om je aller eerste vraag te beantwoorden. Het is realiteit. sommige rootkits maar meestal bots (wormen, of trojans) beschikken over een soort update functie, dat de aanvaller de optie geeft om zijn exe's te updaten en zo alles netjes FUD te houden.

voor het onbeheerd laten van de computer tja, kan je heel serieus nemen maar zijn er feitelijk onbetrouwbare mensen in je huis misschien in de buurt van je computer geweest? Waarschijnlijk niet.. immers je vertrouwt toch wel je geliefden? mits ze enig kennis bezitten van hacking natuurlijk he ;) Noob geliefden kunnen niet veel kwaad haha.. Toch denk ik dat je lijdt aan enige vorm van paranoïa. (is ook wel te begrijpen, al die spook verhalen op het internet he?)

wat je zou kunnen doen is in tegenstelling wat mensen denken: de AV gebruiken. helpt niet of nauwelijks.
wat je wel doet is je systeem te controleren met services monitor software. ik weet uit ervaring dat op HIRENS BOOTCD erg goede tools hiervoor zijn. (ook als het om de wat extremere) malware(s) gaat. waar je voornamelijk op moet letten is hoeveel resources (o.a RAM, Processor) het systeem verbruikt. als dit hoger dan normaal is wanneer je helemaal niets doet, geen msn geen utorrent geen firefox, etc!
dan zou er weleens wat aan de hand kunnen zijn. (houdt er rekening mee dat sommige mensen Defgragmentatie in de achtergrond automatich op datum uit-oefenen.) probeer d.m.v. verschillende tools de services optesporen die de hoge resource verbruik veroorzaken.

Verder raad ik je aan om AL je Services te identificeren, zodat je weet wat wat is en waar het voor dient. (onder de motorkap van windows zou je kunnen zeggen) Bijvoorbeeld: Norton Internet Security runnt onder: CCSVCHST.exe en vindje dan ook terug in Task manager. echter FUDs laten zich niet altijd zien in bijv task manager daarom de wat geadvanceerde tools hiervoor gebruiken. die op hirens bootcd genoemd worden. (heb je er 1 gevonden, volg zijn pad terug naar de originele bestanden of registerwaardes etc) noteer die en verwijder die.

Zo kun je services makkelijker herkennen die niet thuishoren op je systeem.

Ook DLL's spelen een balangrijke rol, als een DLL je NIET bekend voorkomt, of je vermoed dat deze betrokken is bij verdachte activiteiten op je systeem, check deze dan eerst even in de http://support.microsoft.com/dllhelp/ DLLhelp Database van MS.
en goeie info sites over virusses kunnen je helpen zoals http://www.ca.com/us/anti-virus.aspx
(ook Google is een goeie)

Nog 'n tip is om je systeem bestanden dan te 'unhide' (dus alle verborgen bestanden zichbaar maken) wees er dan ook zeker van dat "show hidden files and folders" is gecheckt. let ook ff op dat je hide extentions for known fietypes & hide protected operating system files niet meecheckt. dus die moeten dan ook zichbaar worden! let er dan ff op ofje een bepaalde Fout melding, of iets wat er op lijkt krijgt. iets dat iig niet in de normale gang van zaken thuis hoort.. Dan mocht je een DLL of exe of iets waarvan je zeker weet dat het bij de malware hoort verwijdert en niet iets wat bij je operating systeem hoort!! dit kan resulteren in een corrupte windows boot. (Uniblue's Wintasks Pro & winpatrol controleren of er DLL's aanwezig zijn die bij eenbepaalde malware type (famillie) hoort)

uhm tja, je zou zo uren nog kunnen vullen maar ik denk dat je gewoon lijdt aan een lichte vorm van paranoïa. ga door met dit doen, tot je je eigen paranoïa gerust gesteld hebt ;) en voorkomen is beter dan genezen dus laat die pc nooit meer alleen ;) haha..


Grtz

EDIT:

je zou ook je connectie kunnen monitoren, op evt verdachte connecties en/of verdachte packets.

p.s. heb je nog wat verdachte DLL's Exe's of iets dergelijks gevonden? upload die dan eens naar https://www.virustotal.com/ of http://www.novirusthanks.org/ zij weten wel raad met zulke bestandjes.

Ja, offline (= niet geboot in die Windows, maar vanaf b.v. een Boot CD) scannen is veel zinvoller. Als een rootkit eenmaal geinstalleerd & in geheugen geladen is, kan ie de meeste AVs 'bedriegen' en is 'online' scannen dus vrij zinloos. Ook een (offline !) System File-Check (sfc) kan nuttig zijn, veel van de bekende kits nestelen zich b.v. in ndis.sys. Eenmaal online geboot, is die file vermomd als het orgineel; scan je offline, dan zie je dat het bestand stiekem 78KB groter geworden is (en heel kwaadaardig).

Online hints die kunnen helpen: GMER of Sysinternals Process Explorer; mits je weet waar je op moet letten. Dat is echter te ingewikkeld om ff in 2 zinnen hier uit te leggen ;)

Het is afhankelijk van waar je bang voor bent.
Er is sowieso al veel risico met online browsing. Los van je pc onvergrendeld achterlaten.

Dus indien je paranoide bent, zou je jezelf eerst eens af kunnen vragen waarvoor je precies bang bent.
Anders kun je net zo goed stoppen met je pc gebruiken.

Online/Offline scannen is nooit aangeraden, ik dacht wel algemeen genoeg te zijn door te zeggen dat AV gebruiken zinloos is.
en er wordt ook niet gevraagt naar de werking van sysinternals process explorer of gmer. je zou je zelf ook kunnen beperken tot de nuttige info, waar deze persoon wat aanheeft. en niet gelijk "dat is te ingewikkeld om uitteleggen" te zeggen. begin eens bij het begin, en begin bij de basis. er wordt niet gevraagt om in 1 lap tekst een noob tot security professional om te toveren.

grtz

Overigens, je kan ook QFX Keyscrambler gebruiken. dit voorkomt dat rootkits of simpele keyloggers dingen ontfutselen. werkt als een tiet.

FUD: Fear, Uncertainty, Doubt

FUD-rootkit? Rootkit die er niet is maar je wordt er alleen bang voor gemaakt ofzo?

Zie: http://www.cavcomp.demon.co.uk/halloween/fuddef.html

Was FUD niet een variant van de PEBKAC strain? Uitschakelen kan in 1 zin: https://www.youtube.com/watch?v=LzRF-5IWrm0

of is het http://nl.wikipedia.org/wiki/Fear,_uncertainty_and_doubt

@Security Scene Team

Dit is de response van http://support.microsoft.com/dllhelp/


DLLHelp
The DLL Help application was retired on February 8, 2010 and is no longer accessible.

"Ik hoor mensen vaak over FUD -rootkits of -keyloggers praten, die na een infectie diep in je computer nestelen om vervolgens ondetecteerbaar te blijven, maar in hoeverre is dit de realiteit? "

Wat is een FUD rootkit of een FUD keylogger ? Verder is dit soort malware natuurlijk reeel. Ondetecteerbaar is een groot woord, maar een rootkit kan zeer moeilijk te vinden zijn. Je zou kunnen overwegen om naast je virusscanner nog een aanvullende rootkit detectie tool te installeren, zoals RUBotted, indien je daar geen gebruik van maakt. Zodra je computer contact maakt met een bekende command & control server, dan krijg je van zo'n tool een melding.

"om je aller eerste vraag te beantwoorden. Het is realiteit. sommige rootkits maar meestal bots (wormen, of trojans) beschikken over een soort update functie, dat de aanvaller de optie geeft om zijn exe's te updaten en zo alles netjes FUD te houden."

Wordt hier Fear, Uncertainty, Doubt bedoeld, of betekent FUD iets anders in deze discussie ? ;))

FUD betekend: FULLY UN-DETECTABLE. wat in een vrij vertaling zou betekenen: Volledig onherkenbaar.
dit doen ze door eigenlijk simpel gezegt, niet de code van de virus te veranderen, maar eerder de virus code, in een onherkenbare code te plaatsen.. waardoor hij onherkenbaar word. Bijv Sub-7 lijkt oud, maar zou gebruikt (kunnen) worden. (om maar een voorbeeld te noemen) alsnog zal jou virusscanner deze niet herkennen.

dat wordt zo'n beetje bedoelt met FUD.

google maar eens FUD Crypter. of FUD Binder.


Misschien weten sommige trouwe security.nl lezers het nog, dat er een bericht was van de ameriklaanse overheid dat er een Keylogger voor en mafia spel was gevonden op hun systemen.. dit was dus ook gedaan door een aanvaller die 'm FUD maaktte.
't zal me niet verbazen als ze dit met Stuxnet ook zouden kunnen.
Succes.

Security Scene Team , duidelijk , oppassen met zoeken naar FUD Crypter, kwam op een malicious site terecht .

Op het moment dat je een FUD virus detecteerd is het per definitie dus geen FUD meer ;-)

@Security Scene Team: LOL, eerst zeggen dat online/offline geen effect heeft en vervolgens zelf Hirens Boot CD aanraden !
En systeem-bestanden weergeven is geen slecht idee, maar heeft echt geen enkel effect op een FUD rootkit.

Ook het "Online/Offline scannen is nooit aangeraden, ik dacht wel algemeen genoeg te zijn door te zeggen dat AV gebruiken zinloos is." is pertinent onwaar.

Juist door offline te scannen met een actuele AV oplossing, is detectie wel mogelijk, daar de rootkit zichzelf niet kan verbergen. De meeste infecties betreffen namelijk bekende en door AV herkende rootkits. Online kunnen die niet herkend worden doordat de Rootkit zichzelf kan verbergen, doch offline is de Rootkit meestal actief en kan het dus wel gedetecteerd worden. Uiteraard is succes niet gegarandeerd is, maar in de context van consumenten-malware is het erg effectief.

Zeker wel,

voor de AV is hij FUD. dus ja hij is FUD..

Tot je uitgezocht hebt waar hij zich verstopt, wat voor type malware het is, wat veel voorkomende acties zijn of zijn geweest op je pc door de malware. probeer de bestands types en locaties te verzamelen. op basis daarvan kan jij (meestal een goed getrainde oog, dit geval een security professional) een malware aanwijzen. en een passende oplossing ervoor te vinden.

Net als het accevietje met sinowal: er werd uitgezocht wat voor type het is, toen ze erachter waren dat het sinowal was, wisten ze ineens ook de remedie tegen deze kit. het is gewoon een samenkomst van meerdere technieken. verder hoefden ze alleen maar de nieuwe signatures door te geven d.m.v. een update en klaar waren de keesjes. nouja makkelijker gezegt dan gedaan hoor ;) maar je begrijpt me hopelijk.

je snapt me niet dan moetje de zin nog eens lezen, op hirens bootcd staan TOOLS om je process activiteiten te bekijken, uhm om rootkits te achterhalen. als je dit niet snapt dan snap ik wel waar dit door komt, een onwetende heeft makkelijker praten dan degenes die er midden in zitten. ik bedoelde dus niet om ff simpel OFFLINE VIRUSSEN TE SCANNEN !!!!!!!! GEEN AV ZAL HELPEN DUS OOK NIET DIE SHIT OP HIRENS BOOTCD.

Duidelijk dat jij nooit verder gekeken hebt op hirens bootcd dan de Antivirus optie. ( of je hebt alleen gelezen wat je wou lezen, en niet de rest anders had je het gesnapt vriendje.)

zeg mensen, als jullie het beter weten, kom maar met jullie uitleg dan. het enige wat hier gedaan word is altijd een ander afzeiken ipv verder helpen en denken. duidelijk dat VEEL mensen nog nooit gehoord hebben van FUD, en de antivirus optie op hirens bootcd. denk eens verder wat er allemaal op hirens bootcd staat bijvoorbeeld. en het meest belangerijke als je een zin van iemand niet begrijpt lees die dan nog eens. IPV onmiddelijk te gaan zeiken, de beste kapiteins staan altijd aan wal.

Als jullie geen hulp nodig hebben plaats dan ook geen bericht of ga je niet mengen in iets waar je geen verstand van hebt. hij vraagt ik antwoord op basis van ervaring. doeje dr niks mee, of vindje het maar niks dan is dit jouw probleem.

De Echte security professionals zullen het begrijpen, en das dan ook genoeg.
ik snap ineens ook wel waarom nooit een Professional hier komt en de tijd neemt om eventjes wat onwetende mensen te helpen.
omdat ze hier altijd afgezeikt worden, en nooit eens een goede diepgaande discussie kunnen voeren.

if you wont learn from it, then make the mistake en see what you get. i'm pleasured by your ignorance.

my 2 cents.