McAfee rapport: gevaarlijke zoektermen
De antivirusproducent McAfee heeft een onderzoek (PDF) gepubliceerd over de gevaarlijkste zoektermen op het web.
De onderzoekers maakten hierbij gebruik van lijsten met populaire zoektermen die afkomstig waren van Google Zeitgeist, Yahoo! Buzz en andere bronnen. In totaal werder er meer dan 2600 zoekwoorden onderzocht en werden meer dan 413.000 unieke webadressen geanalyseerd.
De meest riskante zoekterm is screensavers met een maximumrisico van 59.1 procent. Bijna zes van de tien bovenste zoekresultaten voor deze zoekterm bevatten malware volgens McAfee. Ook zoekresultaten voor de term lyrics bevatten veel malware. Twee andere zoekterm met een hoog risicoprofiel zijn free en work from home. McAfee zag een groeiend aantal schadelijke zoekresultaten die gericht zijn op mensen die geld willen besparen of die op zoek zijn naar extra inkomen.
Opvallend is dat de zoekterm viagra, erg populair bij de spammers, het kleinste aantal onveilige sites liet zien. De categorie met het laagste risicoprofiel bevat gezondheid gerelateerde zoektermen. Ook zoektermen over de economische crisis brengen maar weinig websites met malware naar voren.
Jeff Green van McAfee waarschuwt computergebruikers dat cybercriminelen slim zijn en inspelen op zoektrends om hun malware en adware te verspreiden. Ze doen dat via websites die speciaal voor dit doel gemaakt zijn.
Info over Conficker worm
Conficker (ook bekend als Downup, Downadup en Kido) is een worm die zich richt op Windows systemen. De worm werd voor het eerst gesignaleeerd in november 2008. Conficker maakt gebruik van geavanceerde malware technieken, wat de bestrijding van de worm lastig maakt.
De ontwikkelaars van het Conficker virus hebben diverse nieuwe varianten uitgebracht om kwetsbaarheden te dichten en de detectie door anti-malware software te bemoeilijken. Inmiddels zijn er vijf varianten die worden aangeduid met Conficker A, B, C, D en E. De varianten A, B, C en E maken gebruik van een lek in de Server Service op Windows systemen. De variant E installeert nog andere malware na de besmetting: een spambot met de naam Waledac en SpyProtect 2009, een nep-antimalware product.
Een grote uitbraak van Conficker werd verwacht op 1 april 2009, maar deze bleef uit op dat moment. Enkele weken later kwam de stroom besmettingen echter wel op gang. Symantec meldde op 20 mei 2009 dat er 50.000 nieuwe besmettingen per dag vastgesteld worden.
Is mijn computer besmet met de Conficker worm?
Als je de laatste updates van Windows geïnstalleerd hebt via automatische updates en je virusscanner up-to-date is dan is je PC waarschijnlijk niet besmet met Conficker. De worm maakt gebruik van lekken in Windows die reeds zijn gedicht in patches van Microsoft.
De symptomen van een besmetting met Conficker zijn onder andere:
- Bepaalde anti-virus websites en Windows Update zijn niet meer te bereiken.
- Sommige services op de Windows computer worden uitgeschakeld. Dit is vastgesteld bij de services Automatic Updates, Background Intelligent Transfer Service (BITS), Windows Defender en Windows Error Reporting.
- Uitsluiting van gebruikersaccounts in Windows.
Conficker test
Je kunt testen of je PC besmet is met een van de meest actieve varianten van Conficker met behulp van een eenvoudige online test. Deze is te vinden op Heise.de. Een toelichting op deze test vind je hier.
De Conficker worm verwijderen
Om de Conficker worm te verwijderen moet je gebruik maken van een virusscanner met de meest recente definities en je PC laten scannen. Het kan zijn dat de worm het onmogelijk maakt om (updates van) anti-virus software te installeren. In dat geval kun je gebruik maken van de online PC scan van Microsoft: Windows Live OneCare Safety Scanner of voer een andere online virusscan uit.
JSRedir-R Trojan verspreidt zich
Beveiligingsbedrijf Sophos meldt op haar blog de snelle verspreiding van een nieuwe Trojan: Troj/JSRedir-R
Maar liefst 42% van alle nieuwe malware infecties werd veroorzaakt door deze Trojan. De malware wordt gehost op allerlei websites die geïnfecteerd zijn met een kwaadaardig JavaScript. Het script redirect bezoekers naar een ander domein, waar de schadelijke code op de PC van de gebruiker geplaatst wordt. De Trojan steelt gevoelige persoonlijke informatie. Alleen gebruikers met een Windows besturingssysteem lopen risico.
Graham Cluley van Sophos waarschuwt computergebruikers dat zelfs legitieme websites onveilig kunnen zijn:
”Het probleem is dat teveel computergebruikers nog steeds denken dat het ongevaarlijk is om op het web te surfen. Maar doordat legitieme websites vaak het slachtoffer worden van deze aanvallen, is het tijd om wakker te worden. Hackers zullen niet stoppen met het aanvallen van het web, omdat het een succesvolle manier is gebleken om infecties te verspreiden. Om dit te bestrijden is het essentieel dat elke website gescand wordt op kwaadaardige code voordat deze bezocht wordt.”
Avira AntiVir 9 verschenen: nu ook bescherming tegen spyware
Er is een nieuwe versie verschenen van één van de meest populaire gratis antivirus applicaties: Avira AntiVir 9. Versie 9 is momenteel exclusief te downloaden op Download.com en zal pas over een maand officieel als update aangeboden worden aan de huidige gebruikers van AntiVir.
Klik hier voor de downloadpagina van Avira AntiVir 9 op Download.com
Wat is er nieuw in Avira AntiVir 9?
Op het eerste gezicht lijkt er niet veel veranderd aan de nieuwste versie van AntiVir. De interface van de software is grotendeels hetzelfde gebleven, hoewel er wel kleine dingen veranderd zijn, zoals een nieuwe achtergrond voor de banner bovenin het scherm.
De grootste verandering zit in de functionaliteit van de software. Vanaf versie 9 biedt AntiVir namelijk ook in de gratis versie bescherming tegen spyware en adware. In vorige versies was het detecteren en verwijderen van spyware alleen mogelijk in de betaalde Premium versie. De spyware detectie van Avira AntiVir scoorde vorig jaar goed in een test van AV-Test.org. Natuurlijk biedt AntiVir Premium ook nu nog wel wat extra mogelijkheden. Zo is het mogelijk om met het betaalde pakket e-mails te scannen en een rescue CD te maken.
Naast de bescherming tegen spyware is er in AntiVir 9 nieuwe technologie geïntroduceerd voor het scannen en is de interne beveiliging van de software verbeterd die moet voorkomen dat de AntiVir bestanden gewijzigd worden door schadelijke software.
Ook nieuw is de mogelijkhied om “one-click threat removal” in te schakelen. Hiermee worden alle mogelijke bedreigingen die gedetecteerd worden tijdens een scan in quarantaine geplaatst en kun je aan het einde van de scan aangeven wat er met deze bestanden moet gebeuren. De scan zal dan niet meer stoppen bij de detectie van een mogelijk virus en wachten op een actie van de gebruiker, maar zal eerst de scan afmaken. Dit is handig wanneer er een uitgebreide systeemscan verricht wordt zonder dat er iemand gebruikt maakt van de computer op dat moment.
Virusscanner test: met av-test.org en de EICAR test file
Met de informatie op deze site kun je een keuze maken uit de gratis virusscanners die verkrijgbaar zijn. Als je de virusscanner geïnstalleerd hebt dan moet je controleren of de scanner inderdaad actief is en goed functioneert. Als het goed is zal er een icoon te zien zijn in de taakbalk die aangeeft dat de antivirus software actief is.
Ook zal je virusscanner verschijnen in de proceslijst van Windows Taakbeheer (Task Manager).
De virusscanner testen
Je kunt de antivirus software testen door een zogenaamde test file te downloaden. Dit is een onschuldig bestand dat speciaal ontworpen is om antivirus software te testen. Het bestand wordt uitgegeven door de Europese organisatie EICAR (European Institute for Computer Antivirus Research).
Het testbestand van EICAR is op deze pagina te downloaden.
Je virusscanner zou dit bestand dus moeten herkennen wanneer je het downloadt naar je computer. Op deze wijze kun je testen of je virusscanner werkt, zonder je computer in contact te brengen met schadelijke bestanden.
Hoe goed is mijn virusscanner?
De ene virusscanner detecteert meer virussen dan de ander, heeft meer last van false positives dan de ander en biedt vaker updates dan de ander. Dit zijn allemaal zaken die de kwaliteit bepalen van de bescherming die de virusscanner biedt. Het is daarom niet eenvoudig om aan te geven welke virusscanner nu “het beste” is. Uitgebreide tests zijn noodzakelijk om daar een idee van te krijgen.
Zulke tests worden regelmatig uitgevoerd door de onafhankelijke site av-test.org. Hun tests worden gepubliceerd in diverse computertijdschriften en op websites over PC beveiliging. Links naar de testresultaten zijn vaak op av-test.org te vinden.
De resultaten van een uitgebreide test uit september 2008 zijn bijvoorbeeld te vinden op Virus Bulletin.
Als blijkt dat je software slecht presteert in zo’n test dan kun je overwegen om over te stappen op een antivirus pakket dat beter scoort.
Info over het Hosts bestand
Op het internet surfen we naar websites door de domeinnaam van de sites te gebruiken. Computers converteren deze namen echter naar numerieke waarden. Deze numerieke waarden worden IP adressen genoemd. Een voorbeeld van een IP adres is: 74.14.205.100.
Voor het converteren van domeinnamen naar IP adressen is een speciaal computersysteem ontwikkeld: het Domain Name System (DNS).
Op je eigen PC bevindt zich een bestand waarmee je ook domeinnamen kunt converteren naar een IP adres. Dit gaat buiten het Domain Name System om. Dit bestand is het Hosts bestand. Deze Hosts file is een tekstbestand dat IP adressen bevat, gescheiden door een spatie en gevolgd door een domeinnaam. Elke combinatie van IP adres en domeinnaam komt op een nieuwe regel. Het Hosts bestand heeft geen bestandsextensie.
Locatie van het Hosts bestand
Het Hosts bestand bevindt zich in de volgende directory:
Windows 95/98/ME: c:\windows\hosts
Windows Windows NT/2000: c:\winnt\system32\drivers\etc\hosts
Windows XP/Vista: c:\windows\system32\drivers\etc\hosts
Nut van het Hosts bestand m.b.t. spyware/malware
Met het Hosts bestand kun je webadressen blokkeren waar zich spyware en malware bevindt door de domeinnamen te herleiden naar het locale IP adres van de computer zelf: 127.0.0.1. Een aantal anti-spyware programma’s gebruikt bijvoorbeeld het Hosts bestand op deze wijze.
Zelf kun je ook eenvoudig domeinen blokkeren door nieuwe regels aan het Hosts bestand toe te voegen. Zo’n nieuwe regel zou er als volgt uit kunnen zien:
127.0.0.1 naamvandesite.com
Als je zou proberen om na deze aanpassing de domeinnaam naamvandesite.com te bezoeken dan zou deze site niet bereikt kunnen worden. Voordelen van het gebruik van een Hosts file zijn dat schadelijke sites op deze wijze geblokkeerd kunnen worden en dat het browsen sneller kan worden, doordat je reclamenetwerken op deze wijze kunt blokkeren.
Het Hosts bestand bewerken
Het Hosts bestand kan gewoon bewerkt worden met een teksteditor zoals Notepad (Kladblok). Aangezien het bestand geen extensie heeft, zul je de teksteditor moeten selecteren als Windows vraagt met welk programma het bestand geopend moet worden.
Maak altijd een backup van het Hosts bestand voordat je het gaat bewerken en sla het op onder een andere naam.
Een Hosts bestand downloaden
Er zijn ook websites die een Hosts bestand hebben samengesteld waarin al een groot aantal schadelijke sites en reclamenetwerken worden geblokkeerd. Enkele bekende aanbieders van zulke Hosts bestanden zijn:
Verborgen bestanden weergeven in Windows XP en Vista
In Windows worden systeembestanden standaard verborgen in een programma als Windows Verkenner. Dit wordt gedaan om deze bestanden te beschermen. Het is dan namelijk niet mogelijk om deze bestanden per ongeluk te verwijderen of te wijzigen.
Virussen en spyware kunnen soms ook hun bestanden op dezelfde wijze verbergen. Hierdoor kun je deze bestanden moeilijk vinden en verwijderen. Daarom kan het soms nodig zijn om verborgen bestanden te laten weergeven door Windows.
Hieronder lees je hoe je de verborgen bestanden zichtbaar kunt maken in de verschillende Windows versies.
Verborgen bestanden weergeven in Windows XP
1. Ga naar Deze computer (My Computer) door op het icoon te klikken op het bureaublad of via het Start-menu.
2. Kies in het menu voor Extra -> Mapopties.
3. Klik bovenaan op het tabblad Weergave.
4. Scroll naar beneden tot de sectie Verborgen bestanden en mappen en selecteer de optie Verborgen mappen en bestanden weergeven.
5. Scroll naar boven en verwijder het vinkje voor Extensies voor bekende bestandstypen verbergen.
6. Verwijder het vinkje voor Beveiligde besturingssysteembestanden verbergen.
7. Klik op Toepassen en vervolgens op OK.
Nu worden de verborgen bestanden in het vervolg getoond.
Verborgen bestanden tonen in Windows Vista
1. Ga naar Start en klik op Configuratiescherm.
2. Ga naar Vormgeving aan persoonlijke voorkeur aanpassen en klik op Mapopties.
3. Klik op Weergave en zoek naar de tekst Verborgen bestanden en mappen.
4. Selecteer de optie Verborgen bestanden en mappen weergeven.
5. Haal de vinkjes weg voor Extensies voor bekende bestandstypen verbergen en Beveiligde besturingssysteembestanden verbergen.
6. Klik op Toepassen en vervolgens op OK.
De verborgen systeembestanden worden nu weergegeven in Vista.
Controleren op de meest recente software updates
Het is vaak niet eenvoudig om virussen en spyware geheel te verwijderen en dit kan een hoop tijd in beslag nemen. Het voorkomen dat een computer besmet raakt met virussen en spyware is daarom erg belangrijk. Met een aantal voorzorgsmaatregelen kun je een PC beter beschermen tegen malware.
Eén van die voorzorgsmaatregelen is het installeren van de laatste software updates op je systeem. In dit artikel geven we aan hoe je eenvoudig kunt controleren of er nieuwe updates zijn voor de programma’s die op je computer geïnstalleerd zijn.
Het besturingssysteem
De allerbelangrijkste software om te updaten is natuurlijk het besturingssysteem zelf. Zorg ervoor dat je altijd de laatste updates en service packs voor je besturingssysteem installeert. Deze updates lossen vaak (kritieke) lekken in het systeem op. Het niet installeren van dergelijke updates maakt je computer een stuk kwetsbaarder. Mensen met een Windows systeem kunnen voor deze updates terecht op Windows Update.
Het is verstandig om automatische updates op je computer in te schakelen, zodat je geen essentiële updates mist.
Updates voor overige software
Je maakt natuurlijk gebruik van nog veel meer software. Denk aan een browser, een mediaspeler, games, peer-to-peer software, Java, etcetera. Veel mensen denken er niet aan om ook deze software te updaten, terwijl ook in deze programma’s beveiligingslekken gedicht worden en verbeteringen doorgevoerd worden.
Als je veel software geïnstalleerd hebt dan is het tijdrovend om handmatig op updates te controleren voor al deze programma’s. Bovendien controleert lang niet alle software automatisch of van de nieuwste versie gebruik gemaakt wordt.
Daarom raden we bezoekers aan om gebruik te maken van een aparte applicatie die controleert op updates voor de software op jouw systeem.
Secunia PSI
Voor Windows is er het programma Secunia PSI (Personal Software Inspector). Na installatie van Secunia PSI controleert het welke software er op je PC staat en of er nieuwe updates zijn voor deze programma’s. Secunia PSI herkent erg veel programma’s en geeft duidelijk aan welke software onveilig is en hoe dit probleem verholpen kan worden.
Volgens onderzoek van Secunia staan er op 98 van de 100 computers één of meerdere onveilige programma’s geïnstalleerd. Een veelvoorkomend probleem is bijvoorbeeld dat oude versies van de Java Runtime Environment nog op de computer staan. Als de nieuwste versie geïnstalleerd is kunnen de oude Java versies over het algemeen veilig verwijderd worden. Secunia PSI brengt dit soort zaken helder in beeld, zodat je verouderde en onveilige software kunt patchen of verwijderen.
Secunia PSI kunnen we dus zeker aanraden. Als je eenmaal per maand het programma zijn werk laat doen dan kun je de belangrijkste software op je systeem up-to-date houden en voorkomen dat je systeem vatbaar wordt voor de beveiligingsgaten van oude software.
Waarschuwing voor XP Antivirus 2008 en XP Antivirus 2009
Sinds enige tijd wordt het programma XP Antivirus 2008, XP Antivirus 2009 en XP AntiVirus aangeboden op bepaalde websites. Er wordt net gedaan alsof dit een antivirus pakket is, maar feit is dat de software compleet nep is. Oudere versies van XP Antivirus installeren bepaalde registersleutels op de PC die lijken op schadelijke bestanden. Vervolgens worden deze sleutels herkend als geïnfecteerde bestanden door de scan van XP Antivirus zelf. Als de gebruiker de “schadelijke bestanden” (in werkelijkheid zijn ze ongevaarlijk) wil verwijderen dan moet de software eerst aangeschaft worden.
Dat is namelijk het doel van de XP Antivirus software: een echte virusscanner imiteren om zo computergebruikers te bewegen tot het aanschaffen van de waardeloze software!
In XP Antivirus 2008 en XP Antivirus 2009 worden geen registersleutels meer aangemaakt door de nepsoftware. In plaats daarvan toont het programma tijdens de scan allerlei nepresultaten, waardoor het lijkt alsof de computer besmet is met talloze virussen en trojans. Ook dan wordt de gebruiker gevraagd om de commerciële versie van de software te kopen, omdat met de testversie de “infecties” zogenaamd niet verwijderd kunnen worden.
De software wekt bij veel mensen de indruk dat het om een legitieme virusscanner gaat. De interface van XP Antivirus ziet er ook behoorlijk professioneel uit, waardoor veel computergebruikers gefopt worden door de oplichters. Zie de onderstaande screenshots.
Screenshots van XP Antivirus 2008 en 2009
Nepwaarschuwingen
Deze nepvirusscanner kan tijdens een scan bepaalde waarschuwingen tonen waadoor het lijkt alsof de computer aangevallen wordt. Voorbeelden van deze teksten zijn:
System files modification alert!
Some critical system files of your computer were modified by malicious program. It may cause system instability and data loss. Click here to block unathorisedmodification by removing threats (Recommended).
Privacy Violation alert!
XP antivirus detected Privacy Violation. Some program is secretly sending your private data to untrusted internet host. Click here to block this activity by removing threats (Recommended).
Deze waarschuwingen zijn bedoeld om angst te zaaien bij de computergebruiker, waardoor hij zich genoodzaakt ziet tot de aanschaf van de software.
XP Antivirus wordt automatisch gestart bij het opstarten van Windows, net als een echte virusscanner.
XP Antivirus, XP Antivirus 2008 en XP AntiVirus 2009 verwijderen
Om deze nep antivirus software te verwijderen, kun je het beste het programma Malwarebytes’ Anti-Malware gebruiken.
Na installatie van Malwarebytes’ Anti-Malware moet je kiezen voor “Perform quick scan”. Dan zal het anti spyware programma zijn werk doen en de computer scannen op de aanwezigheid van spyware en malware. Ook XP Antivirus zal gedetecteerd worden als het goed is. Aan het eind van de scan kun je de gevonden malware selecteren en verwijderen. Vanaf dat moment is de computer weer verlost van XP Antivirus.