Je kan sowieso de executable naar virustotal.com uploaden om te kijken of het een virus is. Verder zijn er ook nog programma's als Threat Fire die op basis van bepaalde algemenere signatures bepalen of een programma een virus kan zijn.

Even nog 1 vraagje: welke virusscanner gebruik je?

Je kunt losse (exe) bestanden uploaden naar virustotal.com.
Daar worden er een stuk of 40 virusscanners op los gelaten om het bestand te beoordelen.
Wil je op zeker spelen bij het uitvoeren van een programma dan zou je het in een sandbox kunnen uitvoeren.
En verder is er natuurlijk allerlei anti-virussoftware om virussen te detecteren als een programma al is uitgevoerd.
Hoewel die nooit 100 % zekerheid kunnen bieden.

Ah regenpijp is me al voor zie ik...

Je virus scanner en andere tools zouden een file al als virus moeten herkennen, als die het al niet eens doen dan blijft er maar weinig over.....
Virus scanners enz zijn er op gebouwd om virussen aan de hand van een signature te herkennen.
Teven zijn er scanners die de programma code op bekende instructies enz controleren (heuristische scan methode)

Naar mijn mening is de enige andere optie de file door win32dasm halen of tools te gebruiken zoals bijv SoftICE van vroeger.
Je kan constant sysinternals disk monitor en registry monitor draaien en process explorer gebruiken maar dat levert onwijs veel output die je allemaal door moet gaan ziten lezen/doornemen.

Tevens zijn er wat leuke exloit kits verkrijgbaar die de file goed maskeren en coderen.
Ik heb nog geen virus scanner gezien die deze bestanden vervolgens markeert als virus oid.

Maar sowieso als je wat van hoe exe's werken wilt leren kan je win32dasm gebruiken, evr samen met hiew.
welke instructies wat doen vind je op het internet, download gewoon een handleidingetje met hoe je programma's moet kraken en je leert heel veel.....

Aanvullend op regenpijp en EDLIN,
Voor on-demand scannen kun je Malwarebytes Anti-Malware, HitmanPro en/of Emsisoft Anti-Malware gebruiken.
Zowel om een los bestand of losse map/folder te scannen, als ook voor een systeemscan.
Malwarebytes Anti-Malware is redelijk fool-proof.
HitmanPro en Emsisoft Anti-Malware hebben een nog net wat betere detectie dan MBAM, maar geven vergeleken met MBAM tevens een iets grotere kans op af en toe eens een false-positive, dus het is bij het gebruik daarvan wenselijk wel zelf enig inzicht te hebben.
MBAM en HitmanPro gebruik ik naar tevredenheid. Met Emsisoft Anti-Malware heb ik zelf geen ervaring.

Inderdaad even uploaden naar virustotal.com. Een oude computer of virtual machine gebruiken om het programma te testen. Eventueel met processexplorer en tcpview (SysinternalsSuite) kijken wat er gebeurd.

@ yobi

Dat geeft maar een heel beperkt beeld, eigenlijk zie je dan alleen waar alles zich afspeelt en of het internetverbinding maakt. Als je zo begint kan je een executable net zo goed gelijk reverse engineren met IDA :)

Een virusscanner.

Wederom en virusscanner

Niet alle bestanden bevatten een virus :)

Als een virusscanner het virus niet herkend, ga je het zelf ook niet vinden.
Het oordeel van een adequate virusscanner is over het algemeen betrouwbaar
Bij hoog-risico-bestanden voor de zekerheid nog even checken via virustotal.com.
En eventueel gebruikmaken van een sandbox.

Het probleem met sites als virustotal is dat die, hoewel ze met meerdere AV-engines werken, dezelfde beperkingen kennen als de residente scanner op je computer: ze werken met signatures (aangevuld met heuristics) en die lopen altijd achter. Het zal niet de eerste keer zijn dat geen van de gebruikte scanners op virustotal een 0-day aanval niet herkennen.

Een virtuele machine kan eventueel kwaadaardig gedrag van een uitvoerbaar bestand aan het licht brengen, maar niet alle malware laat zich zo simpel detecteren. Je dient verder ook de nodige kennis in huis te hebben om eventueel kwaadaardige processen, registeraanpassingen e.d als zodanig te herkennen.

Een online sandbox die het bestand in een virtuele omgeving uitvoert en het gedrag analyseert op kwaadaardig acties kan hierin uitkomst bieden.

Voorbeelden van goede online sandboxes zijn:
http://www.threatexpert.com/submit.aspx (van PCTools)
http://www.threattrack.com/ (van Sunbelt)
http://camas.comodo.com/ (van Comodo)

Mijn favoriet is ThreatExpert die een compleet verslag uitbrengt van het gedrag van het uitvoerbaar bestand en het een dreigings-score geeft. Let overigens op eventuele beperkingen in het type en de de omvang van het bestand dat mag worden ge-upload.

Dank je, choi,

Comodo CAMAS/CIMA had ik nog niet eerder uitgeprobeerd.
http://camas.comodo.com/
Ken je daarnaast ook de Comodo Valkyrie File Verdict Service?
https://valkyrie.comodo.com/
Zie ook:
http://www.techsupportalert.com/content/how-tell-if-file-malicious.htm

En ThreatExpert "Submit Sample"
http://www.threatexpert.com/submit.aspx
hoe verhoudt dat zich precies tot ThreatExpert "Free Online File Scanner"?
http://www.threatexpert.com/filescan.aspx
Biedt de een voordelen boven de ander, of is het dezelfde scan, met het verschil dat je van de een de resultaten per e-mail ontvangt?

@Spiff
Valkyrie kende is nog niet, zal die even bekijken.
En ja, die twee TreatExpert scans doen hetzelfde, alleen krijg bij de een het resultaat per e-mail.

Dank je, choi.
Ik vermoedde altijd al dat die twee genoemde ThreatExpert scans hetzelfde doen, met als verschil dat je van de een de resultaten per e-mail ontvangt, maar ik vond nooit ergens documentatie die dat bevestigde.

Sandboxie installeren en programma uitvoeren in de sandbox.
http://www.sandboxie.com/

Emsisoft Anti-Malware is een leuk programma, ik gebruik de Free versie al jaar en dag en ik ben daar tevreden over.
Daar zit ook een prima HiJackFree in die je ook ff on-line detectie kan laten doen.
Het is iets voor de echte fans, Emsisoft zijn HiJackFree.
Wat niet belet dat je de in het rood door Emsisoft aangegeven zaken er zomaar lukraak moet gaan afgooien, eerst ff nakijken is de boodschap.
In sommige gevallen leer je daar wel wat mee bij ...

http://www.emsisoft.com/en/software/antimalware/?download=antimalware

Zoals men hogerop al wist te melden, uploaden naar virustotal.com.
De opgegeven sandboxes kijk ik even na.

Utopie? mocht er ook een organisatie in het leven geroepen worden die het Internet gaat 'cleanen' waarmee ik bedoel, alle malafide sites er sowiso afgooien, zou dat dan niet gedaan zijn met die rommel van keyloggers, malware, scareware en nog zowat rommel ...

Oh ja, op welke planeet? Nooit van Spy-Eye, Zeus of TLD4 gehoord?

Weliswaar niet direct van toepassing op de vraag van de OP, maar hierbij een mooi verhaal over wat er allemaal bij komt kijken om de huidige generatie malware (in dit geval de SpyEye banking trojan) te detecteren: http://www.h-online.com/security/features/CSI-Internet-A-trip-into-RAM-1339479.html

(1) Als je een uitvoerbaar bestand hebt gedownload (meestal .exe of .msi) wijzig dan meteen de extensie in iets dat niet uitvoerbaar is, bijv. .xex

(2) Probeer te bepalen wie de auteur is en of je deze kunt vertrouwen. Veel programmeurs hebben een eigen website en/of blog die vaak afwijkt van de site waar je bestanden van downloadt. Voorbeeld: http://sourceforge.net/projects/gbdns/ en http://www.george-barwood.pwp.blueyonder.co.uk/DnsServer/.

(3) Probeer zo goed mogelijk vast te stellen dat het bestand niet is gewijzigd sinds de auteur het heeft gepubliceerd. Dit gebeurt vaak via Authenticode, GnuPG/PGP signatures en/of gepubliceerde hashes.

(3a) Authenticode vaststellen is eenvoudig: rechts-klik op het bestand en kies eigenschappen. Als er geen tabblad "Digitale handtekeningen" bestaat is het bestand niet digitaal ondertekend met Authenticode. Anders open je dat tabblad, selecteer de regel van de ondertekenaar en kies details.
Een voorbeeld van hoe het NIET MOET is http://sourceforge.net/projects/gbdns/files/gbdns/July%2015%202010%20R3/GbDns.msi/download. Die MSI file is digitaal ondertekend door Microsoft maar daarna gewijzigd door de auteur, ik heb (nog) geen idee waarom.
Downloads van Adobe en Microsoft (ook de verderop genoemde Process Explorer, niet de zip file maar de .exe daarin wel) zijn bijna altijd met Authenticode ondertekend.

BELANGRIJK: bij wel geldige handtekeningen moet je ook op de details knop klikken. Je zult de eerste keer merken dat het even tijd kost voordat de nieuwe dialoogbox geopend wordt: dat komt omdat op dat moment, in de achtergrond, er netwerkverkeer plaatsvindt: Windows controleert of het certificaat niet is ingetrokken.

(3b) GnuPG/GPG: hier wil ik later nog wel eens een stukje over schrijven (deze bijdrage is lang genoeg zo).

(3c) Een cryptografische hash (meestal MD5, SHA1 of SHA256) is een soort unieke vingerafdruk van een bestand. Hoe sterker (en meestal hoe langer, d.w.z. het aantal hexadecimale cijfers) de hash, hoe moelijkerer het is om twee verschillende bestanden te vinden die dezelfde hash opleveren. Dus als de programmeur bijv. de SHA1 hash van een programma berekent en jij doet dat na downloaden ook, dan kun je vaststellen of de hash nog klopt en dus het programma niet is gewijzigd. Het probleem hierbij is dat als de hash naast het programma op de website staat, een eventuele aanvaller zowel het programma als de hash zou kunnen wijzigen. Zoek dus bij voorkeur naar alternatieve sites (of beter, een maillist) waarin de programmeur de hash heeft gepubliceerd!

Een aardig programma voor het berekenen van hashes is HashMyFiles va Nir Sofer, zie http://www.nirsoft.net/utils/hash_my_files.html (de SHA1 hash van hashmyfiles.zip versie 1.88 is a5c5b00e018faabcc533dd32154e9abd43b54f6c, helaas geen authenticode hier). Er zijn virusscanners die aanslaan op de programma's van Nir Sofer, waarschijnlijk omdat hij ze inpakt met UPX.
Pak de gedownloade zip file uit bijv. in C:\Program Files\HashMyFiles\. Onhandig aan het programma is dat deze de configuratiefile alleen in de installatiemap bijwerkt, en daar hebben gebruikers (op een veilig opgezet systeem) geen schrijfrechten. je kunt voor alle gebruikers op het systeem in het Eigenschappen popup menu (rechts-klik op bestand) automatisch een entry "HashMyFiles" laten verschijnen door de volgende code te kopiëren in een bestandje dat ik Enable_Explorer_Context_Menu_In_HKLM.reg heb genoemd:(4) Virustotal is hierboven al meermaals genoemd. Echter als teveel mensen binaries uploaden naar Virustotal zou die service wel eens kunnen verdwijnen. Om die reden bepaal ik altijd eerst de hash van een bestand en geef dat aan virustotal in https://www.virustotal.com/index2.html#search. Zowel MD5, SHA1 als SHA256 hashes worden ondersteund (vul bovengenoemde a5c5b00e018faabcc533dd32154e9abd43b54f6c maar eens in). Mocht er geen (of een te oud) resultaat zijn, kun je altijd nog de binary uploaden. De extensie maakt daarbij overigens niks uit.

(5) Als je handig bent met programma's als 7-Zip, InnoUnpack, UPX en "strings", kun je vaak heel redelijk vaststellen uit welke componenten je download bestaat en welke karakterreeksen daarin voorkomen. Vaak zegt dat ook wel iets over de betrouwbaarheid (veel realistische foutmeldingsteksten betekent dat het om een serieuze programmeur gaat). Zonder de programma's geheel de disassembleren en doorgronden (lastig en tijdrovend) blijft dit wel een gevoelskwestie.

(6) Je kunt ook (op een testsysteem!) aan de slag met "diff" tools zoals Microsoft's Attack Surface Analyzer (zie http://technet.microsoft.com/en-us/security/gg749821).

Die laatste is een belangrijke opmerking. Hier is geen eenduidig antwoord op te geven omdat malwaremakers over het algemeen hun uiterste best doen om te voorkomen dat hun malware detecteerbaar is. Het draaien van WireShark tijdens de eerste keer dat je de software opstart kan informatie geven als het programma naar huis belt. Tools zoals Proces Explorer en Process Monitor zijn ook erg handig in zo'n geval (zie http://technet.microsoft.com/en-us/sysinternals/bb545027).

Onder linux had je zoiets moois als Tripwire. Onder Windows maken de veel AV programma's md5 checksums van alle belangrijke bestanden (Windows doet dit trouwens ook zelf). Indien een bestand onaangekondigd wijzigt gaan de alarmbellen af. Probleem is dan enkele virussen dit systeem omzeilen door het OS van valse info te voorzien, en doen net alsof het echte bestand er nog op staat.

Probleem met scannen is , dat bij nieuwe virussen/spyware je dus te laat bent als de update 2 dagen later komt.
Dus je zou software 2 weken(ik zeg maar wat) moeten bewaren, en dan pas scannen.

Zorg als je software download, dat je dit van de originele site download, andere site's duwen er nog spyware bij.
Spyware doen de originele software makers ook, zo maken ze geld.
Dus zoek software waar geen spuware in zit.
Bijv open source software is vaak spyware vrij.

Zelf gebruik ik linux.
Alle software zit in de server van linux(ook van andere firma's), spyware en virusvrij.
Dus ik kan alles installeren zonder te scannen.

Mandiant red curtain is ook een gratis programma om exe`s en dll`s te analyseren. Vereist .Net.

Als de software via firefox wordt gedownload, kun je http://www.team-cymru.org/Services/MHR/FirefoxMHR/ gebruiken om de exe te controleren.

Peter

Als ik me niet vergis hebben we nog geen enkele reactie gezien van de topicstarter?
Wat mij volstrekt onduidelijk is, dat is of topicstarter een 'weinig ervaren gebruiker' is, of een 'gevorderde gebruiker'.
Dat maakt nogal uit voor het advies welke checks te gebruiken.

Voor een onervaren gebruiker kan zelfs de beoordeling van HitmanPro scan-resultaten al te moeilijk zijn. Geavanceerde meertraps analyse door middel van diverse tools en de interpretatie van de bevindingen daarvan dat is dan beslist te hoog gegrepen. Een geavanceerde gebruiker, aan de andere kant van het gebruikersspectrum, die heeft beslist niet genoeg aan alleen zoiets als MBAM.

Daarom, topicstarter, wat zoek je precies?
En ben je al geholpen met de bovenstaande reacties?

Een andere handig tooltje is de linkchecker van DrWeb waarmee je een bestand kan scannen zonder dat je deze eerst hoeft te downloaden. Geen enkele scanner pakt alles maar voor een eerste indruk buitengewoon nuttig.

Let op: dit werkt alleen als de downloadlink direct naar een bestand verwijst. Het werkt bijvoorbeeld dus niet met links op Torrentsites.

Voor de meeste browsers is het een simpele installatie, voor Opera dient handmatig een .ini-bestand aangepast te worden.

http://www.freedrweb.com/linkchecker/

Hier een bericht van de ts, ontzettend bedankt voor jullie tips en inbreng!

Alleen zeker weten doe je denk ik pas echt als je het programma ook in een VM samen met een paar analyzers hebt geobserveerd om het gedrag van het programma in kaart te kunnen brengen en of er eventueel contact wordt gemaakt met een server buiten je lokale netwerk.
Daar zou ik nog wat informatie over willen, behalve een virusscanner en gezond verstand lijkt het me ook zinvol om een bepaald inzicht te hebben wat er precies gebeurd in je pc, en hoe je kwaadaardige software via analytische software kunt herkennen zonder gebruik te maken van een virusscanner.

Er zijn dus genoeg online en dedicated tools om een programma vooraf te beoordelen op het risico en hoe het zich gedraagt, dat is voor mij duidelijk. Nu even ervan uitgaand dat de executable al is uitgevoerd en nog eigenlijk te nieuw is dat hij nog niet gedetecteerd kan worden door de reguliere scanners, welke tools en technieken zijn er dan om deze te kunnen herkennen?

In hoeverre zijn monitoring tools zoals Tcpview, Process Explorer in staat om kwaadaardige software te detecteren? Zijn er nog mensen die andere (misschien slimmere) analyzers of monitoring tools kunnen aanraden?


Vanmorgen zag ik nog een video op tweakers.net dat er een trojan verstopt zat in explorer.exe, binnen een paar klikken was deze opgespoord met Process Explorer alleen moest je maar net weten dat de trojan verstopt zat in explorer.exe. Is er ergens een tutorial te vinden waarin uitgelegd wordt hoe je via deze tools kwaadaardige software kan herkennen?
Mij is wel opgevallen dat UAC helemaal geen melding (popup) heeft gegeven, zou UAC zo gemakkelijk te omzeilen zijn?


tweakers.net/video/5455/demonstratie-hoe-gaan-cybercriminelen-te-werk.html


@anoniem
Ondanks het misschien best veel werk is lijkt mij dit wel de meest effectieve methode, virusscanner lopen immers altijd achter de feiten aan. Alleen leveren tools zoals Process Explorer zoveel output op dat je eigenlijk niet weet waar je moet zoeken mits je een vreemd proces vindt maar meestal zitten virussen ergens verstopt dat hij nauwelijks te vinden is.

@Erik van Straten
Een digitaal ondertekend bestand geeft natuurlijk meer vertrouwen maar ik heb genoeg berichten voorbij zien komen waarbij ook digitaal ondertekende bestanden een virus kunnen bevatten. Hoe gaat UAC hier eigenlijk mee om, krijg je direct een opvallende melding wanneer een certificaat is ingetrokken zoals bij Firefox en Chrome of controleert MS alleen het certificaat van de file pas wanneer je al die dialoogvensters opent?
Is UAC eigenlijk nog wel een laatste barrière tegen virussen als zelfs Google Chrome in staat is om ongezien updates uit te voeren? Wat is dan eigenlijk nog het nut van UAC?

@Spiff
Moeilijke vraag, ik wil mezelf geen ego aanpraten maar ik durf mezelf wel te categoriseren als een 'gevorderde gebruiker' al is dat natuurlijk altijd subjectief.

Een goede HIPS en Behavior Blocker bieden ook een prima bescherming tegen onbekende malware.

Openen met sandboxie.

Omdat de mogelijkheden voor de aanvallers dan nagenoeg onbegrensd zijn, is het onmogelijk om een altijd werkend recept te geven, hooguit tips. Over het algemeen vindt bijv. er netwerk I/O plaats met "vreemde" sites. Vaak is dit versleuteld of encoded. Als je nog een hubje hebt of een switch met een RMON poort kun je meekijken, ook kun je wellicht je internet modem de opgezette verbindingen naar en syslog server laten schrijven. Je zou van alle IP-adressen waar contact mee gezocht wordt kunnen nagaan of deze betrouwbaar zijn. Dat je zo wat vindt is echter niet zeker, geavanceerde malware kan bijv. via DNS communiceren. Het komt dat toch vaak neer op anomaly detection, en vaak werkt dat pas goed als je, voordat je PC besmet raakte, al in kaart hebt gebracht wat "normaal" is en elke verandering onderzoekt (extreem veel werk dus).

Rootkit-achtige malware kun je soms detecteren door een volledige directory listing van je schijf te maken op je draaiende systeem, en daarna je schijf in een schoon systeem te plaatsen en nogmaals een directory listing te maken, en ten slotte beide listings met elkaar te vergelijken (als je dit goed wildt doen zul je dat op beide systemen met SYSTEM rechten moeten doen en vergeet ook niet naar Alternate Data Streams te kijken). Iets vergelijkbaars kun je met het register doen (mits je de juiste tools hebt).

Dat hangt van de kennis van de gebruiker af, en van de "slimheid" van de malware (hoe goed heeft deze zich voor die tools verstopt).

Dat is inderdaad een leuk filmpje!
De auteur van Process Explorer, Mark Russinovich, schrijft leerzame blogs, zie http://blogs.technet.com/b/markrussinovich/.

Als bekend zou zijn dat UAC was te omzeilen zou Microsoft daar zeker wat aan doen. Makkelijk is het (hopelijk) niet.

Dat je geen UAC popup hebt gezien kan 3 redenen hebben: ofwel de aanvallers kunnen het omzeilen (maar dat vermoed ik niet), de gebruiker heeft UAC uitgezet of de malware werkt ook "prima" zonder adminrechten (dit zie je de laatste tijd steeds vaker).

Zoals ik schreef is het criterium niet of een bestand digitaal is ondertekend (ook ik heb genoeg ondertekende malware en adware gezien) maar door wie het is ondertekend.
Niet. Dit staat los van UAC.
Ik weet niet precies onder welke omstandigheden Windows het certificaat checkt als je een .exe file dubbelklikt. Als je die exe van internet hebt gedownload en op een NTFS partitie hebt opgeslagen krijg je in elk geval een waarschuwing, maar of de digitale handtekening (indien aanwezig) ook gecheckt wordt weet ik niet uit m'n hoofd. In elk geval wordt minder vaak gecheckt dan je zou verwachten, omdat het teveel performance kost als elke binary elke keer als je deze opent zo gecontroleerd moet worden.
UAC is geen barrière tegen virussen, maar helpt besmettingen beperken tot 1 account en helpt verhinderen dat heel je systeem (inclusief virusscanner, firewall, netwerksettings, hosts file) gecompromitteerd raakt.

Software die "UAC omzeilt" doet dat door een updateservice met SYSTEM rechten (of vergelijkbaar) te installeren. Als die updateservice goed in elkaar zit zal deze uitsluitend door Google gesigneerde updates accepteren en is het niet mogelijk dat malware via deze route je systeem overneemt. Door al die updateservices van verschillende softwaremakers neemt het aanvalsoppervlak wel toe natuurlijk, want 1 fout door 1 van hen volstaat voor een aanvaller.