Is uw computer besmet?

Als bepaalde webpagina's – bijvoorbeeld die van uw computerbeveiliger – niet meer bereikbaar zijn, dan kan dat komen omdat de dns-verwijzing op uw computer is veranderd. De dns (Domain Name Server) van uw provider zorgt ervoor dat het webadres dat u in de browser typt (www.computeridee.nl) omgezet wordt naar het ip-adres (217.149.74.190) van de server waarop de webpagina staat. Malware zoals die van de Backdoor.Eminoc familie verandert direct na besmetting de dns-verwijzing op uw computer. In plaats van uw provider regelen dan de makers van de malware naar welk adres u gaat als u de naam van een website opgeeft. Op die manier zorgen ze bijvoorbeeld dat u geen updates voor uw beveiligingssoftware meer kunt ontvangen. Als u tijdens het surfen ontdekt dat de pagina van uw beveiliger niet meer werkt, ga dan voor de vorm ook eens naar een paar pagina's van concurrenten. Als die allemaal tegelijk 'technische problemen' hebben, dan is het tijd voor een grondige scan.

Als de resultaten van de zoekmachine ineens in kwaliteit sterk afnemen, of als advertenties in nieuwe vensters verschijnen tijdens het zoeken, dan is de kans groot dat de computer geïnfecteerd is. Dat kan bijvoorbeeld een infectie zijn van een lid van de Trojan.Sirefef familie. Deze malware-familie past onder meer zoekresultaten aan. De mensen achter Sirefef verdienen aan advertenties die ze toesturen door u de verkeerde kant op te sturen. Andere varianten van deze besmetting brengen popup-reclames in beeld of sturen uw browser ongeacht uw instructies naar andere met advertenties behangen websites.

Als het hele thuisnetwerk ineens traag wordt, of als uw computer druk contact lijkt te maken met internet terwijl u niets aan het doen bent, dan kan malware die gegevens steelt daar debet aan zijn. Een voorbeeld van zulke malware is Win32:Agent-ANTB. Deze malware steelt gegevens van uw computer en stuurt die vervolgens door naar specifieke chatservers en websites. In het geval van Win32:Agent-ANTB gaat het vooral om gegevens om in te loggen bij online casino's; andere varianten gaan weer voor inlogcodes bij online spellen of voor cloud-diensten.

Besmetting met adware (malware die ongewenste advertenties op de computer zet) komt veel voor. De laatste maanden doen leden van de Win32.Adware.WSM familie de ronde. De makers van deze malware verstoppen hun toepassingen in installatiebestanden van legitieme, gewenste software en bieden die geïnfecteerde software vervolgens op hun eigen websites ter download aan. Zo raken ook mensen die nooit op illegale websites komen en die alleen legitieme software gebruiken besmet. Een eenvoudige extra maatregel tegen dergelijke besmettingen is vooraf nagaan wie de fabrikant is, en dan de downloaden via de website van de fabrikant. Advertenties die spontaan in beeld springen (zelfs als u niet met de browser bezig bent) en advertenties die qua inhoud heel erg afwijken van de websites waarop ze staan (porno op een nieuwswebsite bijvoorbeeld) zijn duidelijke symptomen van besmetting.

Malware die de computer kaapt, is makkelijk te herkennen, maar erg akelig. De Trojan.Ransomlock familie malware legt zich al sinds 2009 op deze activiteit toe. Zodra uw computer is geïnfecteerd, gaat het scherm op slot. De versie van Ransomlock die op dit moment de rondte doet, geeft bij opstarten melding dat er illegale software op de computer is ontdekt door de politie. U dient geld over te maken om controle over de computer terug te krijgen. Het gemene aan deze besmetting is dat de computer zelfs in veilige modus niet meer bereikbaar is. Opstarten met een bootdisk en de computer scannen op virussen helpt in veel gevallen. Haalt uw beveiligingssuite Ransomlock niet weg, dan bieden verschillende andere bedrijven een verwijdergereedschap op hun website.

Zelfs met een up-to-date beveiligingsprogramma op de computer kunt u besmet raken. Een gemiddeld stuk malware heeft een levensduur van drie dagen voor een nieuw lid van de familie het vervangt. Daar staan beveiligers tegenover die een middenweg moeten vinden tussen beveiliging en gebruiksgemak. Als de beveiliging maximaal is, kunt u niets meer met de computer doen. Is de beveiliging te laag, dan komen er ongewenste bestanden binnen. Dat midden tussen gebruiksgemak en beveiliging geeft sommige malware-makers de kans om hun slag te slaan. Wie denkt dat beveiliging daarom zinloos is, vergist zich. Zonder beveiliging is het risico geïnfecteerd te raken navenant groter.

Als uw computer symptomen begint te vertonen van besmetting, is er geen reden voor paniek. Doorloop de volgende stappen tot uw probleem is opgelost.

1. Start uw beveiligingstoepassing en geef opdracht de definitiebestanden van een update te voorzien. Doe vervolgens een uitgebreide scan op de gehele computer.

2. Werkt de update niet (meer), bezoek dan de website van uw beveiliger en gebruik de online scanner van uw beveiliger. Werkt de site van de beveiliger niet? Stuur dan een mail naar de ondersteuning van uw beveiliger.

3. Ga naar de site van een andere beveiliger en probeer de online scanner op die locatie.

4. Kunt u geen enkele beveiliger meer bereiken, ga dan naar vrienden of bekenden om op hun computer een gratis boot-cd te downloaden. Onder meer AVG, Kaspersky en F-Secure bieden op hun website een zogenoemde Rescue Disc aan. Start uw systeem vanaf deze cd en volg de instructies van de scanner zodat uw hele computer uitgebreid gescand wordt.

4. In een aantal gevallen krijgt u van de boot-cd scanner wel melding van de naam van de besmetting, maar ook het bericht dat automatisch verwijderen niet lukt. Dit komt (meestal) omdat het besturingssysteem op de boot-cd niet kan schrijven naar de harde schijf van uw computer. Met de naam van de besmetting, kunt u op de website de producent van de boot-cd een programma ophalen om de besmetting handmatig te verwijderen.

Hoewel er veel nieuwe malware uit komt, zijn de meeste besmettingen niet uniek. Meestal wijzigt de malware net genoeg om langs bestaande beveiliging te komen. Om overzicht te houden, delen beveiligers malware daarom in families in. Als er een aangepaste versie komt, wordt een bestaande familienaam voorzien van een nieuw serienummer.

De manier waarop malware een computer infecteert, wordt in eerste instantie gebruikt om de verschillende families in categorieën onder te verdelen. Dit kan verwarrend zijn omdat de meeste malware zich op meerdere manieren verspreidt. Daarom biedt een familienaam als bijvoorbeeld Trojan geen garantie dat het gelijktijdig niet ook om een virus gaat. Omdat onderzoekers van verschillende organisaties gelijktijdig aan detectiemethodes werken, hebben malware-families bij ieder bedrijf een andere naam.

Naast de infectiemethode heeft malware ook nog een uitwerking, de zogenaamde payload. Die payload kan van alles zijn, bijvoorbeeld het plaatsen van ongewenste advertenties of het stelen van bankgegevens. Omdat binnen een malware-familie de payload van generatie op generatie kan wisselen, is het lastig om van een bepaalde besmetting heel hard te stellen dat deze alleen gegevens steelt of alleen de browser kaapt.

Kortom, malware verandert constant. Dat maakt overzicht houden net zo lastig als de computer goed beschermen. Door met regelmaat een volledige systeemscan te draaien, geeft u de beveiliging een kans om eventuele missers alsnog van het systeem te halen. Daarom plannen beveiligingstoepassingen deze scans maandelijks, wekelijks of zelfs dagelijks in.

Aangezien de meeste malware-makers geld willen verdienen met hun activiteiten is het niet verwonderlijk dat malware die uw online bankgegevens steelt veel voorkomt. Infecties met zogenaamde 'banking trojans' vangen uw inlogcodes af en sturen die door naar de criminelen. Die kunnen dan bijvoorbeeld transacties inplannen op uw bankrekening. In Nederland (en Europa) is de trojan SpyEye een groot probleem geweest, hoewel hier heel recent behoorlijk wat actie tegen is ondernomen. Het is vrijwel onmogelijk om zonder beveiligingssoftware te zien dat deze malware op de computer draait. Wel kan het opvallen dat de pagina van de bank niet werkt zoals normaal. Dat kan bijvoorbeeld een dubbel verzoek om in te loggen zijn, of het totaalbedrag dat u doorstuurt kan niet overeen komen met de bedragen die u overmaakt. Neem bij iedere twijfel met online bankieren contact op met de helpdesk van uw bank en scan de computer.

Klassieke malware gaat niet met pensioen, maar blijft gewoon werken. Dat blijkt wel als we de tot nu toe meest waargenomen infectie van 2012 bekijken. Trojan.Wimad.Gen.1 doet zich voor als een normaal wma-geluidsbestand, maar wie erop dubbelklikt krijgt melding dat er een speciale codec nodig is om het af te spelen. Geeft u toestemming voor het installeren van die codec, dan installeert u onverhoeds een zogenaamde dropper. Dit standaardonderdeel in bijna alle malware-infecties geeft de malware-verspreider toegang om software te installeren op uw computer. Die gebruikt deze toegang vervolgens om naar eigen inzicht nieuwe infecties toe te voegen. Als uw computer zich vreemd gaat gedragen, en zeker als malware die u verwijdert maar blijft terugkomen, is de kans groot dat er een dropper goed verstopt is op het systeem.

Als u ineens gewaarschuwd wordt door een beveiligingstoepassing die u zelf niet hebt geïnstalleerd, dan heeft u waarschijnlijk te maken met nepbeveiliging. Varianten van deze pakketten zijn al jaren in omloop. Op dit moment zijn bijvoorbeeld de 'suites' van de SmartFortress familie zeer actief. Deze installeren zich soms ongevraagd en soms als onderdeel van andere software op uw systeem. Na installatie krijgt u direct melding dat uw systeem gevaar loopt. De enige redding is betalen voor de volle versie. Scannen met een betrouwbare beveiligingssuite is op zo'n moment een beter idee. Dat haalt namelijk de waarschuwingen wel weg, terwijl betalen alleen maar geld kost.

Malware kan op veel manieren op de computer binnen komen, de makkelijkste manier blijft de gebruiker overtuigen dat installeren nuttig is. Daarom maken verspreiders graag gebruik van actuele nieuwsfeiten en sappige 'roddels' om mensen naar gevaarlijke websites te lokken of om ze te overtuigen dat hun toepassing niet gevaarlijk is. In 2012 verwachten beveiligers in ieder geval veel spam, malware en oplichtingswebsites rondom het EK Voetbal, de Olympische Spelen en de Presidentsverkiezingen in de VS. Wie berichten rondom deze evenementen met de juiste hoeveelheid met de juiste hoeveelheid wantrouwen benadert, kan zichzelf veel ellende besparen.

Tekst: Merijn Gelens

Last van het Ukash virus (politievirus)? Lees dan onze workshop over hoe je deze verwijdert.