren. Bij het downloaden wordt je aangeraden de EXE-file te downloaden. Let dan even goed op de naam van de file, want hij heet niet gmer.exe, zoals je zou verwachten (omdat bepaalde malware hem dan herkent en blokkeert cq. uitschakelt). Er wordt een willekeurige naam gegenereerd, bv. k8055bqy.exe

Scan

Als je GMER start wordt automatisch een scan gedaan op rootkits. Deze scan duurt doorgaans hooguit enkele minuten. GMER heeft een aantal tabbladen, die op het Rootkit/Malware tabblad na eerst verborgen zijn (klik op de pijltjes om de overige tabbladen te zien).

Resultaten

Op dit moment moet ik het hoofdzakelijk hebben van wat er staat in de kolommen Name en Value. Op mijn werk bv. staat in bijna alle gevonden "malware" de naam McAfee, hetgeen de maker van de virusscanner is. Dit lijken dus 'false positives' te zijn.

Verklaring Rootkit/Malware tabblad

De checkbox ADS staat voor Alternate Data Streams.

Als je met rechts klikt op het scherm, en dan op Options, kan je klikken op IRP hooks. Als je dan weer op Scan klikt duurt de scan veeeeeel langer.


Manieren waarop malware je PC kan binnendringen

Alternatieve datastromen (Alternate Data Streams)

Zeker in Windows XP en lager is het heel gemakkelijk om in een simpel tekstbestandje een compleet virus mee te smokkelen, zonder dat je daar iets van ziet (bv. dat het bestand groter wordt).

Er bestaan speciale scanners voor ADS-sen. Ik heb er hier meer over geschreven.


Wat je zelf kan doen om besmetting te voorkomen

Bezoeken van websites

Er zijn heel wat websites op het Internet waar je besmet kunt raken, puur door de site te bezoeken. En soms zullen de beheerders ervan zich niet eens bewust zijn van het feit dat hun site malware verspreidt, omdat een hacker met slechte bedoelingen (hacker betekent officieel eigenlijk alleen iemand die veel technische kennis heeft, en graag nog veel meer wil leren) er heeft ingebroken.

Veel virus- en spywarescanners controleren tegenwoordig ook de sites die je bezoekt. Maar dat is ongetwijfeld niet waterdicht. Pas dus ook zelf op waar je heen gaat (zeg ik tegen downloaders van illegale software, bezoekers van pornosites, etc.), en scan desnoods je PC vaker en/of met meer scanners. (Dat laatste is nog belangrijker.)

Bezoeken van privacy-gevoelige websites (banken, winkels, overheid)

Als je gaat naar de site van je bank, wilt betalen bij een winkel, of bv. iets met je Digid wilt doen, dan hoort het adres in de adresbalk van de browser niet te beginnen met http:// (zoals meestal), maar met https:// (de 's' staat voor security = veiligheid).

Als je betaalt bij een winkel en er staat geen https, dan worden je gegevens onversleuteld over het Internet gestuurd, en dat is iets wat je niet wilt met je creditcard, bankrekeningnummers, etc.

Klikken op links in mailtjes

Kijk bij bv. mailtjes van je bank (of bv. je provider) heeeeel goed of het wel echt van je bank komt. Zeker banken sturen niet zo vaak mailtjes. En al helemaal niet in gebrekkig Nederlands. En nog minder met het verzoek om je password even in te vullen nadat je op hun link hebt geklikt.

Het doel is vaak waar het in de vorige sectie over ging, nl. je terecht te laten komen op een website die niet deugt. En nog mooier natuurlijk als je dan ook nog je bankgegevens prijsgeeft.

Maar pas ook goed op met alle kettingbrief-achtige fenomenen. Bv. over een kindje van 8 jaar dat aan kanker dreigt te overlijden.

Openen van bijlagen bij mailtjes

Hier is natuurlijk ook al ontelbare malen voor gewaarschuwd: als een bijlage er ook maar enigszins verdacht uit ziet, niet openen ook al komt ie van je beste vriend. Neem dan evt. eerst contact op met die vriend om te vragen of hij de mail bewust verstuurd heeft (kan ook door een virus gebeurd zijn), en of hij zelf een antivirusprogramma heeft draaien.



Verwijderen van malware met Sysinternals tools

Introductie

Is het niet beter om in geval van een malware-besmetting de hele schijf schoon te poetsen?

Sommigen zijn daar voorstander van, waarschijnlijk dezelfde mensen die ook bij elk probleempje Windows opnieuw willen installeren.

Als je niets bijzonders op je harde schijf hebt staan zou je voor die strategie kunnen kiezen, maar je kan ook pragmatisch zijn.

Als je denkt dat je de malware op je systeem hebt geïdentificeerd, waarom dan niet gewoon verwijderen?!

Een korte beschrijving van het proces

Voer om te beginnen de volgende stappen uit:

Waaraan kan je malware herkennen?

Let op de volgende zaken:

Al deze onderdelen worden vanzelfsprekend later uitvoeriger uitgelegd.

Process Explorer

Als je hier serieus mee bezig wilt zul je af moeten stappen van Taakbeheer (Task Manager) en Process Explorer moeten gaan gebruiken.

Ouder-kind relaties

In de boomstructuur van dit programma zie je welk proces het "kind" is van welk ander proces.

Zo zal elk proces dat kind is van services.exe een Windows service zijn.

Als malware het kind is van een proces, dan zou dat proces dus ook geïnfecteerd kunnen zijn.

Icoontje, beschrijving en bedrijfsnaam

In principe zie je op elke regel vooraan een icoontje, hoewel een hoop regels (zoals dat van Verkenner) hetzelfde icoontje hebben. Dat is het icoontje dat ook hoort bij de commandoregel.

In de kolommen Description en Company Name zie je normaal gesproken beschrijving en bedrijfsnaam (in veel gevallen Microsoft).

Als deze kolommen niet ingevuld zijn is dat een extra reden om alert te zijn.

Gebruik Window Finder om te achterhalen waar een venster bij hoort

Als je een popup- of ander venster krijgt waarvan je niet weet waar het vandaan komt, kan daar zo achter komen.

Zoek online om onbekende processen te identificeren

Als je met je zoekmachine naar een proces wilt zoeken kan je Ctrl+M doen of klikken op Process - Search Online (nadat je vanzelfsprekend het proces geselecteerd hebt).

Dat werkt echter niet altijd (of tegenwoordig vaak niet meer), omdat de malware zo slim is om steeds een nieuwe naam voor zichzelf te genereren. Iedere gebruiker met dezelfde malware ziet dus een andere naam.

Kijk in processen, bv. svchost en rundll

Bepaalde processen zijn een soort container voor andere processen, zoals de talloze svchost-processen die er op een Windows-PC draaien.

Door met de muis over zo'n proces te bewegen, zie je wat er allemaal onder dat proces valt.

Dat geldt ook voor rundll32-processen. Veel malware verbergt zich in zo'n proces.

Als je een voorbeeld van zo'n proces wilt zien, start dan een willekeurig applet uit het Configuratiescherm (Control Panel).

Besteed extra aandacht aan processen met de kleur paars

Paars houdt in dat de programma's op de disk gecomprimeerd en/of versleuteld zijn. Pas in het geheugen worden ze gedecomprimeerd en gedecrypt.

Dit is natuurlijk ideaal voor malware, omdat het betekent dat virusscanners ze tijdens het scannen van de disk niet kunnen herkennen.

Pagina's van de eigenschappen die bij malware analyse van belang zijn

De eigenschappen van een proces zijn weergegeven op 10 tabbladen, en 3 ervan zijn van belang voor malware analyse.

Image

Je kan van alle programma's in 1 keer controleren of ze digitaal ondertekend (signed) zijn, maar je kan het op dit tabblad ook voor individuele programma's doen.

Klik op Verify, en op de 2e regel van het tabblad zou voor de fabrikant (Verified) moeten komen te staan. Bijna alle Microsoft code is signed.

Er zou ook kunnen verschijnen: (No signature was present in the subject). Dat is een iets minder goed teken.

N.B.: Je hebt hiervoor wel een Internet-verbinding nodig, omdat er contact wordt gemaakt met een Certificate Revocation List (CRL) server.

(Je kan het controleren op ondertekende bestanden ook doen met een andere tool van SysInternals.)

Op ditzelfde tabblad kan je ook de versie (Version) van het programma zien, de plek waarvandaan het gestart is (Autostart Location) en de tijd waarop het gestart is (Started).

TCP/IP

Open endpoints.

Strings

Op dit tabblad zie je een lijst van leesbare tekenreeksen in het uitvoerbare bestand.

1 van de dingen waaruit je zou kunnen zien dat er iets niet in de haak is, is als je een dubieus Internet-adres ziet.

Het probleem is dat packed programma's (paars) alleen maar troep laten zien omdat ze op de schijf gecomprimeerd en/of versleuteld zijn.

In dat geval geval kan je op de Memory-knop klikken, en zie je de tekenreeksen nadat ze in het geheugen geladen zijn (en dus niet meer gecomprimeerd e.d. zijn).

Digitaal ondertekend?

Ik heb hier beschreven hoe je kan controleren of processen en DLL's digitaal ondertekend zijn.

Processen die niet digitaal ondertekend zijn moet je extra in de gaten houden.

Wat doe je als je een schadelijk proces gevonden hebt?

Je 1e impuls zal waarschijnlijk zijn het proces de nek om te draaien.

Dat is dan een foute impuls. Malware is vaak zo slim gemaakt dat er een speciaal programma of service actief is die bewaakt of het hoofdproces nog wel draait, en zo niet, onmiddellijk een nieuwe versie start. Dat schiet dus niet op.

Process Explorer heeft een veel slimmere mogelijkheid: een suspend doen van het proces. Dat betekent dat het proces nog steeds "actief" is, alleen effectief stilstaat.

Je doet dit door rechtsklikken op een proces, en dan op Suspend

AutoRuns

Na het identificeren en afschieten van de malware, moet je er nu voor zorgen dat die processen niet opnieuw gestart worden als je de PC herstart.

Dat kan mooi met de SysInternals tools AutoRuns.

Om alle onnodige troep kwijt te raken, klik je op Options - Filter Options, en zet dan vinkjes voor Verify Code Signatures en Hide Microsoft Entries

Waar je nu i.h.b. op moet letten zijn rode regels. Dat zijn de niet ondertekende programma's.

De witte regels zijn van programma's die niet van Microsoft zijn, maar wel ondertekend zijn, en de gele regels horen bij bestanden die niet gevonden zijn.

Als je een verdacht proces ziet kan je het in het register opzoeken (rechtsklikken op het proces en dan Jump to Entry), kan je het bijbehorende bestand op de schijf opzoeken (rechtsklikken op het proces en dan Jump to Image), kan je op Internet naar het proces zoeken (rechtsklikken op het proces en dan Search Online) en kan je de eigenschappen bekijken (rechtsklikken op het proces en dan Properties).

Door het vinkje voor de regel weg te halen schakel je het proces uit.

Aan het eind van elke regel zie het tijdstip waarop het proces voor het laatst gewijzigd is. Dat zou ook behulpzaam kunnen zijn bij het bepalen of een proces schadelijk is.

Process Monitor

Wanneer je last blijft houden van malware, ondanks dat je meent het te hebben uitgeschakeld met Process Explorer en AutoRuns, dan ga je gebruik maken van deze tool.

Process Monitor geeft zoveel output dat je de ruis eruit moet halen. Als je zoekt naar malware is een goede optie om het volgende filter in te stellen: Category is Write

SysInternals tools werken niet meer

Sommige malware zorgt er zelfs voor dat de SysInternals programma's niet werken, of dat je niet naar hun website kunt gaan.

In dat geval kan je het beste de PC starten in safe mode.

Goede kans dat het dan wel lukt om de malware te vinden en uit te schakelen.

Speciale punten waar je op moet letten zijn de registersleutel RunOnce in AutoRuns, en bepaalde bestandlocaties.

Sinds Windows XP is het moeilijk voor malware om te schrijven naar de mappen waar de andere programma's zitten, omdat je daar extra rechten voor nodig hebt.

Vaak zal de malware zitten in de map \Users\Gebruikersnaam\AppData

Je hebt 3 soorten veilige modus, en soms is het nodig om de meest uitgeklede versie te starten, en dat is Safe Mode with Command Prompt



   Tweeten

© Henk Dalmolen
Reageer via E-mail (dalmolen@xs4all.nl)

Deze pagina is voor het laatst gewijzigd op: 14-4-2014 13:30:27