/u/43807/ZwartGat.png?f=community)
FAQ: Beveiliging en Virussen (de antwoorden)
Ik heb een virusscanner, maar toch een virus?
Je hebt al jaren Kaspersky Anti-Virus geinstalleerd staan, update deze netjes elke dag om 19:30 's avonds, en je zet hem nooit af - toch heb je opeens alle symptomen van een virus en lijkt je virusscanner hem nu nog steeds niet te herkennen.
Bovenstaand scenario lijkt misschien onmogelijk - toch komt het regelmatig voor, en dit kan een aantal oorzaken hebben:
Hoe kan dat?
- Het virus wat je hebt wordt nog niet gedetecteerd door jouw virusscanner
Voordat een virus gedetecteerd wordt door een virusscanner, moet het eerst als virus herkend worden door de virusscanner. Veel virusscanners hebben zogenaamde generic signatures of heuristic analyses waarmee ze nog 'nieuwe' virussen kunnen detecteren - dit is echter vaak niet voldoende, en dus moet een virusscanner het hebben van specifieke detectie voor dat virus. Een virusscanner loopt dus bijna altijd een beetje achter - het virus dwaalt namelijk al rond voordat anti-virus makers maar kunnen beginnen om het specifiek te gaan detecteren.
- Veel virusscanners updaten standaard maar één keer per week - of één keer per dag.
Als jouw favoriete anti-virus maker zijn detectie aanpast net nadat jij geupdate hebt - weet jouw virusscanner nog van niets, en kan het nog een dag of zelfs een week (al naar gelang hoe vaak jij jouw virusscanner update), duren voordat jouw virus herkent wordt.
- Het virus heeft jouw virusscanner uitgeschakeld
Steeds meer virussen proberen actief je virusscanner onklaar te maken - en dus zal dat virus niet zo
snel meer gedetecteerd worden. - Jouw virus wordt niet herkend als een virus
Veel virusscanners detecteren eigenlijk alleen virussen, dat lijkt misschien genoeg, maar er is meer.
Zo heb je bijvoorbeeld trojans, trojandroppers, trojandownloaders, trojanproxies, backdoors en ad- en spyware.
Al deze dingen samen worden ook wel malware genoemd. Omdat de meeste virusscanners zich voornamelijk op virussen concentreren, is het daarom aan te raden ook een dedicated Anti-Trojan te draaien voor de trojans en backdoors en een anti-spy/adware programma tegen de ad- en spyware.
Ook voor deze programma's geldt dat ze niet fullproof zijn.
Hoe dit op te lossen?
De meeste van bovenstaande problemen kun je oplossen door gewoon een andere virusscanner te gebruiken als je je computer verdenkt van het hebben van een virus. Zie een ander gedeelte van de FAQ voor een lijst met virusscanners.
Als je echter met meerdere virusscanners gescanned hebt - is het ook nog zinvol om eens te scannen met een spyware scanner. Voor precieze instructies verwijzen we je opnieuw door naar het gedeelte van de FAQ genaamd 'Spyware'.
Wat is een hoax?
Letterlijk betekent "hoax" een vals verhaal. Op het internet betekent het precies hetzelfde, bijvoorbeeld een nep-viruswaarschuwing. Enkele voorbeelden van hoax e-mails:
Do not open! Doing so will result in the deletion of all of the files on your hard drive!
Als je dit niet doorstuurt aan 10 stopt Microsoft met Hotmail
Voor elk mailtje dat wordt doorgestuurd ontvangt een arm meisje in Afrika een cent van %bedrijf% voor haar operatie.
Andere mails maken misbruik van de goede aard van mensen:
Pas op, nieuw erg gevaarlijk virus in de omloop! Start dit bestand om het van je PC te verwijderen.
We developed this free immunity tool to defeat a malicious virus. You only need to run this tool once, and then Klez will never come into your PC!
Mensen openen de attachment en worden dan juist slachtoffer van een virus.
Haal daarom updates van de site van de maker af, in plaats van de update uit een mailtje te gebruiken. De meeste softwareontwikkelaars (Microsoft bijvoorbeeld) sturen nooit patches via e-mail, en als ze dat al doen, gebeurt dat alleen als jij je hebt ingeschreven op een mailinglist van hun. Ongevraagde patches via e-mail zijn dus niet te vertrouwen.
Meer informatie over hoaxes (en voorbeelden ervan) zijn op Virus Bulletin en VirusAlert. Bekijk deze sites voordat je een dergelijke e-mail wilt doorsturen, en zeker als je een bestand van je harde schijf gaat wissen.
Spyware: wat is het en wat doet het?
Spyware zijn kleine programma's (DLLs/executables) die tijdens de installatie van sommige stukken software ongevraagd wordt meegeïnstalleerd (ook al staat het meestal wel vermeld in de readme/EULA). Ook kunnen dit soort programma's op je PC komen als je tijdens het surfen op "bepaalde" (;)) sites te snel op "OK" klikt, of de beveiligingsinstellingen van IE te laag hebt staan.
Eenmaal geïnstalleerd verzamelt het programma gegevens (naar welke websites je surft bijvoorbeeld) en zend die via internet naar de softwarefabrikant. Naast de privacyproblemen die je hiermee hebt, gebeurt het vaak dat er om de haverklap reclame in beeld komt, je Internet Explorer vastloopt of erg traag wordt. Ook wil er nogal eens een extra "zoekbalk" in beeld komen, of wordt je bij niet gevonden pagina's omgeleid naar de webpagina van de spyware makers.
De meeste spyware is te verwijderen met behulp van Ad-Aware en Spybot Search & Destroy. Deze programma's hebben (netzoals een virusscanner) een update-functie om de nieuwste spyware te herkennen, gebruik deze dan ook vóór je op spyware gaat scannen. Als je niet precies weet wat je wel en niet moet doen, dan kan je kijken in deze Howto: spyware scannen en opruimen.
Ook zijn er online scanners, namelijk PestScan en Spywareinfo's online scanner. Beide werken alleen onder IE.
Mochten Ad-Aware en Spybot S&D het niet weghalen, kan je ook nog zelf nog het register induiken (met start -> uitvoeren -> regedit en msconfig). Ook de programma's Autoruns en HijackThis zijn erg handig.
Met deze twee programma's kan je kijken wat er allemaal opgestart wordt als je je PC aan zet, en er zo misschien achterkomen wat je PC heeft geïnfecteerd. HijackThis kan ook een log maken, deze zou je eventueel op GoT kunnen posten (zet dit logboek tussen [code] en [/code] zodat het goed leesbaar blijft) als je er niet uit komt.
Als je niet weet wat een bepaald proces doet, kan je de bestandsnaam even inkloppen op Google. Zo kom je er bijvoorbeeld achter dat smss.exe gewoon thuishoort op je PC, het is namelijk je Session Manager Subsystem. Hier is een site te vinden met de bekende bestandsnamen van allerlei programma's.
Voorkomen is beter dan genezen natuurlijk. Met behulp van SpywareBlaster kan je de CLSIDs van bekende spyware blokkeren, zodat ActiveX controls (waar spyware in zit) niet meer geïnstalleerd kunnen worden. Ook Spybot Search & Destroy heeft een "Immunize" optie welke ongeveer hetzelfde doet, plus nog wat extra beveiliging zoals het vastzetten van je opstartpagina en het wijzigen van de HOSTS file een stuk lastiger te maken.
Om Outlook (Express) beter af te schermen tegen dit soort grapjes, heeft mvps.org deze pagina in het leven geroepen, waar je de instellingen kan vinden om je Outlook (Express) veiliger te maken.
Welke Anti-Virus software is er allemaal?
Voor thuis
| Naam | XP/2000 | Win9x | Linux | FreeBSD | DOS | Gratis? |
|---|---|---|---|---|---|---|
| F-Secure |  | |  | | | Nee |
| F-Prot | | | | | | Nee (DOS versie gratis) |
| AVG | | | | | | Ja (v6 gratis, v7 niet) |
| H+BEDV Antivir | | | | | | Ja (personal edition) |
| TrendMicro AV | | | | | | Nee |
| McAfee | | | | | | Nee |
| Norman | | | | | | Nee |
| Kaspersky | | | | | | Nee |
| Panda AV | | | | | | Nee |
| Norton AV | | | | | | Nee |
Online virus scanners
| Naam | IE only | Losse files only? | Registratie? |
|---|---|---|---|
| BitDefender | | | |
| Housecall | | | |
| Kaspersky | | | |
| McAfee | | | |
| RAV AntiVirus | | | |
| Symantec | | | |
| PC Pitstop | | | |
| Panda | | | |
Trage verbinding
Als je een (trage) inbelbelverbing hebt, is het misschien verstandiger om een "mini-scanner" te downloaden welke de meest voorkomende virussen herkent en weghaalt, zoals AVG Free, McAfee Stinger of Panda pqremove.
Als je denkt een trojan horse te hebben, kan je ook nog The Cleaner of TrojanHunter gebruiken.
Ik had een virus, en nu kan ik geen programma meer starten?
Een hoop virussen passen de aanroep van executables in Windows aan, zodat het virus steeds wordt aangeroepen als jij een ander programma opstart. Maar na de verwijdering van het virus kan het zo zijn dat je geen enkel programma meer kan opstarten, omdat de koppeling dan weg is. Dit is na verwijdering van het virus vrij makkelijk te maken door in de verkenner regedit.exe naar regedit.com te hernoemen, en deze op te starten.
In je register zou "HKEY_CLASSES_ROOT\exefile\shell\open\command" de waarde "%1" %* moeten hebben, en "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe" hoeft enkel een lege defaultwaarde te hebben.
Hoe veilig ben ik achter mijn NAT-router?
In principe zijn er twee types verbindingen die door je router heengaan en waar beveiliging bij nodig is. De router kan één van die twee wel beveiligen, de ander niet:
Toegang tot het netwerk van buitenaf
De normale huis-tuin-en-keuken NAT-router (in de volksmond gewoon router) bevat over het algemeen een portfilter. Deze portfilter zorgt ervoor dat de poorten van de gebruikelijke protocollen (TCP, UDP, ICMP etc.) van buitenaf gesloten zijn. Door deze gesloten poorten is het voor kwaadwillenden onmogelijk verbinding te maken met (een service in) het interne netwerk.
Als er echter poorten openstaan of gemapt zijn, voor bijvoorbeeld een web- of FTP-server, zijn de services die op die poorten draaien wél kwetsbaar. Een security-fout in de code van bijvoorbeeld Apache kan een hacker de mogelijkheid geven via dat proces bewerkingen op de server uit te voeren of, nog erger, zich toegang tot de rest van het netwerk te verschaffen.
Het is dus altijd aan te raden zo min mogelijk poorten gemapt te hebben omdat ze allen een potentieel gevaar zijn. De meeste routers hebben een zogenaamd deny-all policy, wat betekent dat ze standaard alle poorten dichthouden en je indien nodig poorten handmatig moet openzetten.
Toegang tot het internet van het LAN
Waar de router inkomende verbindingen aan restricties kan onderwerpen, kan hij uitgaande verbindingen over het algemeen niet beperken. Dit heeft dus als gevolg dat iedereen vanuit het interne netwerk verbinding kan maken met computers op het internet.
Sommige malafide software, zoals bijvoorbeeld de ad- en spyware en trojans die hierboven genoemd zijn, heeft niet enkel een werking op het geïnfecteerde systeem maar proberen ook een verbinding naar een server op te zetten om zo (gevoelige) informatie door te geven. Doordat de router deze verbindingen niet kan controleren of blokkeren, beschermt hij je computer hier niet tegen.
Wil je deze verbindingen naar het internet toe toch beveiligen, dan moet je gebruik maken van een tweede firewall, één die wél uitgaande verbindingen kan controleren: de personal firewall. Deze personal firewalls zijn er natuurlijk in alle soorten en maten, zoals hieronder opgesomd.
Welke firewalls zijn er allemaal?
Windows firewalls voor thuis
Firewalls zijn tegenwoordig bijna net zulke verplichte kost voor een internetter als een VirusScanner. Voor Windows zijn er een aantal firewalls die je helpen met het beveiligen van je PC.
| Naam | XP/2000 | Win9x/ME | Gratis? |
|---|---|---|---|
| F-Secure Internet Security | | | Nee |
| TrendMicro PC Cillin | | | Nee |
| Personal Firewall Plus | | | Nee |
| Kaspersky Anti-Hacker | | | Nee |
| Panda Platinum Internet Security | | | Nee |
| Norton Personal Firewall | | | Nee |
| ZoneAlarm Firewalls | | | Ja (Free ZoneAlarm) |
| Tiny Personal Firewall | | | Nee |
| Agnitum Outpost Firewall Pro | | | Nee |
| Sygate Personal Firewall | | | Ja (Personal Use) |
| Kerio Personal Firewall | | | Nee |
Anti-virus/spyware sites en tools
Anti-virus sites
- Stinger - generieke virus remover voor hele populaire virussen
- antivirus.pagina.nl
- CERT
- McAfee Security
- Symantec Security Response
- VirusAlert
- Virus Bulletin
- Viruslist.com
- Wilders.org
- WildList Organization
Spyware sites
- cexx.org
- doxdesk
- Merijn.org
- mvps.org
- mvps.org - Dealing with Unwanted Spyware and Parasites
- Spychecker
- Spywareinfo
- Veel informatie over processen
[ Voor 128% gewijzigd door pasta op 15-02-2006 14:01 ]
Dit topic is gesloten.