DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
Help een virus!!
Wat nu? Wat heeft dit allemaal voor gevolgen?
Wat is zo'n virus nou eigenlijk precies?
Een virus is zelf een klein programmaatje. Het zal altijd door de gebruiker (dat ben jij) gestart moeten worden. De virusmaker probeert door allerlei trucs je te verleiden om het virus te starten. Zodra het virus door jou gestart is, zal het virus elk programma dat je opstart pogen te infecteren door zichzelf aan het begin van het zojuist opgestarte programma te zetten. Zo wordt het virus altijd weer opnieuw opgestart zodra je een geinfecteerd programma opstart. Omdat er nogal wat programma's opgestart worden (kijk maar eens in je taakbalk) zal het virus zichzelf naar meer bestanden kopieren. Er zijn vele viri in omloop. Sommigen zijn onschuldig, anderen wissen je harde schijf, of wissen bepaalde bestanden, of sturen mail naar het Witte Huis, of veranderen bestanden, of of of of...
Hoe komt dat ding dan op mijn pc?
Krijg je mail met allemaal leuke attachements erbij? Wees voorzichtig met het openen van deze attachements. Ze kunnen virussen bevatten, open alleen bestanden als je mensen 100% vertrouwd. Wat ook een mogelijkheid is dat je je mail op virussen laat checken dan ben je er vrijwel zeker van dat je geen virus binnenhaalt. Een attachement met een .exe of .vbs extensie is meestal een virus. Verifieer ff bij de verzender of ie daarwerlijk ook zo'n bestand heeft meegezonden, of raadpleeg je ISP, deze weten vaak wel of het om een virus gaat.
Tevens kan het zijn dat je virussen download als je programma's download, vertrouw je de bron van je programma niet, scan het even.
Dit was helemaal niet het geval, ik heb dit alles niet gedaan! Dan heb je zeer waarschijnlijk een macro geopend in een office document. Er zijn namelijk ook virussen bekend die zich in RTF en DOC bestanden verbergen. Dat komt omdat in Word (en vergelijkbare programma's) de mogelijkheid zit om macro's uit te voeren. Macro's zijn eigenlijk kleine programmaatjes. Je raadt het al.. programma's kunnen worden uitgevoerd, en dat wat uitgevoerd kan worden, kan een virus in zich dragen.
Narigheid identificeren
Als je de indruk hebt dat er een virus of andersoortig niet-okay programma in Windows draait, kun je controleren welke processen er allemaal draaien door op ctrl+alt+del te drukken. Je krijgt dan een overzicht van alles wat op dat moment actief is.
Een lijst waarin je kunt terugvinden wat ieder ding doet vind je hier: [url=\"http://www.answersthatwork.com/Tasklist_pages/tasklist.htm\"]http://www.answersthatwork.com/Tasklist_pages/tasklist.htm[/url]
Wow, zoveel info maar hoe kom ik er vanaf?
Virusscanner kopen!
Er zijn een aardig aantal bekende virusscanners in omloop. Deze verkleinen de kans dat jij jezelf voorziet van een alleraardigst verkoudheidje op je PC.
Malware
Malware is eigenlijk alle malicious code, kwaadaardig dus.
Wat er onder valt is
[list]
Virussen
Macro's
Wormen
Trojans
Remote Acces Trojans (RATs)
Droppers
[/list]
Virussen
Het kenmerk van virussen is dat ze zich vermenigvuldigen op een PC, ze besmetten andere files en wel zodanig dat als files opgestart orden het virus weer actief wordt en opnieuw andere files kan besmetten.
Er zijn verschillende soorten, de oudste waren TSR (terminate and stay resident virussen voor DOS. Evenzo de Bootrecord virussen. De laatste besmetten ieder floppy dat gebrukt wordt en ze besmetten de PC door het gebruik van een besmet floppie. Door uitwisseling van floppies gaan ze toch van PC naar PC.
De moderne virussen zijn gericht op 32 bit windows executables of dll's zogeheten PE (portable execution files)infectors. Meestal zijn ze geschreven in ASM, ook hll (high level language) komt voor bv C++ en zelfs Visual Basic. Hoewle die laatsten toch meer voor trojans en backdoors gebruikt worden. Er bestaat zelfs een java virus : Strange Brew genaamd.
De absolute top van de virus schrijvers gaan steeds verder met technieken die het bijna onmogelijk maakt ze te detecteren. De gebruikelijke scan techniek dmv dat files zal wel blijven voor het envoudigere werk, maar zal wel aan betekenis verliezen net zoals het vroeger gebruikt cecksum checken verouderd is.
[url=\"http://www.geocities.com/szorp/zmist.pdf\"]http://www.geocities.com/szorp/zmist.pdf[/url]
Voorlopig zijn deze geavanceerde virussen buitengewoon zeldzaam, maar ze publiceren wel hun code.
Zoek hier op een nummer met een bespreking van etap of simile door mental Driller:
[url=\"http://www.virusbtn.com/magazine/archives\"]http://www.virusbtn.com/magazine/archives[/url]
Macro's
Microsoft maakte het mogelijk om code te laten uitvoeren bij event van een word document. Dit is de grootste kritiek op het OS concept van Microsoft, in wezen is een word document data dat gescheiden zou moeten zijn van code, niet zo bij Microsoft hetgeen allerlei vormen van misbruik mogelijk maakt.
De bekende Melissa worm was oa een macro. Er is bv een macro die een paswoord op een word document zet, macro deleten door een virus scanner en je kunt die documenten niet meer in.
Wormen
Het kenmerk van wormen is dat ze zoveel mogelijk PC's proberen te besmetten ipv files op dezelfde PC.
Eigenlijk heeft een worm 4 methoden van aanval:
De buffer overflow:
dit werd voor het eerst gezien bij code red en later nimda.
een buffer overflow is de poging om waar een progamma een input mogelijkheid biedt, de lengte van de input, dat is de buffer) niet checked, de input is langer dan de gedeclareerde buffer en een deel komt in het programma geheugen terecht zodat dat deel van de buffer wordt uitgevoerd als code.
open share:
De worm zoekt binnen het netwerk of internet op open shares zonder passwoord en schrijft zichzelf daarop in bv de start up direct5ory zodat bij de volgende boot de worm gestart wordt en zich kan installeren.
e-mail
De worm komt binnen als e-mail attachment en door de meegekomen text en de namm van de attachment probeert de ontvanger te verleiden te dubbel klicken om zich zo te installeren en zich te verspreiden via alle e-mail adressen die het op een computer kan vinden.
Lekken in OE
Zelfde als bovenstaande, maar de worm vertrouwd erop de de meeste ontvangers hun OS niet updaten, zodat het gebruik kan blijven maken van lekken waar allang een patch voor bestaat. Voorbeelden zijn de typelib/eyedog patch, de iframe codebase patch en de malformed mime patch.
Trojans
Trojans kunnen eigenlijk alles zijn, waar het om gaat dat niet zijn wat ze lijken te zijn.
De naam komt uit de Ilias door Herodotes.
De grieken waren in oorlog met Troje en belerden die stad voor tien jaar. Toen verlieten ze het en lieten een groot houten paard achter. De trojanen haalden dat naar binnen als oorlogs buit, echter erin zaten griekse soldaten die s'nachts de poort openden voor het terug gekeerde griekse leger die vervolgen Troje veroverden.
In principe kun je spyware opvatten als een trojan, maar de meeste trojan detectoren vinden van niet en dus heb je voor spyware weer aparte detectie programma's nodig zoals ad-aware.
Een mooi voorbeeld van een trojan is key-panic. Wat je ook intyp op het scherm komt een voorgedefinieerde text bv "you are fucking Gay"
Remote Access Trojans
Dit zijn de backdoors, gaan vaak vergezeld van paswoord stealers. Subseven meld de besmette computer aan op een irc channel zodat de bezoekers van dat channel de computer kunnen over nemen. Andere bieden zich als een service aan op een bepaalde port. Vandaar dat je igv een firewall zoveel meldingen krijgt van portscans, het zijn mensen die op zoek zijn naar besmette computers met zo'n backdoor.
Droppers
Eigenlijk zijn dit trojans.
Het punt is, dat tegenwoordig malware uit meerdere componenten bestaat, bv een virus, zoals hubris die winsock32.dll besmet plus een worm gedeelte.
Ook komt het tegenwoordig steeds meer voor dat malware continu de registry checked of de startup methode er nog in staat en het er opnieuw inzet. Een startup methode uit de registry verwijderen heeft dan weinig zin, voordat je de computer gerestart hebt om de trojan of virus te kunnen verwijderen is ie toch weer geladen. Het zelfde geld voor een aantal trojans. De trojan wordt herkend en verwijdert maar ergnes in de registry staat noch een verwijzing naar een dropper die de trojan weer opnieuw installeerd. Deze dropper wordt niet door iedere detectie tool adequaat herkend zodat je helemaal wanhopig wordt over het steeds weer terug keren van de trojan.
Stel je hebt een file die je zeer verdacht vind en je up to date virus scanner vind niks. Dan kun je het nog laten onder zoeken door het naar een AV vendor te sturen.
De e-mail adressen zijn :
[list]
Command Software virus@commandcom.com
Computer Associates (US) virus@ca.com
Computer Associates (Vet/EZ) ipevirus@vet.com.au
DialogueScience (Dr. Web) Antivir@dials.ru
Eset (NOD32) sample@nod32.com
F-Secure Corp. samples@f-secure.com
Frisk Software (F-PROT) viruslab@f-prot.com
Grisoft (AVG) virus@grisoft.cz
H+BEDV (AntiVir): virus@antivir.de
Kaspersky Labs newvirus@kaspersky.com
Network Associates (McAfee) virus_research@nai.com
Norman (NVC) analysis@norman.no
Sophos Plc. support@sophos.com
Symantec (Norton) avsubmit@symantec.com
Trend Micro (PC-cill in) virus_doctor@trendmicro.com
[/list]
(Trend accepteerd alleen files van geregistreerde users)
Een aantal sites van goeie virusscanners:
[url=\"http://www.mcafee.com\"]http://www.mcafee.com[/url]
[url=\"http://www.antivirus.com\"]http://www.antivirus.com[/url]
[url=\"http://www.symantec.com\"]http://www.symantec.com[/url]
[url=\"http://www.trendmicro.com\"]http://www.trendmicro.com[/url]
En hier kun je online een file laten scannen:
AVP/KAV
[url=\"http://antivirus.mafia.ru/\"]http://antivirus.mafia.ru/[/url]
Dr Web
[url=\"http://www.dials.ru/english/www_av/home.htm\"]http://www.dials.ru/english/www_av/home.htm[/url]
RAV (requires scripting)
[url=\"http://www.ravantivirus.com/scan/\"]http://www.ravantivirus.com/scan/[/url]
McAfee (requires scripting and subscription) [url=\"http://www.webimmune.net\"]http://www.webimmune.net[/url]
Tip voor mensen met een NTFS filesysteem:
Er is een programma NTFSDOS waarmee je onder DOS ook een NTFS filesysteem kan lezen, zodat je via een DOS bootfloppy een virus check kan doen buiten het OS om.
Loveletter virus
Tot slot nog even iets over het alom bekende Loveletter-virus. Dit virus beschadigd vooral je jpg en mp3-bestanden en geeft ze de extensie .vbs. Echter, als je niet meer schrijft op de partitie waar ze stonden dan kunnende meeste nog gered worden.
Heb je geen partities dan moet je even een tweede HD in de computer hangen van een andere comp. Daar wel eerst even diskettes aanmaken nadat je hier [url=\"http://www.claymania.com/zefrjpg.html\"]http://www.claymania.com/zefrjpg.html[/url] een zip file hebt gedownload. Goed de intructies lezen en je kan dan je jpg's proberen te redden.
N.B niet op die vbs mp3 klikken, het is de worm zelf en dan ben je dus weer aan het schrijven. Als je mp3's zelf niet meer ziet betekend dat de instellingen van je explorer fout staan omdat je hidden files hoort te kunnen zien.
Dat je besmet geraakt bent komt omdat je nooit een windows update hebt gedaan, of vergeten bent na een reinstall.
Als je de worm verwijderd hebt is dat dan ook het eerste wat je moet doen.
P.S. Een virusscanner betekend niet dat je altijd 100% beschermd bent tegen virussen, je moet deze pakketten daarom wekelijks updaten met zgn virusdefenities.
[ Bericht 3% gewijzigd door Sander op 17-10-2005 22:12:11 ]
Help een virus!!Wat nu? Wat heeft dit allemaal voor gevolgen?
Wat is zo'n virus nou eigenlijk precies?
Een virus is zelf een klein programmaatje. Het zal altijd door de gebruiker (dat ben jij) gestart moeten worden. De virusmaker probeert door allerlei trucs je te verleiden om het virus te starten. Zodra het virus door jou gestart is, zal het virus elk programma dat je opstart pogen te infecteren door zichzelf aan het begin van het zojuist opgestarte programma te zetten. Zo wordt het virus altijd weer opnieuw opgestart zodra je een geinfecteerd programma opstart. Omdat er nogal wat programma's opgestart worden (kijk maar eens in je taakbalk) zal het virus zichzelf naar meer bestanden kopieren. Er zijn vele viri in omloop. Sommigen zijn onschuldig, anderen wissen je harde schijf, of wissen bepaalde bestanden, of sturen mail naar het Witte Huis, of veranderen bestanden, of of of of...
Hoe komt dat ding dan op mijn pc?
Krijg je mail met allemaal leuke attachements erbij? Wees voorzichtig met het openen van deze attachements. Ze kunnen virussen bevatten, open alleen bestanden als je mensen 100% vertrouwd. Wat ook een mogelijkheid is dat je je mail op virussen laat checken dan ben je er vrijwel zeker van dat je geen virus binnenhaalt. Een attachement met een .exe of .vbs extensie is meestal een virus. Verifieer ff bij de verzender of ie daarwerlijk ook zo'n bestand heeft meegezonden, of raadpleeg je ISP, deze weten vaak wel of het om een virus gaat.
Tevens kan het zijn dat je virussen download als je programma's download, vertrouw je de bron van je programma niet, scan het even.
Dit was helemaal niet het geval, ik heb dit alles niet gedaan! Dan heb je zeer waarschijnlijk een macro geopend in een office document. Er zijn namelijk ook virussen bekend die zich in RTF en DOC bestanden verbergen. Dat komt omdat in Word (en vergelijkbare programma's) de mogelijkheid zit om macro's uit te voeren. Macro's zijn eigenlijk kleine programmaatjes. Je raadt het al.. programma's kunnen worden uitgevoerd, en dat wat uitgevoerd kan worden, kan een virus in zich dragen.
Narigheid identificeren
Als je de indruk hebt dat er een virus of andersoortig niet-okay programma in Windows draait, kun je controleren welke processen er allemaal draaien door op ctrl+alt+del te drukken. Je krijgt dan een overzicht van alles wat op dat moment actief is.
Een lijst waarin je kunt terugvinden wat ieder ding doet vind je hier: [url=\"http://www.answersthatwork.com/Tasklist_pages/tasklist.htm\"]http://www.answersthatwork.com/Tasklist_pages/tasklist.htm[/url]
Wow, zoveel info maar hoe kom ik er vanaf?
Virusscanner kopen!
Er zijn een aardig aantal bekende virusscanners in omloop. Deze verkleinen de kans dat jij jezelf voorziet van een alleraardigst verkoudheidje op je PC.
Malware
Malware is eigenlijk alle malicious code, kwaadaardig dus.
Wat er onder valt is
[list]
[/list]
Virussen
Het kenmerk van virussen is dat ze zich vermenigvuldigen op een PC, ze besmetten andere files en wel zodanig dat als files opgestart orden het virus weer actief wordt en opnieuw andere files kan besmetten.
Er zijn verschillende soorten, de oudste waren TSR (terminate and stay resident virussen voor DOS. Evenzo de Bootrecord virussen. De laatste besmetten ieder floppy dat gebrukt wordt en ze besmetten de PC door het gebruik van een besmet floppie. Door uitwisseling van floppies gaan ze toch van PC naar PC.
De moderne virussen zijn gericht op 32 bit windows executables of dll's zogeheten PE (portable execution files)infectors. Meestal zijn ze geschreven in ASM, ook hll (high level language) komt voor bv C++ en zelfs Visual Basic. Hoewle die laatsten toch meer voor trojans en backdoors gebruikt worden. Er bestaat zelfs een java virus : Strange Brew genaamd.
De absolute top van de virus schrijvers gaan steeds verder met technieken die het bijna onmogelijk maakt ze te detecteren. De gebruikelijke scan techniek dmv dat files zal wel blijven voor het envoudigere werk, maar zal wel aan betekenis verliezen net zoals het vroeger gebruikt cecksum checken verouderd is.
[url=\"http://www.geocities.com/szorp/zmist.pdf\"]http://www.geocities.com/szorp/zmist.pdf[/url]
Voorlopig zijn deze geavanceerde virussen buitengewoon zeldzaam, maar ze publiceren wel hun code.
Zoek hier op een nummer met een bespreking van etap of simile door mental Driller:
[url=\"http://www.virusbtn.com/magazine/archives\"]http://www.virusbtn.com/magazine/archives[/url]
Macro's
Microsoft maakte het mogelijk om code te laten uitvoeren bij event van een word document. Dit is de grootste kritiek op het OS concept van Microsoft, in wezen is een word document data dat gescheiden zou moeten zijn van code, niet zo bij Microsoft hetgeen allerlei vormen van misbruik mogelijk maakt.
De bekende Melissa worm was oa een macro. Er is bv een macro die een paswoord op een word document zet, macro deleten door een virus scanner en je kunt die documenten niet meer in.
Wormen
Het kenmerk van wormen is dat ze zoveel mogelijk PC's proberen te besmetten ipv files op dezelfde PC.
Eigenlijk heeft een worm 4 methoden van aanval:
De buffer overflow:
dit werd voor het eerst gezien bij code red en later nimda.
een buffer overflow is de poging om waar een progamma een input mogelijkheid biedt, de lengte van de input, dat is de buffer) niet checked, de input is langer dan de gedeclareerde buffer en een deel komt in het programma geheugen terecht zodat dat deel van de buffer wordt uitgevoerd als code.
open share:
De worm zoekt binnen het netwerk of internet op open shares zonder passwoord en schrijft zichzelf daarop in bv de start up direct5ory zodat bij de volgende boot de worm gestart wordt en zich kan installeren.
De worm komt binnen als e-mail attachment en door de meegekomen text en de namm van de attachment probeert de ontvanger te verleiden te dubbel klicken om zich zo te installeren en zich te verspreiden via alle e-mail adressen die het op een computer kan vinden.
Lekken in OE
Zelfde als bovenstaande, maar de worm vertrouwd erop de de meeste ontvangers hun OS niet updaten, zodat het gebruik kan blijven maken van lekken waar allang een patch voor bestaat. Voorbeelden zijn de typelib/eyedog patch, de iframe codebase patch en de malformed mime patch.
Trojans
Trojans kunnen eigenlijk alles zijn, waar het om gaat dat niet zijn wat ze lijken te zijn.
De naam komt uit de Ilias door Herodotes.
De grieken waren in oorlog met Troje en belerden die stad voor tien jaar. Toen verlieten ze het en lieten een groot houten paard achter. De trojanen haalden dat naar binnen als oorlogs buit, echter erin zaten griekse soldaten die s'nachts de poort openden voor het terug gekeerde griekse leger die vervolgen Troje veroverden.
In principe kun je spyware opvatten als een trojan, maar de meeste trojan detectoren vinden van niet en dus heb je voor spyware weer aparte detectie programma's nodig zoals ad-aware.
Een mooi voorbeeld van een trojan is key-panic. Wat je ook intyp op het scherm komt een voorgedefinieerde text bv "you are fucking Gay"
Remote Access Trojans
Dit zijn de backdoors, gaan vaak vergezeld van paswoord stealers. Subseven meld de besmette computer aan op een irc channel zodat de bezoekers van dat channel de computer kunnen over nemen. Andere bieden zich als een service aan op een bepaalde port. Vandaar dat je igv een firewall zoveel meldingen krijgt van portscans, het zijn mensen die op zoek zijn naar besmette computers met zo'n backdoor.
Droppers
Eigenlijk zijn dit trojans.
Het punt is, dat tegenwoordig malware uit meerdere componenten bestaat, bv een virus, zoals hubris die winsock32.dll besmet plus een worm gedeelte.
Ook komt het tegenwoordig steeds meer voor dat malware continu de registry checked of de startup methode er nog in staat en het er opnieuw inzet. Een startup methode uit de registry verwijderen heeft dan weinig zin, voordat je de computer gerestart hebt om de trojan of virus te kunnen verwijderen is ie toch weer geladen. Het zelfde geld voor een aantal trojans. De trojan wordt herkend en verwijdert maar ergnes in de registry staat noch een verwijzing naar een dropper die de trojan weer opnieuw installeerd. Deze dropper wordt niet door iedere detectie tool adequaat herkend zodat je helemaal wanhopig wordt over het steeds weer terug keren van de trojan.
Stel je hebt een file die je zeer verdacht vind en je up to date virus scanner vind niks. Dan kun je het nog laten onder zoeken door het naar een AV vendor te sturen.
De e-mail adressen zijn :
[list]
[/list]
(Trend accepteerd alleen files van geregistreerde users)
Een aantal sites van goeie virusscanners:
[url=\"http://www.mcafee.com\"]http://www.mcafee.com[/url]
[url=\"http://www.antivirus.com\"]http://www.antivirus.com[/url]
[url=\"http://www.symantec.com\"]http://www.symantec.com[/url]
[url=\"http://www.trendmicro.com\"]http://www.trendmicro.com[/url]
En hier kun je online een file laten scannen:
AVP/KAV
[url=\"http://antivirus.mafia.ru/\"]http://antivirus.mafia.ru/[/url]
Dr Web
[url=\"http://www.dials.ru/english/www_av/home.htm\"]http://www.dials.ru/english/www_av/home.htm[/url]
RAV (requires scripting)
[url=\"http://www.ravantivirus.com/scan/\"]http://www.ravantivirus.com/scan/[/url]
McAfee (requires scripting and subscription) [url=\"http://www.webimmune.net\"]http://www.webimmune.net[/url]
Tip voor mensen met een NTFS filesysteem:
Er is een programma NTFSDOS waarmee je onder DOS ook een NTFS filesysteem kan lezen, zodat je via een DOS bootfloppy een virus check kan doen buiten het OS om.
Loveletter virus
Tot slot nog even iets over het alom bekende Loveletter-virus. Dit virus beschadigd vooral je jpg en mp3-bestanden en geeft ze de extensie .vbs. Echter, als je niet meer schrijft op de partitie waar ze stonden dan kunnende meeste nog gered worden.
Heb je geen partities dan moet je even een tweede HD in de computer hangen van een andere comp. Daar wel eerst even diskettes aanmaken nadat je hier [url=\"http://www.claymania.com/zefrjpg.html\"]http://www.claymania.com/zefrjpg.html[/url] een zip file hebt gedownload. Goed de intructies lezen en je kan dan je jpg's proberen te redden.
N.B niet op die vbs mp3 klikken, het is de worm zelf en dan ben je dus weer aan het schrijven. Als je mp3's zelf niet meer ziet betekend dat de instellingen van je explorer fout staan omdat je hidden files hoort te kunnen zien.
Dat je besmet geraakt bent komt omdat je nooit een windows update hebt gedaan, of vergeten bent na een reinstall.
Als je de worm verwijderd hebt is dat dan ook het eerste wat je moet doen.
P.S. Een virusscanner betekend niet dat je altijd 100% beschermd bent tegen virussen, je moet deze pakketten daarom wekelijks updaten met zgn virusdefenities.
[ Bericht 3% gewijzigd door Sander op 17-10-2005 22:12:11 ]
Beter een baas onder je duim, dan tien bovenop
Trekt bij warm weer een poncho aan
Trekt bij warm weer een poncho aan
