VIRUSSEN EN ANTI-VIRUSPROGRAMMA’S
MTSO-INFO 20
NATHALIE DE REYT 2001
Faculteit PSW – Universiteit Antwerpen Contact: prof. dr. Dimitri Mortelmans (
[email protected]) Tel : +32 (03) 820.28.53 - Fax : +32 (03) 820.28.82
MTSO-INFO Documenten in de reeks MTSO-INFO werden geschreven door leden van de vakgroep MTSO (Methoden en Technieken van het Sociaal-Wetenschappelijk Onderzoek) met als doel op een heldere en eenvoudige manier bepaalde thema's van onderzoeksmethoden en computergebruik uit te leggen. De thema’s sluiten aan bij analysetechnieken of softwareprogramma’s die gebruikt worden aan de Faculteit PSW van de Universiteit Antwerpen. Vermits sommige documenten door andere leden van de Universiteit Antwerpen of daarbuiten nuttig kunnen zijn, worden deze gratis online aangeboden op http://www.ua.ac.be/mtso. Het downloaden en verspreiden van deze documenten is toegestaan mits correcte bronvermelding.
WAARSCHUWING: De documenten worden slechts sporadisch bijgewerkt. Dit heeft repercussies voor die documenten die slaan op software. De auteurs hebben niet de bedoeling om bij het uitkomen van nieuwe versies van programma’s steeds het hele document te herschrijven. Daarom dient de lezer er rekening mee te houden dat het document steeds slaat op de softwareversie zoals deze bij het uitkomen van het MTSO-INFO document gangbaar was.
VIRUSSEN EN ANTI-VIRUSPROGRAMMA’S Inhoud
1 INLEIDING .................................................................................................................................................. 2 2 WAT IS EEN COMPUTERVIRUS? .......................................................................................................... 2 3 GESCHIEDENIS.......................................................................................................................................... 3 4 TECHNISCHE EVOLUTIE ....................................................................................................................... 3 4.1 VORM ...................................................................................................................................................... 3 4.2 VAKMANSCHAP ....................................................................................................................................... 4 4.3 WIJZE VAN BESMETTING .......................................................................................................................... 4 4.4 LADING.................................................................................................................................................... 4 5 SOORTEN .................................................................................................................................................... 4 5.1 LOGISCH VIRUS ........................................................................................................................................ 5 5.2 WORM ..................................................................................................................................................... 5 5.3 GRAP ....................................................................................................................................................... 5 5.4 DROPPER ................................................................................................................................................. 6 5.5 TROJAANS PAARD .................................................................................................................................... 6 5.6 BOOT- OF GEHEUGENVIRUS ..................................................................................................................... 6 5.7 HOAX ...................................................................................................................................................... 7 6 SPYWARE.................................................................................................................................................... 8 7 MCAFEE VIRUSSCAN GEBRUIKEN ..................................................................................................... 9 7.1 OVERZICHT VAN VIRUSSCAN .................................................................................................................. 9 7.1.1 VirusScan................................................................................................................................... 9 7.1.2 VShield..................................................................................................................................... 10 7.2 SCHIJVEN SCANNEN OP VIRUSSEN .......................................................................................................... 11 7.3 VIRUSSCAN UPDATEN ............................................................................................................................ 12 7.3.1 Belang...................................................................................................................................... 12 7.3.2 Handmatig updaten ................................................................................................................. 12 7.3.3 Automatisch updaten ............................................................................................................... 17 7.4 VIRUSINFORMATIEBIBLIOTHEEK............................................................................................................ 19 8 TOT SLOT: ENKELE TIPS ..................................................................................................................... 20 9 BIBLIOGRAFIE ........................................................................................................................................ 21
© MTSO – INFO / UA - FPSW
2
1 Inleiding Nog niet zo lang geleden konden individuele computergebruikers virusinfecties eenvoudig voorkomen omdat ze slechts zelden in aanraking kwamen met mogelijke virusbronnen. Tegenwoordig sturen de meeste computergebruikers elkaar regelmatig berichten, delen gegevens en brengen bestanden over, of dit nu via een modem, diskettes, via een netwerk of via het internet is. Bovendien is het aantal virussen enorm opgelopen en verspreidden zij zich sneller en gemakkelijker dan ooit. Neem bijvoorbeeld de worm “Melissa”. Dit virus richtte in 1999 voor miljoenen dollars schade aan. Melissa verspreidde zich via Outlook. Eenmaal geactiveerd, stuurde Melissa zich automatisch door naar de eerste 50 adressen in het adresboek. Deze truc stond garant voor een snelle verspreiding. Bovendien werd Word op de computer besmet. Elke keer dat na de infectie een nieuw Wordbestand opgeslagen werd, stuurde Melissa dit besmette bestand opnieuw naar de eerste 50 adressen in het adresboek. Melissa begon haar tocht over de wereld op vrijdag. De maandag daarop waren al meer dan 250.000 computers over de hele wereld besmet. Dit voorbeeld toont aan dat het nemen van voorzorgsmaatregelen tegen computervirussen noodzakelijk is. 2 Wat is een computervirus? Een virus is een programma dat in staat is zichzelf zonder hulp van buitenaf te vermenigvuldigen op alle media die het kan bereiken en al dan niet onmiddellijk een bepaalde taak uitvoert. Meestal is die taak destructief: je harde schijf wordt gewist of er worden essentiële bestanden vernield. Hierbij maken we een belangrijk onderscheid tussen virussen die binnen één pc actief blijven en virussen die ongemerkt worden doorgegeven aan andere pc’s op een netwerk. De meest voorkomende oorzaken van computervirusbesmetting zijn: ♦ Contact met een geïnfecteerde computer via directe fysieke weg of via telecommunicatie. ♦ Het kopiëren van een onbekende schijf die een virusdragend programma bevat. ♦ Het downloaden van een bestand van het internet. ♦ Het starten van een besmet programma via een netwerk, een schijf of een diskette. ♦ Besmette software van een verkoper. ♦ Onvoorziene daden van werknemers, collega's, vrienden, kennissen of nog andere mensen.
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
3 3 Geschiedenis De eerste virussen doken al in de jaren zestig op. Het ging hierbij om “gecontroleerde virussen”, die ontwikkeld waren in laboratoria om hun mogelijkheden te testen. Ze vonden hun weg meestal niet naar buiten. In de jaren tachtig werd een handvol virussen verspreid door computergebruikers. Ze infecteerden voornamelijk universiteiten en onderzoekscentra. In het begin van de jaren negentig zorgden twee ontwikkelingen voor de snelle verspreiding van virussen. Allereerst was daar de opkomst van internet. Net zoals vliegtuigen en intercontinentale vluchten verantwoordelijk zijn voor de snelle verspreiding van biologische virussen, droegen internet en e-mail hun steentje bij aan de snelle verspreiding van computervirussen. In 81 procent van de gevallen wordt een virus nu via e-mail verspreid. Daarnaast heeft Microsoft een stevige vinger in de pap. Zij introduceerden Visual Basic Script (VBS), een macroprogrammeertaal. Deze maakt het mogelijk om op een snelle en eenvoudige manier applicaties voor Microsoft Windows te schrijven. “Visual” verwijst naar de grafische interface van het programma. “Basic” op zijn beurt verwijst naar de BASIC-taal (Beginners All-Purpose Symbolic Instruction Code), de programmeertaal zelf. 4 Technische evolutie In technisch opzicht hebben computervirussen een aantal evolutionaire stappen gemaakt. 4.1 Vorm Een virus kan verschillende vormen aannemen. Algemeen kan men een opdeling maken tussen programmavirussen en macrovirussen. Een programmavirus besmet programma's. Wordt een besmet programma gestart, dan komt een kopie van het virus in het werkgeheugen van de computer terecht en zal elk programma dat daarna wordt geopend ook besmet worden. Kopieën van deze besmette programma's die vervolgens de wereld worden ingestuurd, op schijven of via het internet, kunnen dan weer andere PC's en hun programmabestanden infecteren. Macrovirussen maken deel uit van documenten. Macro's zijn minuscule programmaatjes die in een tekstverwerker, een spreadsheet of iets dergelijks bepaalde reeksen handelingen automatisch uitvoeren. Macrovirussen bestaan niet uit een binaire code maar uit opdrachten in de scripttaal van Office-toepassingen. Deze scripttaal is relatief eenvoudig en is door iedereen toepasbaar. Macrovirussen hoeven niet aan een programma (software) gekoppeld te worden, maar kunnen ook in een gewoon bestand dat macro’s bevat (bijvoorbeeld een document) zitten. Voor een virusmaker is het vrij simpel om een macro met een virus te maken. Als deze macro aan een bestand wordt gekoppeld, is slechts het openen van zo'n bestand voldoende om het virus te activeren. Besmetting met een macrovirus kan
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
4 dus bijvoorbeeld via e-mail plaatsvinden doordat een besmet bestand als attachment is meegestuurd. Tegenwoordig komen macrovirussen minder voor. 4.2 Vakmanschap Deskundigheid en originaliteit zijn niet langer een vereiste voor het maken van een computervirus. Sinds jaren bestaan er complete toolkits voor het genereren van computervirussen. Deze toolkits zorgen ervoor dat zelf gebruikers met een minimum aan kennis op een eenvoudige manier virussen kunnen maken. Daardoor heeft er een explosie plaatsgevonden van varianten: van amateuristische tot professionele virussen. Het zijn vaak de eerste die de meeste schade kunnen aanrichten, aangezien amateurs vaak moeilijk de gevolgen van hun creaties kunnen inschatten. 4.3 Wijze van besmetting Vond besmetting tien jaar geleden vrijwel uitsluitend via diskettes plaats, de moderne computervirussen prefereren netwerken als transportmedium. Het World Wide Web en e-mail bieden natuurlijk nieuwe kansen door het massale gebruik ervan en vanwege het feit dat beide gemaakt zijn om direct informatie met anderen te delen. 4.4 Lading Niemand lacht meer om een computervirus. Daarvoor zijn ze te hinderlijk of schadelijk. Computervirussen zijn daarom ook niet ludiek meer, maar richten in het gunstigste geval geen extra schade aan. Dat is bijvoorbeeld het geval bij zogenaamde “proof of concept” computervirussen; een soort haalbaarheidsstudies. Maar dan wel studies die ten koste van anderen worden uitgevoerd… Kwaadaardige computervirussen die bijvoorbeeld heel snel uw harde schijf onbruikbaar maken komen echter regelmatig voor. En de grootste schrik blijft toch een computervirus dat ongemerkt gegevens manipuleert. 5 Soorten Computervirussen verspreiden zich door zichzelf vast te maken aan andere programma's of de opstartsector van een diskette. Wanneer een geïnfecteerd bestand wordt uitgevoerd of de computer wordt opgestart vanaf een geïnfecteerde schijf, wordt het virus zelf uitgevoerd. Vaak verbergt het zich in het geheugen en wacht het tot het volgende programma dat wordt uitgevoerd, kan besmetten of tot het de volgende schijf die wordt benaderd, kan besmetten. Bovendien zijn er veel virussen die een gebeurtenis starten, zoals het weergeven van een bericht op een bepaalde datum of het verwijderen van bestanden, wanneer het geïnfecteerde programma een bepaald aantal keren is gestart. Alhoewel sommige van deze gebeurtenissen geen kwaad kunnen (zoals het weergeven van een bericht), kunnen andere schadelijk zijn. Het grootste deel van de virussen is onschadelijk. Zij geven alleen berichten of afbeeldingen weer of doen helemaal niets. Andere virussen zijn vervelend, omdat zij het systeem vertragen of kleine veranderingen toebrengen aan het scherm. Andere virussen © MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
5 zijn echter echt bedreigend, omdat zij het systeem laten vastlopen, bestanden beschadigen en ervoor zorgen dat u gegevens verliest Er zijn op dit moment ongeveer 12 000 virussen in omloop. In volgende paragraaf geven we een korte opsomming van de belangrijkste soorten: logisch virus, worm, grap, dropper, Trojaans paard, bootvirus en hoax. 5.1 Logisch virus Een logisch virus is een programma dat niet zozeer een ander programma besmet, maar het eenvoudigweg vervangt door een kopie van zichzelf met behoud van de oorspronkelijke programmanaam.
Het is vrij gemakkelijk op te sporen omdat het eigenlijke programma niet meer kan werken en omdat doorgaans wel opvalt, dat de lengte van het programma nogal drastisch ingekrompen werd. Een logisch virus heeft bijna altijd een destructieve taak: zoveel mogelijk gegevens op de harde schijf vernietigen.
5.2 Worm Een worm lijkt op een virus omdat het net als een virus zichzelf kopieert zonder hulp van buitenaf. Een worm verschilt van een virus doordat het geen andere programma's aantast, maar alleen tot doel heeft zoveel mogelijk opslagruimte in beslag te nemen. Sommige wormen nestelen zich in het werkgeheugen van de computer en vertragen het systeem. Vooral in de UNIX-wereld komen wormen regelmatig voor: hele netwerken werden hiermee platgegooid.
Voorbeeld: VBS.LoveLetter.A of het “I Love you virus” virus Dit virus ging grondig te werk. Nadat het e-mail attachment werd geopend, was het leed nauwelijks nog te overzien. Ten eerste vermenigvuldigde het virus zich door een kopie van zichzelf naar alle contactpersonen in het adresboek te versturen. Deze dachten een leuk mailtje van een bekende te krijgen en openden massaal het bericht. Windows verbergt in de standaardinstelling de extensie VBS. De virusmaker heeft deze dubieuze functionaliteit in Windows uitgebuit door in de bestandsnaam TXT op te nemen. Wie het virus ontving, dacht hierdoor dat het een onschuldig tekstbestand betreft. In werkelijkheid ging het om een zeer schadelijke programmaroutine in Visual Basic Script dat onmiddellijk aan het werk ging. Het virus veranderde van alles op de computer (bv. de startpagina). Er werden ongevraagd programma's gedownload. Verder werden er allerlei bestanden (MP3, CSS, JPG, etc.) aangepast, hernoemd tot een VBS-bestand en onbruikbaar gemaakt.
5.3 Grap Een grap kán maar hóeft geen virus te zijn. Zoals de naam al aangeeft, worden grappen vervaardigd met de bedoeling op de lachspieren te werken. Ze zijn dan ook niet destructief. Het is trouwens mogelijk dat de grap wel lollig is voor de auteur, maar dat je er zelf niet zo mee kunt lachen. We denken hierbij bijvoorbeeld aan grappen die de letters over het scherm heen en weer doen dansen. Een paar keer is dat wel leuk, maar dan wordt het toch al snel erg vervelend.
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
6 5.4 Dropper Een dropper is een speciaal geval. Dat is een programma dat zelf geen acties onderneemt om je systeem te ondermijnen, maar dat alleen tot taak heeft een virus achter te laten op je systeem. De dropper is speciaal ontworpen om detectie bij standaard anti-virusprogramma’s te voorkomen. De bedoeling hiervan is om het opsporen van het eigenlijke virus moeilijker te maken omdat het destructieve gedeelte van het kopieergedeelte gescheiden werd. 5.5 Trojaans paard In tegenstelling tot een virus, dat zich willekeurig vermenigvuldigt, kopieert een Trojaans paard zichzelf alleen als die actie past binnen zijn opdracht. Op die manier neemt het stap voor stap je computer of zelfs een heel netwerk over, totdat het arriveert op de plaats waar het zijn (meestal vernietigende) taak moet uitvoeren. Dit virus verleent zichzelf toegang tot een computer via een internetverbinding. Eenmaal gearriveerd wacht een Trojaans paard op een speciale gebeurtenis, een `trigger', om in actie te treden. Een Trojaans paard is zelfs in staat om zijn eigen sporen uit te wissen zodat het ongezien zijn vernietigende invloed uitoefent. Een virus zal vroeg of laat opvallen, een Trojaans paard kan lange tijd onopgemerkt blijven. In netwerken is een infectie met een Trojaans paard meestal fataal.
Voorbeeld: Back Orifice 2000 (afgekort BO2K) BO2K werd ontworpen als een back door-programma. Het nestelde zich op de harde schijf en liet een achterdeurtje open voor cyberinsluipers. Hierdoor bestond het risico dat men het per ongeluk installeerde. Het kon zich verstoppen in onschuldig ogende attachments zoals een digitale postkaart of een Word-document. Bijgevolg werden onbevoegden in staat gesteld om volledige controle te krijgen over netwerken met de besturingssystemen Windows 95, 98 en NT van Microsoft. De PC werd open gezet voor de buitenwereld. Het stuurde zelf een waarschuwing naar het IRC-kanaal #bo_owned, zodat de hele wereld kan zien dat er een besmette PC openstond. Gegevens wissen, bedrijfsgeheimen stelen of bijvoorbeeld kinderporno of virussen op de harde schijf zetten, werden op deze manier mogelijk. De makers van BO2K schreven dit het programma om de computerwereld bewust te maken van beveiligingsproblemen in Microsoftproducten.
5.6 Boot- of geheugenvirus Een bootvirus is een programma dat de inhoud van de bootsector vervangt. Wanneer een virus zich in de bootsector plaatst, zal het automatisch als eerste opgestart worden. Als het virus is opgestart, zorgt het er automatisch voor dat het originele bootprogramma (dat zich nu op een andere locatie bevindt) opgestart wordt, zodat het virus niet opvalt. Het virus heeft zich echter wel in het geheugen geplaatst. Als er nu toegang tot een diskette vastgesteld wordt, zal het virus zich automatisch in het opstartbereik van de diskette plaatsen. Door de opkomst van de CD-ROM komen de bootsvirussen minder voor. Bootvirussen zijn geheugenresident. Dit betekent dat ze zich bij de start van de computer in het geheugen nestelen en van daaruit op een gelegenheid wachten om zich te verspreiden. Dit verspreiden gebeurt wanneer het bootvirus ziet dat er toegang is tot een diskette. ♦ Als de bootsector geïnfecteerd is, wordt het virus automatisch geladen vanaf de start van de computer. © MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
7 ♦ Het virus installeert zich in het werkgeheugen van de computer. ♦ In dit geheugen blijft het wachten en controleert het alle activiteiten. ♦ Wanneer de toegang tot een diskette wordt vastgesteld, kopieert het bootvirus zich in het opstartbereik van deze diskette. ♦ Zo wordt de diskette geïnfecteerd en kan het virus zich verplaatsen naar een andere computer. Het is aangeraden om het opstarten via een opstartdiskette zoveel mogelijk te vermijden. Zorg er steeds voor dat u uw diskette uit uw computer haalt op het moment dat u het niet meer nodig heeft. Maak een opstartdiskette van uw computer op het moment dat u zeker weet dat er geen virus op uw systeem staat. Beveilig deze diskette tegen schrijven door het vierkante lipje onderaan de diskette open te schuiven (zodat je er door kan kijken). Wanneer uw computer dan toch eens geïnfecteerd geraakt, kan u vanaf deze bootdiskette opstarten zodat het virus niet actief wordt. 5.7 Hoax Op het Internet is een vrijwel constante stroom aanwezig van berichten waarin wordt gewaarschuwd voor virussen. Niet zelden wordt in zulke waarschuwingen ook expliciet gevraagd deze aan zoveel mogelijk anderen door te geven. Men kan het misschien het best vergelijken met een kettingbrief. Tussen de waarschuwingen voor echte virussen bevinden zich echter ook tal van zogenaamde hoaxes, ofwel valse meldingen over niet bestaande, door grappenmakers verzonnen virussen. Deze nepvirussen zullen dus geen bestanden verminken of wissen en ook het computersysteem blijft onaangetast. Maar ondanks hun onschuldige karakter zorgen valse meldingen over virussen wel degelijk voor overlast. Zo overbelasten ze het netwerk. Bovendien bestaat het gevaar dat de gebruiker echte virusmeldingen zal gaan negeren. Er zijn verschillende methoden om hoaxes van echte virusalerts te onderscheiden. Voor een goed begrip daarvan is het noodzakelijk te kijken naar de twee kenmerken die het succes van een hoax bepalen. Dit zijn technisch klinkend taalgebruik en geassocieerde geloofwaardigheid. Als in een melding over een vermeend virus het juiste technisch jargon wordt gehanteerd, zullen veel gebruikers, ook als zij technisch onderlegd zijn, geneigd zijn te geloven dat het bericht waar is. De geloofwaardigheid van een virusmelding wordt voor een deel bepaald door het gehanteerde jargon. De geloofwaardigheid die door een valse virusmelding wordt gewekt, hangt daarnaast ook samen met de status van de persoon of instantie die het bericht doorgaf. Ga dus eerst na of de melding bovengenoemde kenmerken vertoont. Daarnaast zijn er nog andere tekenen die kenmerkend zijn voor een valse virusmelding. Bij gebruikers die een waarschuwing over een virus ontvangen moet al een lampje gaan branden als hen in de melding geadviseerd worden dit bericht aan al hun vrienden door te geven. Zo'n advies moet NOOIT worden opgevolgd. Bij twijfel raadpleegt men best de site van McAfee (http://vil.mcafee.com/hoax.asp). Eventueel kan men een medewerker van de werkgroep MTSO aanspreken. © MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
8
Voorbeeld AOL4FREE Dit is een goed voorbeeld waar mensen een "HOAX" hebben gebruikt om een echt virus te creëren. Oorspronkelijk ging het om een bericht met betrekking tot een gevaarlijke virus dat eigenlijk niet bestond. Maar zodra deze "Hoax" op grote schaal verspreid werd en het bekend was dat het om een grap ging, is iemand een vernietigend virus beginnen te verspreiden als attachment bij het originele waarschuwingsbericht. Voorbeeld Big Brother Dit is een voorbeeld van een hoax die in 2000 een tijdje in Nederland heeft rond gecirculeerd. SUBJECT: FW: NIEUW VIRUS PAS OP VOOR BIG BROTHER VIRUS!!!! WANNEER JE EEN MAILTJE KRIJGT MET ALS TITEL: “BIG BROTHER 2, DE EERSTE NAAKTFOTO’S, OPEN DIT DAN NIET, WANT HET BEVAT EEN VIRUS. IN DIT BERICHT STAAT DAT DE BIJLAGE FOTO’S BEVAT VAN TWEE BB-BEWONERS SAMEN NAAKT ONDER DE DOUCHE. ALS JE DE BIJLAGE OPENT KRIJG JE INDERDAAD EEN FOTO TE ZIEN, MAAR DIT IS DUIDELIJK EEN TRUCAGE FOTO. MERK JE OP DAT MOMENT HELEMAAL NIETS. SLUIT JE ECHTER JE COMPUTER AF EN START JE LATER WEER OPNIEUW OP, DAN NESTELT HET VIRUS ZICH IN JE SYSTEEM. IN HET REGISTER WORDEN DINGEN GEWIJZIGD EN IN MSCONFIG WORDEN EEN AANTAL ZAKEN OVERSCHREVEN. OP HET MOMENT DAT JE WEER ONLINE GAAT WORDEN PER E-MAIL ALLE OP JE PC IN GEBRUIK ZIJNDE LOGIN-NAMEN EN BIJHORENDE WACHTWOORDEN VAN JE INTERNETVERBINDING NAAR EEN ONBEKEND E-MAIL ADRES GESTUURD. DIRECT HIERNA BEGINT HET VIRUS JE HARDE SCHIJF TE WISSEN.
VERDER
DIVERSE ANTI-VIRUS SOFTWARE LEVERANCIERS, WAARONDER MCAFEE, ZIJN INMIDDELS OP DE HOOGTE VAN DIT NIEUWE VIRUS EN ZIJN DRUK DOENDE OM HUN SOFTWARE AAN TE PASSEN. MOMENTEEL WORDT HET VIRUS NIET DOOR HUN SOFTWARE HERKEND. WEES DUS EXTRA ALERT DE KOMENDE TIJD EN WAARSCHUW VRIENDEN/BEKENDEN, ZODAT ZO MIN MOGELIJK MENSEN DE DUPE WORDEN VAN DIT HARDNEKKIGE VIRUS.
6 Spyware Het aanbod van gratis software lijkt soms overweldigend. Achter veel van deze programma's gaan zogenaamde spyware-applicaties schuil, kleine programma's die ongevraagd en achter je rug informatie doorsturen over het surfgedrag of je lastig vallen met reclamebanners. Programma’s als Audio Galaxy en iMesh ontworpen om MP3’s te downloaden, installeren applicaties die een loopje nemen met het recht op privacy. Daarbij worden gegevens over het surfgedrag doorgegeven, en advertenties en data gedownload. Zelden wordt er bij de installatie van spyware toestemming gevraagd aan de gebruiker. Los van mogelijke privacyschendingen, zijn er nog de factoren bandbreedte en systeemstabiliteit. Sommige spyware stuurt zoveel data door dat het je surfsnelheid aantast. Ze nemen kostbaar systeemgeheugen in beslag en draaien vaak zonder dat de gebruiker het weet. Heel de tijd wordt het surfgedrag bijgehouden en gecatalogeerd.
Spyware kan trouwens niet enkel via het internet op je pc terechtkomen. Er zijn gevallen bekend waarbij spyware, ingebakken zit in de software en meegeleverd wordt bij bepaalde stukken hardware. Spyware kan men opsporen met Ad-Aware van Lavasoft. Dit programma scant niet enkel niet enkel de harde schijf, maar tevens het geheugen van de pc. Meer © MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
9 informatie omtrent Ad-Aware en het scannen op spyware, kan u lezen in MTSOINFO EXTRA 8. 7 McAfee VirusScan gebruiken Een veilige computeromgeving onderhouden, betekent regelmatig scannen op virussen. Afhankelijk van de mate waarin men diskettes met anderen uitwisselt, bestanden via een lokaal netwerk gebruikt of met andere computers via internet communiceert, kan dit variëren van één keer per maand tot zelfs enkele malen per dag. Een andere goede gewoonte is altijd te scannen voordat u een reservekopie van uw gegevens maakt, voordat u nieuwe programma's installeert of bestaande programma's bijwerkt. McAfee VirusScan is een programma dat in staat is om permanent naar virussen te scannen. Programma's, e-mails, gedownloade bestanden en actieve componenten van webpagina's worden voortdurend in het oog gehouden. 7.1 Overzicht van VirusScan De anti-virusproducten van McAfee beschikken over twee algemene methoden voor de beveiliging van het systeem. De eerste methode is scannen op de achtergrond. Hierbij wordt de computer voortdurend gecontroleerd op de aanwezigheid van virussen, terwijl u de computer gewoon kunt gebruiken. Bij VirusScan wordt deze taak uitgevoerd door de VShield-scanner. De tweede methode houdt in dat u uw eigen scanbewerkingen kunt starten. Deze bewerkingen worden in principe door de toepassing VirusScan uitgevoerd. 7.1.1 VirusScan U kunt VShield (cfr. 5.1.2) gebruiken om het geheugen van de computer te scannen en om het systeem te bewaken tussen de opeenvolgende scanbewerkingen. Onder normale omstandigheden is dit voldoende om de integriteit van het systeem te garanderen. Maar een goede bescherming en beveiliging tegen virussen vereist regelmatig een complete scan van het systeem, want: ♦ Bij scannen op de achtergrond worden bestanden gecontroleerd wanneer ze worden uitgevoerd. Met VShield zoekt u naar viruscodes zodra er uitvoerbare bestanden worden gestart of van een diskette worden gelezen, maar met VirusScan zoekt u ook naar viruscodes in bestanden die op de vaste schijf zijn opgeslagen. Als u een geïnfecteerd bestand maar zelden start, bestaat de kans dat u met VShield de virusinfectie pas ontdekt nadat het virus zijn werk al heeft gedaan. Met VirusScan kunt u echter ook virussen opsporen die nog niet zijn geactiveerd. ♦ Virussen zijn slim ontworpen. Als men een diskette in het diskettestation achterlaat terwijl de computer opstart, kan er een virus in het geheugen worden geladen voordat VShield wordt gestart, met name als VShield niet is ingesteld om diskettes te scannen. Een virus dat in het geheugen aanwezig is, kan vrijwel elk programma infecteren, zelfs VShield. © MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
10 ♦ Als het op de achtergrond scannen tijdelijk is uitgeschakeld door een softwareconflict of als het scannen niet is ingeschakeld voor een bepaalde, kwetsbare ingang tot het systeem, kan de computer worden geïnfecteerd door een virus. Door regelmatig te scannen, kunt u virussen onderscheppen voordat deze schade veroorzaken. 7.1.2 VShield De VShield-scanner beschikt over een aantal mogelijkheden, waardoor het programma naadloos wordt geïntegreerd in het uitgebreide antivirusprogramma van VirusScan: ♦ Bij toegang scannen: Bij deze optie worden de bestanden die u opent, kopieert, opslaat of op andere wijze wijzigt en de bestanden die u vanaf diskette of het netwerk leest of ernaar schrijft, gescand. De VShield-scanner kan zo ingesteld worden dat deze niet alleen fungeert als primaire antivirusbeveiliging, maar ook tussentijdse bescherming biedt tussen elke uitgevoerde scanbewerking. Virussen in het geheugen worden ontdekt zodra een poging wordt gedaan deze vanuit geïnfecteerde bestanden uit te voeren. ♦ Detecteren en blokkeren van schadelijke objecten: Schadelijke ActiveX- en Java-objecten worden geblokkeerd voordat zij het systeem bereiken en een bedreiging kunnen vormen. ♦ Filteren van internetsites: De VShield-scanner bevat een lijst met onbetrouwbare websites en internetsites die een bedreiging voor het systeem kunnen vormen, meestal in de vorm van schadelijke software. ♦ Automatische uitvoering: De VShield-scanner is geïntegreerd met verschillende browser-software en e-mailtoepassingen. Op die manier kan de scanner worden aangemeld en de e-mailbijlagen scannen op virussen voordat deze de kans krijgen het systeem binnen te dringen.
De VShield-scanner bestaat uit vijf aan elkaar verwante modules die elk een specifieke functie hebben:
♦ Systeemscan: Deze module wordt gebruikt voor het zoeken naar virussen op de vaste schijf. Daarnaast scant deze module ook diskettes en netwerkstations die met het systeem verbonden zijn. ♦ E-Mailscan: Deze module wordt gebruikt voor het scannen van emailberichten en attachments. ♦ Downloadscan: Deze module wordt gebruikt voor het scannen van gedownloade bestanden. ♦ Internetfilter: Deze module wordt gebruikt voor het zoeken naar, en blokkeren van, schadelijke Java-klassen en ActiveX-besturingselementen. Bovendien kan met deze module de browser worden geblokkeerd zodat er geen verbinding wordt gemaakt met onbetrouwbare internetsites die schadelijke software bevatten. ♦ HAWK: HAWK (Hostile Activity Watch Kernel) houdt in de gaten of er op de computer geen verdachte activiteiten plaatsvinden die erop kunnen wijzen © MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
11 dat het systeem is geïnfecteerd. In tegenstelling tot VirusScan, dat virussen onschadelijk maakt, zorgt HAWK ervoor dat virussen, wormen en Trojaanse paarden zich niet verder kunnen verspreiden. ♦
Beveiliging: Deze module wordt gebruikt voor het instellen van wachtwoordbeveiliging voor de overige modules van VShield.
7.2 Schijven scannen op virussen Klik in het Snelstart menu op Nu Scannen. Vervolgens moet men bepalen welke schijf men wil scannen op virussen, neem bijvoorbeeld een diskette. Selecteer de A:-schijf en klik onderaan het scherm op de knop Scannen.
VirusScan geeft de voortgang van het scanproces aan. Wanneer er geïnfecteerde bestanden gevonden werden, geeft men dit aan in de kader Geïnfecteerde bestanden beheren. Daar kan men kiezen wat men met de bestanden kan doen: ♦ Opschonen: Als u deze optie selecteert, wordt de viruscode uit een geïnfecteerd bestand verwijderd zodra deze is gevonden. Als het virus niet kan worden verwijderd, wordt de toegang tot het bestand geweigerd en wordt de gebeurtenis in het logboekbestand vermeld. ♦ Verwijderen: Kies deze optie als u geïnfecteerde bestanden wil laten verwijderen zodra deze worden gevonden. Zorg ervoor dat u de rapportoptie hebt geselecteerd, zodat u beschikt over een overzicht van de bestanden die zijn verwijderd. U zult de verwijderde bestanden met behulp van een eerder gemaakte reservekopie moeten herstellen. Als het geïnfecteerde bestand niet kan worden verwijderd, wordt dit in het logboekbestand vermeld. ♦ Info ♦ Quarantaine: u kan geïnfecteerde bestanden verplaatsen naar een quarantainemap. Hierdoor worden geïnfecteerde bestanden afgeschermd van
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
12 gebieden waar ze kunnen worden geopend en kunt u de bestanden opschonen of verwijderen op een moment dat u dat gelegen komt.
7.3 VirusScan updaten 7.3.1 Belang Elke maand komen er meer dan 200 nieuwe virussen bij. Deze nieuwe virussen kunnen vaak niet worden gedetecteerd door oudere gegevensbestanden. Eenmaal je McAfee VirusScan geïnstalleerd hebt (lees MTSO-Info Extra 8), komt het er dus op aan dit programma ook REGELMATIG te updaten. Dat kan handmatig of automatisch gebeuren. 7.3.2 Handmatig updaten Open Internet Explorer en ga naar het volgend adres: www.mcafee.com1.
1
De screenshots zijn gebaseerd op de website van McAfee in december 2001. Ondertussen kan deze er al anders uitzien. Het principe blijft natuurlijk hetzelfde. © MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
13
Klik in het scherm Downloads aan.
Blader in dit scherm naar beneden en kies in het menu Anti-virus updates voor VirusScan 4.03 or higher. Als deze keuze in het venstertje geselecteerd is, kies dan voor GO.
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
14
Volgend scherm verschijnt dan:
Klik op de knop Download om het downloaden van de nieuwe versie te starten. Als het downloadvenster verschijnt, klik dan op OK:
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
15
Kies in het venster om het bestand op te slaan in C:\Temp. Dan is het later snel en eenvoudig terug te vinden:
Klik op Opslaan om het downloaden te starten.
Als het downloaden voltooid is, zal Windows het downloadvenster sluiten (soms moet je dat handmatig doen).
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
16 Start nu Verkenner op en ga naar de map Temp.
Dubbelklik op het bestand dat je net hebt gedownload om de update te starten.
Klik op Volgende om verder te gaan met de installatie.
Als de installatie voltooid (en gelukt) is, krijg je volgend scherm:
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
17
Klik om Voltooien om het programma af te sluiten. Soms zal gevraagd worden om de computer te herstarten. De update is nu volledig uitgevoerd. 7.3.3 Automatisch updaten Ga in de systeembalk naar het symbool van McAfee. Dubbelklik en je krijgt het volgende scherm. In dit scherm klik je op Zoeken naar een update van VirusScan.
McAfee gaat dan op zoek naar de laatste update. Indien deze beschikbaar is, vink deze update aan en klik op Bijwerken.
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
18
McAfee start dan met downloaden.
Mcafee geeft aan wanneer het downloaden is geslaagd. Druk op OK. We raden wel aan je computer opnieuw op te starten zodat de nieuwe VirusScan optimaal kan werken.
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
19
Opmerking: McAfee geeft zelf aan wanneer er een nieuwe versie van VirusScan kan gedownload worden. Je ziet dan in je takenbalk een icoontje van McAfee verschijnen.
Wanneer dit icoontje verschijnt is je virusscanner DRINGEND aan updating toe. Pas in dat geval bovenstaande update procedure toe. 7.4 Virusinformatiebibliotheek Wanneer men in het startmenu de optie Virusinformatiebibliotheek aanklikt, wordt er automatisch een link gelegd met de website McAfee AVERT (Anti-Virus Emergency Response Team).
Op deze website vindt men actuele informatie over bekende virussen en hun symptomen en kunt u tevens bijgewerkte DAT-bestanden (bestanden met antivirushandtekeningen) downloaden.
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
20
8 Tot slot: enkele tips ♦ Wees altijd op je hoede, ook al lijkt de afzender of bron te vertrouwen. ♦ Update regelmatig je antivirus-programma. ♦ Verhoog de veiligheidsgraad van de software die u gebruikt om te surfen (Internet Explorer, NetScape, etc) via de opties van deze programma's. ♦ Voer regelmatig een back-up uit van de informatie die op de computer staat (zie MTSO-INFO 19). ♦ Open geen verdachte attachment files of attachments die door een onbekende afzender werden verstuurd. Het is belangrijk dat de bestandsextensies (.exe, .com, .doc, enz.) leesbaar zijn2. Men kan dit zelf instellen. Open Windows Verkenner. Klik in de menubalk Extra op Mapopties. Kies het tabblad Weergave en klik de instelling Bestandsextensies verbergen voor bekende bestandstypes af. Druk op OK.
2
Volgende truc wordt regelmatig door virusmakers gehanteerd: Een virus heeft soms de extensie .vbs. Dat is een Visual Basic Script dat automatisch uitgevoerd kan worden en de pc kan besmetten. Virusmakers geven hun virusbestand dan de naam xxx.jpg.vbs Als de optie “Extensies verbergen” opstaat dan krijgt de gebruiker enkel xxx.jpg te zien en dan denkt hij dat het een tekening of foto is in het JPG-formaat (wat een heel gangbaar en onschuldig grafisch formaat is). Enkel door de opties “extensies verbergen” uit te schakelen krijgt de gebruiker de volledige bestandsnaam te zien en merkt hij dat het niet een jpg-bestand maar een vbsbestand is dat waarschijnlijk een virus bevat. © MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
21
9 Bibliografie Site Site Site Site Site Site Site Site Site Site
Anti Virus Power Controls : http://www.antiviruspowercontrols.com Anti Viral Toolkit Pro: http://www.avp.ch/avpve/entry/entry2.htm#1-2 BIPT: http://www.bipt.be/bipt.htm Computer Knowledge: http://www.cknow.com/vtutor/vtintro.htm Decursor: http://www.decursor.be/On-line/Virussen/ Diskidee: http://www.diskidee.nl/cursus/cursus45.html Hoax Info: http://hoaxinfo.com/vprotect.htm McAfee: http://www.mcafee.com Microsoft: http://www.microsoft.com Webwereld: http://www.webwereld.nl/bijlage/01_19_d/3.phtml
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/