Umm.. de client initieert wel degelijk een connectie naar buiten..
Heeft geen klap met incoming verkeer te maken. Men noemt het terugkomend verkeer 'related' en alhoewel het door een application layer firewall geïnspecteerd wordt zal dit niet door een firewall opererend op layer 3 gezien worden.

Hostfile werkt dus wel al ben ik met je eens dat het niet echt een oplossing is..

Beste Peter,
Het is bekend dat het virus het addres 158.255.211.28 en eventueel ook 184.82.107.86 gebruikt. Deze kun je niet blokkers dmv de "hosts" file.
Ook is bekend en/of wordt vermoed dat het virus het domein bank-auth.org gebruikt. Dat domein kun je eenvoedig blokkeren dmv de "hosts" file en daarvoor kan deze "hosts" file uitstekend gebruikt worden.
Zo is het en niet anders. Waarom zo moeilijk schrijven over zoiets simpel?
Groeten

@Peter,

Hij zal toch eerst het verkeer moeten aanvragen.....

Peter V stop alsjeblieft met nonsense te publiceren op security.nl, je weet niet genoeg van technologie/protcollen af.

Ik heb zelf Avira internet security 2012 (met firewall)ik heb een vraag naar Avira gestuurd waarom niet bij elke update automatische blokkeren van i.p adressen zoals van Dorifel ?


Krijg ik een antwoord ,dan zal ik dit hier vermelden.

Nu een hosts file aangepast,maar dit is niet altijd up to date .

Sinds wanneer mogen mensen die ergens niet van af weten niet op dit forum zijn?
Ga je nu discrimineren op kennis?

Opnemen van IP-adressen in het Hosts-bestand helpt op geen enkele manier om verkeer met die IP-adressen tegen te houden. Sterker nog, je maakt het juist makkelijker.

Het zou wat anders zijn als in dit geval sprake was van uitsluitend domein- of hostnamen. Die zou je dan (beperkt) kunnen blokkeren door ze in het Hosts-bestand bijvoorbeeld het IP-adres 127.0.0.1 te geven. Maar de werkelijke IP-adressen in het Hosts-bestand zetten is een absurde suggestie als je dat doet in een poging om ze te blokkeren. Op dat aspect van Peters betoog valt niets aan te merken.

@Peter V: Het is 'hosts' en niet 'host'. Zowel op Mac OSX, Windows als linux.
Verder heeft het zijn nut, hoewel mijn ervaring is dat er soms ook nog 'www.' voor moet. Ben daar nog niet helemaal over uit (hoe test je dit zonder de te blokkeren site te bezoeken?!).

Ik ben in mijn modem (Speedtouch 780WL) wel eens domeinnamen gaan blokkeren, maar daar ging die spontaan van resetten dus dat doe ik niet meer.

Voor zover ik er verstand van heb komt het overgrote deel van de besmettingen voort uit het klikken op besmette exe-files op besmette netwerkdrives.

Wat heb je dan nog aan een firewall?
Dan kun je beter de 2e fase blokkeren: het outbound verkeer stoppen door in je router de 4 bekendgemaakte IP-adressen te blocken.

Nog beter is geen links en files te openen in e-mails.
Maar zolang de halve wereld elkaar nog .ppt en andere meuk blijft forwaden, tja.
En zolang ik nog mailtjes zie waar alle eerdere ontvangers nog in de body-text staan,
of in het Aan-veld het hele adresboek wordt gelepeld,
omdat men niet weet hoe men met mail moet omgaan, tja.

Ik zeg altijd: als jij je kerstkaarten verstuurt, schrijf je dan ook ALLE adressen uit je adresboek
onder het adres van degene die jij een kerstkaart stuurt?
Nee? waarom dan wel alle adressen in het Aan-veld?

Als jij je kerstkaarten verstuurt, schrijf je dan op je kerstkaart waar je deze vandaan hebt?
Nee? Waarom laat je dan bij forwarden/doorsturen in de body-text/berichtveld de gegevens staan
van wie jij dat leuke mailtje of die grappige powerpoint ontving?
Waarom niet opschonen bij het doorsturen?

In het aanveld alleen de naam van degene die het betreft.
Als je aan meerdere personen een mail stuurt dan in het aan-veld alleen degene die aangesproken wordt
om enige actie te ondernemen. Alle overige namen in het CC of BCC veld.

Het CC veld is om iemand iets te sturen die geen taakhouder wordt maar die het bericht enkel ter kennisname ontvangt.
De taakhouder komt in het Aan-veld.
De ontvanger(s) (uit het Aan-veld) ziet dan dat andere belanghebbenden al op de hoogte zijn.
De ontvanger(s) (uit het CC-veld) ziet dan dat zij slechts ter kennisname het bericht ontvangen en geen verdere actie noodzakelijk is.
Als bovenstaand onderscheid niet van belang is: alle namen in BCC.
Zo voorkom je verspreiding en lekken van andermans e-maildressen.

Wanneer niemand enige actie hoeft te ondernemen en meerdere mensen het bericht ontvangen zet je de namen in het BCC-veld. Zo voorkom je dat als een ontvanger het bericht slordig gaat doorsturen (zonder de bovenstaande regels in acht te nemen) dat andermans mails gelekt worden en gespamd kunnen worden.

"Peter V stop alsjeblieft met nonsense te publiceren op security.nl, je weet niet genoeg van technologie/protcollen af."

Peter heeft 100% gelijk, want de aanpassingen op de hostfile zullen inkomend verkeer niet blokkeren. Wat dat betreft is het blokkeren in de firewall inderdaad veel zinniger. Verder heeft je reactie geen enkele inhoudelijke meerwaarde. Je valt hem als persoon aan, en geeft niet eens aan waarom hij volgens jou ongelijk heeft ?

"Sinds wanneer mogen mensen die ergens niet van af weten niet op dit forum zijn? Ga je nu discrimineren op kennis?"

Hij mag niet reageren op iemand die hem zonder inhoudelijke argumentatie op de persoon aanvalt ? Het is wel weer gezellig hier vandaag.

"Heeft geen klap met incoming verkeer te maken."

Je gaat er dan vanuit dat de beheerder van zo'n botnet zelf geen aktie kan initieren waarbij hij informatie pushed richting geinfecteerde systemen, of bijvoorbeeld een RAT tool o.i.d. opstart, en dat er enkel gecommuniceerd kan worden op basis van een pull mechanisme geinitieerd door de geinfecteerde client. Waarop baseer je deze aanname ?

Peter V, waar baseer jij het volgende op:
"Als jij niet eens weet dat een Host-file geen Firewall is, dat je de Host-file daar ook niet voor kunt gebruiken, dat je niet eens weet waar een Hostfile voor ontworpen is (voor name-resolving)...wat doe JIJ dan op dit forum hier?"

Ik kan er niets aan doen, maar volgens mij probeert Peter hier alleen maar mensen te waarschuwen voor oplossingen die niet werken. Het aanmaken van een entry in de host file kun je gebruiken om een DNS Naam te blokkeren door in je HOSTS file een link naar 127.0.0.1 te maken. Dit geldt alleen voor OUTBOUND verkeer.

Als de C&C Servers van Citadel contact maken met een geinfecteerde machine (EN DAT DOEN ZE ZONDER VERKEER VANAF INTERN!!), is het inbound, en doet die hosts file bescherming helemaal niets, er komt namelijk trafic vanaf een ip, dat wordt geaccepteerd en er wordt geantwoord naar het IP adres, in dit scenario is er helemaal geen DNS resolving aan te pas gekomen, en is er dus NUL bescherming door een hosts file.

Beter is om de ip adressen te blocken in een firewall, softwarematig danwel hardware matig, dat maakt geen verschil.

In zijn stelling: "Een Hosts file is GEEN firewall" zie ik geen fouten hoor, ik zie MrBil wel met modder gooien zonder onderbouwing, ik denk dat Peter gereageerd heeft met de gedachte dat MrBil een EGB (eindgebruiker) is, en derhalve met de meute mee roept. Ik zou ook zo reageren als iemand tegen mij zonder enige vorm van onderbouwing roept dat ik er geen verstand zou hebben van technologie/protocollen, het is mijn werk, en als ik de overige posts van Peter bekijk kan ik nu na 1 week security.nl me niet aan de indruk ontrekken dat PeterV wel degelijk veel er vanaf weet, meer als sommige anderen hier die ik hoog van de toren zie blazen, zonder ook maar 1 naar te willen en zullen noemen.

Bottom line: Ben eens een beetje lief voor elkaar hier zeg...

Vind ik niet gek hoor...

Een speedtouch is dan ook een veredeld modem, geen router/firewall, maar die functies zijn er wel bijgepropt maar ik zou er NOOIT op durven vertrouwen. Daar is ook nogal eens discussie over, een consumenten router is niet te vergelijken met een echte firewall die bedrijven gebruiken. Thuis apparatuur wordt hier intern nogal eens consumenten-crap genoemd, dat zegt genoeg denk ik niet?

Peter, why so mad brah?

Jongens doe eens niet zo lomp..
Denken jullie nou echt dat de C&C zijn commands verzend over een self initiated sessie?
Voor dat om te werken zal de trojan een forward op je modem moeten aanmaken. Beetje omslachtig voor een botnet niet? lol..

Luister het is gewoon een client initiated session richting de C&C, dus als je een manier vindt om het lokaal te blokken, dan ben je er.

Ik weet overignes niet of de code een hard IP of een DNS host bevat.
In geval van DNS, dan kun je hosts file gebruiken.
In geval van IP, dan niet.

Who cares of de hosts file aanpassing een goeie oplossing is Peter V?
Als het een quick way is om het verkeer -> C&C te blokkeren dan is het toch prima?
Heb je het onderzocht?

Dat is een punt. Ik blokkeer altijd inkomend verkeer op de modem/router (UPnP uit) en ook nog eens in Windows (kan makkelijk gedaan worden met de standaard firewall van Windows). Met de firewall van F-Secure blokkeer ik echt alles inkomend (niet alleen TCP, wat GRC ShieldsUP! test). Dan is een hosts file wel effectief tegen malware. Spybot Search&Destroy doet immers ook niets anders dan malware sites blokkeren via hosts. En de meeste browsers doen ook wel zo iets (alleen uitgaand). Ik heb de topic start van Peter V. verkeerd begrepen dus.

Aan de andere kant verraadt malware zichzelf wel door te gaan zitten luisteren. Is niet echt 'stealth' te noemen..

Het zegt al genoeg, dat je geen antwoordt kunt geven op mijn vraag.

Daarbij kan ik je garanderen dat ik meer cursussen heb gevolgd dan jou.

Met alle respect, dat blijkt niet uit jouw antwoorden hoor, ik zie je (in dit topic) alleen maar schoppen zonder steekhoudende argumenten. Je zou ook zoals Fwiffo kunnen toegeven dat je het anders gelezen hebt dat dan dat het bedoeld is, of dat jij er naast zit.

Volgens mij heb ik voldoende argumenten aangedragen waaruit blijkt dat PeterV wel degelijk gelijk had in zijn topic start.

Hallo , ik zal me even voorstellen , ik ben J. van H. te R , ik ben al vele jaren actief op het gebied van computers (ruim 20 jaar).
In eerste instantie vooral in en verkoop incl bouwen,repareren en configureren, maar later ook op gebieden als netwerking (commview rules) , programmeren/exploiten en als laatste het ontwikkelen van security oplossingen tegen oa de exploits die ik eerder heb ontwikkkeld.
Nu lees ik vaker berichten op dit soort fora en het is niet voor het eerst dat ik me stoor aan de onzin die er vaak word uitgekraamd , maar in dit geval kon ik me niet beheersen om te reageren.

Laat ik om te beginnen even reageren op de diverse reacties:


"Host file is GEEN firewall!
Gisteren,19:14 doorPeter V"

aan topic starter peter v. :
De (windows) hosts file was inderdaad niet bedoeld om malware uitbraken tegen te houden MAAR is daar in sommige gevallen WEL heel goed voor te bebruiken , zeker in die gevallen waar de(software)firewall of modem/router/firewall geen ondersteuning bied om uitgaand traffic naar domein namen tegen te houden (en alleen regels m.b.t ip adressen accepteerd).

Bovendien ben je een tikkeltje abuis als je denkt dat traffic tussen een Command & Control server (van bijvoorbeeld de Citadel malware) en een geinfecteerd slachtoffer NIET door het slachtoffer als uitgaande verbinding word opgezet , DAT IS NAMELIJK WEL ZO!!(in alle gevallen die bij mij bekend zijn is het het geinfecteerde systeem dat die uitgaande verbinding maakt) .
Als je iets meer de tijd zou nemen om de berichten op de site (niet het forum) te lezen zou je dat moeten weten.

Bovendien zou het wel heel erg makkelijk worden om geinfecteerde systemen te herkennen als het een openstaande luisterende poort had !! , even een poortscanner runnen en voila (lol) en dan hebben we het nog niet eens over het ENORME PROBLEEM voor de malware makers/C & C server controllers om die openstaande poorten te connecten dwars door de NAT/routers die 99% van de thuisgebruikers gratis van zijn/haar internet provider heeft gekregen en gebruikt. En dan neem ik even voor het gemak aan dat JIJ als geinformeerd ICT'er wel weet dat een NAT router in de praktijk functioneerd als firewall tegen inkomende (unsolicited) verbindingen (je weet wel , die tcp pakketjes met de /syn flagbit enabled) en ze dropped. De router moet wel , simpelweg omdat er geen routing bekend is voor het doel (lokale computer op het LAN) tenzij iemand zowel het juiste lokale ip alsmede de juiste poort "per ongelijk" heeft ingesteld in de portforwarding settings.

Als laatste stel je "Gebruik a.u.b. een Firewall. ".
Ik zou daar aan willen toevoegen , gebruik een firewall (zoals bv outpost) die WEL de ondersteuning bied om domein namen te blokkeren/filteren.


Dan zeg je 13 reacties later "Ik zou zeggen: ga eerst een cursus ICT volgen. Kom daarna pas terug.".

Sorry hoor maar ik viel uit mijn stoel van het lachen toen ik dat las.
Ik heb nooit enige ICT cursus gevolgd maar ik ben bang dat ik iets beter begrijp ,hoe de zaken waar we hier over praten, werken.

---------------

volgende , geachte meneer "Booze" :

de meeste modem/routers (alle die ik in handen heb gehad) zijn prima in staat om ip adressen danwel domein namen te blokkeren.
Het zijn dan wel geen professionele hardwarematige firewall oplossingen zoals de producten van bv Cisco maar dat wil niet zeggen dat ze zoiets simpels niet kunnen.
Dit is mischien een beetje oftopic , maar ik word een beetje moe van de idioten die denken dat een hardwarematige firewall de ENIGE en BESTE oplossing is voor alle problemen , want dat is het zeker niet , het kan in sommige gevallen hooguit een aanvulling zijn op de overige security oplossingen.


Dus om nog even in het kort op te sommen wat nuttig kan zijn om dit soort malware te blokkeren:

Log in als limited user (LUA) en niet als admin, draai een security pakket als bv outpost of comodo , en gebruik bij voorkeur de HIPS functionaliteit die ze bieden om uitbraken van malware vanuit ring3 naar ring0 (beter bekent als "priveledge escalation exploits") te stoppen, blokkeer de ip adressen "184.82.162.163" en "184.22.103.202" in die firewall , blokkeer het domein "bank-auth.org" in die firewall danwel in je hosts file , lees de artikelen hier op security.nl goed zodat je op de hoogte blijft van de nw ontwikkelingen zoals de RTLO-truc http://www.security.nl/artikel/42613/1/Nederlandse_instellingen_besmet_via_RTLO-truc.html en last but not least , wees niet zo dom om op bijlagen van emails van onbekenden te klikken of om executables van onbetrouwbare locaties te downloaden en uit te voeren. ( ja er is nog VEEL EN VEEL meer mogelijk maar ik geloof dat mijn keybord wel toe is aan een minuutje rust)

Hoogachtend J van H te R

Booze,

MrBil heeft wel degelijk gelijk. Tevens ben ik het met MrBil eens, lees Peter zijn tekst maar eens goed door. Dan zie je genoeg punten die niet kloppen.. "Omdat in verschillende fora de Hostfile als oplossing werd voorgesteld...wat het niet is."

Er is wel degelijk bewezen dat het aanpassen van de host file in dit geval werkt, omdat het botnet systeem om pings vraagt die 'fragus' nu bijvoorbeeld niet krijgt wegens de blokkade via de host file.

~
Mystic

J. van H. te R je moet eigelijk geen eens reageren, en ze geen eens nuttige informatie geven.. Ik ben dus wel zo stom geweest om het te doen, maar heb het daar wel bij gelaten. Informatie krijgt hij in ieder geval niet meer.

Security is een lastig vak. Als hier uitsluitend mensen bijdragen zouden posten die echt alle wijsheid in pacht hebben was er geen forum. Soms denken we precies te weten hoe iets werkt maar dan blijkt er toch een addertje onder het gras te zitten, dat maken we allemaal wel eens mee. Laat ik het proberen uit te leggen (hopelijk foutloos; correcties zijn welkom).

Om een netwerkpakketje naar een remote computer op internet te kunnen sturen heb je het IP-adres nodig van die computer (goed vergelijkbaar met dat je uiteindelijk iemand's telefoonnummer nodig hebt om hem of haar te kunnen bellen). Er zijn verschillende redenen waarom we liever namen dan IP-adressen gebruiken om remote computers te kunnen benaderen, o.a. omdat namen makkelijker te onthouden zijn en bijv. omdat de naam van de organisatie er in voorkomt.

Toen Internet nog slechts een beperkt aantal computers telde werd een bestandje gebruikt (/etc/hosts op Unix systemen) om de hostname naar IP-adres "lookups" te kunnen doen, prima vergelijkbaar met het adresboek in je telefoon. Organisaties met op Internet aangesloten computers werkten dit bestandje bij met elke computer die ze "op Internet aansloten" en wisselden deze bestandjes uit met andere organisaties. Dat schaalde net zo slecht als telefoonboeken, maar ICT-ers bedachten er natuurlijk een oplossing voor, genaamd DNS. Een handig voordeel van DNS is dat je een server probleemloos een ander IP-adres kunt geven (iedereen met veel contacten die wel eens een nieuw telefoonnummer gekregen heeft, snapt het nut hiervan).

Hoe dan ook, het hosts bestand is nooit helemaal verdwenen, en op een Windows PC staat het bestand met de naam "hosts" (zonder extensie!) normaal gesproken in de map "C:\Windows\System32\Drivers\etc\".

Als je op een Windows PC een hostname in een programma met internet functionaliteit invoert, wordt meestal als eerste het hosts bestand geraadpleegd om het IP adres te achterhalen. Komt de gezochte hostname (feitelijk FQDN oftewel Full Qualified Domain Name) er niet in voor, dan wordt een DNS lookup gedaan.

By default bevat het hosts bestand (naast commentaarregels die met een hekje beginnen) 1 "record":Die regel zorgt ervoor dat, als je in je webbrowser als URL intikt:dat je webbrowser dan een TCP/IP verbinding zal proberen te maken met de computer met IP adres 127.0.0.1, en omdat je als protocol "http" hebt ingevoerd, wordt geprobeerd een verbinding te maken met poort 80 op genoemd IP adres.

Belangrijk: naast dat jouw PC een IP-adres zoals 192.168.0.10 kan hebben, heeft deze altijd het vaste doch interne IP adres 127.0.0.1!

Sterker, de route tabel in jouw PC zorgt ervoor dat de hele reeks 127.0.0.1 t/m 127.255.255.254 toegekend lijkt te zijn aan jouw PC. Het commando "ping 127.0.0.1" of bijv. "ping 127.123.123.123" gaat echter niet over het netwerk, elk adres uit die reeks wordt door routetabel omgezet in 127.0.0.1 waarna de "netwerkstack" (software) in Windows het pakketje "terugstuurt" (voordat deze je netwerkkaart bereikt) naar de eventueel luisterende dienst.

Dus als je op je eigen PC een webserver hebt draaien die luistert op poort 80 en die een HTML pagina met bijv. "Hello World!" retourneert, zul je die tekst zien zodra je naar http://localhost/, http://127.0.0.1/ of http://127.x.x.y surft (waarbij x=0 t/m 255 en y=1 t/m 254).

Echter, als je geen webserver hebt draaien (en ook geen andere service die op poort 80 luistert) gebeurt er niets. Windows heeft snel door dat er niets staat te luisteren en zal dat aan de aanvrager (de webbrowser) terugmelden (er ontstaat dus nauwelijks wachttijd, surf maar eens naar: http://localhost/).

En dit gedrag levert een interessante truc op! Namelijk, als je NIET wilt dat er via je webbrowser met een specifieke hostname, bijv. www.citadel.vx, contact gemaakt kan worden, dan kun je je hosts bestand uitbreiden tot:Hoewel firewalls prima in staat zijn om op IP-adressen te filteren, zijn de meeste niet goed in het filteren op host names. En juist dat is van belang bij malware die gebruik maakt van zogenaamde Fast-Flux servers (zie http://en.wikipedia.org/wiki/Fast_flux). Daarbij veranderen de IP-adressen van die servers namelijk voortdurend...

In zo'n geval zouden entries in de hosts file het opzetten van verbindingen met servers van de aanvaller kunnen voorkomen, maar helaas werkt dat niet gegarandeerd. De reden daarvoor is dat een programma DNS lookups kan doen zonder eerst de hosts file te raadplegen. Een bekend voorbeeld van zo'n applicatie is het commandline programma nslookup.exe (dat op elke Windows PC te vinden is); deze slaat de hosts file gewoon over. Malware op je PC kan dat dus ook.

Waarvoor kun je het hosts bestand dan wel voor misbruiken? Bijv. met de volgende twee regels: in m'n hosts file voorkom ik dat mijn webbrowser, tijdens het internetbankieren met https://mijn.ing.nl/, ook verbinding maakt met genoemde hosts (html code die ING naar mijn webbrowser stuurt probeert dat te bewerkstelligen - voor statistische doeleinden). Puur onnodig risico vermijd ik zo.

Op dezelfde manier kun je hele reeksen met bijv. Google Analytics en DoubleClick hosts blokkeren. Zie http://pgl.yoyo.org/as/ hoe dat moet (de download link voor de hosts file vind je op die pagina onder "download the list of ad servers"). Zelf gebruik ik die -zeer uitgebreide- file overigens niet.

Groot nadeel: de hosts file snapt niks van wildcards. Je zult dus elke mogelijke FQDN voluit moeten opnemen...

Kortom, Peter V. heeft grotendeels gelijk: het hosts bestand kan niet een firewall vervangen. Het zou kunnen helpen bij Fast-Flux malware op je PC, maar garanties dat dit werkt heb je niet, en bovendien is je PC dan dus al gecompromitteerd!

Met een firewall los je dit soort problemen echter ook niet op; de door het NCSC gepubliceerde IP-adressen zijn zoethoudertjes. Zoals ondertussen al gebleken is, zijn er vaak al veel meer achterdeurtjes op je PC geplaatst en wordt van veel meer fall-back servers gebruik gemaakt als het de malware niet lukt om bepaalde servers te bereiken. Daarnaast is de beveiliging van je PC vaak zodanig aangetast (denk aan gewijzigde DNS server instellingen) dat ze je snel weer oppikken als "vaste klant"...

######################################################
# voeg dit IP-adres 91.211.73.6 toe aan je hosts file #
# open 91.211.73.6 in je browser #
# welke pagina wordt geopend juist ja marktplaats.nl #
# HOSTS werkt alleen op domeinnamen gr Ypsos #
######################################################

127.0.0.1 91.211.73.6

Pfff, ik ga hier proberen goed op te reageren. :)

@J. van H. te R:
Je hebt in je uitleg helemaal gelijk moet ik toegeven, Ik ben er tijdens mijn uitgegaan van mijn zakelijke situatie, waar ik beschik over een hardware firewall, in mijn thuissituatie heb ik ook geen hardware firewall staan, maar een simpel adsl routertje, ik heb thuis simpelweg niet meer nodig. De pc's zijn goed beveiligd, ik open geen rare links of attachments uit mails enzovoorts, en last but not least, er staat totaal niets spannends achter de router.. ik ben zeker niet van mening dat ik niet getroffen kan worden door mallware/virussen, echter zijn het dan wel splinternieuwe die nog niet herkend worden. Ik vertrouw niet op die adsl router (behalve NAT natuurlijk, er staat niets open), wel op mijn zakelijke firewall, dat is wat ik bedoelde.
Verder was ik in de veronderstelling dat het virus in eerste instantie zich meldde bij de C&C Servers (outbound gevolgd door related) en dan instucties (inbound) afwachte, waarvoor in principe dus geen outbound verkeer meer nodig is. Ik moet toegeven dat ik in die redenering zeker geen rekening heb gehouden met de nat routertjes zoals ik zelf ook thuis heb staan.. :)

@Mystic & MrBil:
Wellicht heb ik te snel geoordeeld, ik zal het advies zeker ter harte nemen en er eens op letten. Ik heb verschillende posts van PeterV gezien die grotendeels wel klopten, en maar weinig van MrBil, behalve hier een rechtstreekse aanval zonder een onderbouwing. Dit kan liggen aan de onderwerpen die ik heb bekeken, maar in mijn perceptie heb ik een beter beeld van de kennis van PeterV als van MrBil, waarbij ik aangeef dat ik niet oordeel over de kennis van MrBil, dit heb ik in mijn eerdere posts ook niet gedaan en dat zou ook niet gepast zijn, ik heb alleen gezegd dat uit de reacties in dit topic niet blijkt dat er meer kennis is. Ik had misschien minder snel moeten oordelen en eerst meer tijd door moeten brengen op het forum.

@Bitwiper:
Geniale uitleg.

Dit is nou precies wat ik bedoelde, nee een hostfile is geen firewall, maar het kan wel helpen, Het is nogal onderhoudsgevoelig dus zou het nooit mijn voorkeur hebben. Mijn ervaring is helaas dat zelfs na uitgebreid cleanen van een besmette pc, deze nooit meer de oude wordt na een serieuze besmetting.

Je kan jezelf wel wapenen met antivirussoftware, high end filterende firewall, actieve anti mallware scanner, echter je zal er nooit 100% zeker van kunnen zijn dat je niet besmet kan raken. Je zit altijd met de tijd die de antivirusboer nodig heeft als er een nieuw virus actief is. Je kan eigenlijk alleen jezelf zo goed mogelijk beschermen, maar je zal altijd je verstand moeten gebruiken bij het openen van links en bestanden, en zeker goed moeten opletten welke site's je bezoekt, ook al biedt ook dat geen zekerheid, getuige de recente besmettingen via NU.nl :)

Groeten
Booze

firewall = vuurmuur

@Bitwiper
Mooie uitleg,goed ook om ons er even aan te herinneren dat de Hosts file inderdaad ook eenvoudig kan worden overgeslagen door malware door rechtsreeks DNS servers aan te spreken.

De Hosts file kun je naar mijn bescheiden mening het beste vergelijken met een post-it op je TomTom dat je er bij afslag 23 afmoet in plaats van je tomtom te volgen. het staat er maar of er wat met de informatie gebeurt is maar afwachten.

vuurmuur = firewall

@12:44 hierboven: Als malware je hosts file kan omzeilen, dan staat die dus op je systeem. Flame kon(/kan) bijvoorbeeld honderden virusscanners en firewalls herkennen. Je moet gewoon niet geïnfecteerd raken met dit soort malware. En als je geïnfecteerd bent is je enige optie een verse installatie en heel voorzichtig bestanden weer terug zetten (vooral executable bestanden of semi-executable bestanden zoals docx/pdf documenten).

En tegen Flame ben je natuurlijk zo-wie-zo kansloos omdat die net zo makkelijk opnieuw weer binnen zal komen bij normaal computer gebruik. Maar elke laag die je aan je beveiliging toevoegt is er een.

Zo vind ik het bijvoorbeeld weer vrij zinloos de IP adressen van Citadel in mijn firewall te zetten. Omdat:
1) er veel meer malware actief is op internet (die zichzelf niet verraden met defecte ransomware)
2) ik alles binnen een paar dagen patch en dit soort malware over het algemeen geen 0days gebruikt
3) de overheid hier actief C&C servers lijkt uit te schakelen binnen een paar dagen (waarna er telkens weer nieuwe opduiken helaas).

Ook maak ik mij zorgen over juridische acties van de overheid. Naar mijn mening kan die energie beter in het schoonmaken en beveiligen van systemen gestopt worden. Juridische acties duren over het algemeen maanden. In die tijd is iedereen Citadel al weer vergeten en duikt er een nieuw virus op.

>Je moet gewoon niet geïnfecteerd raken met dit soort malware.
Easier said then done, kind sir.