Bijna elke week ben ik wel iemands pc aan het opschonen en kom ik allerlei malware tegen. Het is niet ongebruikelijk dat ik tientallen infecties vind, die de gebruiker lastigvallen met alles van dwangbevelen om nepantivirussoftware te installeren tot de grote ergernis die door ransomware wordt veroorzaakt.
De slachtoffers van malafide software klachten terecht dat hun antivirusprogramma niet voldoet en blijkbaar allerlei malware mist. Erg irritant ook dat softwareleveranciers de software beter laten draaien en daarvoor een stukje beveiliging opofferen.
Detectie wordt direct omzeild
Alle antimalwaresoftware mist een belangrijk deel van de rondzwervende malware. Dat komt doordat professionele criminele softwareschrijvers ervoor zorgen dat hun malware en botnets zichzelf updaten wanneer een nieuwe detectiemethode verschijnt. Op het moment dat engines de varianten in de smiezen hebben, lopen ze alweer een generatie achter en missen ze de malware die zichzelf heeft bijgewerkt om de nieuwe detectie te omzeilen.
Lees ook: Verwijder ransomware in 4 stappen
De nauwkeurigheid van verschillende detectiesoftware gaat maar steeds op en neer, hoewel sommige producten beter scoren dan andere - voor een bepaalde periode althans. Maar nog altijd biedt geen enkel product honderd procent beveiliging. Bovendien: detectiesoftware die goed werkt, houdt een hoge accuratesse niet vol over een periode van tien jaar.
Gecombineerde kennis antimalware
Wat je zou moeten doen: installeer antimalware-software die redelijk presteert en een lange geschiedenis heeft van succes en je systeem niet te zwaar belast. Gebruik vervolgens Windows' Sysinternals Process Explorer of Autoruns om je aanwezige executables te vergelijken met samples uit de database van VirusTotal die 57 engines bevat. Dat biedt het beste resultaat dat je mag verwachten (met een klein deel false positives).
Dit zijn de stappen die je moet doorlopen voor Windows-pc's:
1. Ga naar de Sysinternals-site van Microsofts Technet.
2. Download Process Explorer en Autoruns. Ze zijn allebei gratis.
3. Unzip de programma's. Gebruik de executables om de programma's te starten (bij Autoruns is er behalve autoruns.exe ook autorunssc.exe, de command-line-versie).
4. Rechtsklik op de executable van Process Explorer en kies 'Als administrator uitvoeren', zodat je voldoende rechten hebt.
5. Ga bovenin naar 'Options' en bij 'Virustotals.com' zet je een vinkje voor 'Check VirusTotals.com'.
6. Nu worden alle draaiende executables doorgestuurd naar VirusTotal van Google. Accepteer de licentie en je kunt de website die opent gewoon sluiten.
7. In Process Explorer zie je nu achteraan een kolom 'Virus Total'. De hashes worden eerst ingediend en na enkele seconden zie je de detectieratio, bijvoorbeeld 0/57, 1/57, 14/57, enzovoorts.
Hierna: Je processen worden vergeleken met de hele VirusTotal-database.
Zoals je waarschijnlijk al ziet, geeft die ratio aan hoeveel antivirusengines die VirusTotal indexeert de doorgegeven hash van de executable als malafide zien. Momenteel zijn er 57 engines gekoppeld, maar dat aantal kan in deze kolom fluctueren. Ik weet niet waarom sommige executables niet worden gecontroleerd door alle 57, maar als een getal hoger dan 57 wordt weegegeven, kun je wel eens malware hebben.
Als er 1/57 of 2/57 staat, heb je waarschijnlijk te maken met een false positive. Aan de andere kant, ik heb ten minste één stukje malware gezien dat slechts door één engine werd gedetecteerd, dus kijk altijd even welk programma de melding oplevert om te zien of de ontwikkelaar bekend is. Mocht dat niet het geval zijn, kan het wel eens een malafide executable zijn.
Lees ook: Google pakt Windowsslopende virusscanners aan
De meeste malware krijgt een ratio van 3/57 of hoger. Als er iets is met zo'n ratio, dan rechtsklik ik op het bestand in Process Explorer, noteer de locatie en beëindig ik het proces als ik het programmabestand niet herken of vertrouw. Daarna verwijder ik handmatig de bestanden die eraan gekoppeld zijn - maar wees gewaarschuwd: het kan voorkomen dat je per ongeluk iets wist dat benodigd is voor een applicatie of driver.
Vechten met malware
Af en toe gaat de malware het gevecht met je aan en laat zich niet zo makkelijk sluiten. Als een tweede poging in Process Explorer strandt, probeer dan Autoruns. Hierin kun je het programma deselecteren, zodat het niet wordt gestart bij het opstarten van de machine. Reboot en probeer het nu nog eens in Process Explorer. Meestal draait het programma nu niet meer en kun je het wel verwijderen.
Lees verder voor enkele kanttekeningen bij deze methode en nog een paar tips om malware te voorkomen.
Zet ook een snelkoppeling naar Process Explorer op je bureaublad. Ik raad je aan om het minstens eens per week te draaien. Als dat te veel is, draai het dan tenminste wanneer je computer zich verdacht begint te gedragen. Ook in Autoruns kun je de opgestarte processen vergelijken met VirusTotal onder 'Options > Scan Options'.
Voor de duidelijkheid: dit is ook geen perfecte detectiemethode. Sommige malware ontspringt lange tijd de dans, maar op dit moment is het zeldzaam. Daarnaast zullen malwareschrijvers hun best doen om aan verwijdermethodes als via Process Explorer of Autoruns te ontsnappen. Dat is momenteel nog niet het geval, dus deze methode is nu nog een van de beste manieren om je pc te beveiligen.
Klassiekers blijven sterk
Verder werken de standaardadviezen om malwarebesmetting te vermijden ook goed. Je zult ze wel kunnen: zorg ervoor dat software volledig gepatcht is - vooral Java wat je gewoon zou moeten verwijderen als je het niet nodig hebt - en andere third-party browser-plugins. Ja, ik heb het over jou, Adobe.
Uiteraard moet je voorkomen dat je iets installeert wat je niet had moeten doen. Recycle verder niet hetzelfde wachtwoord op meerdere sites - of gebruik multifactor-authenticatie. Met deze maatregelen voorkom je al meteen een hoop narigheid en deze drie tips zijn nog altijd het beste antimalware-advies dat er is.
Als je eenmaal je systeem verbindt met internet is geen enkele beveiligingsmethode perfect en je moet dan ook de beste detectiemethodes nemen die je maar kunt vinden. Vertel je vrienden en collega's ook over deze methode. Het is namelijk knap lastig om de gecombineerde kennis van 57 antimalware-engines te verslaan.
7 stappen?
Het kan in één stap:
1) Koop een Mac.
Nou OK, twee stappen dan:
2) Koop een Linux pc.
Op malware controleren kun je het beste doen met een extern opstartmedium met daarop een malware-scanner. Bijv. Kaspersky Rescue Disk. Dan weet je zeker dat het scan- en verwijderproces niet verstoord wordt door opgestarte malware.
Linux lijkt mij ook gevoelig voor Flash- en Java-malware die je in de webbrowser oploopt. Het beste kun je die dan ook uitschakelen of op "vragen om toestemming" zetten.
Kaspersky Rescue disk is a Linux-based .iso image Werkt goed tegen die Ransomware
Dit zijn de stappen die je ook kan doorlopen:
1. Ga naar [Link]
2. Download een iso Ze zijn allemaal gratis.
3. Brand een cd/dvd met iso image en start deze op.
4. Installeer OS of keer terug naar windows malware als je niet tevreden ben.
Uhm hoe installeer ik zo'n linux iso op een Androidphone?
Je vergeet een belangrijk detail. En dat is dat de gebruiker de malware meestal zelf installeert.
Dus ja, ook bij Android zie je malware. De gebruiker download een app, en accepteerd zonder te lezen alle voorwaarden (bijv. Waarom wil een post it app toegang tot je adresboek en/of belgegevens en/of agenda?).
Geen idee. Check [Link] of [Link]
Meeste apps vragen inderdaad veel meer toestemming dan nodig is.
Reageer
Preview