Trojaanse paarden, rootkits en spyware opsporen en verwijderen in 4 stappen

Er wordt continue onderzoek en research gedaan naar de gevaren die het internet bedreigen. Zo vormt SPAM een enorme bedreiging voor het ontzettend populaire medium e-mail en schat men de schade die SPAM veroorzaakt op miljoenen euro's. Uit onderzoek is ook gebleken dat elke vierde pc die op het internet is aangesloten besmet is met een Trojaans paard. Trojaanse paarden besmetten stiekem uw systeem via een e-mailbericht of via een veiligheidslek in een applicatie. Zonder medeweten van de eigenaar van de pc wordt vervolgens diens internetverkeer bespioneerd. 

Rootkits gaan nog een stukje verder dan Trojaanse paarden, want rootkits nestelen zich in uw besturingssysteem en worden zo deel van uw computer, met alle nadelige gevolgen van dien. Dit gaat zelfs zo ver dat anti-virusprogramma's rootkits niet kunnen ontdekken, om de simpele reden dat ze denken dat de foute software deel uitmaakt van het besturingssysteem. Waar rootkits het hele systeem belasten heeft Spyware een heel duidelijk doel voor ogen: de schadelijke software speurt naar waardevolle informatie, bijvoorbeeld de inlogcodes van uw internetbank, de gegevens van uw creditcard of digitale bankafschriften, licentiesleutels van software of naar gevoelige e-mails met persoonlijke gegevens. Of zelfs uw complete boekhouding.

Komt de pc door de vier stappen heen dan heeft u een goede basis om uw "vestiging" uit te bouwen. Dit zijn de stappen:

 

Het beste zou het zijn om de pc eerst te controleren zonder dat het besturingssysteem actief is. Verschillende leveranciers leveren weliswaar een dergelijke tool, maar geen enkele tool is kant en klaar. Wel levert virusbestrijder F-Prot een pre-bootscan. U dient hiervoor een bootdiskette of boot-cd/dvd te maken die onder DOS werkt.

Vervolgens plaatst u op deze diskette F-Prot. U dient in dit geval wel handmatig de virusdefinities op de diskette te plaatsen. Nadat het systeem is opgestart kunt u uw pc scannen. Wanneer er geen problemen zijn gevonden kunt u Windows opstarten en vanuit het besturingssysteem gaan scannen.

 

 Meer informatie en download F-Prot (Engelstalig)

 

Het is aan te bevelen periodiek een scan uit te voeren met uw virusscanner. Hoe lang de scan duurt hangt af van het aantal vaste schijven in uw systeem en het aantal bestanden dat u daarop hebt opgeslagen. Een goede scanner biedt tevens de mogelijkheid om eventueel aangetroffen virussen direct te verwijderen.

 

Virusscanners zijn in het algemeen niet in staat om Spy- of Adware op te sporen. Op dit moment zijn er drie redelijk goede en gratis anti-Spyware speurderprogramma's beschikbaar. Dit zijn de programma's:

 

 

Ook in het geval van Spyware is het verstandig om met minimaal twee van deze programma's uw pc te laten scannen. De kans dat u daadwerkelijk Spyware aantreft tijdens een scan wordt op die manier alleen maar vergroot. Nadat u de anti-Spyware programma's gedownload en geïnstalleerd heeft dient u ook deze programma's te actualiseren naar de laatste stand van zaken. In tegenstelling tot veel virusscanners dient een anti-Spyware doorgaans opnieuw opgestart te worden nadat het geactualiseerd is. Na de herstart kunt u uw systeem doorlichten op de aanwezigheid van Spyware.

In de regel zal een anti-Spyware programma altijd reageren op aanwezige cookies, die vaak afkomstig zijn van grote advertentienetwerken. Uit deze hoek heeft u weinig te vrezen. Bij andere meldingen die het programma geeft raden wij u aan deze wel serieus te bekijken en bij voorkeur te verwijderen.

top

Hebt u een Trojaans paard binnengehaald, zal het zich genesteld hebben in een bestand dat Windows altijd automatisch opstart. Programma's zoals bijvoorbeeld Hijack-This zijn erin gespecialiseerd juist op dit speciaal gedrag van potentiële Trojaanse paarden te letten. 
 
 Meer informatie en download Hijack-This (Engelstalig)

 

Het misleidende voor de gebruiker is dat Hijack-This niet alleen echt Trojaanse paarden toont maar ook Autostart-elementen die wel legaal tot uw systeem behoren. Mocht u ervoor kiezen deze uit te schakelen, dan kan het zijn dat Windows daarna niet meer opstart. Het is dus zaak om hier zeer zorgvuldig te werk te gaan. De bouwers van Hijack-This schieten u daarbij op een zeer bijzondere manier te hulp. U kunt namelijk uw scanresultaat kopiëren en ter controle op de website van Hijack-This in het vak You can paste a logfile in this textbox plakken. Het is ook mogelijk om de scan op te slaan in een logbestand, dat u vervolgens via de website van Hijack-This laat inlezen. De website zal vervolgens bij elke gevonden melding commentaar geven en aangeven of het op uw pc aangetroffen bestand veilig is, waar het bestand te vinden is en hoe actueel het bestand is. Maak van het resultaat een print en haal de vinkjes weg bij de bestanden die niet meer mogen worden opgestart. Kortom een zeer interessante en behulpzame dienst.

top

Rootkits zijn van alle genoemde gevaren het lastigste om op te sporen. Dit komt omdat ze gebruik maken van systeemdrivers die volledig geïntegreerd zijn met de Windows-systeemdrivers. Reguliere virusscanners zijn in ieder geval niet in staat om rootkits te ontdekken. Om dit probleem te tackelen heeft Microsoft het bedrijf Sysinternals geannexeerd. Dit bedrijf heeft namelijk een scanner ontwikkeld (Rootkit Revealer 1.71) die bestanden op de vaste schijf vergelijkt met de bestanden die actief in het werkgeheugen van de pc aanwezig zijn. Wanneer er sprake is van grote verschillen dan is de kans groot dat uw systeem besmet is met een rootkit.

 

 Informatie en download Rootkit-revealer (Engelstalig)

 

Nadat u het programma hebt geïnstalleerd is het zaak om uw actieve virusscanner en eventuele andere programma's uit te schakelen. Uw virusscanner maakt namelijk gebruik van dezelfde soort technieken die ook worden gebruikt door de rootkit zelf. Mocht u de scanner laten aanstaan, dan bestaat dus de kans dat het resultaat van de scan loos alarm slaat. Nadat de scan is uitgevoerd, en het programma geen of nauwelijks verschillen tussen de vaste schijf en het geheugen heeft vastgesteld, dan kunt u gerust zijn. De kans dat er dan iets aan de hand is, is vrij klein. Het programma vermeldt in het resultaatvenster heel vaak "Key name contains embedded nulls". Deze melding kunt u met een gerust hart negeren.

top