Computerbeveiliging - Hoe je bad guys buiten de deur houdt

[Verwijderd]

12-03-2013, 11:40 door [Account Verwijderd], 4 reacties
[Verwijderd]
Reacties (4)
12-03-2013, 12:01 door golem
Afhankelijk van welk virus kan het inderdaad ook besmet raken.
Oplossing : PC niet opstarten vanaf de harddisk, maar met een
bootable linux CD of USB-stick.

Er zijn vele soorten, bijvoorbeeld knoppix, ubuntu , linux mint enz enz.
Kies er maar 1 uit.

Dan kan je in veilige omgeving je bestanden copieren naar de externe harddisk.
12-03-2013, 12:14 door S.lenders
Ja dat is een veilige omgeving mits je het virus over kopieert. Voor je backups gaat maken of dingen gaat kopieren is het ook verstandig om alles te scannen op virussen. Je zou maar even het virus meenemen. En vervolgens weer openen op een ander systeem
12-03-2013, 16:39 door Euro10000
Je hebt virusscanners die vanaf cd opstarten(booten), dan kun je de pc scannen, bijv kaspersky, is ook nog gratis.
Er wordt dan linux opgestart, dan kun je de virusscanner updaten, en dan scannen.

Dan heb je nog linux livecd's, hier kun je vanaf booten, en alles wat je nog wilt hebben kopieren.
Ubuntu livecd
xubuntu livecd
Er zijn er meer, moet je maar op zoeken.

Parted magic is er ook een en deze start zeer snel op.

Je hebt ook nog bootable cd's met xp en andere reparatie programma's
Zoek op livecd, bootable cd, boot cd, via google.
13-03-2013, 20:53 door Bitwiper
Door astip: Vraagje: stel mijn pc is besmet met een virus en ik ga daar vervolgens tijdelijk een externe harde schijf aan koppelen, bijvoorbeeld om een backup te maken naar de externe schijf. Ik neem aan dat ik dan een groot risico loop dat mijn extrerne schijf ook besmet raakt?
Ja en nee.

Ondertussen heb ik een hele verzameling malware, maar dat wil niet zeggen dat de computer of schijf (waar die malware op staat) besmet is. Zolang malware niet wordt gestart (d.w.z. als code uitgevoerd door een processor) bestaat ook malware uit niets anders dan een reeks bytes met in elk daarvan 8 posities die de waarde 0 of 1 kunnen hebben.

De volgende risico's bestaan bij het aansluiten van een externe schijf (of USB stick) met potentieel gevaarlijke inhoud:

1) Het USB device zelf gedraagt zich kwaadaardig, bijv. doordat de firmware is gemanipuleerd (zie bijv. https://www.security.nl/artikel/45506/1/Microsoft_dicht_extreem_gevaarlijk_USB-lek_in_Windows.html). De kans dat malware op een besmette PC een willekeurig USB opslagapparaat op deze manier weet te modificieren acht ik enorm klein (er zijn alleen al ontzettend veel merken en typen devices, de betreffende malware zou daar allemaal wat mee aan moeten kunnen vangen). Maar uitsluiten kan ik het niet.

2) Malware heeft de schijf bootable gemaakt -en- de schijf is op je systeem aangesloten terwijl je deze opstart -en- je systeem is zo ingesteld dat deze eerder van een externe schijf dan van de interne schijf opstart. Dit was een populaire en succesvolle verspreidingstactiek op bootable floppies, maar is veel minder gangbaar tegenwoordig. Maatregel hiertegen is simpel: zorg dat de BIOS instellingen van je PC zodanig zijn dat deze altijd eerst van je interne harddisk probeert op te starten. Veel PC's bieden de mogelijkheid om tijdens opstarten via een speciale toets (F12 bijv.) een keuzemenu te openen waarin je voor een alternatieve bootdrive kunt kiezen; dat is het veiligst.

3) Autorun.inf bestand in de rootdirectory welke een executable elders op de schijf automatisch zal starten zodra je de USB schijf aansluit. Als je netjes je patches gedraaid hebt, werkt dit (zelfs onder XP) echter niet meer. Nb. zorg dus dat je een nieuw geïnstalleerde Windows eerst up-to-date brengt voordat je backups gaat terugzetten en/of USB devices aansluit!

4) Bestanden met bijv. iconen erin die, zodra ze in verkenner worden getoond, misbruik maken van lekken in besturingssysteemroutines die gebruikt worden voor het tonen van plaatjes (dus semi-automatisch opstarten, bijv. door in een map te kijken). Ook hier geldt: eerst patchen, dan backups terugzetten.

5) Door de besmette PC zijn er bestanden toegevoegd op het opslagapparaat die lijken op iets anders en je uitlokken om erop te klikken (zie https://www.security.nl/artikel/45506/1/Microsoft_dicht_extreem_gevaarlijk_USB-lek_in_Windows.html).

6) Je hebt ook executable bestanden gebackupped die besmet zijn, restored deze en start ze. Dan kun je overnieuw beginnen. Een bestand met de naam www.microsoft.com is natuurlijk gewoon een uitvoerbaar bestand. Via Google kun je lijsten van bestandsextensies van uitvoerbare bestanden vinden, enkele voorbeelden: http://pcsupport.about.com/od/tipstricks/a/execfileext.htm en http://technet.microsoft.com/en-us/library/cc262496.aspx.

7) De malware kan zich ook in "documenten" (.doc, .xls, .ppt, .pdf etc.) genesteld hebben en/of archives zoals .zip of .rar hebben aangepast. De kans op een "erfenisje" vanuit je backup is het grootst via dit aspect.

Vanaf 3 en hoger is er sprake van besmette bestanden op de externe schijf. Je zou kunnen stellen dat de externe schijf zelf alleen in situatie 1 en 2 besmet is (dan gaat het niet om bestanden). Maar dat is meer een filosofische discussie.

Als je ook oudere backups hebt, bij voorkeur zeker van voor de infectie, kun je beter zoveel mogelijk bestanden daar vanaf halen. Om een beter gevoel bij de betrouwbaarheid van je nieuwere bestanden te krijgen, kun je wellicht de oudere bestanden tussen zo'n oudere backup en die van je besmette systeem vergelijken, en daarmee vaststellen op welk type bestanden de malware het gemunt heeft.

Een andere aanpak is om te kijken welke nog schone bestanden de malware op je PC infecteert. Dit kan door een grote diversiteit aan bestanden op een schoon systeem aan te maken en naar een USB stick te kopiëren. Die stick sluit je aan op je besmette systeem en opent alle bestanden. Daarna sluit je de USB stick weer op het schone systeem aan (met de nodige voorzichtigheid) en vergelijkt de bestanden (bijv. met een sha1sum hash). Als je virusscanner dan aanslaat weet je ook meteen hoe laat het is, lees: welk type bestanden besmet raakt.

Kortom, ook al is de malware niet actief op het moment dat je de backup maakt, bijv. doordat je voorafgaand aan de backup vanaf een Linux CD / USB stick bent gestart, dan loop je nog steeds de kans dat er malware meekomt in de backup.

Zorg daarom, voordat je de backupschijf op je "nieuwe" systeem aansluit, er in elk geval voor dat dat nieuwe systeem volledig gepatched is (met Microsoft Update in plaats van Windows Update, dit geldt ook voor Windows 7 en 8!) en er een degelijke, en aantoonbaar goed werkende en up-to-date, virusscanner op geïnstalleerd is. Vertrouw niet op de on-access scanner, maar laat de scanner de hele externe HDD scannen direct na aansluiten, met zomogelijk maximaal ingestelde parameters (alle extensies scannen, geen groottelimiet, etc).

Download bij voorkeur ook een aparte commandline scanner (bijv. http://www.microsoft.com/security/scanner/en-us/default.aspx) en gebruik die om de backup HDD mee te scannen (na aansluiten, voor het eraf kopiëren van bestanden). Eventuele individuele verdachte bestanden kun je, mits het geen vertrouwelijke bestanden zijn, bij https://www.virustotal.com/ laten scannen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.