Security Tip van de Week: malware verwijderen van je pc
In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.
Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.
Deze week de tip van Ted van Emmerik
Malware verwijderen van je pc
In deze tip van de week wil ik het verwijderen van malware infecties toelichten. Voor de gevorderde gebruikers en security-enthousiasten is het veelal een 'fluitje van een cent' maar voor de minder gevorderde gebruiker is het toch een heel ander verhaal en zit men vaak met het handen in het haar. Last van malware, raak niet in paniek!
Als je computer is geïnfecteerd met malware raak dan niet meteen in paniek en ga niet direct een heel arsenaal aan 'tools" op het systeem loslaten met het idee dat het op deze manier wel opgelost zal worden. Neem daarom vooral de juiste voorzorgsmaatregelen vooraleer je begint aan het verwijderen van de malware.
Voorbereiding bij het verwijderen van malware
De eerste stap is het beperken van de schade, sluit daarom je computer af van het internet, dit om uitgaande verbindingen met de zogenaamde command & control servers onmogelijk te maken. Hierna kun je op je gemak het systeem controleren. Hierbij is het belangrijk om aandachtig te kijken naar de eventueel gegeven meldingen van het gebruikte beveiligingspakket. Aan de hand van de gegeven informatie kun je namelijk bepalen of het bestand wat bijvoorbeeld gevaarlijk gedrag vertoont werkelijk malware gerelateerd is.
Er zijn namelijk genoeg legitieme programma’s die gedrag van malware kunnen vertonen en daarom gedetecteerd worden. Verwijder dus niet zonder pardon bestanden maar plaats deze altijd eerst in quarantaine, mocht het namelijk blijken dat het om een ‘False Positive’ gaat kun je dit later weer herstellen.
Twijfel je over de detectie van het gebruikte beveiligingspakket dan kun je online de bestanden laten controleren door een reeks engines van de antivirusfabrikanten. Hiervoor kun je terecht bij één van de onderstaande diensten.
- Virustotal
- Virscan
- Jotti
Malwarescanners en analysetools
Tegenwoordig zijn er heel veel malwarescanners beschikbaar waarmee je het systeem kunt controleren en waarmee het mogelijk is om malware te verwijderen. Onder deze programma’s bevinden zich ook specialistische tools en scanners die veel op fora worden gebruikt om aan de hand van de verkregen logs malware handmatig te verwijderen.
Bij dit soort speciale tools en scanners wordt dan ook vaak geadviseerd om deze niet zomaar te gebruiken, aangezien deze in het slechtste geval bij verkeerd gebruik meer problemen kunnen veroorzaken.
Om het systeem te controleren op aanwezigheid van malware kun je het beste als eerste gebruik maken van de volgende malwarescanners.
- Emsisoft Emergency Kit
- HitmanPro
- Malwarebytes’ Anti-Malware
Echter is het vaak noodzakelijk om dieper naar een probleem te kijken, hierbij wordt dan gebruik gemaakt van de zogenaamde specialistische tools waarmee je gericht te werk kunt gaan en handmatig de malware kunt opsporen en verwijderen. TDSSKiller van Kaspersky wat ontwikkeld is voor het verwijderen van ‘rootkits’ is één van dit soort tools die bij verkeerd gebruik onherstelbare schade aan het systeem kan toebrengen.
Deze tool scant op rootkits, geïnfecteerde drivers, TDSS File Systems en dergelijke. De zogenaamde “Sigcheck” waarbij de drivers worden gecontroleerd bevat vaak de melding UnsignedFile.Multi.Generic. deze drivers worden dan aangezien als een ´suspicious object´ door TDSSKiller. Zodra je dit soort drivers en de bijbehorende register-ingangen zou verwijderen kan dit in het slechtste geval voor een niet op te starten systeem zorgen.
ComboFix ontwikkeld door sUBs is een specialistische scanner en analyse tool die gebruikt wordt bij het verwijderen van malware. Echter doordat ComboFix een zeer krachtige tool is en bij verkeerd gebruik onherstelbare schade aan het systeem kan toebrengen adviseert de ontwikkelaar van dit programma dan ook om het niet zonder toezicht van een ervaren helper te gebruiken.
Krijg je het advies TDSSKiller of ComboFix te gebruiken raadpleeg dan de onderstaande handleidingen voordat je met deze tools aan de slag gaat.
- Handleiding TDSSKIller
- Handleiding ComboFix
Online informatie
Op heel veel website´s zijn “removal instuctions” beschikbaar waarin staat omschreven hoe u een bepaalde infectie kunt verwijderen. Echter zijn er ook website’s die dit soort informatie plaatsen met als doel het promoten van een bepaald product 'Affiliate', terwijl dit soort programma’s niet eens in staat zijn om de infectie daadwerkelijk te verwijderen.
Ongetwijfeld zult u bij uw zoektocht naar een oplossing van het probleem gelijkwaardige problemen tegenkomen met de daarbij geboden adviezen en mogelijke oplossingen. Bij malware gerelateerde problemen is het niet aan te raden om deze instructies één op één te gebruiken aangezien deze vaak specifiek voor die computer zijn bestemd .
Met de eerder genoemde tool `ComboFix` is het mogelijk om met scripts het programma instructies te laten uitvoeren waarmee malware en sporen ervan verwijderd kunnen worden. Dit soort scripts ziet u veelal terug op fora, gebruik deze dan ook nooit op uw eigen computer ook al komt het probleem overeen.
Naast ComboFix, zijn er nog de volgende tools waarbij dezelfde regel geldt. OTL (by Oldtimer), The Avenger (swandog46), BlitzBlank (Emsisoft), Zoek.exe (Smeenk) en GMER.
Systeemherstel
Wat heel veel mensen doen bij een malware infectie is direct aan de slag gaan met “Systeemherstel”. In de eerste plaats is systeemherstel een handig hulpmiddel bij problemen maar niet geschikt om bij malware gerelateerde problemen te gebruiken.
Door het gebruik van systeemherstel zullen alleen systeembestanden en registerwaarde hersteld worden, met andere woorden alleen de laadpunten van de malware in het register zullen verwijderd worden maar niet de daadwerkelijk bestanden behorende tot de malware.
Daarentegen kan malware het uitvoeren van systeemherstel belemmeren of in het slechtste geval geheel uitgeschakeld hebben.
Register en systeem cleaners
Het gebruiken van cleaning tools zoals bijvoorbeeld het alom bekende Ccleaner en alternatieven zijn niet aan te raden om te gebruiken tijdens een malware infectie. In de eerste plaats kan het opschonen van het register en het verwijderen van bestanden in de TEMP folders heuristische scans nadelig beïnvloeden.
Daarnaast zijn er diverse rogueware varianten die de snelkoppelingen en bestanden van het bureaublad, start menu en quick lauch verplaatsen naar een tijdelijke (temp) folder. Zodra deze mappen worden geleegd zit u dus met een leeg startmenu en bureaublad omdat alle ‘items’ zonder pardon zijn verwijderd van het systeem.
- Registercleaners: informatie over het gebruik en de gevolgen
- Should I Use a Registry Cleaner?
Hulp bij malware en virus problemen
Op diverse forums kunt u terecht voor advies en hulp bij het verwijderen van malware, de hulp die wordt geboden op gespecialiseerde fora is vaak individueel waardoor de problemen door één iemand behandeld worden.
Nazorg
De meeste malware maakt een uitgaande verbinding met een Command & Control-server waarbij er vertrouwelijke gegevens zoals bijvoorbeeld inloggegevens worden buitgemaakt. Indien je computer geïnfecteerd is geweest is het dan ook raadzaam om al je gebruikte wachtwoorden te wijzigen.
Als de computer geïnfecteerd is geweest met een malware infectie is het raadzaam om alle aanwezige systeemherstelpunten te verwijderen, want hier kunnen namelijk besmette herstelpunten tussen zitten.
Ted van Emmerik is de oprichter van PC Web Plus, een forum waar mensen individueel hulp kunnen krijgen bij een computerbesmetting.
Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.
1 alinea verder "Twijfel je over de detectie van het gebruikte beveiligingspakket dan kun je online de bestanden laten controleren"... right...
Elk geïnfecteerd werkstation wordt bij detectie direct van het netwerk getrokken en onherroepelijk opnieuw ge-imaged. Gewoon omdat het 'schoonmaken' of 'verwijderen' van malware en andere zooi een kansloze bedoeling is.
voor de minder gevorderde gebruiker is het toch een heel ander verhaal en zit men vaak met het handen in het haar. Last van malware, raak niet in paniek!
OK, dan ga je als minder gevorderde gebruiker verder lezen...
(Als die al hier terecht komt)
Dan krijg je wat termen om de oren :
- plaats deze altijd eerst in quarantaine
- False Positive
- Echter is het vaak noodzakelijk om dieper naar een probleem te kijken
- Deze tool scant op rootkits, geïnfecteerde drivers, TDSS File Systems en dergelijke. De zogenaamde “Sigcheck” waarbij de drivers worden gecontroleerd bevat vaak de melding UnsignedFile.Multi.Generic. deze drivers worden dan aangezien als een ´suspicious object´ door TDSSKiller
enz enz. Zeg maar dag tegen de minder gevorderde gebruiker. :)
1 alinea verder "Twijfel je over de detectie van het gebruikte beveiligingspakket dan kun je online de bestanden laten controleren"... right...
Ook al lukt het je om het opstarten van de malware te verhinderen en de bestanden te verwijderen, dan heb je nog geen oplossing voor eventuele achtergebleven veranderingen in het register, ini files, etc. Sommige virussen veranderen registerinstellingen bij services en andere onderdelen en zie die maar ongedaan te maken. Dat doet een virusscanner niet. Alleen met een gedetailleerd document over de werking van het virus loont het om zelf aan te slag te gaan. Ik zou sowieso zelf nooit alleen vertrouwen op tools zoals hitmanpro.
Mocht je toch zelf aan de slag willen gaan, heb ik nog enkele tips:
- boot vanaf een live Linux cd met een een virusscanner en scan de local disk. Handig voor signature based scanning.
- gebruik een tool zoals tcpview om te zien welk proces verdachte uitgaande tcp verbindingen maakt.
- Als het niet lukt om een verdacht malware bestand te verwijderen (of het bestand komt steeds terug), verander de ownership van dat bestand en verwijder vervolgens van dat bestand alle ntfs rechten. Zet Windows auditing aan met object access voor dat bestand, reboot en in eventlog (security) kan je terug vinden welk proces probeert dit bestand te benaderen.
Erik
Maar dessalniettemin is het een helder en duidelijk artikel van mij een dikke +1
Ik beaam de argumenten dat het bedrijfsmatig de voorkeur heeft om systemen die geinfecteerd zijn direct te recoveren.
1) Tijdwnst 2) Zekerheid
Maar laten we niet vergeten dat we niet meer in de tijd leven waar er alleen virussen waren die als doel hadden om alleen schade te berokkenen aan systemen.
Malware is heden ten dage goed te verwijderen met de juiste middelen en expertise, echte virussen als fileinfectors zijn toch wel een beetje uitgestorven die het systeem omzeep helpen.
Niet in alle omstandigheden is een clean install dus nodig en dit zullen de malware researchers ook wel met mij eens zijn.
Maar geef de "minder gevorderde gebruiker" niet het idee dat hij/zij het allemaal
zelf wel even kan doen.
Het verwijderen van virussen met genoemde tools zal dan ook nooit mijn advies zijn omdat je vaak een kreupel en vervuild systeem over houd met allemaal onverklaarbare storingen tot gevolg.
Mijn advies is om enkel de bestanden er af te halen die je nodig hebt (als je die al niet had gebackuped) en dan volledig op nieuwe installeren.
Greetingz,
Jacco
Ok, niet geschikt voor de beginnende gebruiker maar je kan daar wel malware mee vinden dat nog zo vers is, dat er nog geen detectie voor is.
Waar zie je dat dat advies gegeven wordt ? Er wordt immers verwezen naar fora waar hulp aangeboden wordt, gratis en voor niks en alles doet de gebruiker onder begeleiding van het forum.
Op de fora wordt het in Jip en Janneke taal uitgelegd!
Prima topic dit hoor.
Herinstallatie is meestal sneller en veiliger.
Wat voor software adviseren jullie voor het opsporen van malware/rootkits voor Linux?
(ik bedoel dus niet een Linux bootcd die een Windows systeem op malware onderzoekt)
Maar ..... voorkomen is uiteraard beter. En zo heel ingewikkeld is dat niet, een beetje discipline en geen vage shit installeren. Wil je toch experimenteren doe dat dan vooral in een VM of gebruik daar Sandboxie voor. Zorg er dan wel voor dat een VM of sandbox geen verbinding of gebruik kan maken van het lokale systeem want dan kun je alsnog geïnfecteerd raken. Als de werking van malware wil testen kijk dan eens bij www.malc0de.com.
Dat was in Bitwipers reactie van 12-8-2012, 22:50 uur, bij dit artikel;
http://www.security.nl/artikel/42635/1/FBI%3A_alleen_professional_kan_Citadel_verwijderen.html
Een beetje kort door de bocht reactie? Ook een Mac kan een infecties oplopen, twee voorbeelden:
http://macwereld.nl/forum/mac_os_x/
http://macworld.nl/Mac/71619676-ziggo-adviseert-klanten-over-het-verwijderen-van-het-flashback-virus.html
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
