U kent de gevaren van malware en dus hebt u onder meer een geactualiseerde
antispywaretool geinstalleerd. Toch blijkt die niet altijd even efficient: sommige
spionnen glippen toch binnen of laten zich niet zomaar verwijderen ...
Tot de populairste antispyware
toepassingen behoren ongetwijfeld Ad-Aware Personal en Spybot
Search & Destroy. Een derde gratis tool is aan een stevige
opmars begonnen: Windows Defender, opvolger van
Microsoft AntiSpyware (zie ook het kader).
Deze toepassingen zai trouwens standaard deel uitmaken van Windows
Vista.
Zowel Spybot S&D als Windows Defender
bevatten een real-time protectiemodule,
respectievelijk TeaTimer en Security Agents
genoemd. Een gelijksoortige bescherming
treft u onder de naam Ad-Watch ook wel in
Ad-Aware aan, maar alleen in de commerciele varianten. Het komt
erop neer dat zo'n
module resident in het geheugen wordt geladen, om op die manier
diverse ankerpunten
voor spyware te monitoren: allerlei invoegtoepassingen, services
en drivers, autostartprogramma's, startpagina van uw browser,
et cetera. Deze preventieve beschermingslaag
is absoluut zinvol, maar in de praktijk blijkt
die zeker niet alle vormen van spyware tijdig te detecteren. Zo
wisten verschillende
spionnen in ons testsysteem te infiltreren,
ondanks de aanwezigheid van achtereenvolgens TeaTimer, Ad-Watch
of de Security
Agents. We raden u daarom hoe dan ook aan
regelmatig een grondige systeemscan uit te
voeren, bij voorkeur vanuit veilige modus en
het liefst achtereenvolgens met twee of drie
verschillende antispywaretools. Die werken
namelijk deels complementair: wat de ene
niet detecteert of elimineert, kan de andere
mogelijk wel de baas. De hardnekkigste spionnen blijken echter
behoorlijk resistent tegen
zulke geautomatiseerde eliminatiepogingen, zeifs na herhaalde herstarts
op verzoek van
de antispywaretools. Er zit in dat geval weinig
anders op dan de spionnen met meer handmatige technieken te lijf
te gaan: mogelijk
krijgt u ze dan wel weg!
Een uitstekend vertrekpunt hiervoor is
HijackThis. Deze tool scant allerlei systeembestanden, waaronder
het register, en geeft
als resultaat een overzicht van items die tot
geinstalleerde software behoren. Het is echter
aan de gebruiker om deze items te analyseren,
en het kaf (spyware) van het koren (legitieme
software) te scheiden. Een delicate operatie,
waarbij u goed moet weten wat u doet. In dit
artikel tonen wij hoe u omgaat met deze tool
en hoe u tot een doordachte interpretatie van
een aantal scanresultaten komt. Wij voorzien de nodige achtergrondinformatie,
en zetten
bijkomende tools in waar wenselijk.
U kunt HijackThis gratis downloaden via www.merijn.org/downloads.html.
Het is belangrijk
dat u de gezipte tool eerst uitpakt naar een
vaste map en daarna pas opstart: alleen dan
maakt HijackThis herstelinformatie op een
correcte manier aan (zie verder). Voordat u
een scan uitvoert, doet u er goed aan eerst
even de configuratie van de toepassing te
controleren, via de knop Config. Ga na op
het tabblad Main of de opties 'Make backups
before fixing items', 'Confirm fixing & ignoring of items (safe
mode)' en 'Include list of
running processes in logfiles' wel degelijk
zijn geactiveerd. De eerste optie zorgt er dan
voor dat HijackThis via het tabblad Backups
herstelinformatie beschikbaar maakt, waarmee u doorgevoerde wijzigingen
alsnog kunt terugschroeven. Met de knop Scan start u
vervolgens een systeemscan. Even later verschijnt dan het resultaat.
De items in deze lijst
zijn volgens een interne code geordend, zoals
R (msie start- en zoekpagina's), F (autostarts
vanuit ini-bestanden en het register), 02 (msie
bho's), 03 (msie toolbars), et cetera. De knop
Info geeft hierover meer details. Via de knop
'Info on selected item' kunt u ook meer
detailinformatie opvragen over een specifiek
item. Hierin leest u ook af wat HijackThis
precies uitvoert als u de knop 'Fix checked'
indrukt nadat u bij dit item een vinkje hebt
geplaatst. Zoals gezegd, kunt u zulke acties in
principe nog ongedaan maken via het tabblad
Backups.
Het resultatenoverzicht laat zich via de knop
'Save log' ook opslaan in een logbestand. U
kunt dit bestand vervolgens uploaden naar
diverse forums waarop u dan van andere,
meer geroutineerde gebruikers feedback krijgt. Een overzicht hiervan
vindt u op www.merijn.org/forums.html. Eventueel kunt u
voor bepaalde forums (waaronder www.softcity.nl/forumdisplay.php?f=25)
uw logbestand
eerst online bewerken met de ColorCoder
(zie hyperlinks). Die kleurt bepaalde items
met behulp van ubb-tags, wat het bestand
leesbaarder maakt. De site www.hijackthis.de
pakt het anders aan: zodra u uw logbestand
hebt geiipload, levert de knop Analyze u meteen een geautomatiseerd
rapport op, dat u
via Save analysis zowel offline als online kunt
opslaan. Uitvoerbare bestanden kunt u via
het paperclip-icoontje meteen ook doorsturen
naar online antiviruscanners. Bij de meeste
items krijgt u tevens bijkomende uitleg en geeft een reeks sterretjes
te kennen wat andere gebruikers ervan denken.
U dient zulke - al dan niet geautomatiseerde
- analyses wel met een kritische blik te
bekijken, maar ze kunnen toch een waardevolle aanvulling op uw
eigen interpretatie
betekenen. In de rest van dit artikel geven
we u alvast tips en tools om een gefundeerde
ontleding te maken.
Meer recente spyware durft zich ook als
een automatisch opstartende service in uw
systeem te installeren. Niet-standaard-services verzamelt HijackThis
onder codenummer 023 (wilt u alle (Microsoft-)services zien,
start HijackThis dan op met de parameter
/ihatewhitelists). Meer informatie over deze
services krijgt u door services.msc in te tikken
bij Uitvoeren, waarna u vanuit het snelmenu
van een geselecteerde service de eigenschappen kunt opvragen. Nog
uitgebreider informatie over geinstalleerde services vindt u
op het tabblad Services van de gratis tool
What's Running. Klikt u hier een service aan,
dan verschijnt in het rechtervenster onder
meer de servicenaam en de weergegeven
(display)naam, het opstarttype, maar ook het
pad naar het uitvoerbare bestand dat aan die
service is gekoppeld (bij File Name).
Hamvraag is natuurlijk: weike services zijn
gelinkt aan spyware? Vaak kunt u dat al
uitmaken op grond van de informatie die
What's Running u biedt. Is dat niet het geval,
dan brengt een zoektocht via Google vaak een
opiossing. Check zeker ook even castlecops.com/023-all.html, met
meer dan 1.600 services waaronder een hele reeks spyware-items!
Meer gedetailleerde informatie krijgt u door
zo'n service aan te klikken. Overigens vindt u
op castlecops.corn nog links naar andere lijsten die nuttig kunnen
zijn binnen HijackThis
(met name voor codenummers 09, 018, en
020 t/m 023).
Hebt u eenmaal een malafide service gedetecteerd, dan is het nog
zaak die grondig uit
uw systeem te verwijderen. Vanuit What's
Running kunt u zo'n service alleen maar stopzetten, en ook binnen
HijackThis kunt u zo'n
service in eerste instantie alleen stopzetten en
uitschakelen. Nu vindt u via de knop Config op
het tabblad Misc Tools wel een tooltje, 'Delete
an NT service', waarmee u een service effectief
kunt verwijderen. U hoeft hier enkel maar de
exacte servicenaam in te tikken. Houdt u de
touwtjes liever zeifin handen, dan kunt u die
service ook zeif verwijderen met behulp van
Regedit. Stel dat de servicenaam cmdService
was, dan dient u de volgende subsleutels op te
sporen en te verwijderen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE
en
HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\cmdService
|
Dit artikel concentreert zich weliswaar op
een meer handmatige aanpak van spyware,
maar dat neemt niet weg dat de installatie
van een geautomatiseerde antispywaretool
als het gratis Windows Defender zinvol
en zeifs wenselijk is. Bij het downloaden
van deze tool gaat Microsoft eerst na of u
over een geldige Windows-licentie beschikt.
Tijdens de installatie kunt u dan aangeven of
u wenst mee te werken aan de SpylMet online
community: zo ja, dan worden de scanresultaten alsook uw
reacties daarop online
- maar anoniem- verzameld. U hebt in
essentie de keuze tussen een quick scan - die
u bijvoorbeeld dagelijks uitvoert - en een
full scan, waarbij alle bestanden en lopende
processen worden onderzocht. Zo'n volledige
scan is aan te raden zodra u een mogelijke
infiltratie vermoedt. Wijst het scanrapport
inderdaad op spyware, dan levert de link
Review items [...] u meer informatie over
de spion op. U kunt die vervolgens definitief
verwijderen, voor altijd accepteren, tijdelijk
negeren, of in quarantaine plaatsen. De
laatste drie acties echter kunt u nog altijd
aanpassen, via de knop History. De knop
Tools herbergt een aantal belangrijke instellingsopties.
Zo kunt u bij General Settings de frequentie instellen van
automatische scans, en allerlei 'agenten' inschakelen voor
preventieve bescherming tegen spyware. U vindt hier ook de tool Software
Explorer die u onder meer een informatief overzicht bezorgt van de lopende
en automatisch opstartende programma's. Die kunt u dan van hieruit
ook uitschakelen.
|
Dezelfde subsleutels wist u vervolgens ook bij
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetOOx
(waarbij x een oplopend nummer vanaf 1 voorstelt). lets moeilijker
wordt het als zo'n malafide service met andere services wordt opgestart
via het legitieme bestand svchost.exe.
Stel dat u bij File Name in What's Running het
volgende afleest:
c:\WINDOWS\System32\svchost.exe -k netsvcs.
Ga dan als volgt tewerk. Noteer de servicenaam en blader met Regedit
naar
HIKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[servicenaam]\Parameters
De waarde van het item ServiceD11 verwijst
dan naar het fysieke bestand dat aan deze services is gekoppeld.
Vervolgens kunt u de nodige sleutels wissen zoals hierboven beschreven,
samen met het fysieke bestand. Uiteraard
zorgt u eerst voor een veiligheidskopie van
(deze sleutels in) het register.
Processen & autostarts
Als u in HijackThis bij Config op het tabblad
Main een vinkje hebt geplaatst naast Include
list of running processes in logfiles, dan krijgt
u bovenaan uw logbestand een overzicht van
alle lopende processen te zien. Overigens
krijgt u deze lijst nog gedetailleerder te zien
via het tabblad Processes van de tool What's
Running of via de module 'Process Manager'
op het tabblad Misc Tools van HijackThis.
Beide tools tonen u desgewenst ook de dll's
die door het geselecteerde proces worden
ingeladen. Bij What's Running vindt u die
opgesomd bij Modules, in het rechtervenster.
Heel wat van deze processen zijn wellicht
automatisch opgestart, samen met Windows.
HijackThis duidt zulke automatisch opstartende toepassingen met
codeletter F (FO t/m
F3) en 04 aan. De gratis tool Autoruns (zie hyperlinks) doet zijn
huiswerk nog grondiger:die geeft u een overzicht van alle programma's
die op een of andere manier zonder verdere tussenkomst van de gebruiker
worden
geladen, in de volgorde zoals Windows die
verwerkt. Vanuit het snelmenu kunt u een
geselecteerd item hetzij (tijdelijk) uitschakelen door het vinkje
bij het item weg te halen,
hetzij definitief verwijderen via Delete in het
snelmenu.
Net als bij de services rijst natuurlijk ook
hier meteen de vraag: weike items zijn verdacht? Een goed uitgangspunt
hiervoor
is LIUtilities (zie hyperlinks. De lijst 'Top
Security Lists' toont u namelijk een 300-tal
typische processen die horen bij bekende malware-producten). Een
uitgebreide databank
met opstartitems vindt u verder nog op www.bleepingcomputer.com/startups
(meer dan
14.000 items) en op www.answersthatworkcom/Tasklist_pages/tasklist.htm.
Bruikbaar is ook het item 'Get info online',
dat u aantreft in het taakvenster van What's
Running. U krijgt dan detailinformatie over
een geselecteerd proces, alsook een malware-waarschijnlijkheidsgraad.
Een handige tool is
verder nog het gratis FileAlyzer (bedoeld als aanvulling bij Spybot
S&D). Die installeert zich
in het snelmenu van de Verkenner en levert u
waardevolle informatie op over geselecteerde
bestanden. U kunt er onder meer ook een
hexdump van opvragen. Zowel van Process
Manager als vanuit What's running kunt u
lopende processen (tijdelijk) uitschakelen.
Mocht u een bepaald bestand niet kunnen
wissen - omdat het in het geheugen is geladen - dan kunt u op nog
een beroep doen
op een tooltje van HijackThis. Op het tabblad 'Misc Tools' treft
u namelijk 'Delete
a file on reboot' aan: dit zorgt ervoor dat
een aangeduid bestand wordt gewist zodra u
het systeem herstart en voordat het bestand
wordt geladen. Veroorzaken deze verwijderingen overtollige ingangen
in de lijst van geinstalleerde software (Configuratischerm Software),
dan kunt
u die alsnog wegkrijgen via de tool 'Open
Uninstall Manager', eveneens op het tabblad
Misc Tools van HijackThis.
Inmiddels is ook al malware - vooral dan
browser-hijackers - bekend die gebruik maakt van ads (alternate
data streams) om
zich te verstoppen of zich bij een eliminatiepoging opnieuw te
kunnen installeren. Ads
is een ntfs-techniek die het toelaat dat eenzelfde bestand verschillende
datastromen kan bevatten. Deze bijkomende
data zijn niet zichtbaar via de
Verkenner en Windows houdt
er evenmin rekening mee bij
het bepalen van de bestands-
grootte. Een voorbeeld maakt dat duidelijker. Stel dat u een toepassing
als
spion.exe wilt verbergen in de ads van een
tekstbestand als onschuldig.txt. U hoeft dan
maar de volgende opdracht uit te voeren vanuit de opdrachtprompt:
type c:\padnaam\spion.exe
> c:\padnaam\onschuldig
txt:spion.exe
Met de volgende opdracht kunt u dit verborgen bestand vervolgens
uitvoeren
start c:\padnaam\onschuldig.exe:spion.exe
Wilt u om een of andere reden het verborgen
bestand uit de ads halen en in een apart
bestand gieten, dan doet u dat als volgt:
cat onschuldig.txt:spion.exe > spion.exe
(cat vindt u in de resource kit van Windows).
Hoe vindt u nu bestanden met dubieuze data
in de ads? Daarvoor kunt u verschillende
tools inzetten. Een ervan is het gratis Lads,
dat u vanuit de opdrachtregel uitvoert (bij
voorbeeld: lads c:\ /S/V). Maar ook HijackThis
beschikt over een rudimentaire ads-zoektool:
ADS Spy. Hiermee speurt u ofwel de hele schijf
af, of alleen de Windows-map. Vervolgens
kunt u deze ads verwijderen, met behoud van
het draagbestand. Wilt u de inhoud van zo'n
ads eerst nader bekijken, dan kunt u gebruik maken van het al vermelde
FileAlyzer, met
name via het tabblad Streams.
Items die HijackThis met 01 codeert, hebben
te maken met het hosts-bestand. Dit bestand
treft u binnen Windows NT, 2000, XP en 2003
normaalgesproken aan in de map %systemroot%\system32\drivers\etc.
Vindt u het niet, ga
dan na of deze locatie niet werd aangepast via
de volgende registersleutel
\SYSTEM\CurrentControlSet\Srvices\Tcpip\Parameters
Dit hosts-bestand fimgeert als een vereenvoudigde dns-service.
Een typische ingang in dit
bestand bestaat namelijk uit een ip-adres en
de bijhorende hostnaam. In principe checkt
Windows eerst dit bestand alvorens de dns-
service (van uw provider) te raadplegen. Een
ingang als
216.180.233.162 www.google.com
bijvoorbeeld zou u de website van Spywarelnfo
tonen in plaats van de Google-pagina, en net
zo makkelijk is het om u de webpagina van
pharmers voor te schotelen in plaats van
uw vertrouwde thuisbankiersite... Krijgt u
soms andere sites te zien dan de verwachte
pagina's, dan doet u er goed aan dit hosts
bestand te controleren. Dat kan in principe
met Kladblok, maar HijackThis heeft er - op
het tabblad Misc Tools - een betere tool voor:
Hosts file manager. Hier kunt u een of meer
overbodige of malafide ingangen selecteren
waarna u hetzij Toggle line(s)' selecteert,
hetzij 'Delete line(s)'. In het eerste geval zal de
tool de geselecteerde regels enkel van een commentaarteken (#)
voorzien, zodat er niet langer rekening mee wordt gehouden. Krachtiger
tools voor het beheer van het hosts-bestand
zijn het gratis Hostess en Hoster. Zo'n tool
is echter vooral interessant als u het bestand
zelfs als 'wapen' gebruikt, en het injecteert met tal van bekende
advertentiesites en aanverwanten, en die bijvoorbeeld koppelt aan
het loopback-adres 127.0.0.1. Op deze manier
zet u al die websites meteen buiten spel. U
vindt kant-en-klare-injectielijsten op onder
meer hostsfile.mine.nu,
dat meer dan 40.000 geactualiseerde ingangen heeft! Deze website
bevat verder nog diverse (download)links naar
lijsten op andere locaties.
Er bestaan overigens ook tools die uw hosts-
bestand monitoren zodat u ongewenste injecties kunt voorkomen -
een van de agenten
van Windows Defender zorgt daar bijvoorbeeld voor. Ten slotte bestaan
er ook tools die
uw hosts-bestand tegen overschrijving kunnen beveiligen: zo'n optie
biedt onder meer de
al vermelde tool Spybot S&D.
Centraal in de beveiliging van Internet
Explorer staat het zoneconcept. Voor eike zone
gelden in principe andere veiligheidsregels.
Zo is het binnen de ene zone wel toegelaten
om ActiveX of scripts te draaien, terwiji dat
absoluut verboden is in een andere zone. Vier
van deze zones krijgt u te zien als u vanuit de
browser het menu Extra opent, en vervolgens
Internet-opties Beveiliging aanklikt. U vindt
deze zones ook terug in het register
HKEY_CURRENT_USER\Software\IVIicrosoft\Windows\CurrentVersion\Internet
Settings\Zones
genummerd van 0 t/m 4. Het item DisplayName
bij elk van deze subsleutels maakt duidelijk
om weike zone het telkens gaat: 0 (Deze computer - normaliter niet
toegankelijk vanuit uw browser), 1 (Lokaal intranet), 2 (Vertrouwde
websites), 3 (Internet) en 4 (Websites met
beperkte toegang). Standaard is de zone
'Vertrouwde websites' de minst beveiligde.
Dat maakt deze zone een gewild doelwit voor
allerlei spionnen: slagen ze erin hun eigen
sites aan deze zone toe te voegen, dan krijgen die plots veel
meer armslag. HijackThis
ontmaskert zo'n operatie met de code 015.
Louter technisch gaat het om een registeringreep. Voegt u bij
wijze van voorbeeld zelf maar
even een site toe aan de zone 'Vertrouwde
websites' (via de knop Websites), zowel een
ip-adres als een domeinnaam. Vervolgens bla-
dert u met Regedit naar
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\Zonemap
U merkt hier twee subsleutels op: Domains
en Ranges. De eerste bevat subsleutels voor de
toegevoegde domeinnaam (zoals google.com
met als subsleutel www), en de tweede voor het ip-adres (zoals
Range1). Opent u deze subsleutels, dan leest u bij het item * af
in weike zone
het domein of het ip-adres zijn opgenomen
- in ons voorbeeld is
dat 0x00000002 (2) aangezien het om de zone 'Vertrouwde websites'
gaat. U begrijpt dat het voor spyware een koud
kunstje is hier eigen sleutels toe te voegen.
Overigens vindt u gelijksoortige sleutels ook
binnen de hive HKEY_LOCAL_MACHINE: deze
gelden dan automatisch voor alle gebruikers,
en niet alleen voor de gebruiker die momenteel is aangemeld.
De opiossing is eenvoudig: verwijder - eventueel vanuit HijackThis
- alle
ongewenste ingangen in de zone Vertrouwde
websites.
Net zoals bij het hosts-bestand kunnen we
deze kennis ook gebruiken als wapen tegen
spyware. Dat is precies wat u met ZonedOut
(zie hyperlinks) kunt doen. Het gaat strikt
genomen om een grafische schil rond de
hierboven besproken registeringangen. Eerst
stelt u de hive - hier 'Current Key' genoemd
- in op 'Current User' of eventueel op 'Local
Machine', en daarna selecteert u de gewenste
zone: Local Intranet (1), Trusted Zone (2) of
Restricted (4). Meteen krijgt u een overzicht
van alle sites te zien. Ongewenste items selecteert u en verwijdert
u in een klap vanuit het
snelmenu. Maar u kunt hiermee bijvoorbeeld
ook een hele reeks onbetrouwbare sites in
zonemap 4 injecteren. Daarmee beperkt u
die sites automatisch sterk in hun ogelijkheden, aangezien ondingen
als drive by-downloads, traceercookies en scripting niet
langer kunnen. Een geactualiseerde lijst met
zulke sites - ongeveer 20.000 stuks - vindt
u op www.spywarewarrior.com/uiuc/resource.htm#IESPYAD. Zodra u
de gezipte download
hebt uitgepakt in een txt-bestand kunt u
het via de optie 'Import from File' vanuit
ZonedOut injecteren. Selecteer natuurlijk wel
eerst de gewenste sleutels (Current User |
Restricted Zone).
Met het veelzijdige HijackThis plus enkele
bijkomende toepassingen en met voldoende kennis van de materie
slagen we er vaak zelf
in om spyware te elimineren waar automatische tools het laten afweten.
Mocht het ook
op deze manier nog steeds niet lukken, dan
is een formattering en een herinstallatie van
Windows wellicht nog de beste en veiligste
oplossing - uiteraard nadat u uw gegevens
hebt geback-upt.
Spybot Search & Destroy
http://www.safer-networking.org/nl
Windows Defender
http://www.microsoft.com/athome/security/spyware/software
HijackThis
http://www.merijn.org/downloads.html
ColorCoder
http://www.niele.nl/hijackthis/index.php?v=
encoder
HijackThis
http://www.hijackthis.de
What's
Running
http://www.whatsrunning.net
Castlecops
http://castlecops.com/
Autoruns
http://www.sysinternals.com/
LIUtilities
http://www.liutilities.com/products/wintaskspro/processlibrary
bleepingcomputer.com
http://www.bleepingcomputer.com/startups
Answers That Work
http://www.answersthatwork.com
|
026 3517694
06 16102598
