VERNIETIG VIRUSSEN. 9 stappen & 5 krachtige tools VEILIG

VERNIETIG VIRUSSEN 9 stappen & 5 krachtige tools

VEILIG

edito

Inhoudstafel Praktisch Lezen Tools

Het kan iedereen overkomen Met gezond verstand kom je een heel eind en dat is niet anders als je wilt voorkomen dat een cybercrimineel je bankrekening leegrooft. Maar het tijdperk ligt al ver achter ons dat je alleen besmet kon worden als je een pdf opende in een dubieuze e-mail.

zullen dat ook de komende jaren blijven doen. Het achtergrondverhaal over tien jaar strijd tussen Microsoft en cybercriminelen illustreert dat goed.

Als jij, of iemand uit je omgeving, dus besmet wordt, ben je niet machteloos. Ga simpelweg aan de slag om weer van het Denk vooral niet dat je ‘een domme fout’ probleem af te komen. De stappengids in hebt gemaakt als je wordt besmet, want deze interactieve PDF, en de bijbehorende tactieken van professionale malware- de gratis downloadbare tools verderop makers zijn door de jaren geëvolueerd en helpen je daarbij. Rowald Pruyn, Redactie ZDNet Rowald laat zich niet afschrikken door de miljoenen trojans en rootkits die de Windows-gebruikers al jarenlang overspoelen. Hij schrijft daarom regelmatig

over het meest uiteenlopende beveiligingsnieuws en met zijn achtergrond als softwaretester heeft hij de meeste programma’s inmiddels wel eens onder

handen gehad. Als ervaren Windows-gebruiker volgt hij alles Microsoft op de voet, al gebruikt hij al jaren geen Internet Explorer meer.

security I

2

inhoudstafel


Inhoudstafel PRAKTISCH: Vernietig virussen...........................................................................................5 Stap 1: Stel de diagnose................................................................................................................ 7 Stap 2: Ruim de rotzooi op........................................................................................................... 9 Stap 3: Vrouwen en kinderen eerst.........................................................................................10 Stap 4: Naar de gereedschapswinkel......................................................................................11 Stap 5: Zet de hogedrukspuit aan...........................................................................................12 Stap 6: Reanimatie.........................................................................................................................13 Stap 7: Houd moed.......................................................................................................................14 Stap 8: Nazorg.................................................................................................................................15 Stap 9: Bereid je voor op de volgende ramp.......................................................................16

security I

3

inhoudstafel


LEZEN: Strijd tegen cybercriminelen gebed zonder einde......................................... 17 TOOLS: Complete EHBO-kit bij malwarebesmetting................................................... 30 Scan volledig...................................................................................................................................31 Doe sporenonderzoek op je pc................................................................................................34 Speuren naar malware.................................................................................................................36 Vermomde virusdoder ................................................................................................................38 Roei rootkits vakkundig uit........................................................................................................40 Repareer je Internet Explorer....................................................................................................42

security I

4

praktisch

9 stappen richting een schone pc

Vernietig virussen

Rowald Pruyn

praktisch

Inhoudstafel Praktisch Stap 1: Diagnose Stap 2: Vuilophaling Stap 3: Backup Stap 4: Kies je wapen Stap 5: Schoonmaaktips

N

iet iedereen heeft het budget om zijn thuiscomputer uit te rusten met betalende antiviruspakketten. Maar als je besmet bent, lijkt het vaak onmogelijk om je pc te genezen van een hardnekkige besmetting. Toch is het met deze stappen mogelijk je pc te redden.

Stap 6: Zwaar geschut Stap 7: Doorzetten Stap 8: Nazorg Stap 9: Preventie Lezen Tools

security I

6

praktisch

Inhoudstafel Praktisch Stap 1: Diagnose Stap 2: Vuilophaling Stap 3: Backup Stap 4: Kies je wapen Stap 5: Schoonmaaktips Stap 6: Zwaar geschut Stap 7: Doorzetten Stap 8: Nazorg Stap 9: Preventie Lezen Tools

Stap 1: Stel de diagnose

Er zijn meerdere duidelijke tekenen dat het tijd is om een grondige virusschoonmaak te starten. Dit zijn enkele van de meest voorkomende symptomen, waarvan je er vast een paar al zult kennen. Maar andere tekenen ken je misschien nog niet: 1. De standaard zoekmachine van je browser is gewijzigd of de thuispagina is veranderd zonder dat je dit zelf hebt gedaan. 2. Vreemde pop-up boodschappen in je systeemvak 3. Extreem hoog verbruik van je processor of je RAM-werkgeheugen als er geen echte zware programma’s open staan. Kijk hiervoor in de Windowstaakbeheerder

4. Je geïnstalleerde virusscanner is uitgeschakeld of je firewall staat uitgeschakeld. Malwareschrijvers maken er een gewoonte van om deze stappen uit te voeren, zodat ze ongestuurd hun gang kunnen gaan. 5. Vitale Windows-onderdelen zijn niet meer toegankelijk of werken niet meer. Als je de taakbeheerder, registry editor of het configuratiescherm niet meer in kan, is het overduidelijk dat je de controle over je pc gedeeltelijk kwijt bent. 6. Exotische programma’s in de startlijst wijzen er duidelijk op dat er iets vreemds aan de hand is. Deze tip werkt waarschijnlijk alleen op je eigen systeem en is geen goede indicatie als je andermans pc probeert te ontsmetten. De meeste mensen installeren wel

security I

7

praktisch


eens een Windows-programma en vergeten daarna het bestaan weer compleet. Als je echter het opgeruimde type bent en een stuk software nog nooit van je leven in het Configuratiescherm hebt gezien, kun je er donder op zeggen dat je besmet bent. 7. Als je tijdens het surfen over het internet voortdurend wordt bestookt met pop-upvensters, is er vrijwel zeker iets aan de gang waar je geen weet van hebt. Omdat de meeste malware tegenwoordig binnenkomt via je browser zul je deze visuele waarschuwing het vaakst tegenkomen bij een besmette computer. 8. Als je laptop of pc netwerkactiviteit blijft vertonen, zelfs als je je browser en andere internetprogramma’s hebt afgesloten, bestaat er een kans dat je

een insluiper hebt die achter je rug om je privégegevens naar zijn meester aan de andere kant van de wereld stuurt.

security I

8

praktisch


Stap 2: Ruim de rotzooi op

Net als de mens kan een computer op allerlei manieren besmet raken. Als je systeem raar doet, is het daarom is het snel zaak de boosdoener te vinden. Als je gratis virusscanner niets kan vinden of als je geen securitypakket hebt geïnstalleerd, adviseren we je eerst aan te beginnen met een schoonmaak van je tijdelijke bestanden, waar een tooltje als Ccleaner je uitstekend mee kan helpen. Trojaanse paarden en minder lastige besmettingen vertoeven vaak in de tijdelijke bestandenmap van je browser. Kijk ook goed naar je lopende processen met het uitstekende Process Explorer: ook daarmee kan je mogelijke verstekelingen vinden. En als je de boosdoener gevonden hebt, gebruik dan de grondige verwijdering van de uitstekende tool Revo Uninstaller,

die niet alleen het programma verwijdert, maar ook alle sporen uit het Windows-register en aanvullende bestanden naar het hiernamaals stuurt.

security I

9

praktisch

Inhoudstafel Praktisch Stap 1: Diagnose Stap 2: Vuilophaling Stap 3: Backup Stap 4: Kies je wapen Stap 5: Schoonmaaktips Stap 6: Zwaar geschut Stap 7: Doorzetten Stap 8: Nazorg Stap 9: Preventie

Stap 3: Vrouwen en kinderen eerst Als stap 1 niet lukt, wordt het tijd voor zwaarder geschut. Voordat je een schoonmaak start die mogelijk leidt tot een herinstallatie, is het verstandig om je gevoelige bestanden veilig weg te zetten. Omdat de meeste malwarebestanden contact maken met het internet, is het verstandig je harde schijf uit de behuizing te halen en bestanden weg te kopiëren via een harde schijf dock, die je al voor een paar tientjes kunt aanschaffen. Een andere optie is cloudbackup (Dropbox, AVG LiveKive).

Lezen Tools

security I

10

praktisch


Stap 4: Naar de gereedschapswinkel

Het internet wemelt van de gratis proen je kunt het zelfs uploaden naar hun gramma’s die je kunnen helpen bij het servers voor een controle. ontsmetten van je pc. In het toolsgedeelte vind je enkele capabele verwijderaars van malware. Maar er zijn nog veel meer hulpmiddelen, zoals online scanners en aparte tooltjes voor speciale doeleinden. Bitdefender en Kaspersky hebben zelfs een aparte pagina voor kleine programma’s die specifieke populaire bedreigingen bestrijden. We raden je aan om je gereedschapskist samen te stellen vóór je besmet wordt en die bij voorkeur te bewaren op een usb-stick. Ook is het raadzaam om een second opinion in te roepen bij online diensten als VirusTotal.com of Jotti. Bij deze diensten kun je controleren of een verdacht bestand wel daadwerkelijk bekend staat als malware

security I

11

praktisch


Stap 5: Zet de hogedrukspuit aan Zodra je verzameling compleet is, kun je beginnen met reinigen. We dringen erop aan dat je het systeem in de veilige modus herstart, met netwerkfunctionaliteit als je van plan bent met online scanners te werken. Kies altijd voor een volledige scan en als een antivirusscanner het je mogelijk maakt, gebruik dan de bootscanner. Als je scanner wel kan vinden, maar niet kan verwijderen, gebruik dan Google om online handleidingen te vinden voor een specifiek virus. In het volgende gedeelte van dit dossier kun je een aantal handige tools vinden die je kunnen helpen bij het verwijderen van virussen.

security I

12

praktisch


Stap 6: Reanimatie

Sommige besmettingen zijn zo serieus dat ze een besturingssysteem onstartbaar kunnen maken. Zo heeft het beruchte ‘politievirus’, dat de pc ontoegankelijk maakte en je met nepwaarschuwingen van de politie geld probeert af te troggelen, al heel wat geld afhandig gemaakt. Als je deze hardnekkige boosdoeners niet in de veilige modus kunt verwijderen, is het tijd om over te stappen naar het het ultieme middel: de boot cd. Dit zijn Linux-distributies die tijdens de bootscart kunnen scannen en vaak extra’s in huis hebben om de klus te kunnen klaren. Veel bekende antivirusbedrijven bieden een gratis boot-cd aan, die je op schijf wegbrandt met een brandprogramma als Imgburn. Test deze redders en leer ze kennen voor je ze gebruikt.

security I

13

praktisch

Inhoudstafel Praktisch Stap 1: Diagnose Stap 2: Vuilophaling Stap 3: Backup Stap 4: Kies je wapen Stap 5: Schoonmaaktips Stap 6: Zwaar geschut Stap 7: Doorzetten Stap 8: Nazorg Stap 9: Preventie Lezen

Stap 7: Houd moed

Het verwijderen van virus vraagt vaak om veel geduld en volharding. Denk zeker niet dat je werk gedaan is na een ronde scannen en verwijderen. Verlaat je ook niet op een enkele antivirusscanner, maar probeer er een aantal achter elkaar uit. De volgorde is daarbij telkens: installeer-volledige systeemscan-verwijder antivirusprogramma-installeer volgende scanner. Als alles mislukt: installeer dan opnieuw. Niet alles is vergeefs; je bent nu immers steeds beter voorbereid op de volgende besmetting, of dat nu je eigen pc of die van een familielid of vriend is.

Tools

security I

14

praktisch


Stap 8: Nazorg

Als malware eenmaal van je computer is verwijderd, betekent dat nog niet dat je werk al is gedaan. Cybercriminelen laten deze plagen op je pc los om persoonlijke informatie te stelen of je gangen na te gaan op het internet. Na een virusschoonmaak is het dan vaak zo dat je puin moet ruimen om weer terug aan het werk te kunnen.

dringers hebben buit gemaakt en het is beter om het zekere voor het onzekere te nemen. Ga vervolgens in de slag met tools als LastPass of KeePass Password Safe om je wachtwoorden veilig en moeilijker te kraken te maken.

Allereerst raden we je aan om Browser Repair Tool (zie Tools-sectie) te gebruiken. Malware verandert vaak allerlei instellingen in je browser en met dit gratis programma kun je weer terug bij af komen. Een tweede, en veel belangrijkere klus, is het veranderen van de wachtwoorden voor je belangrijkste accounts. Het is onmogelijk om te zien wat de in-

security I

15

praktisch


Stap 9: Bereid je voor op de volgende ramp Als je eenmaal een keer lelijk bent besmet, zul je een stuk meer bereid zijn om een volgende ramp te voorkomen. Malwareaanvallen zijn mogelijk een financiële aderlating, maar ze zijn vooral een inbreuk op je privacy en erg tijdrovend. Net een echte inbraak dus. Het is uiteraard een optie om te kiezen voor gratis antivirus, maar vaak bieden deze producten niet zulke complete bescherming als betalende antivirusoplossingen.

hebt gevonden dat aan je eisen voldoet qua prestaties, gedrag en interface, is het wellicht een optie om een jaarabonnement te nemen.

We raden je vooral aan om enkele goed aangeschreven securitypakketten uit te proberen voor je een keuze maakt. De meeste commerciële aanbieders bieden wel een optie om een proefversie te downloaden, die je voor 30 dagen kunt uitproberen. Als je eenmaal het pakket

security I

16

lezen

Terugblik: 10 jaar Microsoft VS Malware

Strijd tegen cybercriminelen gebed zonder einde

Rowald Pruyn

“Microsoft moest zichzelf stevig in de spiegel bekijken.”

lezen


J

e zou het niet zeggen, maar tien jaar geleden stond de beveiliging van het Windows-platform er een stuk slechter voor dan we vandaag de dag gewend zijn. We geven je een overzicht van Microsofts jarenlange strijd met zijn aartsvijand: de cybercrimineel. Eugene Kaspersky zei in 2012 dat Macsecurity tien jaar achterloopt op Microsoft. Maar wat heeft de Windows-maker in de tussenliggende periode gedaan om te beschermen tegen malware? De eerste grote malwareuitbraak op het Mac-platform komt exact tien jaar nadat Microsoft zichzelf stevig in de spiegel moest bekijken na een aantal beschamende veiligheidsproblemen op het Windows-platform.

security I

18

lezen


Het bracht toenmalig Microsoft-directeur Bill Gates ertoe een nu legendarische interne memo rond te sturen, waarin hij het bedrijf aanspoorde om veiligheid tot zijn hoogste prioriteit te maken. In plaats van security pas achteraf te bekijken, zoals voorheen gebeurde, moest het ontwikkelen van veilige software vanaf dan de standaard worden,

en dat heeft Microsoft geen windeieren gelegd. Microsoft is in de tussenliggende periode ver gekomen, maar dat betekent zeker niet dat het vanaf 2002 foutloos begon te opereren. Zo introduceerde het in Windows XP een ingebouwde firewall, maar stond die standaard uitgeschakeld tot het bedrijf dit repareerde met het tweede Service Pack voor het populaire OS. Overigens doet Apple met zijn eigen besturingssysteem exact hetzelfde: de firewall in alle huidige versies van OS X is standaard uitgeschakeld.

Microsoft voorzitter Bill Gates

3777190317 / Shutterstock.com

Een andere misser is de Autorun-functionaliteit, die elke ingestoken usb-stick

security I

19

lezen


automatisch liet opstarten. Een ideaal doelwit voor de Conficker-worm, die gebruikers van XP en Vista jarenlang slachtoffer maakte. In Windows 7 werd Autorun automatisch gedeactiveerd, maar de oudere besturingssystemen moesten tot 2011 wachten tot Microsoft de aanvalsmethode blokkeerde.

het volgende overzicht van de belangrijkste Windows-epidimieën en bestrijdingsmiddelen.

Tegenoffensief (2002)

Toen Bill Gates in 2002 zijn Trustworthy Computing-memo schreef, konden cybercriminelen via allerlei gaatjes in Microsofts software naar binnen glippen. Door een levenscyclus te introduceren voor zijn producten en zijn updatemeMicrosoft leerde desondanks van zijn chanisme te verbeteren, heeft Microsoft fouten en er bestaat geen twijfel over dat aanvallers gedwongen malware te schrijde Windows 7-gebruiker standaard meer ven die gebruikers in de val laat lopen bescherming krijgt dan in 2002 het geval via social engineering of binnenkomt via was bij de eerste incarnatie van Windows kwetsbaarheden die het grotendeels zelf XP. al heeft gerepareerd. Dat kun je goed zien aan deze statistieken uit een recent Maar malwareschrijvers zijn ook met hun veiligheidsrapport van het bedrijf. tijd meegegaan, wat je goed kunt zien in

security I

20

lezen


Blaster (2003)

tweede dinsdag van de maand. Zo konAls je in de zomer van 2003 als helpdesk- den zijn zakelijke klanten veiligheidsupmedewerker bovenstaand dialoogvendates alvast testen, waarna op de laatste ster op je scherm kreeg, was je zojuist in dinsdag van de maand ook de overige de hel beland. MSBlast/32, alias Blaster, updates werden vrijgegeven. Heel af verspreidde zich over netwerken via het en toe doorbreekt Microsoft dit vaste zogenoemde RPC-protocol, waardoor ge- schema om een uiterst dringende veiligïnfecteerde computers in een onophou- heidsupdate uit te brengen. delijke reboot-cyclus terecht kwamen. Omdat de worm ook toegang kreeg tot Netsky (2004) belangrijke systeemonderdelen, had de Een van de eerste computerwormen schade nog veel groter kunnen zijn, maar die zich via massamailings verspreidde, de auteur was alleen geïnteresseerd in waarbij het een uitgebreid scala aan zoveel mogelijk onrust te zaaien.` trucs gebruikte om ontvangers zover te krijgen op de besmette bijlage te klikken. Patch Tuesday (2003) Hoewel Netsky, dat geschreven was door Sinds Windows 95 zit er al een updateeen 18-jarige Duitser, geen schade toemechanisme in het besturingssysteem, bracht, kon het wel erg irritant zijn. Een maar pas in 2003 kwam Microsoft met bepaalde variant liet geïnfecteerde pc’s maandelijkse veiligheidsbulletins op elke voortdurend piepsignalen afgeven.

security I

21

lezen


Mydoom (2004)

Terwijl wormen voordien nog voornamelijk afkomstig waren van vandalen, was Mydoom volgens Microsoft-analisten “een van de eerste voorbeelden van een botnet en malware met een winstdoeleinde.”

Windows XP Service Pack 2 (2004)

Windows XP SP2 had eigenlijk een compleet nieuwe versie van Windows moeten zijn, maar door meerdere opkomende securitydreigingen moest Microsoft zich volledig concentreren op het dichten van gaten in zijn software. In plaats De malware opende een nieuw Notepad- van SP2 tot een betalende upgrade te venster met onzinnige tekst, terwijl het maken, besloot het bedrijf om het gratis op de achtergrond zichzelf in het sysuit te brengen, zodat veel gebruikers het teem nestelde. Daarna begon het mails zou installeren. te sturen via zijn eigen SMTP-server en het adresboek van het slachtoffer. Wie op Een van de belangrijkste de attachment klikte, werd meteen toeveranderingen voor congevoegd aan MyDoom’s snel groeiende sumenten was het hier zombieleger. Verspreidde zich trouwens afgebeelde Security Cenook via Kazaa. ter, dat nog altijd een belangrijke rol speelt in huidige versies van Windows.

security I

22

lezen


Malicious Software Removal Tool (2005)

Om malware effectief te lijf te kunnen gaan, introduceerde Microsoft begin 2005 een apart programma om ‘specifieke, wijdverspreide malwarefamilies’ te kunnen verwijderen. Dit programma wordt nog altijd voortdurend bijgewerkt en meegeleverd met de maandelijkse Patch Tuesday en heeft in de laatste zeven jaar miljoenen pc’s op effectieve wijze verlost van talloze bedreigingen. Bovendien levert het Microsoft waardevolle informatie op over de verspreidingspatronen van malware.

van de insluipers. Microsoft schatte in 2008 dat voor elke besmette pc een kans van een op vier was dat Zlob de boosdoener was. De reden voor zijn succes was zijn simpele doch effectieve toepassing van manipulatie. Een slachtoffer wilde een video kijken, waarna de afgebeelde pop-up in beeld kwam. Omdat het in die tijd vol-

Zlob (2005)

De malwarefamilie Win32/Zlob verscheen op het toneel in 2005 en was binnen een paar jaar de onbetwiste koning

security I

23

lezen


strekt normaal was allerlei mediacodecs te moeten installeren, gingen pc-gebruikers massaal voor de bijl. Zlob is geëvolueerd van scarewarekoerier tot rootkitdrager en was, met een Macversie in 2007, een van de eerste malwaresoorten die zichzelf naar meerdere besturingssystemen wilde verspreiden.

Valse antivirus (2005)

Het is niet bekend wie voor het eerst op het idee kwam om malware te verspreiden die zich vermomde als anti-virussoftware, maar het was een duivels goed idee dat nog steeds veel geld in het laatje brengt. In het begin imiteerden malwareschrijvers vooral het XP Security Center, maar

later aapten ze steeds vaker verkopers van securitysoftware na. We zitten voorlopig nog met deze plaag opgescheept.

Bagle (2006)

Rootkits horen tot de meest akelige vormen van infecties, omdat ze geavanceerd zijn en moeilijk te verwijderen. Bagle was een van de eerste varianten in zijn soort en zoals je via deze blogpost van F-Secure kunt zien, was het al bijzonder slim in elkaar gestoken, met verschillende onderdelen die samenwerkten om maximaal succes te behalen.

Nuwar (Storm) worm (2007)

De auteurs van Nuwar speelden bijzonder slim in op een dodelijke storm op het Europese continent en begonnen met

security I

24

lezen


de verspreiding van geïnfecteerde boodschappen op de dag dat het noodweer zijn hoogtepunt bereikte.

Koobface (2008)

Tien jaar geleden bestonden sociale netwerken nog nauwelijks, maar in 2008 was Facebook al populair genoeg om doelDe Storm worm, zoals hij vooral bekend wit te worden van het beruchte Koobstond, was ook nog eens een van de eer- face, een irritante cross-platform worm ste kwaadaardige programma’s die podie opdook bij Windows, Mac en Linux. lymorphische technieken gebruikte, wat Koobface, een anagram van Facebook, inhield dat het om de tien minuten zijn stal logingegevens, bouwde zo een botcode veranderde om antivirusscanners te net op en verdiende zijn geld door aanmisleiden. Bovendien gebruikte het een vullende malware te installeren bij zijn P2P-netwerk om zo snel de IP-adressen slachtoffers. van zijn controleservers te kunnen wijzigen. Facebook onthoofdde in 2011 de Koobface-controleservers, waarna eerst veiMicrosoft’s Malicious Software Removal ligheidsonderzoeker Dancho Tool (MSRT) wist de worm in 2007 op de Danchev en daarna de netknieën te krijgen, maar in 2008 was het werksite zelf de persoonnog altijd actief in versleutelde vorm, lijke gegevens van de al was zijn invloed van windkracht tien verantwoordelijke bende overgegaan naar een briesje. op het web publiceerden.

security I

25

lezen


Conficker (2008-heden)

Conficker is het prototype van moderne malware. Zijn genialiteit schuilt in het feit dat het de Windows-functie Autorun misbruikte, een pop-upvenster dat gebruikers om actie vraagt als zij een usb-toestel in hun pc of laptop steken. Omdat usb-sticks zo populair waren, wist Conficker een enorm aantal machines te besmetten en bemachtigde vervolgens beheerderswachtwoorden via een simpele aanvalsstrategie. Microsoft loofde een beloning van 250.000 dollar uit voor het vangen van de maker van Conficker en sloot het gat in Windows 7 waardoor de malware naar binnen kon komen. Het duurde echter

tot begin 2011 tot ook Windows XP en Vista bescherming ontvingen voor de achterdeur. Een coalitie van veiligheidsspecialisten wist het Conficker-botnet via legale procedures te ontmantelen, maar er zijn nog altijd miljoenen pc’s die besmet zijn met de usb-worm. Omdat er echter niemand meer aan de touwtjes trekt, is de daadkracht van Conficker verdwenen.

Microsoft Security Essentials (2009)

Waarom duurde het zo lang voordat Microsoft eindelijk op de proppen kwam met een zelfgebouwde gratis antivirusoplossing? Dat heeft waarschijnlijk veel te maken met een anti-trustzaak die Microsoft in 2001 aan de broek kreeg. De

security I

26

lezen


softwaremaker werd verboden om eigen software te bundelen met Windows die concurrenten kon benadelen, waardoor Microsoft erg voorzichtig was met het introduceren van eigen beveiligingsmaatregelen. Security Essentials, gebaseerd op dezelfde engine als zijn zakelijke Forefrontproduct, was een groot succes en met de introductie van Windows 8 zal Microsoft het pakket standaard integreren, al zal het wel de bekende Windows Defendernaam hanteren.

Zeus/Spyeye (2010/2011)

Deze sterk verwante malwarefamilies staan voor een verontrustende trend. Ja, er zitten weliswaar capabele programmeurs achter deze trojans, die zich speci-

aliseren in het stelen van gegevens voor internetbankieren. Maar nieuw en anders aan deze auteurs is dat ze in feite een franchise hebben opgericht, waarbij ze hun creaties als kits verkopen aan relatieve leken. Volgens sommige schattingen hebben de Zeus/Spyeye-botnets al meer dan 100 miljoen aan gestolen geld opgeleverd. Microsoft startte onlangs een agressieve wereldwijde campagne via de rechter om de meeste van deze botnets uit de lucht te halen. De softwaremaker gebruikt deze tactiek steeds vaker, en met steeds groter succes.

security I

27

lezen


Andermans producten (2011)

Malwareschrijvers vallen Internet Explorer al sinds begin het millenium onophoudelijk aan en surfers zijn steeds meer overgestapt naar andere browsers. Nu verleggen de criminelen hun aandachtsveld en beginnen ook Chrome- en Firefox-gebruikers aan te vallen. Waarschijnlijk dezelfde mensen die MacDefender maakten, voerden onlangs een gerichte aanval uit op de Google-browser, zoals je hier kunt zien.

Alureon/TDL4/TDSS (2012)

Nu zijn ze alleen nog geïnteresseerd in geld en doen ze alles om onopgemerkt te blijven. Dat heeft geleid tot de opkomst van bovengenoemde rootkits, die bijzonder akelige eigenschappen hebben. Vroege versies besmetten de Master Boot Record (MBR), maar nieuwere versies zijn zelfs in staat om een eigen geïnfecteerde schijfpartitie aan te maken. Dit is het gezicht van de nieuwe generatie malwareschrijvers in 2012: vastberaden, flexibel en bijzonder gemotiveerd.

Aan het begin van de eeuw waren malwareauteurs vooral geïnteresseerd in de Microsoft stelt daar een nieuw ontworaandacht en veroorzaakten spectaculaire, pen besturingssysteem tegenover, dat vernietigende uitbraken. veiligheid op de eerste plaatst stelt. Met

security I

28

lezen


bootvergrendeling (UEFI), de volledige integratie van Security Essentials in het besturingssysteem en een uitvoering van Internet Explorer die nog veiliger is, gaat Microsoft de confrontatie aan.

security I

29

tools

Krijg je pc weer schoon met deze tools

Verdelgingsmiddelen

Rowald Pruyn

tools

Inhoudstafel Praktisch Lezen Tools Volledige virusscan Sporenonderzoek EHBO-kit Vermomde virusdoder Roei rootkits uit Repareer je browser

A

ls je pc is uitgerust met een goede antivirustool, zou je veilig moeten zijn. Maar wat als je al besmet bent voor je een scanner hebt kunnen installeren? In dat geval komt het gratis programma Comodo Cleaning Essentials om de hoek kijken. Dit tooltje van Comodo richt zich uitsluitend op de schoonmaak van lastig te verwijderen actieve malware en kan ook op een USB-stick geplaatst worden.

je de meeste niet hoeft aan te passen. Na de start van een volledige scan moet Comodo je systeem herstarten, om zo rootkits de pas af te snijden. Daarna updatet het zijn virusdatabase en begint het aan een grondige schoonmaak. Na afloop rapporteert het dan zijn

Scan volledig

Als je Comodo Cleaning Essentials opstart, kom je in een eenvoudig scherm met drie opties: een slimme, een volledige en een aangepaste scan. We raden meestal de volledige scan aan. Er zijn maar een handvol instellingen, waarvan

security I

31

tools


vondsten. Je kunt vervolgens kiezen om te reinigen, te verwijderen of valide bestanden over te slaan. Daarna volgt nog een herstart. Op een schoon testsysteem duurt dit proces een uur, twee keer zo lang als bij andere antivirustools. Het doel van Comodo is echter de uitschakeling van actieve malware, en dan blijkt het zijn werk goed te doen. Het laat de op een na hoogste malwaredetectie zien, al laat het bij het verwijderen wel enkele onschadelijk gemaakte malwareprocessen achter. Desondanks scoort Comodo goed in de schoonmaak: het kan bijna wedijveren met Norton Antivirus 2012. Comodo’s aanpak bij het verwijderen van zowel

rootkits als scareware is des te indrukwekkender. Het rookt ze uit via gedragsherkenning en weet een perfecte detectiescore te halen in onze test. Het laat daarbij ook topscores noteren bij de verwijdering.

Geen permanente bescherming

Zoals eerder gezegd is Comodo Cleaning Essentials puur bedoeld voor schoonmaak. Verwacht dus geen voortdurende bescherming. Voor experts heeft Comodo echter nog twee extra’s in petto. Zo scant de Autorun Analyzer grondig welke processen tegelijk met Windows starten en vlagt het gevaarlijke exemplaren af. Je kunt ze dan uitschakelen of de bestandslocatie en registervermelding tonen.

security I

32

tools


Om verwarring te voorkomen, is er een optie om veilige items te verbergen. De tweede extra, KillSwitch, heeft wel iets weg van het krachtige Process Explorer, maar doet meer dan deze taakbeheerder op steroïden. Het markeert gevaarlijke processen, die je kunt pauzeren of beëindigen. Je kunt programmavensters naar KillSwitch slepen, waarna de app het bijbehorende proces markeert.

twee krachtige geektools om je computer nauwlettend in de gaten te houden. Comodo Cleaning Essentials

Het is mogelijk om via Quick Repair te scannen op 20 vaak misbruikte systeemlocaties. Het kan zelfs de reguliere taakbeheerder vervangen. Uiteraard zijn er nog meer programma’s als dit, maar Comodo Cleaning Essentials is de gedroomde tool voor noodgevallen. Niet alleen is het grondig, het biedt ook nog eens

security I

33

tools


Doe sporenonderzoek op je pc OSForensics is, zoals de naam al doet vermoeden, een forensische tool. Je kan er dus allerlei – vaak diep verborgen - data mee uit opvissen uit een systeem. Ga er voor persoonlijke lering en vermaak gerust mee aan de slag op je eigen toestel, maar let er wel voor op die, zonder expliciete toestemming, in te zetten op een systeem van derden.

Naast de klassieke zoekfuncties, waarmee je zowel naar bestaande als naar verwijderde bestanden kunt zoeken, bevat OSForensics ook geavanceerde zoekopties die je bijvoorbeeld toelaten om snel alle sporen van recente computer-

In tegenstelling tot veel andere forensische tools oogt de interface van OSForensis erg overzichtelijk, uitnodigend haast. Het hoofdvenster is opgesplitst in een 7-tal rubrieken, met telkens een aantal bijhorende tools. De rubrieknamen laten weinig aan de verbeelding over: File Searching & Indexing, Hashing & File Identification, Viewer, System Artifacts & Passwords, …

security I

34

tools


en internetactiviteit te verzamelen. Of je spoort naar ‘mismatched file types’, waarbij iemand bijvoorbeeld een documentbestand de extensie .jpg heeft meegegeven (of omgekeerd) om bepaalde sporen te maskeren. Het is eveneens mogelijk eigen indexen te creëren van bepaalde bestandstypes en locaties. Die kan je vervolgens inzetten om zeer snel naar een of ander trefwoord te zoeken. Verder heeft de tool nog een reeks ‘viewers’ aan boord, waarmee je ook op hexniveau de inhoud van bestanden en van fysieke schijven kan bekijken. Dat maakt het bijvoorbeeld mogelijk headers van bepaalde bestanden te analyseren of een kijkje te nemen in de sectoren buiten de

Windows-partities (waarin zich onder meer de MBR bevindt). Ook een module voor het opsporen van allerlei wachtwoorden ontbreekt niet. Het duurde bijvoorbeeld maar enkele seconden om de wachtwoorden op te diepen die onze drie browsers “veilig” hadden opgeslagen. En wie aast op wachtwoorden van Windows-accounts: je kan gebruik maken van Rainbow-tables om ook lastige wachtwoorden aan te pakken. OSForensics

security I

35

tools


Speuren naar malware

Geen enkele computer die zich op een of andere manier met een netwerk (als het internet) verbindt is immuun tegen malware. Vrees je effectief het slachtoffer van een of andere infectie te zijn, laat dan Emsisoft Emergency Kit op je toestel los. Goede kans dat die de dader ontmaskert en elimineert.

Je beslist zelf hoe grondig de scanner daarbij tewerk moet gaan: snel, slim, diep of aangepast. De snelle scan scant alleen actieve malware processen. De slimme scan pakt het iets grondiger aan – controleert onder meer ook bestanden, het register en het geheugen – en is vooral aangewezen als je vermoedt dat je systeem effectief is geïnfecteerd. Het Zoals de naam ‘kit’ al suggereert, gaat is tevens mogelijk bepaalde bestanden, het niet om een enkele tool maar om een mappen of processen van controle of reeks complementaire modules. Het be- malwaredetectie uit te sluiten. Vindt het langrijkste onderdeel is ongetwijfeld de programma effectief infecties, dan kan je Emergency Kit Scanner, waarvan er trou- die in quarantaine laten plaatsen of laten wens ook een commandline-versie wordt verwijderen. meegeleverd - handig als je die in batch wil opnemen of wil scripten. Verder is er nog HijackFree, een programma dat je onder meer alle actieve proces-

security I

36

tools


sen, poorten en services toont en ook alle ‘autostarter’ (processen die automatisch samen met Windows) oplijst. Zo’n service of proces kan je dan van hieruit uitschakelen. Ten slotte is er BlitzBlank, waarmee het mogelijk wordt bestanden, drivers of resigstersleutels die zich normaliter niet (zonder meer) laten verwijderen alsnog uit te schakelen na een herstart. Emsisoft wijst er – terecht – op dat deze tool eigenlijk uitsluitend bedoeld is voor gevorderde gebruikers. Download Emsisoft Emergency Kit

security I

37

tools


Virusdoder vermomt zich om besmette pc’s te ontsmetten Niets is frustrerender als een besmette pc die je belet om antivirussoftware te installeren. Malwarebytes reikt je de helpende hand met het handige Chameleon.

Als malware eenmaal langs je verdediging is geglipt, zal het er alles aan doen om op je harde schijf te blijven staan. Trojaanse paarden en andere indringers staan erom bekend de installatie van antivirussoftware te blokkeren, browsers ontoegankelijk te maken of zelfs je internetverbinding af te sluiten.

eerst eens aan de slag te gaan met Malwarebytes Chameleon. De makers van het welbekende Malwarebytes Free Antivirus hebben hun gratis product namelijk in een vermom-

Dit soort sabotage kan zo frustrerend zijn dat je je pc wel kapot wilt trappen. Voordat je hier mee begint, raden we je aan

security I

38

tools


ming gestoken die malware om de tuin moet leiden. In feite is Chameleon niet meer dan een verzameling hernoemde exe-bestanden die allemaal hetzelfde doel hebben: Malwarebytes Free Antivirus installeren en draaien.

link in dit artikel en pak de bestanden in de map uit, bij voorkeur naar een usbstick. Sluit die aan op een besmette pc en open het bestand ‘help.chm.’

Klik nu één voor één op de knoppen, net zolang tot je er één vindt die het alarm van de malware niet doet afgaan. Nu opent een nieuw MS DOS-venster dat de Veel malwareschrijvers voegen regels installatie van Malwarebytes bijhoudt. Na code toe die in actie schieten zodra je afloop zal het antivirusprogramma autoeen programma wilt installeren of starten matisch een scan starten die je (hopelijk) dat zijn leven kan beëndigen. De kans is van je plaaggeest afhelpt. groot dat Malwarebytes in die lijst staat en daarom heeft het bedrijf het installaAls het je trouwens niet lukt om het helptiebestand van de virusdoder verschillen- bestand te openen, dubbelklik dan gede namen meegegeven waar de malware woon één voor één op de exe-bestanden (hopelijk) niet op aanslaat. in de Chameleon-map tot je er één hebt gevonden die wil starten. Download het archief via de bijgevoegde

security I

39

tools


Deze oplossing van Malwarebytes is verre van feilloos. We zouden hem zelfs een beetje doorzichtig willen noemen. Maar omdat veel malware lang niet zo goed is gebouwd als je zou denken, is Chameleon de eerste bestrijder in je gereedschapskist die je moet aanspreken. Werkt het trucje niet, kun je altijd nog in de weer met bootschijven en ander zwaar geschut. Malwarebytes Chameleon

Roei rootkits vakkundig uit Malwarebytes, een gerespecteerde onkruidverdelger voor je pc, brengt een apart tooltje uit om je gratis af te helpen van een hardnekkige plaag: rootkits.

Rootkits behoren tot de akeligste verschijningen in de malwarewereld, omdat ze zich diep ingraven in je besturingssysteem en dan vaak op een plek waar virusscanners er overheen kijken. Het is vaak verantwoordelijk voor het uitschakelen van de internetverbinding of het onklaar maken van de Windows-firewall. Veel betaalde pakketten hebben speciale beschermingen in huis tegen rootkits, maar gratis antivirussoftware heeft niet altijd een pasklaar antwoord.

security I

40

tools


Malwarebytes, dat al enkele jaren een populaire zelfstandige antivirusscanner aanbiedt voor malwareverwijdering ter plekke, heeft nu besloten een aparte anti-rootkittool beschikbaar te stellen. Het programma is voorlopig nog in bèta en Malwarebytes waarschuwt dat gebruik voor eigen risico is. Mochten er problemen ontstaan door een fout van

het programma, belooft de maker op zijn gebruikersforum te helpen bij eventuele reparatie. Je gebruikt Malwarebytes Anti-Rootkit door het archiefbestand in de link bij dit artikel te downloaden en de inhoud uit te pakken naar je harde schijf of een usbstick. Volg de instructies en je zult een herstart maken. We raden je aan om het tooltje een paar keer te draaien, want rootkits laten vaak gevaarlijke resten achter die alsnog schade kunnen aanrichten. Mocht je nog steeds problemen ondervinden na de schoonmaak, gebruik dan het programmaatje fixdamage.exe, dat je in dezelfde map kunt vinden. Malwarebytes Anti-Rootkit

security I

41

tools


Repareer je Internet Explorer Malware of een vervelend neefje kunnen je browserinstellingen lelijk overhoop halen. Gebruik dit handige tooltje om alles weer in de oude staat te herstellen.

samen met de Microsoft-browser, maar we de makers zeggen dat binnenkort ondersteuning komt voor Mozilwla Firefox en Google Chrome.

Een browser is net zo persoonlijk als het interieur van je slaapkamer. Je hebt favoriete werkbalken, instellingen en een startpagina waar je je dag mee begint. Maar als je besmet wordt, of als iemand anders je computer heeft gebruikt, kan het zo zijn dat je favoriete instellingen onherroepelijk zijn verdwenen. Of toch niet?

Deze assistent is niet meer dan een checklist waar je onderdelen van de browser kunt afvinken die je hersteld wilt

Met het gratis programma Browser Repair Tool is het mogelijk om een herinstallatie van Internet Explorer te vermijden. Het tooltje werkt voorlopig alleen

security I

42

tools


hebben. Maar het is ook mogelijk om irritante trekjes van IE uit te schakelen of enkele handige opties in de Windowsinstellingen in- of uit te schakelen. Die laatste categorie komt vooral van pas voor malware, die vaak instellingen diep in je systeem aanpast om je slinks om te leiden naar malwaresites of ellendige reclames op je scherm te tonen. Wij bieden je hier een directe link aan naar het programma, maar als je om de een of andere reden bij de programmapagina terecht komt, laat je dan niet in de war brengen door de Trial-knop. Browser Repair Tool is geheel gratis voor gebruik. Anvi Browser Repair Tool

security I

43

Schrijf je in op de ZDNet-nieuwsbrieven De nieuwsbrieven van ZDNet houden je regelmatig op de hoogte van het technologienieuws, de nieuwste software en de interessantste apps. Schrijf je in op een van de volgende nieuwsbrieven om je wekelijks te informeren:

• ZDNet Security: Elke dinsdag krijg je

het nieuws over computerbeveiliging. Een must voor iedereen die dit document nuttig vindt.

• ZDNet's Download van de dag:

De redactie belicht elke dag een stuk software dat je gratis kan downloaden. Soms is het kantoorsoftware, soms beveiligingssoftware, maar altijd is het nuttig.

• ZDNet's ICT Weekoverzicht: Het beste uit een week ZDNet, met nieuws, downloads en reviews.

• ZDNet's Dagelijks ICT Nieuws:

Deze is voor de nieuwsjunkies die dag na dag op de hoogte willen zijn van de technologiewereld. Iedere vooravond krijg je een overzicht van wat er die dag gebeurd is.

Surf naar http://www.zdnet.be/nieuwsbrief/ en schrijf je nu in.

VERNIETIG VIRUSSEN. 9 stappen & 5 krachtige tools VEILIG

Recommend Documents