image

Hoe te handelen voor, tijdens en na een virusbesmetting

donderdag 6 juli 2006, 12:04 door Redactie, 5 reacties

Het geinfecteerd raken met malware is voor zowel thuisgebruikers als bedrijven een vervelende ervaring. Voorkomen is dan ook beter dan genezen, maar wat als je al besmet bent? en hoe weet je dat je een Trojaans paard, worm of virus hebt. Dit artikel kijkt hoe je malware kan voorkomen, herkennen en verwijderen.

Voorkomen

  • Gebruik gelicenseerde software en hou het up-to-date.
  • Scan regelmatig alle machines en zorg dat de security software de entry en exit punten van het netwerk controleert.
  • Maak regelmatig back-ups
  • Schrijf je in op een bulletin, mailing-list of RSS feed om regelmatig over de laatste patches, updates en ontwikkelingen op de hoogte gehouden te worden.
  • Stel een response team samen.
  • Maak een telefoonlijst met namen van mensen die tijdens een incident gebeld moeten worden.
  • Zorg dat er ook papieren versies met de namen van alle contacten zijn, mocht het complete netwerk uitvallen.
  • Zorg voor back-up / vervangende systemen.
  • Om data te herstellen moet ook informatie van de firewall bekend zijn, zoals poortnummers. Ook dit moet op papier worden gezet.
Hoe herken je malware
  • Systeem wordt trager.
  • Toegenomen netwerkactiviteit.
  • Plotseling schijfactiviteit.
  • Vertraging van de Gateway.
  • Websites die niet meer bereikbaar zijn.
Reageren op een aanval
  • Haal het systeem uit het netwerk.
  • Gebruik anti-malware software om het systeem te doorzoeken.
  • Bepaal wat het doelwit was en of de integriteit van het systeem is geschonden.
  • Bepaal hoe de malware is binnengekomen.
Herstellen van services en systemen
  • Verander alle wachtwoorden op alle systemen en servers.
  • Herstel alleen vanaf "schone" back-ups.
  • Ging het om een actieve aanval, kijk dan in de firewall logs om het IP te bepalen.
  • Controleer het netwerkverkeer, mogelijk dat er een nieuwe backdoor is aangebracht.
Evalueer het incident
  • Haal het malware team bij elkaar en kijk wat er geleerd is.
  • Bepaal of er adequaat gereageerd is en wat er beter kan.
  • Laat het hoger-management weter wat er gebeurd is, zodat ze zich voor een volgende keer kunnen voorbereiden.
Reacties (5)
06-07-2006, 12:22 door Anoniem
Evalueer het incident: Koop een Mac of installeer Linux/Unix
of FreeBSD en de last van het hebben van een computer wordt
gewoon minder.


note:
Het is toch belachelijk dat je zoveel maatregelen moet nemen
voor software van een bedrijf dat miljarden op de bank
heeft, terwijl gratis software soms veiliger is.
06-07-2006, 12:50 door Pleurtje
meeste infecties zijn niet de danken aan de OS, anoniem,
maar aan de gebruiker die lukraak dingen installeerd en
binnenhaald.

Dat linux minder infecties heeft, komt mede door

1) de gebruiker veel meer ervaring heeft dan een gemiddelde
gebruiker en daardoor niet zomaar dingen installeerd, meer
uitkijkt en virussen/malware sneller herkend
2) de OS minder gebruikt is, en daardoor minder lukeratief
is voor aanvallers
3) Linux-gebruikers meer patchen (zelf ondernemen), terwijl
windows-gebruikers afgaan op de (door microsoft opgelegde)
automatische update-systemen (woensdag-patchdag, anyone?),
waar alleen de OS mee geupdate word, en niet de third-party
software

tuurlijk valt Windows iets kwalijk te nemen, bijvoorbeeld de
manier van verkoop, marketing'technieken', maar qua OS is
het helemaal zo gek nog niet (zie jij een n00b al tekstbased
werken, of met LaTeX werken ?) Mensen zijn lui, en vinden
WinOS al moeilijk genoeg, ik denk niet dat we ze nu moeten
opzadelen met 't leren van een nieuwe OS, als ze op
verschillende plekken toch nog met WinOS werken
06-07-2006, 15:59 door Anoniem
Ik "voorspel" een toename in OSS gebruik van 10 tot 20% in 2007
doordat WGA vele systemen buiten gebruik zal stellen.

Dit is "ook" gebeurt toen dat update "probleem" met SP2 bestond.
06-07-2006, 16:26 door Anoniem
Ik mis nog de aangifte bij de politie (in het geval van een
DDoS...)
06-07-2006, 18:53 door Anoniem
Deze tips zijn altijd vrij globaal en zo globaal dat ze vaak
ook net zo hard tegen te spreken zijn. Zoals:

* Scan regelmatig alle machines

Eigenlijk is dat vreemd, want de AV software had het toch
MOETEN detecteren toen het op het systeem kwam? En kwam het
al aan boord voordat de definities bijgewerkt waren, dan
moet de AV software het toch detecteren voordat het kwaad
kan? Toch? Waarom dan nog extra scannen, zodat je systeem
een paar uur onbruikbaar is met 99% CPUload door de scanner?

* Maak regelmatig back-ups

Hiermee voorkom je geen virus maar maak je er kopieen van,
die elke keer terugkomen

* Schrijf je in op een bulletin, mailing-list of RSS
feed om regelmatig over de laatste patches, updates en
ontwikkelingen op de hoogte gehouden te worden.

Zodat je zoveel mail krijgt dat spam en virus en
phisingmailtjes niet meer opvallen.

* Zorg dat er ook papieren versies met de namen van alle
contacten zijn, mocht het complete netwerk uitvallen.

Dat is een goede... (alleen die zijn natuurlijk altijd te
oud, want de nummers kloppen dan niet meer omdat de papieren
versie vorig jaar een keer afgedrukt was)

* Systeem wordt trager.

Windows heeft die neiging al sinds versie 1

* Toegenomen netwerkactiviteit.

Met alle phone-home software in allerlei software is dat ook
al vrij normaal, zeker wanneer ze auto-update functie hebben.

* Plotseling schijfactiviteit.

Oef, breek me de bek niet open, zo heb ik nog een stresskip
gehad die een hartverzakking kreeg toen windows de cache
flushte..

Maar ook de zaken die je moet doen NA besmetting zijn voor
velerlei opvattingen mogelijk.

* Haal het systeem uit het netwerk.

Maar wanneer je dit doet, dan WEET de hacker dat de machine
gedetecteerd is en kun je niet meer een traceback uitvoeren
of 'live' kijken HOE en WAT er gebeurt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.