Het is altijd handig om een third party tooltje te hebben om
te kijken welke processen er draaien. Zelf vind ik het
freeware programma PrcView van Igor Nys erg handig. Naast
een lijst van draaiende processen kun je meer "killen" dan
met de gebruikelijke task manager, en je beschikt over
andere/meer info. Wel is het zo dat indien een trojan
zichzelf d.m.v. rootkit technieken verstopt, het mogelijk is
dat PrcView hem ook niet "ziet".

Ik heb zojuist de een nieuwere versie van PrcView gedownload
dan ik al had. De laatste versie 3.7.3.1 (100kB zip) kun je
downloaden vanaf
http://www.xmlsp.com/pview/prcview.htm

N.B. als je naar http://www.prcview.com gaat word je naar xmlsp
doorgestuurd. De beschrijving op
http://www.teamcti.com/pview/, waar ik dit
tooltje al eens eerder had gedownload, is verouderd, maar de
zip file op die site was zojuist identiek aan die op xmlsp.

De MD5 hash (ook wel checksum of signature genoemd) van
prcview.zip is 3ad84bc50c00ac9a828ab563a64458af en de sha-1
hash is
789bb6851738270bae9e5eae0d0ff67176cc9e6f

Beide hashes zijn ondertussen "theoretisch gebroken" maar ik
moet nog zien dat iemand een 100kB file trojaned en
vervolgens beide hashes laat kloppen... Wat ik
natuurlijk niet kan garanderen is of het bestand met
genoemde hashes wel safe is! Daarom heb ik zojuist
prcview.exe aangeboden aan http://www.virustotal.com, en
die meldde voor alle gebruikte virusscanners "no virus
found". Een korte inspectie van een hexdump van de (niet
gecomprimeerde) prcview.exe wees ook niet op narigheid, ik
heb beide exe's uit de zipfile dan ook al zelf gedraaid.

Voor de mensen die niet weten wat een hash (hashen =
versnijden) is: dit is een soort ingewikkelde optelsom van
alle bytes in een bestand, op een dusdanige manier dat het
praktisch onmogelijk is om het bestand zo te wijzigen dat
deze dezelfde hash oplevert. Bij het bepalen van een hash
wordt het betreffende bestand alleen gelezen (er wordt dus
niets in veranderd). Aan de hand van een hash kun je dus
vaststellen of iemand anders het over hetzelfde bestand
heeft (zonder dat die persoon jou een kopie stuurt ter
vergelijking), of dat een bestand op je eigen schijf,
waarvan je eerder al een hash hebt bepaald, sindsdien
ongewijzigd is.

Microsoft heeft een gratis commandline tooltje om zowel md5
als sha1 hashes te berekenen. Korte uitleg:
http://support.microsoft.com/default.aspx?scid=kb;en-us;889768
Download (ook ca. 100kB):
http://support.microsoft.com/default.aspx?scid=kb;en-us;841290

Het aardige van dit fciv.exe tooltje is dat je ook
recursief hashes van bestanden kunt uitrekenen en in
een database opslaan, en later kunt checken of er iets
veranderd is. Omdat deze alleen gewijzigde bestanden (niet
toegevoegde-) meldt is het nut ervan echter beperkt.

P.S. prima alternatieven voor PrcView, en vele andere gratis
tools, kun je op http://www.sysinternals.com/ vinden.

Erik van Straten

bedankt voor je uitgebreide comment, erik. Gr, Shorgen

"De Mydoom virusfamilie is hard op weg om voor een derde keer het
alfabet rond te gaan, een unicum in de geschiedenis van malware"

Uhm... zo uniek is dat nou ook weer niet. Er zijn al families met meer dan
1.000 letter combinaties. Agobot/Rbot/SdBot bijvoorbeeld. Protoride, Ranky
en Wootbot zitten al op meer dan 8.000. Een populaire downloader haalt
meer dan 13.000.

Overigens betekent een nieuwe letter niet altijd dat er ook een nieuwe
variant is. Soms wordt er een letter overgeslagen. De definitie van een
nieuwe variant is niet eenduidig.

Erik: leuke informatie.

Het probleem met het geven van hashes is dat het een schijnveiligheid
biedt. Het betekent dat je de verstrekker van de hashes inherent vertrouwd.
Vaak staan ze op de hashes op dezelfde site, als die gehacked wordt is
het een koud kunstje de MD5/SHA1 ook mee te vervangen.Om die reden is
signen met gnupg/pgp al een stuk beter.

Jeroen

Shorgen schreef:
> bedankt voor je uitgebreide comment
Jeroen schreef:
> leuke informatie

Dank voor jullie positieve kritiek, security.nl is een stuk
leuker zo!

Jeroen schreef verder:
> Het probleem met het geven van hashes is dat
> het een schijnveiligheid biedt.

Klopt, heb ik ook een beetje aangegeven. Wel is het zo dat
als een hash op andere plaatsen (zoals deze site)
genoemd wordt, de kans extreem klein is dat je schijnbaar
dezelfde versie van pcrview.zip kunt downloaden die
sinds mijn check (zie onder) gewijzigd is maar wel dezelfde
hashes geeft.

M.b.t. bewustwording: je kunt niet uitsluiten dat ik
de prcview site heb gekraakt en de zipfile door een
kwaadaardige heb vervangen, en daarna daarvan hier de
hashes heb gepubliceerd (en lieg over virustotal).
Natuurlijk is dat onzin, en ik ben de enige echte Erik van
Straten. Trust me, you can trust me :)

Signeren met gnupg/gpg is inderdaad veel veiliger mits aan
een aantal voorwaarden wordt voldaan. Voor veel gebruikers
is pki echter abacadabra, de ElGamal issue heeft het geen
goed gedaan en je moet zeker weten dat de public key die je
gebruikt van de authentieke auteur is (en deze niet
revoked/ingetrokken is).

Daarnaast, Werner Koch, maintainer van het GnuPG project,
heeft gisteren tegenover Heise security enige bezorgdheid
geuit m.b.t. de SHA-1 zwakte (GnuPG kan sha1 gebruiken om te
hashen, waarna die hash met de private key wordt
versleuteld), zie (Duitstalig)
http://www.heise.de/security/news/meldung/56507.

Helemaal OT: wellicht moet men voortaan een kopie van
het object (i.p.v. de hash ervan) asymmetrisch versleuteld
bijvoegen als digitale handtekening; kost meer tijd en geeft
grotere bestanden, maar is 1 security risico minder.

Maar zelfs met een 100% sluitende digitale handtekening heb
je geen garantie dat het bestand dat je downloadt geen
malware bevat. Die kan de auteur er zelf moedwillig
ingebouwd hebben, kan in een meegelinkte library zitten, of
de auteur kan, zonder het te weten, een exe-file infecterend
virus op z'n PC hebben, of z'n PC c.q. server met CVS kan
op de een of andere manier gebackdoored zijn. Er is 1
zekerheid in het leven...

Erik van Straten (geloof ik)