Herken een besmette pc en doe er wat aan
Hoewel er veel nieuwe malware uitkomt, zijn de meeste besmettingen niet uniek. Meestal verandert de malware net genoeg om de bestaande beveiliging te omzeilen. Om het overzicht te bewaren, delen beveiligers malware daarom in in families. Als er een aangepaste versie komt, wordt een bestaande familienaam gewoon voorzien van een nieuw serienummer.
De manier waarop malware een computer infecteert, wordt in eerste instantie gebruikt om de verschillende families in categorieën te verdelen. Dit kan verwarrend zijn, omdat de meeste malware zich op meerdere manieren verspreidt. Daarom biedt een familienaam als Trojan bijvoorbeeld geen garantie dat het tegelijk niet ook om een virus gaat. Omdat onderzoekers van verschillende organisaties gelijktijdig aan detectiemethodes werken, hebben malwarefamilies bij ieder bedrijf bovendien een andere naam.
Payload
Naast de infectiemethode heeft malware ook nog een uitwerking, de zogenaamde payload. Die payload kan van alles zijn, bijvoorbeeld het plaatsen van ongewenste advertenties of het stelen van bankgegevens. Omdat de payload binnen een malwarefamilie van generatie op generatie kan wisselen, is het lastig om van een bepaalde besmetting te beweren dat ze alleen gegevens steelt of enkel de browser kaapt.
Kortom, malware verandert constant. Dat maakt het overzicht houden net zo lastig als je computer fatsoenlijk beschermen. Door op regelmatige basis een volledige systeemscan te draaien, geef je de beveiliging de kans om eventuele missers alsnog van het systeem te halen. Daarom plannen beveiligingstoepassingen deze scans maandelijks, wekelijks of zelfs dagelijks in. Ik zocht de symptomen van acht recente infecties die aangeven wanneer het tijd is voor een grondige systeemscan.
1. Onbereikbare bestanden
Malware die je computer kaapt, is makkelijk te herkennen, maar erg akelig. De Trojan.Ransomlock-familie legt zich al sinds 2009 toe op deze activiteit. Zodra je computer geïnfecteerd is, gaat het scherm op slot. De versie van Ransomlock die op dit moment (bijvoorbeeld via Skype) de ronde doet, geeft bij het opstarten de melding dat de politie illegale software op je computer ontdekt heeft. Je dient een bepaalde som over te maken om de controle over je computer terug te krijgen.
Het gemene aan deze besmetting is dat je computer zelfs in veilige modus niet meer bereikbaar is. Opstarten met een bootdisk en de computer scannen op virussen zal in veel gevallen wel helpen. Haalt je beveiligingssuite Ransomlock niet weg, dan bieden verschillende andere bedrijven een verwijdergereedschap op hun website.
2. De zoekmachine doet raar
Als de resultaten van de zoekmachine plots sterk afnemen in kwaliteit, of als er tijdens het zoeken advertenties verschijnen in nieuwe vensters, dan is de kans groot dat je computer geïnfecteerd is. Dat kan een infectie zijn van een lid van de Trojan.Sirefef-familie. Deze malwarefamilie past onder meer de zoekresultaten aan.
De mensen achter Sirefef verdienen aan advertenties die ze je tonen door je de verkeerde kant op te sturen. Andere varianten van deze besmetting brengen popup-reclames in beeld, of sturen je browser ongeacht je instructies naar andere, met advertenties behangen websites.
3. Veel netwerkactiviteit of traag internet
Als je hele thuisnetwerk ineens traag wordt, of als je computer druk contact lijkt te maken met internet terwijl je niets aan het doen bent, dan kan malware die gegevens steelt daar de oorzaak van zijn. Een voorbeeld van zulke malware is Win32:Agent-ANTB. Deze malware steelt gegevens van je computer en stuurt die vervolgens door naar specifieke chatservers en websites. In het geval van Win32:Agent-ANTB gaat het vooral om gegevens om in te loggen bij online casino"s. Andere varianten gaan voor inlogcodes bij clouddiensten of online games.
4. Overal popups
Besmetting met adware (malware die ongewenste advertenties op je computer zet) komt veel voor. De laatste maanden doen leden van de Win32.Adware.WSM-familie de ronde. De makers van deze malware verstoppen hun toepassingen in installatiebestanden van legitieme, gewenste software en bieden die geïnfecteerde software vervolgens als download aan op hun eigen websites. Zo raken ook mensen besmet die nooit op illegale websites komen en alleen legitieme software gebruiken.
Een eenvoudige extra maatregel tegen dergelijke besmettingen is vooraf nagaan wie de fabrikant is, om dan de software te downloaden via de website van deze fabrikant. Advertenties die spontaan in beeld springen (zelfs als je niet met de browser bezig bent) of qua inhoud sterk afwijken van de websites waarop ze staan (porno op een nieuwswebsite bijvoorbeeld), zijn duidelijke symptomen van besmetting.
5. Webpagina"s onbereikbaar
Als bepaalde webpagina"s – bijvoorbeeld die van je computerbeveiliger – niet meer bereikbaar zijn, dan kan dat komen omdat de DNS-verwijzing op je computer veranderd is. De DNS (Domain Name Server) van je provider zorgt ervoor dat het webadres dat je in de browser typt omgezet wordt naar het IP-adres van de server waarop de webpagina staat.
Malware zoals die van de Backdoor.Eminoc-familie verandert meteen na besmetting de DNS-verwijzing op je computer. In plaats van je provider zijn het dan de makers van de malware die regelen naar welk adres je gaat als je de naam van een website opgeeft. Op die manier zorgen ze bijvoorbeeld dat je geen updates voor je beveiligingssoftware meer kan ontvangen. Als je tijdens het surfen ontdekt dat de pagina van je beveiliger niet meer werkt, surf dan ook eens naar een paar pagina"s van concurrenten. Als die allemaal tegelijk "technische problemen" hebben, is het tijd voor een grondige scan.
6. Online bankieren doet vreemd
Aangezien de meeste malwaremakers geld willen verdienen met hun activiteiten is het niet verwonderlijk dat malware die je online bankgegevens tracht te stelen vaak voorkomt. Infecties met zogenaamde banking trojans vangen je inlogcodes op en sturen die door naar de criminelen. Die kunnen dan bijvoorbeeld transacties inplannen op je bankrekening.
In Europa is de trojan Spy Eye een groot probleem geweest, hoewel hier recent behoorlijk wat actie tegen ondernomen is. Het is quasi onmogelijk om zonder beveiligingssoftware te zien dat deze malware op je computer draait. Wel kan het opvallen dat de pagina van je bank niet werkt zoals anders. Dat kan bijvoorbeeld een dubbel verzoek om in te loggen zijn, of een doorgestuurd totaalbedrag dat niet overeenkomt met de bedragen die je overmaakt. Neem bij de geringste twijfel met online bankieren contact op met de helpdesk van je bank en scan je computer.
7. Software verschijnt steeds opnieuw
Klassieke malware gaat niet met pensioen, maar blijft gewoon werken. Dat blijkt wel als we de tot nu toe meest waargenomen infectie van 2012 bekijken. Trojan.Wimad.Gen.1 doet zich voor als een normaal wma-geluidsbestand, maar wie erop dubbelklikt, krijgt de melding dat er een speciale codec nodig is om het af te spelen.
Geef je toestemming om die codec te installeren, dan installeer je onverhoeds een zogenaamde dropper. Dit standaardonderdeel in bijna alle malware-infecties geeft de malwareverspreider de mogelijkheid om software te installeren op je computer. En vervolgens gebruikt hij deze toegang om naar eigen inzicht nieuwe infecties toe te voegen. Als je computer zich vreemd gaat gedragen, en zeker als malware die je verwijderd hebt maar blijft terugkomen, is de kans groot dat een dropper zich schuilhoudt op je systeem.
8. Beveiligingswaarschuwingen uit het niets
Als je ineens gewaarschuwd wordt door een beveiligingstoepassing die je zelf niet geïnstalleerd hebt, dan heb je waarschijnlijk met nepbeveiliging te maken. Varianten van deze pakketten zijn al jaren in omloop.
Op dit moment zijn bijvoorbeeld de "suites" van de SmartFortress-familie bijzonder actief. Die installeren zich soms ongevraagd en vaak als onderdeel van andere software op je systeem. Na installatie krijg je meteen de melding dat je systeem gevaar loopt. De enige redding is betalen voor de volle versie. Scannen met een betrouwbare beveiligingssuite is op zo"n moment een beter idee. Dat haalt namelijk de waarschuwingen weg, terwijl betalen alleen maar geld kost.
Doe er wat aan!
Zelfs met een up-to-date beveiligingsprogramma op je computer kan je besmet raken. Een gemiddeld stuk malware heeft een levensduur van drie dagen voor een nieuw lid van de familie het vervangt. Daar staan beveiligers tegenover die de gulden middenweg moeten vinden tussen beveiliging en gebruiksgemak. Als de beveiliging maximaal is, kan je niets meer met je computer doen. Maar is de beveiliging te laag, dan komen er ongewenste bestanden binnen. Dat spanningsveld tussen gebruiksgemak en beveiliging geeft malwaremakers de kans om hun slag te slaan. Maar wie denkt dat beveiliging daarom zinloos is, vergist zich. Want zonder beveiliging is het risico om geïnfecteerd te raken talloze keren groter.
Als je computer symptomen van besmetting begint te vertonen, is er nog niet meteen reden tot paniek. Doorloop de volgende stappen tot je probleem is opgelost.
1. Start je beveiligingstoepassing en geef opdracht om de definitiebestanden van een update te voorzien. Doe vervolgens een uitgebreide scan op de hele computer.
2. Werkt de update niet (meer)? Bezoek dan de website van je beveiliger en gebruik diens online scanner. Werkt de site van je beveiliger niet? Stuur dan een mail naar de ondersteuning van die beveiliger.
3. Ga naar de site van een andere beveiliger en probeer de online scanner op die locatie.
4. Kan je geen enkele beveiliger meer bereiken, ga dan naar vrienden of bekenden om op hun computer een gratis boot-cd te downloaden. Onder meer AVG, Kaspersky en F-Secure bieden op hun website een zogenoemde Rescue Disc aan. Start je systeem vanaf deze cd en volg de instructies van de scanner, zodat je hele computer uitgebreid gescand wordt.
5. In een aantal gevallen krijg je van de boot-cd scanner wel een melding met de naam van de besmetting, maar ook het bericht dat automatisch verwijderen niet lukt. Dit komt (meestal) omdat het besturingssysteem op de boot-cd niet kan schrijven naar de harde schijf van je computer. Maar met de naam van de besmetting kan je op de website van de producent van de boot-cd een programma ophalen om de besmetting handmatig te verwijderen.
Hoewel er veel nieuwe malware uitkomt, zijn de meeste besmettingen niet uniek. Meestal verandert de malware net genoeg om de bestaande beveiliging te omzeilen. Om het overzicht te bewaren, delen beveiligers malware daarom in in families. Als er een aangepaste versie komt, wordt een bestaande familienaam gewoon voorzien van een nieuw serienummer.
De manier waarop malware een computer infecteert, wordt in eerste instantie gebruikt om de verschillende families in categorieën te verdelen. Dit kan verwarrend zijn, omdat de meeste malware zich op meerdere manieren verspreidt. Daarom biedt een familienaam als Trojan bijvoorbeeld geen garantie dat het tegelijk niet ook om een virus gaat. Omdat onderzoekers van verschillende organisaties gelijktijdig aan detectiemethodes werken, hebben malwarefamilies bij ieder bedrijf bovendien een andere naam.
Payload
Naast de infectiemethode heeft malware ook nog een uitwerking, de zogenaamde payload. Die payload kan van alles zijn, bijvoorbeeld het plaatsen van ongewenste advertenties of het stelen van bankgegevens. Omdat de payload binnen een malwarefamilie van generatie op generatie kan wisselen, is het lastig om van een bepaalde besmetting te beweren dat ze alleen gegevens steelt of enkel de browser kaapt.
Kortom, malware verandert constant. Dat maakt het overzicht houden net zo lastig als je computer fatsoenlijk beschermen. Door op regelmatige basis een volledige systeemscan te draaien, geef je de beveiliging de kans om eventuele missers alsnog van het systeem te halen. Daarom plannen beveiligingstoepassingen deze scans maandelijks, wekelijks of zelfs dagelijks in. Ik zocht de symptomen van acht recente infecties die aangeven wanneer het tijd is voor een grondige systeemscan.
1. Onbereikbare bestanden
Malware die je computer kaapt, is makkelijk te herkennen, maar erg akelig. De Trojan.Ransomlock-familie legt zich al sinds 2009 toe op deze activiteit. Zodra je computer geïnfecteerd is, gaat het scherm op slot. De versie van Ransomlock die op dit moment (bijvoorbeeld via Skype) de ronde doet, geeft bij het opstarten de melding dat de politie illegale software op je computer ontdekt heeft. Je dient een bepaalde som over te maken om de controle over je computer terug te krijgen.
Het gemene aan deze besmetting is dat je computer zelfs in veilige modus niet meer bereikbaar is. Opstarten met een bootdisk en de computer scannen op virussen zal in veel gevallen wel helpen. Haalt je beveiligingssuite Ransomlock niet weg, dan bieden verschillende andere bedrijven een verwijdergereedschap op hun website.
2. De zoekmachine doet raar
Als de resultaten van de zoekmachine plots sterk afnemen in kwaliteit, of als er tijdens het zoeken advertenties verschijnen in nieuwe vensters, dan is de kans groot dat je computer geïnfecteerd is. Dat kan een infectie zijn van een lid van de Trojan.Sirefef-familie. Deze malwarefamilie past onder meer de zoekresultaten aan.
De mensen achter Sirefef verdienen aan advertenties die ze je tonen door je de verkeerde kant op te sturen. Andere varianten van deze besmetting brengen popup-reclames in beeld, of sturen je browser ongeacht je instructies naar andere, met advertenties behangen websites.
3. Veel netwerkactiviteit of traag internet
Als je hele thuisnetwerk ineens traag wordt, of als je computer druk contact lijkt te maken met internet terwijl je niets aan het doen bent, dan kan malware die gegevens steelt daar de oorzaak van zijn. Een voorbeeld van zulke malware is Win32:Agent-ANTB. Deze malware steelt gegevens van je computer en stuurt die vervolgens door naar specifieke chatservers en websites. In het geval van Win32:Agent-ANTB gaat het vooral om gegevens om in te loggen bij online casino"s. Andere varianten gaan voor inlogcodes bij clouddiensten of online games.
4. Overal popups
Besmetting met adware (malware die ongewenste advertenties op je computer zet) komt veel voor. De laatste maanden doen leden van de Win32.Adware.WSM-familie de ronde. De makers van deze malware verstoppen hun toepassingen in installatiebestanden van legitieme, gewenste software en bieden die geïnfecteerde software vervolgens als download aan op hun eigen websites. Zo raken ook mensen besmet die nooit op illegale websites komen en alleen legitieme software gebruiken.
Een eenvoudige extra maatregel tegen dergelijke besmettingen is vooraf nagaan wie de fabrikant is, om dan de software te downloaden via de website van deze fabrikant. Advertenties die spontaan in beeld springen (zelfs als je niet met de browser bezig bent) of qua inhoud sterk afwijken van de websites waarop ze staan (porno op een nieuwswebsite bijvoorbeeld), zijn duidelijke symptomen van besmetting.
5. Webpagina"s onbereikbaar
Als bepaalde webpagina"s – bijvoorbeeld die van je computerbeveiliger – niet meer bereikbaar zijn, dan kan dat komen omdat de DNS-verwijzing op je computer veranderd is. De DNS (Domain Name Server) van je provider zorgt ervoor dat het webadres dat je in de browser typt omgezet wordt naar het IP-adres van de server waarop de webpagina staat.
Malware zoals die van de Backdoor.Eminoc-familie verandert meteen na besmetting de DNS-verwijzing op je computer. In plaats van je provider zijn het dan de makers van de malware die regelen naar welk adres je gaat als je de naam van een website opgeeft. Op die manier zorgen ze bijvoorbeeld dat je geen updates voor je beveiligingssoftware meer kan ontvangen. Als je tijdens het surfen ontdekt dat de pagina van je beveiliger niet meer werkt, surf dan ook eens naar een paar pagina"s van concurrenten. Als die allemaal tegelijk "technische problemen" hebben, is het tijd voor een grondige scan.
6. Online bankieren doet vreemd
Aangezien de meeste malwaremakers geld willen verdienen met hun activiteiten is het niet verwonderlijk dat malware die je online bankgegevens tracht te stelen vaak voorkomt. Infecties met zogenaamde banking trojans vangen je inlogcodes op en sturen die door naar de criminelen. Die kunnen dan bijvoorbeeld transacties inplannen op je bankrekening.
In Europa is de trojan Spy Eye een groot probleem geweest, hoewel hier recent behoorlijk wat actie tegen ondernomen is. Het is quasi onmogelijk om zonder beveiligingssoftware te zien dat deze malware op je computer draait. Wel kan het opvallen dat de pagina van je bank niet werkt zoals anders. Dat kan bijvoorbeeld een dubbel verzoek om in te loggen zijn, of een doorgestuurd totaalbedrag dat niet overeenkomt met de bedragen die je overmaakt. Neem bij de geringste twijfel met online bankieren contact op met de helpdesk van je bank en scan je computer.
7. Software verschijnt steeds opnieuw
Klassieke malware gaat niet met pensioen, maar blijft gewoon werken. Dat blijkt wel als we de tot nu toe meest waargenomen infectie van 2012 bekijken. Trojan.Wimad.Gen.1 doet zich voor als een normaal wma-geluidsbestand, maar wie erop dubbelklikt, krijgt de melding dat er een speciale codec nodig is om het af te spelen.
Geef je toestemming om die codec te installeren, dan installeer je onverhoeds een zogenaamde dropper. Dit standaardonderdeel in bijna alle malware-infecties geeft de malwareverspreider de mogelijkheid om software te installeren op je computer. En vervolgens gebruikt hij deze toegang om naar eigen inzicht nieuwe infecties toe te voegen. Als je computer zich vreemd gaat gedragen, en zeker als malware die je verwijderd hebt maar blijft terugkomen, is de kans groot dat een dropper zich schuilhoudt op je systeem.
8. Beveiligingswaarschuwingen uit het niets
Als je ineens gewaarschuwd wordt door een beveiligingstoepassing die je zelf niet geïnstalleerd hebt, dan heb je waarschijnlijk met nepbeveiliging te maken. Varianten van deze pakketten zijn al jaren in omloop.
Op dit moment zijn bijvoorbeeld de "suites" van de SmartFortress-familie bijzonder actief. Die installeren zich soms ongevraagd en vaak als onderdeel van andere software op je systeem. Na installatie krijg je meteen de melding dat je systeem gevaar loopt. De enige redding is betalen voor de volle versie. Scannen met een betrouwbare beveiligingssuite is op zo"n moment een beter idee. Dat haalt namelijk de waarschuwingen weg, terwijl betalen alleen maar geld kost.
Doe er wat aan!
Zelfs met een up-to-date beveiligingsprogramma op je computer kan je besmet raken. Een gemiddeld stuk malware heeft een levensduur van drie dagen voor een nieuw lid van de familie het vervangt. Daar staan beveiligers tegenover die de gulden middenweg moeten vinden tussen beveiliging en gebruiksgemak. Als de beveiliging maximaal is, kan je niets meer met je computer doen. Maar is de beveiliging te laag, dan komen er ongewenste bestanden binnen. Dat spanningsveld tussen gebruiksgemak en beveiliging geeft malwaremakers de kans om hun slag te slaan. Maar wie denkt dat beveiliging daarom zinloos is, vergist zich. Want zonder beveiliging is het risico om geïnfecteerd te raken talloze keren groter.
Als je computer symptomen van besmetting begint te vertonen, is er nog niet meteen reden tot paniek. Doorloop de volgende stappen tot je probleem is opgelost.
1. Start je beveiligingstoepassing en geef opdracht om de definitiebestanden van een update te voorzien. Doe vervolgens een uitgebreide scan op de hele computer.
2. Werkt de update niet (meer)? Bezoek dan de website van je beveiliger en gebruik diens online scanner. Werkt de site van je beveiliger niet? Stuur dan een mail naar de ondersteuning van die beveiliger.
3. Ga naar de site van een andere beveiliger en probeer de online scanner op die locatie.
4. Kan je geen enkele beveiliger meer bereiken, ga dan naar vrienden of bekenden om op hun computer een gratis boot-cd te downloaden. Onder meer AVG, Kaspersky en F-Secure bieden op hun website een zogenoemde Rescue Disc aan. Start je systeem vanaf deze cd en volg de instructies van de scanner, zodat je hele computer uitgebreid gescand wordt.
5. In een aantal gevallen krijg je van de boot-cd scanner wel een melding met de naam van de besmetting, maar ook het bericht dat automatisch verwijderen niet lukt. Dit komt (meestal) omdat het besturingssysteem op de boot-cd niet kan schrijven naar de harde schijf van je computer. Maar met de naam van de besmetting kan je op de website van de producent van de boot-cd een programma ophalen om de besmetting handmatig te verwijderen.