[Spyware] Hoe preventief tegengaan?

_{In eerste instantie zal ik even melden dat ik hierover met F_J_K (mod SA) al een klein beetje via de mail heb gecorrespondeerd. Hij is bezig met een FAQ aanvulling over (oa) dit onderwerp, maar daar heeft hij nog wat meer tijd voor nodig. Kortom nuttige replies in dit topic zouden best aan die toekomstige FAQ toegevoegd kunnen worden.}

Waar gaat dit topic over
In dit topic zou ik graag wat tips willen krijgen/uitwisselen over het preventief tegengaan van Spyware/Adware.

Wat is Spyware
Dat weet je natuurlijk al, want je leest FAQ's . Zie ook hier.

Nuttige software
• Lavasoft Ad-Aware en Spybot Search & Destroy. Deze programma's scannen en verwijderen Spyware. Altijd eerst kijken of er een update beschikbaar is. Mijn persoonlijke ervaring is dat deze 2 elkaar goed aanvullen. Ad-Aware vindt dingen die Spybot niet herkent, en vice versa. Gebruik ze dus altijd samen.
• HijackThis. Dit programma kan helpen met het opsporen van Spware (maar ook bv virussen). Het geeft een overzicht van opstartitems / ingestelde zoekpagina's / extra knoppen in IE / aanpassingen in de HOSTS file. Mochten deze instellingen nou allemaal wat onbegrijpelijk voor je zijn, dan is het aan te raden de HijackThis log file op het forum neer te zetten (tussen code tags voor de overzichtelijkheid ajb).
• Een recente virusscanner. Logisch. Sommige Spyware wordt herkend door bepaalde virusscanners.
• Voor meer software en websites zie het betreffende deel in de SA FAQ hier.

Genoeg ge-OH'd, hoe ga ik Spyware preventief tegen
• Gebruik geen Internet Explorer. De meeste Spyware maakt gebruik van lekken in IE. Alternatief is bijvoorbeeld Mozilla. Graag zou ik van iemand technische details krijgen waarom Mozilla beter is in dit geval. Ik heb er zelf geen ervaring mee, en ben (nog) niet van plan over te stappen. Ook zijn deze tips bedoeld voor "Jan-en-alleman", en IE is nog steeds de meest gebruikte browser.
• Internet Explorer - de laatste updates installeren via Windows Update.
• Spybot Search & Destroy - Immunize optie (IE only). In de help staat:

This allows you to tweak some internal Internet Explorer settings to block the installation of known spyware (and similar threats) installers.

Dat is weer lekker vaag. Als iemand hier meer technische details over weet te vertellen?
• Internet Explorer -> Extra -> Internet-opties -> Beveiliging. Hier kan je oa instellen dat ActiveX componenten etc uitgeschakeld worden. Heb hier geen verstand van. Wanneer is dit juist niet wenselijk? Wanneer wel? Etc.
• Gebruikersrechten. Misschien moet ik hier een apart topic voor openen. Ik zou graag willen weten wat jullie doen op bv publiekelijk toegankelijke internetpc's. Mijn ervaring is dat ook al geef je de gebruiker geen schrijfrechten op bepaalde dir's, de Spyware er doodleuk tussendoor komt omdat deze via user SYSTEM geinstalleerd worden. En op zo'n internetbak wil je ook niet weer teveel dichttimmeren omdat je dan als systeembeheerder veel te veel wordt ingeroepen. Een Ghost image of Reborn Card is dan wel weer een oplossing.

Graag hoor ik van jullie wat ik vergeten ben en wat ik verkeerd uitleg.

Heb binnen VMWare XP geinstalleerd, en ga nu eens een beetje spelen met de tips die hierboven al gegeven zijn. Ik zal deze post in de loop van de tijd editen met mijn bevindingen. Klaar

Post verwijderd, had niet met alle bekende spywarescanners gescand. Ga dit even opnieuw doen in een nieuwe post.

[ Voor 255% gewijzigd door Mike Jarod op 08-12-2003 15:07 ]

_{Even min of meer bevestigen wat Schouw een paar posts geleden zei}

Heb net ook binnen VMWare geprobeerd de IE beveiligingsinstellingen op hoog te zetten en dan foute sites te bezoeken. Dat werkt op zich wel, er komt geen troep binnen, maar "echt" surfen is niet echt meer mogelijk.

Als er gebruik wordt gemaakt van ActiveX op een pagina krijg je een irritante popup met de melding dat met de huidige beveiligingsinstellingen het script niet uitgevoerd kan worden. Heb gezocht op Google hoe je die popup uit kan schakelen, maar kan niks vinden (heb ook NL versie, en weet niet goed waarop ik moet zoeken in het engels).

Ook Javascripts werken niet (of maar half, raar want het zou helemaal uit moeten staan ). Overigens krijg je dan ook geen popups meer, maar ja... dit is dus echt geen optie.

--------------------------------------------------------------------------------------

DataBeest schreef op 04 december 2003 @ 13:34:
Als je onder Windows 2000 of XP een gebruiker gewoon Userrechten geeft, ipv Administrator rechten, dan kan het geen meuk meer installeren, dus ook geen spyware geloof ik.

Dat werkt voor een deel zo te merken. Zowiezo krijg je nog steeds kilo's popups voor je kiezen. Javascript/ActiveX msgboxen met YES/NO opties verschijnen wel, maar als je op YES druk gebeurt er niets. Pagina's die automatisch een file downloaden (bv popup met "wil je file xyz downloaden") werken wel, als je dan op die vraag "openen" kiest dan installeert de meuk zich alsnog. Na een reboot lijkt overigens alle meuk weer weg, Spybot vindt alleen maar cookies, AAW helemaal niks .

Weet iemand misschien (evt een link naar) meer info over wat een user uit de groep "Gebruikers" precies wel en niet mag? (dan denk ik aan NTFS rechten en policies etc)

--------------------------------------------------------------------------------------

Heb Mozilla Firebird ook uitgeprobeerd. Tja dat is is 'm he. Geen popups, geen YES/NO vensters. Geen spyware . Wel bestanden die automatisch geopend/gedownd worden (eerst een popup met een vraag natuurlijk). Had wel wat problemen met het installeren van Java en de browser wilde ook af en toe helemaal niet starten (proces draaide wel) totdat ik rebootte, hopelijk komt dat door VMWare. Deze browser smaakt naar meer .

--------------------------------------------------------------------------------------

[ Voor 23% gewijzigd door Mike Jarod op 08-12-2003 22:07 ]

Preventieve software

Komen voornamelijk van deze lijst.

Deze heb ik uitgetest door het volgende te doen:
• ieplugin[dot]com bezoeken
• astalavista[dot]com bezoeken, dan zoeken naar een crack op meerdere sites, vooral de sites met popups en exe popups
• porn xxx slut etc intikken bij google
En dan naar hartelust op alle banners popups etc klikken .

--------------------------------------------------------------------------------------

JavaCool SpywareBlaster (freeware). Info:

SpywareBlaster doesn`t scan and clean for so-called spyware, but prevents it from being installed in the first place. It achieves this by disabling the CLSIDs of popular spyware ActiveX controls, and also prevents the installation of any of them via a webpage. This allows you to run Internet Explorer with Active-X enabled, but it will never download or even prompt you for any of the known ActiveX controls.

Werkt zeer goed. Krijg het idee dat je ook minder popups krijgt. YES/NO en INSTALL schermen verschijnen niet meer, ook vragen of je een exe file wilt downloaden ben ik niet tegengekomen. Na 20 minuten foute sites bezoeken vinden zowel AAW als Spybot helemaal niets. Ook via HijackThis zie ik geen gekke dingen. Aanrader!

--------------------------------------------------------------------------------------

Spybot Search & Destroy (freeware) - Immunize functie.

Ik kan hier geen nuttige info over vinden in de help of op de site. Behalve het vage verhaal uit mijn startpost. Zal vermoedelijk ook foute CLSID's preventief disablen.

• Permanent Internet Explorer immunity aangezet.
• Permanently running bad download blocker for IE aangezet. Bij deze optie wordt zo te zien een BHO object toegevoegd (SDHelper.dll).

Sja, dit is gewoon dikke drama. Een aantal dingen werden zo leek het wel tegengehouden (waarschijnlijk de meest bekende adware), maar uiteindelijk zit ik weer met genoeg toolbars/dialers/active desktop zooi opgescheept. Afrader dus.

--------------------------------------------------------------------------------------

_{meer volgt...}

[ Voor 39% gewijzigd door Mike Jarod op 08-12-2003 14:33 ]

Spyware scanners test

Disclaimer: ik heb hier geen verstand van. Ik snap niks van kompjoeters. Deze tests doe ik puur voor de lol. Misschien dat een professionele instantie compleet andere resultaten zou krijgen. Dat je het ff weet .

Testsysteem: XP Pro SP1 + alle updates, binnen VMWare. System Restore staat uit. IE security settings op laagst. Geen virusscanner of firewall. Ad-Aware en Spybot gedraaid om spyware wat bij al bij de installatie zit (Alexa, internetzones) te verwijderen. Daarna ongeveer een uur op foute sites gezeten zoveel mogelijk troep proberen binnen te halen. Toen een snapshot gemaakt in VMWare. Bij elke test van elk programma de snapshot weer geladen om de uitgangssituatie gelijk te houden.

Om een idee te krijgen hoe verneukt het systeem was (klikbaar):



HijackThis log voor de liefhebbers. Staan zover ik kan zien 101 items in die met spyware te maken kunnen hebben. Dit zijn oa BHO's / startpages / toolbars / Run items etc.

Wat zeggen de specialisten?

Ik heb eerst het programma ge-update en laten scannen/cleanen. Daarna met JV16 Powertools het register opgeschoond en dode snelkoppelingen verwijderd. Doe je dit niet dan is mijn ervaring dat het HT log verwijzingen weergeeft naar files die niet meer bestaan, das niet eerlijk. Toen pas HT log gemaakt.

• Lavasoft Ad-Aware v6 build 181 (normale versie is freeware, pro versie kost $39,95): 677 New objects. HT log na opschonen. Ongeveer de helft van de snelkoppelingen op de desktop (vnl dialers) staan er nog. In het HT log zie ik zo snel 8 items die met spyware te maken kunnen hebben.

• Spybot Search & Destroy v1.2 (freeware): 348 Problems found. HT log na opschonen. Alle snelkoppeling op de desktop staan er nog, blijkbaar doet Spybot niet aan dialers. In het HT log zie ik zo snel 35 items die met spyware te maken kunnen hebben.

• Webroot Spy Sweeper v2.1.0 build 23 (free trial, full $29,95): Spyware found: 74, Traces found: 3.964. Cleanen duurt erg lang. HT log na opschonen. Ongeveer de helft van de desktopitems is verwijderd. In het HT log zie ik zo snel 27 items die met spyware te maken kunnen hebben.

• Intermute SpySubtract Pro v1.06 (free trial, full $29,95): vindt 313 items. HT log na opschonen. Heeft deze wel wat verwijderd? Alle desktopitems staan er nog. In het HT log zie ik zo snel 65 items die met spyware te maken kunnen hebben. Slechte prestatie voor een betaald product.

Overig - niet (goed) kunnen testen:
• Enigma SpyHunter (demo, full $29,99): demoversie kan niet cleanen! Kon geen import versie vinden.
• NetCop System Shield (demo, full $49.95): vindt helemaal niks! Onduidelijk programma. Import versie vond ook niets. Kan niet kloppen.
• PestPatrol (demo, full $39,95): demo kan niet cleanen! Heb zowel trail als import versie geprobeerd maar die wilden niet updaten. Update van site gedaan. Na aantal keer cleanen wilde deze wel automatisch updaten maar ging zeiken dat een file niet op de updatesite bestond. Resultaten waren belabberd.
• InfoWorks SpyRemover (free trial, $29,95): demo kan niet cleanen! Niet naar een import versie gezocht omdat deze op andere sites slecht gereviewed wordt.

Ik heb ook nog even naar online spyware scan sites gekeken, maar hier kon of niet gecleaned worden of ze vonden niet veel.

Beetje jammer dat er zoveel programma's problemen gaven, PestPatrol en NetCop worden hier en daar goed gereviewed maar deden het niet goed. Daarom is deze test een beetje incompleet.

Samengevat:
Ad-Aware vond in deze test de meeste meuk. Sybot minder, maar vindt wel dingen die AAW niet vond. Ik raad ze aan beide te gebruiken. Webroot Spysweeper doet het ook redelijk, maar is niet gratis, en de resultaten wegen niet op tegen het gratis Ad-Aware.

[ Voor 255% gewijzigd door Mike Jarod op 09-12-2003 13:35 ]