SA FAQ: virussen & spyware

Terug naar de FAQ index.

Let op: deze informatie is mogelijk achterhaald. Voor up-to-date informatie, kijk in Beveiliging & Virussen.

Wat is een hoax?

Letterlijk betekent "hoax" een vals verhaal. Op het internet betekent het precies hetzelfde, bijvoorbeeld een nep-viruswaarschuwing. Enkele voorbeelden van hoax e-mails:

Do not open! Doing so will result in the deletion of all of the files on your hard drive!

Als je dit niet doorstuurt aan 10 stopt Microsoft met Hotmail

Voor elk mailtje dat wordt doorgestuurd ontvangt een arm meisje in Afrika een cent van %bedrijf% voor haar operatie.

Andere mails maken misbruik van de goede aard van mensen:

Pas op, nieuw erg gevaarlijk virus in de omloop! Start dit bestand om het van je PC te verwijderen.

We developed this free immunity tool to defeat a malicious virus. You only need to run this tool once, and then Klez will never come into your PC!

Mensen openen de attachment en worden dan juist slachtoffer van een virus.
Haal daarom updates van de site van de maker af, in plaats van de update uit een mailtje te gebruiken. De meeste softwareontwikkelaars (Microsoft bijvoorbeeld) sturen nooit patches via e-mail, en als ze dat al doen, gebeurt dat alleen als jij je hebt ingeschreven op een mailinglist van hun. Ongevraagde patches via e-mail zijn dus niet te vertrouwen.

Meer informatie over hoaxes (en voorbeelden ervan) zijn op Virus Bulletin en VirusAlert. Bekijk deze sites voordat je een dergelijke e-mail wilt doorsturen, en zeker als je een bestand van je harde schijf gaat wissen.

Spyware: wat is het en wat doet het?

Spyware zijn kleine programma's (DLLs/executables) die tijdens de installatie van sommige stukken software ongevraagd wordt meegeïnstalleerd (ook al staat het meestal wel vermeld in de readme/EULA). Ook kunnen dit soort programma's op je PC komen als je tijdens het surfen op "bepaalde" () sites te snel op "OK" klikt, of de beveiligingsinstellingen van IE te laag hebt staan.

Eenmaal geïnstalleerd verzamelt het programma gegevens (naar welke websites je surft bijvoorbeeld) en zend die via internet naar de softwarefabrikant. Naast de privacyproblemen die je hiermee hebt, gebeurt het vaak dat er om de haverklap reclame in beeld komt, je Internet Explorer vastloopt of erg traag wordt. Ook wil er nogal eens een extra "zoekbalk" in beeld komen, of wordt je bij niet gevonden pagina's omgeleid naar de webpagina van de spyware makers.

De meeste spyware is te verwijderen met behulp van Ad-Aware en Spybot Search & Destroy. Deze programma's hebben (netzoals een virusscanner) een update-functie om de nieuwste spyware te herkennen, gebruik deze dan ook vóór je op spyware gaat scannen. Als je niet precies weet wat je wel en niet moet doen, dan kan je kijken in deze Howto: spyware scannen en opruimen.
Ook zijn er online scanners, namelijk PestScan en Spywareinfo's online scanner. Beide werken alleen onder IE.

Mochten Ad-Aware en Spybot S&D het niet weghalen, kan je ook nog zelf nog het register induiken (met start -> uitvoeren -> regedit en msconfig). Ook de programma's Autoruns en HijackThis zijn erg handig.
Met deze twee programma's kan je kijken wat er allemaal opgestart wordt als je je PC aan zet, en er zo misschien achterkomen wat je PC heeft geïnfecteerd. HijackThis kan ook een log maken, deze zou je eventueel op GoT kunnen posten (zet dit logboek tussen [code] en [/code] zodat het goed leesbaar blijft) als je er niet uit komt.
Als je niet weet wat een bepaald proces doet, kan je de bestandsnaam even inkloppen op Google. Zo kom je er bijvoorbeeld achter dat smss.exe gewoon thuishoort op je PC, het is namelijk je Session Manager Subsystem. Hier is een site te vinden met de bekende bestandsnamen van allerlei programma's.

Voorkomen is beter dan genezen natuurlijk. Met behulp van SpywareBlaster kan je de CLSIDs van bekende spyware blokkeren, zodat ActiveX controls (waar spyware in zit) niet meer geïnstalleerd kunnen worden. Ook Spybot Search & Destroy heeft een "Immunize" optie welke ongeveer hetzelfde doet, plus nog wat extra beveiliging zoals het vastzetten van je opstartpagina en het wijzigen van de HOSTS file een stuk lastiger te maken.
Om Outlook (Express) beter af te schermen tegen dit soort grapjes, heeft mvps.org deze pagina in het leven geroepen, waar je de instellingen kan vinden om je Outlook (Express) veiliger te maken.

Hoe kom ik van virussen af?

Mocht je denken dat je een virus hebt, maar je hebt geen virusscanner geïnstalleerd, kan je op de volgende sites online je systeem laten scannen:

• BitDefender (IE only)
• Housecall
• Kaspersky (losse bestanden scannen)
• McAfee (IE only, registratie verplicht)
• RAV AntiVirus (losse bestanden scannen)
• Symantec (IE only)
• PC Pitstop (IE only)
• Panda (IE only)

Als je een (trage) inbelbelverbing hebt, is het misschien verstandiger om een "mini-scanner" te downloaden welke de meest voorkomende virussen herkent en weghaalt, zoals AVG Free, McAfee Stinger of Panda pqremove.
Als je denkt een trojan horse te hebben, kan je ook nog The Cleaner of TrojanHunter gebruiken.

Een hoop virussen passen de aanroep van executables in Windows aan, zodat het virus steeds wordt aangeroepen als jij een ander programma opstart. Maar na de verwijdering van het virus kan het zo zijn dat je geen enkel programma meer kan opstarten, omdat de koppeling dan weg is. Dit is na verwijdering van het virus vrij makkelijk te maken door in de verkenner regedit.exe naar regedit.com te hernoemen, en deze op te starten.
In je register zou "HKEY_CLASSES_ROOT\exefile\shell\open\command" de waarde "%1" %* moeten hebben, en "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe" hoeft enkel een lege defaultwaarde te hebben.

Anti-virus/spyware sites en tools

Anti-virus sites:

• antivirus.pagina.nl
• CERT
• McAfee Security
• Symantec Security Response
• VirusAlert
• Virus Bulletin
• Viruslist.com
• Wilders.org
• WildList Organization

Spyware sites:

• cexx.org
• doxdesk
• Merijn.org
• mvps.org
• Spychecker
• Spywareinfo