image

Microsoft-architect: formatteer besmette pc

dinsdag 15 januari 2013, 11:03 door Redactie, 19 reacties

Om veilig de computer voor zaken als internetbankieren, e-mailen en social media te gebruiken is het belangrijk dat er geen malware op het systeem staat, maar hoe weet je nu zeker dat de machine virusvrij is? Roger Grimes, Principal Security Architect bij Microsoft, gaat in deze blogposting op Infoworld op malwarejacht. Grimes begint met het zoeken naar verdachte programma's die automatisch opstarten.

Daarvoor zijn verschillende programma's te gebruiken, zoals Silent Runners en HijackThis. Zelf heeft de Security Architect een voorkeur voor Autoruns, dat onderdeel van Microsofts Sysinternals Tools is. Hiermee zoekt Grimes naar vermeldingen zonder uitgever en uitvoerbare bestanden met willekeurige namen.

Netwerkverbinding
Een andere tip is het zoeken naar verdachte browser add-ons die geïnstalleerd zijn en actieve netwerkverbindingen. Dit kan via het commando netstat.exe -ano, maar zelf heeft Grimes de voorkeur voor TCPview. Daarmee zijn actieve netwerkverbindingen te zien en welke programma's, services en processen hier bij betrokken zijn. Verdachte software is op deze manier te vinden en uit te schakelen.

De laatste ronde is het draaien van een virusscanner. "Ik maak al decennia computers op deze manier schoon. Meestal vind ik één of twee malware programma's en verwijder die handmatig van de computer. Dan voor een quickscan met de virusscanner uit, gevolgd door een volledige scan", laat de Security Architect weten.

Format
Grimes erkent dat zijn advies niet perfect is en stelt dat mensen die echt zeker willen zijn hun computer beter kunnen formatteren en opnieuw installeren. "Niets geeft meer rust dan er zeker van te zijn dat je systeem niet besmet is, je computer draait sneller en heeft meer schijfruimte. Drie voordelen voor de prijs van één verdenking."

Reacties (19)
15-01-2013, 11:27 door john west
Als een harde schijf besmet is niet formatteren,maar DBAN gebruiken.
Internet doen op een aparte harde schijf ,minimum aan programma's,allemaal legaal.
Niet web surfen,alleen de bank.
Postbijlage niet openen,en geen USB sticks gebruiken.
Risico is dan minimaal,maar natuurlijk nooit 100% zeker.
15-01-2013, 11:47 door Spiff has left the building
Door john west:
Als een harde schijf besmet is niet formatteren,maar DBAN gebruiken.
Want?

Voor Windows XP en eerder, en voor Mac en Linux: ja, DBAN gebruiken.
Voor Windows Vista en later: formatteren is afdoende.
Nee, niet afdoende! - zie onderstaand bijgevoegde correctie!

Met Windows Vista en latere Windows versies wordt bij formatteren werkelijk overschreven met nullen (N.B. formatteren, kies uiteraard geen snel-formatteren!) en dat moet beslist afdoende zijn.
Nee, niet afdoende! - zie onderstaand bijgevoegde correctie!
Betreft het echter militaire topgeheimen/ staatsgeheimen/ industriële geheimen, dan mag je zelfs niet eens vertrouwen op DBAN of vergelijkbaar, maar moet een schijf vernietigd worden.

Betreffende het verschil tussen XP en eerder en Vista en later:
http://support.microsoft.com/kb/941961/en
Die informatie is ook hierin opgenomen:
http://www.consumentenbond.nl/test/elektronica-communicatie/computers/laptops/extra/harde-schijf-wissen-stappenplan/
En ook dit kan informatief zijn:
http://www.infosecisland.com/blogview/16130-The-Urban-Legend-of-Multipass-Hard-Disk-Overwrite.html


N.B.
Correctie/ aanvulling na de reactie van eMilt van di.14-1, 12:43 uur
:


Dat was ik vergeten:
Niet alleen formatteren, maar éérst de partitie verwijderen, daarna nieuwe partitie maken en formatteren.
Hartelijk bedankt, eMilt.

Dít zou dan wel effectief moeten zijn voor Windows Vista en later:
Door middel van de Windows installatie/herstel-schijf of een ander daartoe geschikte cd/dvd de partitie verwijderen,
dan een nieuwe partitie aanmaken
en die partitie formatteren.

Voor Windows XP en eerder, en voor Linux blijft het devies: DBAN gebruiken.

Aanvulling na de reacties van Anoniem di.14-1, 17:55 en 18:57 uur:

Voor Mac, zie reacties van Anoniem di.14-1, 17:55 en 18:57 uur.
15-01-2013, 12:04 door WhizzMan
Handig, elke keer als je wilt telebankieren je computer opnieuw inrichten? Dat lijkt me een beetje te omslachtig he? Je kan ook een aparte virtual machine gebruiken die read-only is en die elke keer opstarten om te telebankieren. Als je dan klaar bent met je bankzaken zet je hem weer uit en worden alle wijzigingen weggegooid. Om de virtual machine te updaten start je hem read/write, doe je alleen je updates en daarna zet je hem weer uit.

Formatteren helpt overigens niets tegen virussen die in het geheugen of de bootsector zitten, want die wis je niet op die manier. Om te beginnen moet je computer opstarten met een live-CD die niet windows is, dus bijvoorbeeld knoppix of een andere linux livecd die geschikt is om dit soort klusjes te doen. Daarna moet je de disk wissen en niet formatteren, want bij formatteren blijft de informatie zelf gewoon staan, er wordt alleen aan het begin van de disk een stukje data overschreven waar in beschreven staat waar de informatie op de disk te vinden is. Alleen met wissen vanuit een niet-windows omgeving weet je zeker dat je geen virussen achter laat op de bootsector of in het geheugen van de pc.
15-01-2013, 12:32 door Anoniem
Idd, daarom
Eerst een full cloon image, zijn diverse proggies voor
En een scala aan rootkit scanners daarnaast

Bij problemen, op rootkits scannen
Terug clonen
En daarna weer op rootkits scannen

Erg safe
15-01-2013, 12:43 door eMilt
Door Spiff:
Voor Windows XP en eerder, en voor Mac en Linux: ja, DBAN gebruiken.
Voor Windows Vista en later: formatteren is afdoende.
Voor Vista en later geldt net zo goed dat alleen opnieuw formateren van de partitie niet voldoende is om van eventuele infecties af te komen. Het al dan niet schrijven van nullen naar iedere sector van de partitie is daarbij niet van belang. Een virus wat zich heeft genesteld in de master boot record (rootkit) kan zo nog steeds actief worden. Opnieuw partitioneren of DBAN draaien is echt verstandig.
15-01-2013, 12:55 door Spiff has left the building
Door WhizzMan:
Formatteren helpt overigens niets tegen virussen die in het geheugen of de bootsector zitten, want die wis je niet op die manier. Om te beginnen moet je computer opstarten met een live-CD die niet windows is, dus bijvoorbeeld knoppix of een andere linux livecd die geschikt is om dit soort klusjes te doen. Daarna moet je de disk wissen en niet formatteren, want bij formatteren blijft de informatie zelf gewoon staan, er wordt alleen aan het begin van de disk een stukje data overschreven waar in beschreven staat waar de informatie op de disk te vinden is. Alleen met wissen vanuit een niet-windows omgeving weet je zeker dat je geen virussen achter laat op de bootsector of in het geheugen van de pc.

Allereerst, met Windows Vista en latere Windows-versies wordt bij formatteren werkelijk overschreven met nullen, dus gewist, dit ánders dan met Windows XP en eerder.
N.B. kies formatteren, kies uiteraard geen snel-formatteren!
Zie ook mijn reactie van 11:47 uur.

Ten tweede, om een geïnfecteerd systeem schoon te maken voer je dat formatteren van Windows Vista en later uiteraard uit door gebruik te maken van een daartoe geschikte cd/dvd, maar dat kan ook prima de Windows installatie/herstel-schijf zijn. Ook met behulp daarvan is prima te formatteren (is onder Vista/7/8 gelijk aan wipen) zonder dat bootsector of geheugen besmet blijven.
15-01-2013, 12:55 door Anoniem
Heeft er al eens iemand geboot vanaf knoppix (meest recente versie uiteraard) en dan via de web-browser geprobeert te internetbankieren? Als dat gaat, kan geen virus zich nestelen op een DVD-rom toch?

Bart
15-01-2013, 13:03 door Spiff has left the building
Door eMilt:
Voor Vista en later geldt net zo goed dat alleen opnieuw formateren van de partitie niet voldoende is om van eventuele infecties af te komen. Het al dan niet schrijven van nullen naar iedere sector van de partitie is daarbij niet van belang. Een virus wat zich heeft genesteld in de master boot record (rootkit) kan zo nog steeds actief worden. Opnieuw partitioneren of DBAN draaien is echt verstandig.
Oeps, daar heb je me!
Dat was ik vergeten: niet alleen formatteren, maar éérst de partitie verwijderen, daarna nieuwe partitie maken en formatteren.
Hartelijk bedankt, eMilt.

Dát zou dan wel effectief moeten zijn voor Windows Vista en later:
Door middel van de Windows installatie/herstel-schijf of een ander daartoe geschikte cd/dvd de partitie verwijderen, een nieuwe partitie aanmaken, en die partitie formatteren.
15-01-2013, 14:59 door john west
Door WhizzMan: Handig, elke keer als je wilt telebankieren je computer opnieuw inrichten? Dat lijkt me een beetje te omslachtig he? Je kan ook een aparte virtual machine gebruiken die read-only is en die elke keer opstarten om te telebankieren. Als je dan klaar bent met je bankzaken zet je hem weer uit en worden alle wijzigingen weggegooid. Om de virtual machine te updaten start je hem read/write, doe je alleen je updates en daarna zet je hem weer uit.

Formatteren helpt overigens niets tegen virussen die in het geheugen of de bootsector zitten, want die wis je niet op die manier. Om te beginnen moet je computer opstarten met een live-CD die niet windows is, dus bijvoorbeeld knoppix of een andere linux livecd die geschikt is om dit soort klusjes te doen. Daarna moet je de disk wissen en niet formatteren, want bij formatteren blijft de informatie zelf gewoon staan, er wordt alleen aan het begin van de disk een stukje data overschreven waar in beschreven staat waar de informatie op de disk te vinden is. Alleen met wissen vanuit een niet-windows omgeving weet je zeker dat je geen virussen achter laat op de bootsector of in het geheugen van de pc.

Even de computer uit doen ,dan andere HD in mobil rack klaar !!
Dus wel handig.

Ik wil een geen enkel risico lopen ,met virussen of nieuw soort malware in het geheugen,ik
haal altijd als de computer uit is,ook de spanning van de computer.
virtuele machines werken bij mij traag,en en het geheugen wordt gedeeld met het niet virtuele systeem,
Ik vind het een risico.
15-01-2013, 15:11 door Anoniem
Of kies een OS dat by-design beter beveiligd is.
15-01-2013, 17:31 door Nietsnut
Ik vraag mij wel eens af hoe een gewone computer gebruiker ( Miep op de hoek ) al deze technieken moet gebruiken en interpreteren die bellen een kennis of gaan terug naar de leverancier of zoals de meeste doen zolang de virusscanner niks zegt doen we niks.

Met andere woorden zegt deze man dus gewoon dat je een Windows machine niet kan vertrouwen zonder een behoorlijke gevorderde kennis te hebben om het systeem echt schoon te houden.


Nou oma Miep op de hoek succes ermee !!
15-01-2013, 17:55 door Anoniem
Dban het devies voor de ,...

Mac systeem misschien toch maar even buiten "Hèt devies" laten
Voor de Mac heb je namelijk andere eigen / 'first party' gegarandeerd werkende opties.

In de volgorde van ongemakkelijk naar makkelijk :

Wissen :

- vanaf een installatie disk van mac osx , mag je kiezen tussen het aantal wis mogelijkheden, niet overschrijven, overschrijven met nullen, 7x met nullen overschrijven of 35 x overschrijven (mocht je tijd over hebben met bijv. je 1 of 2 tb disk)

Schone disk :

- zet er een nieuwe disk in, oude als back up houden (externe case?)

Dual boot systeem :

- meerdere os en gebruiken op eenzelfde disk, desgewenst met een script waarbij de andere virtual disk bij opstart niet direct gemount wordt.

Externe disk :

- Mac kan eenvoudig opstarten vanaf een externe disk met firewire connectie met een passend Mac os x erop. Van usb kan evt ook nog wel, en inmiddels ook met thunderbold (nog geen ervaring mee).
evt met extra unmount script.

Meerdere beveiligde accounts :

- gebruik van meerdere beveiligde accounts, per apart gewenst gebruik gedefinieerd (internetbankieren, skypen, multimedia web activiteiten, meer privé account met gevoelige data, gast account met beperkte rechten en ga zo maar door) en beveiligd tegen schrijven door betreffende user account (admin recht vereist).
- voor internetbankieren al dan niet met eigen browsers lokaal geïnstalleerd en gewenste voorkeuren of andere gevoelige bestanden en directories beveiligd tegen direct schrijven van de user waaronder je werkt.
- versleutel ieder betreffend account met encryptie (filevault) waardoor deze niet in te zien is wanneer ingelogd in ander account op uitleesbaar veranderbaar is.

Af en toe je disk scannen op virussen vanaf een extern osx (check ook je backups).

En verder alle veiligheids adviezen naleven als het gaat om updates of upgrades (!) en veilig instellen van de preferences van je gebruikte programma's.

Algemene tip : probeer opschoon programma's voor de Mac in principe of eerste te vermijden en geef eerst de voorkeur voor gebruik van de mogelijkheden die de Mac zelf heeft (enkele zeer goede third party klassiekers daargelaten).
15-01-2013, 18:57 door Anoniem
Aanvullende correctie op mijn eerder geposte (nog niet zichtbaar geplaatst) bericht : "Dban het devies voor de ,..."

1e Correctie : bij aanmaken apart account kan je ervoor kiezen 'sommige' systeembestanden en directories tegen direct schrijven te beveiligen middels gebruik van limitering rechten en toekenning extra admin rechten (wijzigen vraagt dan om invoeren wachtwoord van de admin user).

! -> dus niet in zijn algemeenheid tegen schrijven te beveiligen, dat werkt natuurlijk niet.

2e Correctie - > Algemene tip : probeer in princiepe eerst opschoon programma's voor de Mac te benutten (de mogelijkheden die de Mac zelf heeft), voordat je begint met gebruik van software van third party makers (enkele zeer goede third party klassiekers daargelaten).

Aanvullend algemeen nog :

En verder niet onbelangrijk, je hebt natuurlijk wel een (schone) installatie disk (cd/dvd) of mountable image nodig voor nieuwe installatie van je Os x of het terugzetten van een backup of diskkloon (wat ook kan met gebruik van een andere aangesloten Mac middels firewire connectie en gebruik van hulpprogramma disk utility).

Onder Lion / Mountain Lion kan je overigens ook via opstart cmd-R kiezen om je disk te wissen met uitzondering van de root partitie (aparte beveiligde opstart partitie vergelijkbaar met die op een installatie dvd disk) waaronder het is opgestart en een backup terug te zetten of via een internet connectie het systeem weer schoon te installeren (dan is / lijkt echter niet de hele disk gewist geweest geworden, correct me if I'm wrong).

(het lijkt off topic, maar ook een mac is in feite een personal computer en draait desgewenst niet onverdienstelijk windows (inclusief bijbehorende virussen) onder mac os x)
15-01-2013, 19:00 door Anoniem
Door Spiff: Allereerst, met Windows Vista en latere Windows-versies wordt bij formatteren werkelijk overschreven met nullen, dus gewist, dit ánders dan met Windows XP en eerder.
N.B. kies formatteren, kies uiteraard geen snel-formatteren!
Waarom moet de malware met nullen overschreven worden? Het gaat erom dat de code niet wordt uitgevoerd. Als de blokken nog wel op de schijf staan maar niet als uitvoerbare code geladen worden doen ze geen kwaad. Het moet wel heel raar lopen als blokken die volgens NTFS vrije ruimte zijn in geheugen geladen en uitgevoerd worden. Als het systeem zich zo zou gedragen zouden niet alleen de crashes je om de oren vliegen, maar zou een malware-besmetting heel stealthy plaats kunnen vinden door een kwaadaardige executable te schrijven, hem onmiddelijk weer te verwijderen (zonder de blokken te overschrijven), en rustig af te wachten tot het systeem spontaan de officiëel ongebruikte blokken in geheugen laadt en uitvoert, met een beetje geluk onder een account met aanzienlijk meer rechten dan het account waarmee de blokken werden geschreven. Dat zou een adembenemend ernstig securityprobleem zijn.

Het kan natuurlijk totaal geen kwaad om de inhoud wel echt te overschrijven, los van de tijd die het vergt, maar nodig is het niet.

Wel moeten, zoals al gezegd, ook het master boot record en de volume boot records in de afzonderlijke partities overschreven worden, ook daar staat uitvoerbare code.
16-01-2013, 12:12 door Spiff has left the building
@ Anoniem gisteren 17:55 en 18:57 uur,

Dank je voor je twee posts betreffende Mac.

En je sloot af met "het lijkt off topic", maar dat vind ik niet.
In de thread werden immers ook algemene adviezen gegeven, en werd ook Mac genoemd.
Jouw aanvulling was dus zeker welkom. Dit vooral omdat niet iedereen goed thuis is in Mac (dat geldt ook voor mij), en daardoor te gauw algemene adviezen worden gegeven terwijl Mac-specifieke mogelijkheden bestaan.
Nogmaals bedankt voor je aanvullingen.
16-01-2013, 12:30 door Riviera
Een beetje rootkit overleeft ook al sinds 2009 een format en dan schiet je dus niks op met formatteren.

https://www.security.nl/artikel/28087/1/BIOS-rootkit_overleeft_formatteren_harde_schijf.html
16-01-2013, 13:00 door Spiff has left the building
Door Riviera:
Een beetje rootkit overleeft ook al sinds 2009 een format en dan schiet je dus niks op met formatteren.
https://www.security.nl/artikel/28087/1/BIOS-rootkit_overleeft_formatteren_harde_schijf.html
Ja, maar je hebt het dan wel over BIOS-rootkits.
Dat is inderdaad een klasse apart, het schoonmaken of zelfs het vervangen van de harde schijf levert dan niks op.
En zelfs met een schone BIOS-file achter de hand ben je dan nog niet uit te problemen, zoals later hier is besproken:
https://www.security.nl/artikel/41855/1/Onderzoekers_ontdekken_nieuwe_BIOS-rootkit.html
Zoals Bitwiper toen aangaf: voorkómen is het enige devies.
16-01-2013, 14:56 door Anoniem
... booten vanaf een (DVD) Image
16-01-2013, 16:22 door Anoniem
@ Spiff

Dank voor je dank (niet verwarren met,.. ;-)

Verlaat hier een verlate (alsnog) dank terug voor
je uitgebreide Windows advies /support aangaande mijn forum vraag :
"Windows admin account omzetten naar standaard account 20-09-2012,13:11 door Anoniem".

Want op het gebied van Windows ben ik weer wat minder ingevoerd,
en wat zou mooi zijn als op er op meer forums een dergelijke wederzijdse hartelijkheid tussen windows en mac gebruikers zou heersen.

Groet (as always) Anoniem,
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.