Hoe je malware van een Windows-computer verwijdert
Dagelijks raken duizenden computers met malware geïnfecteerd, maar met een aantal gratis tools zijn de ongenode gasten vaak te verwijderen. Malware-onderzoeker Bart Blaze onderzocht hoe je middels Autoruns, GMER, Process Explorer, RootkitRevealer en Rootkit Unhooker een nep-virusscanner, Trojaans paard en rootkit kan verwijderen. Een gebruiker moet de malware eerst zien te vinden.
Daarbij is het belangrijk om op verschillende signalen te letten, zoals een niet werkende Windows Firewall of Microsoft Update, het niet kunnen uitvoeren van beveiligingssoftware of het niet kunnen bezoeken van websites van anti-virusbedrijven, in de browser worden doorgestuurd naar dubieuze zoekmachines, een tragere computer en plots geinstalleerde software.
Schoonmaak
Zodra de aanwezigheid van malware wordt vermoed is het belangrijk om de verbinding met het netwerk te verbreken. Vervolgens moeten de kwaadaardige processen en register-waarden worden geidentificeerd en uitgeschakeld. Als laatste moeten de malware-bestanden en mappen worden verwijderd, gevolgd door een scan met de al geinstalleerde virusscanner
Als de schoonmaakactie succesvol lijkt, adviseert de malware-onderzoeker om de computer eerst op een apart netwerk aan te sluiten om te controleren of de infectie inderdaad is verwijderd. Hiervoor kan het verstandig zijn om een online scan met een andere virusscanner uit te voeren dan geïnstalleerd is.
Blaze laat in deze handleiding stap voor stap zien hoe aangetroffen malware via de eerder genoemde tools verwijderd kan worden, hoe er met een infectie moet worden omgegaan en hoe die te voorkomen is.
En hoe kan men een polymorf virus verwijderen, dat telkens van gedaante verandert ?
De antivirus en andere anti-malware software moet het ook eerst zien te vinden, voor het zich van gedaante verandert.
Volgens werkinstructies binnen IT afdelingen doe je dat vaak enkel en alleen door een nieuwe image op een PC te plaatsen.
Dat scheelt hen soms tijd, en geeft de gebruiker vaak enkel meer koppijn. Dat in bepaalde gevallen een nieuwe image op zijn plaats is klopt, maar het zou niet de standaard methode moeten zijn, aangezien goede removal instructions voor de malware vaak gewoon aanwezig zijn.
Overigens is het vaak niet eens de keuze van de beheerder, maar van de managers boven hem die beslissen dat er geen tijd ''verspild'' moeten worden met het verwijderen van malware. Zelf heb ik dat in het verleden ondervonden, waarbij ik als beheerder een nieuwe image *moest* installeren om ''tijd te besparen''.
Vaak hield dat in 2 uur bezig zijn met een nieuwe image en de PC weer instellen, i.p.v. een kwartier bezig zijn om de malware te verwijderen, omdat het management dacht dat dat ingewikkelder zou zijn, en meer tijd in beslag zou nemen.
Volgens werkinstructies binnen IT afdelingen doe je dat vaak enkel en alleen door een nieuwe image op een PC te plaatsen.
Dat scheelt hen soms tijd, en geeft de gebruiker vaak enkel meer koppijn. Dat in bepaalde gevallen een nieuwe image op zijn plaats is klopt, maar het zou niet de standaard methode moeten zijn, aangezien goede removal instructions voor de malware vaak gewoon aanwezig zijn.
Overigens is het vaak niet eens de keuze van de beheerder, maar van de managers boven hem die beslissen dat er geen tijd ''verspild'' moeten worden met het verwijderen van malware. Zelf heb ik dat in het verleden ondervonden, waarbij ik als beheerder een nieuwe image *moest* installeren om ''tijd te besparen''.
Vaak hield dat in 2 uur bezig zijn met een nieuwe image en de PC weer instellen, i.p.v. een kwartier bezig zijn om de malware te verwijderen, omdat het management dacht dat dat ingewikkelder zou zijn, en meer tijd in beslag zou nemen.
Daar ben ik het dus niet mee eens. Een goede ICT'er heeft de user profiles en settings goed gemanaged bijv. via RES. Hierdoor merkt een gebruiker nieteens dat PC een nieuwe image heeft. Een image uitrol via MDT of SmartDeploy duurt slechts 15~20 minuten.
Scannen en verwijderen met dergelijke tools duurt al gou langer dan enkele uren. Hierdoor ben jij veel tijd kwijt met het oplossen van het probleem en kan de gebruiker in sommige gevallen niet werken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
