Add to collection(s) Add to saved
  1. Wetenschap
  2. Biologie
  3. Virologie

virussen en anti-virusprogramma`s mtso-info 20

advertisement 
VIRUSSEN
EN ANTI-VIRUSPROGRAMMA’S
MTSO-INFO
20
NATHALIE DE REYT
2001
Faculteit PSW – Universiteit Antwerpen
Contact: prof. dr. Dimitri Mortelmans ([email protected])
Tel : +32 (03) 820.28.53
- Fax : +32 (03) 820.28.82
MTSO-INFO
Documenten in de reeks MTSO-INFO werden geschreven door leden van de vakgroep MTSO
(Methoden en Technieken van het Sociaal-Wetenschappelijk Onderzoek) met als doel op een
heldere en eenvoudige manier bepaalde thema's van onderzoeksmethoden en
computergebruik uit te leggen. De thema’s sluiten aan bij analysetechnieken of
softwareprogramma’s die gebruikt worden aan de Faculteit PSW van de Universiteit
Antwerpen.
Vermits sommige documenten door andere leden van de Universiteit Antwerpen of
daarbuiten nuttig kunnen zijn, worden deze gratis online aangeboden op
http://www.ua.ac.be/mtso. Het downloaden en verspreiden van deze documenten is
toegestaan mits correcte bronvermelding.
WAARSCHUWING: De documenten worden slechts sporadisch bijgewerkt. Dit heeft repercussies
voor die documenten die slaan op software. De auteurs hebben niet de bedoeling om bij het
uitkomen van nieuwe versies van programma’s steeds het hele document te herschrijven.
Daarom dient de lezer er rekening mee te houden dat het document steeds slaat op de
softwareversie zoals deze bij het uitkomen van het MTSO-INFO document gangbaar was.
VIRUSSEN EN ANTI-VIRUSPROGRAMMA’S
Inhoud
1 INLEIDING .................................................................................................................................................. 2
2 WAT IS EEN COMPUTERVIRUS? .......................................................................................................... 2
3 GESCHIEDENIS.......................................................................................................................................... 3
4 TECHNISCHE EVOLUTIE ....................................................................................................................... 3
4.1 VORM ...................................................................................................................................................... 3
4.2 VAKMANSCHAP ....................................................................................................................................... 4
4.3 WIJZE VAN BESMETTING .......................................................................................................................... 4
4.4 LADING.................................................................................................................................................... 4
5 SOORTEN .................................................................................................................................................... 4
5.1 LOGISCH VIRUS ........................................................................................................................................ 5
5.2 WORM ..................................................................................................................................................... 5
5.3 GRAP ....................................................................................................................................................... 5
5.4 DROPPER ................................................................................................................................................. 6
5.5 TROJAANS PAARD .................................................................................................................................... 6
5.6 BOOT- OF GEHEUGENVIRUS ..................................................................................................................... 6
5.7 HOAX ...................................................................................................................................................... 7
6 SPYWARE.................................................................................................................................................... 8
7 MCAFEE VIRUSSCAN GEBRUIKEN ..................................................................................................... 9
7.1 OVERZICHT VAN VIRUSSCAN .................................................................................................................. 9
7.1.1
VirusScan................................................................................................................................... 9
7.1.2
VShield..................................................................................................................................... 10
7.2 SCHIJVEN SCANNEN OP VIRUSSEN .......................................................................................................... 11
7.3 VIRUSSCAN UPDATEN ............................................................................................................................ 12
7.3.1
Belang...................................................................................................................................... 12
7.3.2
Handmatig updaten ................................................................................................................. 12
7.3.3
Automatisch updaten ............................................................................................................... 17
7.4 VIRUSINFORMATIEBIBLIOTHEEK............................................................................................................ 19
8 TOT SLOT: ENKELE TIPS ..................................................................................................................... 20
9 BIBLIOGRAFIE ........................................................................................................................................ 21
© MTSO – INFO / UA - FPSW
2
1 Inleiding
Nog niet zo lang geleden konden individuele computergebruikers virusinfecties
eenvoudig voorkomen omdat ze slechts zelden in aanraking kwamen met
mogelijke virusbronnen. Tegenwoordig sturen de meeste computergebruikers
elkaar regelmatig berichten, delen gegevens en brengen bestanden over, of dit nu
via een modem, diskettes, via een netwerk of via het internet is. Bovendien is het
aantal virussen enorm opgelopen en verspreidden zij zich sneller en gemakkelijker
dan ooit. Neem bijvoorbeeld de worm “Melissa”. Dit virus richtte in 1999 voor
miljoenen dollars schade aan. Melissa verspreidde zich via Outlook. Eenmaal
geactiveerd, stuurde Melissa zich automatisch door naar de eerste 50 adressen in
het adresboek. Deze truc stond garant voor een snelle verspreiding. Bovendien
werd Word op de computer besmet. Elke keer dat na de infectie een nieuw Wordbestand opgeslagen werd, stuurde Melissa dit besmette bestand opnieuw naar de
eerste 50 adressen in het adresboek. Melissa begon haar tocht over de wereld op
vrijdag. De maandag daarop waren al meer dan 250.000 computers over de hele
wereld besmet.
Dit voorbeeld toont aan dat het nemen van voorzorgsmaatregelen tegen
computervirussen noodzakelijk is.
2 Wat is een computervirus?
Een virus is een programma dat in staat is zichzelf zonder hulp van buitenaf te
vermenigvuldigen op alle media die het kan bereiken en al dan niet onmiddellijk
een bepaalde taak uitvoert. Meestal is die taak destructief: je harde schijf wordt
gewist of er worden essentiële bestanden vernield.
Hierbij maken we een belangrijk onderscheid tussen virussen die binnen één pc
actief blijven en virussen die ongemerkt worden doorgegeven aan andere pc’s op
een netwerk.
De meest voorkomende oorzaken van computervirusbesmetting zijn:
♦ Contact met een geïnfecteerde computer via directe fysieke weg of via
telecommunicatie.
♦ Het kopiëren van een onbekende schijf die een virusdragend programma
bevat.
♦ Het downloaden van een bestand van het internet.
♦ Het starten van een besmet programma via een netwerk, een schijf of een
diskette.
♦ Besmette software van een verkoper.
♦ Onvoorziene daden van werknemers, collega's, vrienden, kennissen of nog
andere mensen.
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
3
3 Geschiedenis
De eerste virussen doken al in de jaren zestig op. Het ging hierbij om
“gecontroleerde virussen”, die ontwikkeld waren in laboratoria om hun
mogelijkheden te testen. Ze vonden hun weg meestal niet naar buiten. In de jaren
tachtig werd een handvol virussen verspreid door computergebruikers. Ze
infecteerden voornamelijk universiteiten en onderzoekscentra.
In het begin van de jaren negentig zorgden twee ontwikkelingen voor de snelle
verspreiding van virussen. Allereerst was daar de opkomst van internet. Net zoals
vliegtuigen en intercontinentale vluchten verantwoordelijk zijn voor de snelle
verspreiding van biologische virussen, droegen internet en e-mail hun steentje bij
aan de snelle verspreiding van computervirussen. In 81 procent van de gevallen
wordt een virus nu via e-mail verspreid. Daarnaast heeft Microsoft een stevige
vinger in de pap. Zij introduceerden Visual Basic Script (VBS), een
macroprogrammeertaal. Deze maakt het mogelijk om op een snelle en eenvoudige
manier applicaties voor Microsoft Windows te schrijven. “Visual” verwijst naar de
grafische interface van het programma. “Basic” op zijn beurt verwijst naar de
BASIC-taal
(Beginners
All-Purpose
Symbolic
Instruction
Code),
de
programmeertaal zelf.
4 Technische evolutie
In technisch opzicht hebben computervirussen een aantal evolutionaire stappen
gemaakt.
4.1 Vorm
Een virus kan verschillende vormen aannemen. Algemeen kan men een opdeling
maken tussen programmavirussen en macrovirussen.
Een programmavirus besmet programma's. Wordt een besmet programma
gestart, dan komt een kopie van het virus in het werkgeheugen van de computer
terecht en zal elk programma dat daarna wordt geopend ook besmet worden.
Kopieën van deze besmette programma's die vervolgens de wereld worden
ingestuurd, op schijven of via het internet, kunnen dan weer andere PC's en hun
programmabestanden infecteren.
Macrovirussen maken deel uit van documenten. Macro's zijn minuscule
programmaatjes die in een tekstverwerker, een spreadsheet of iets dergelijks
bepaalde reeksen handelingen automatisch uitvoeren. Macrovirussen bestaan niet
uit een binaire code maar uit opdrachten in de scripttaal van Office-toepassingen.
Deze scripttaal is relatief eenvoudig en is door iedereen toepasbaar. Macrovirussen
hoeven niet aan een programma (software) gekoppeld te worden, maar kunnen
ook in een gewoon bestand dat macro’s bevat (bijvoorbeeld een document) zitten.
Voor een virusmaker is het vrij simpel om een macro met een virus te maken. Als
deze macro aan een bestand wordt gekoppeld, is slechts het openen van zo'n
bestand voldoende om het virus te activeren. Besmetting met een macrovirus kan
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
4
dus bijvoorbeeld via e-mail plaatsvinden doordat een besmet bestand als
attachment is meegestuurd. Tegenwoordig komen macrovirussen minder voor.
4.2 Vakmanschap
Deskundigheid en originaliteit zijn niet langer een vereiste voor het maken van
een computervirus. Sinds jaren bestaan er complete toolkits voor het genereren
van computervirussen. Deze toolkits zorgen ervoor dat zelf gebruikers met een
minimum aan kennis op een eenvoudige manier virussen kunnen maken.
Daardoor heeft er een explosie plaatsgevonden van varianten:
van
amateuristische tot professionele virussen. Het zijn vaak de eerste die de meeste
schade kunnen aanrichten, aangezien amateurs vaak moeilijk de gevolgen van
hun creaties kunnen inschatten.
4.3 Wijze van besmetting
Vond besmetting tien jaar geleden vrijwel uitsluitend via diskettes plaats, de
moderne computervirussen prefereren netwerken als transportmedium. Het World
Wide Web en e-mail bieden natuurlijk nieuwe kansen door het massale gebruik
ervan en vanwege het feit dat beide gemaakt zijn om direct informatie met
anderen te delen.
4.4 Lading
Niemand lacht meer om een computervirus. Daarvoor zijn ze te hinderlijk of
schadelijk. Computervirussen zijn daarom ook niet ludiek meer, maar richten in
het gunstigste geval geen extra schade aan. Dat is bijvoorbeeld het geval bij
zogenaamde
“proof
of
concept”
computervirussen;
een
soort
haalbaarheidsstudies. Maar dan wel studies die ten koste van anderen worden
uitgevoerd… Kwaadaardige computervirussen die bijvoorbeeld heel snel uw harde
schijf onbruikbaar maken komen echter regelmatig voor. En de grootste schrik
blijft toch een computervirus dat ongemerkt gegevens manipuleert.
5 Soorten
Computervirussen verspreiden zich door zichzelf vast te maken aan andere
programma's of de opstartsector van een diskette. Wanneer een geïnfecteerd
bestand wordt uitgevoerd of de computer wordt opgestart vanaf een
geïnfecteerde schijf, wordt het virus zelf uitgevoerd. Vaak verbergt het zich in het
geheugen en wacht het tot het volgende programma dat wordt uitgevoerd, kan
besmetten of tot het de volgende schijf die wordt benaderd, kan besmetten.
Bovendien zijn er veel virussen die een gebeurtenis starten, zoals het weergeven
van een bericht op een bepaalde datum of het verwijderen van bestanden,
wanneer het geïnfecteerde programma een bepaald aantal keren is gestart.
Alhoewel sommige van deze gebeurtenissen geen kwaad kunnen (zoals het
weergeven van een bericht), kunnen andere schadelijk zijn. Het grootste deel van
de virussen is onschadelijk. Zij geven alleen berichten of afbeeldingen weer of
doen helemaal niets. Andere virussen zijn vervelend, omdat zij het systeem
vertragen of kleine veranderingen toebrengen aan het scherm. Andere virussen
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
5
zijn echter echt bedreigend, omdat zij het systeem laten vastlopen, bestanden
beschadigen en ervoor zorgen dat u gegevens verliest
Er zijn op dit moment ongeveer 12 000 virussen in omloop. In volgende paragraaf
geven we een korte opsomming van de belangrijkste soorten: logisch virus, worm,
grap, dropper, Trojaans paard, bootvirus en hoax.
5.1 Logisch virus
Een logisch virus is een programma dat niet zozeer een ander programma besmet, maar het eenvoudigweg vervangt door
een kopie van zichzelf met behoud van de oorspronkelijke programmanaam.
Het is vrij gemakkelijk op te sporen omdat het eigenlijke programma niet meer kan werken en omdat doorgaans wel opvalt,
dat de lengte van het programma nogal drastisch ingekrompen werd. Een logisch virus heeft bijna altijd een destructieve
taak: zoveel mogelijk gegevens op de harde schijf vernietigen.
5.2 Worm
Een worm lijkt op een virus omdat het net als een virus zichzelf kopieert zonder hulp van buitenaf. Een worm verschilt van
een virus doordat het geen andere programma's aantast, maar alleen tot doel heeft zoveel mogelijk opslagruimte in beslag
te nemen. Sommige wormen nestelen zich in het werkgeheugen van de computer en vertragen het systeem. Vooral in de
UNIX-wereld komen wormen regelmatig voor: hele netwerken werden hiermee platgegooid.
Voorbeeld: VBS.LoveLetter.A of het “I Love you virus” virus
Dit virus ging grondig te werk. Nadat het e-mail attachment werd geopend, was het leed
nauwelijks nog te overzien. Ten eerste vermenigvuldigde het virus zich door een kopie van zichzelf
naar alle contactpersonen in het adresboek te versturen. Deze dachten een leuk mailtje van een
bekende te krijgen en openden massaal het bericht.
Windows verbergt in de standaardinstelling de extensie VBS. De virusmaker heeft deze dubieuze
functionaliteit in Windows uitgebuit door in de bestandsnaam TXT op te nemen. Wie het virus
ontving, dacht hierdoor dat het een onschuldig tekstbestand betreft. In werkelijkheid ging het om
een zeer schadelijke programmaroutine in Visual Basic Script dat onmiddellijk aan het werk ging.
Het virus veranderde van alles op de computer (bv. de startpagina). Er werden ongevraagd
programma's gedownload. Verder werden er allerlei bestanden (MP3, CSS, JPG, etc.) aangepast,
hernoemd tot een VBS-bestand en onbruikbaar gemaakt.
5.3 Grap
Een grap kán maar hóeft geen virus te zijn. Zoals de naam al aangeeft, worden
grappen vervaardigd met de bedoeling op de lachspieren te werken. Ze zijn dan
ook niet destructief. Het is trouwens mogelijk dat de grap wel lollig is voor de
auteur, maar dat je er zelf niet zo mee kunt lachen. We denken hierbij
bijvoorbeeld aan grappen die de letters over het scherm heen en weer doen
dansen. Een paar keer is dat wel leuk, maar dan wordt het toch al snel erg
vervelend.
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
6
5.4 Dropper
Een dropper is een speciaal geval. Dat is een programma dat zelf geen acties
onderneemt om je systeem te ondermijnen, maar dat alleen tot taak heeft een
virus achter te laten op je systeem. De dropper is speciaal ontworpen om detectie
bij standaard anti-virusprogramma’s te voorkomen. De bedoeling hiervan is om
het opsporen van het eigenlijke virus moeilijker te maken omdat het destructieve
gedeelte van het kopieergedeelte gescheiden werd.
5.5 Trojaans paard
In tegenstelling tot een virus, dat zich willekeurig vermenigvuldigt, kopieert een Trojaans paard zichzelf alleen als die actie
past binnen zijn opdracht. Op die manier neemt het stap voor stap je computer of zelfs een heel netwerk over, totdat het
arriveert op de plaats waar het zijn (meestal vernietigende) taak moet uitvoeren. Dit virus verleent zichzelf toegang tot een
computer via een internetverbinding. Eenmaal gearriveerd wacht een Trojaans paard op een speciale gebeurtenis, een
`trigger', om in actie te treden. Een Trojaans paard is zelfs in staat om zijn eigen sporen uit te wissen zodat het ongezien
zijn vernietigende invloed uitoefent. Een virus zal vroeg of laat opvallen, een Trojaans paard kan lange tijd onopgemerkt
blijven. In netwerken is een infectie met een Trojaans paard meestal fataal.
Voorbeeld: Back Orifice 2000 (afgekort BO2K)
BO2K werd ontworpen als een back door-programma. Het nestelde zich op de harde schijf en liet
een achterdeurtje open voor cyberinsluipers. Hierdoor bestond het risico dat men het per ongeluk
installeerde. Het kon zich verstoppen in onschuldig ogende attachments zoals een digitale
postkaart of een Word-document. Bijgevolg werden onbevoegden in staat gesteld om volledige
controle te krijgen over netwerken met de besturingssystemen Windows 95, 98 en NT van
Microsoft. De PC werd open gezet voor de buitenwereld. Het stuurde zelf een waarschuwing naar
het IRC-kanaal #bo_owned, zodat de hele wereld kan zien dat er een besmette PC openstond.
Gegevens wissen, bedrijfsgeheimen stelen of bijvoorbeeld kinderporno of virussen op de harde
schijf zetten, werden op deze manier mogelijk.
De makers van BO2K schreven dit het programma om de computerwereld bewust te maken van
beveiligingsproblemen in Microsoftproducten.
5.6 Boot- of geheugenvirus
Een bootvirus is een programma dat de inhoud van de bootsector vervangt.
Wanneer een virus zich in de bootsector plaatst, zal het automatisch als eerste
opgestart worden. Als het virus is opgestart, zorgt het er automatisch voor dat het
originele bootprogramma (dat zich nu op een andere locatie bevindt) opgestart
wordt, zodat het virus niet opvalt. Het virus heeft zich echter wel in het geheugen
geplaatst. Als er nu toegang tot een diskette vastgesteld wordt, zal het virus zich
automatisch in het opstartbereik van de diskette plaatsen. Door de opkomst van
de CD-ROM komen de bootsvirussen minder voor.
Bootvirussen zijn geheugenresident. Dit betekent dat ze zich bij de start van de
computer in het geheugen nestelen en van daaruit op een gelegenheid wachten
om zich te verspreiden. Dit verspreiden gebeurt wanneer het bootvirus ziet dat er
toegang is tot een diskette.
♦ Als de bootsector geïnfecteerd is, wordt het virus automatisch geladen vanaf
de start van de computer.
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
7
♦ Het virus installeert zich in het werkgeheugen van de computer.
♦ In dit geheugen blijft het wachten en controleert het alle activiteiten.
♦ Wanneer de toegang tot een diskette wordt vastgesteld, kopieert het
bootvirus zich in het opstartbereik van deze diskette.
♦ Zo wordt de diskette geïnfecteerd en kan het virus zich verplaatsen naar een
andere computer.
Het is aangeraden om het opstarten via een opstartdiskette zoveel mogelijk te
vermijden. Zorg er steeds voor dat u uw diskette uit uw computer haalt op het
moment dat u het niet meer nodig heeft. Maak een opstartdiskette van uw
computer op het moment dat u zeker weet dat er geen virus op uw systeem staat.
Beveilig deze diskette tegen schrijven door het vierkante lipje onderaan de
diskette open te schuiven (zodat je er door kan kijken). Wanneer uw computer
dan toch eens geïnfecteerd geraakt, kan u vanaf deze bootdiskette opstarten
zodat het virus niet actief wordt.
5.7 Hoax
Op het Internet is een vrijwel constante stroom aanwezig van berichten waarin
wordt gewaarschuwd voor virussen. Niet zelden wordt in zulke waarschuwingen
ook expliciet gevraagd deze aan zoveel mogelijk anderen door te geven. Men kan
het misschien het best vergelijken met een kettingbrief. Tussen de
waarschuwingen voor echte virussen bevinden zich echter ook tal van
zogenaamde hoaxes, ofwel valse meldingen over niet bestaande, door
grappenmakers verzonnen virussen. Deze nepvirussen zullen dus geen bestanden
verminken of wissen en ook het computersysteem blijft onaangetast. Maar
ondanks hun onschuldige karakter zorgen valse meldingen over virussen wel
degelijk voor overlast. Zo overbelasten ze het netwerk. Bovendien bestaat het
gevaar dat de gebruiker echte virusmeldingen zal gaan negeren.
Er zijn verschillende methoden om hoaxes van echte virusalerts te onderscheiden.
Voor een goed begrip daarvan is het noodzakelijk te kijken naar de twee
kenmerken die het succes van een hoax bepalen. Dit zijn technisch klinkend
taalgebruik en geassocieerde geloofwaardigheid. Als in een melding over een
vermeend virus het juiste technisch jargon wordt gehanteerd, zullen veel
gebruikers, ook als zij technisch onderlegd zijn, geneigd zijn te geloven dat het
bericht waar is. De geloofwaardigheid van een virusmelding wordt voor een deel
bepaald door het gehanteerde jargon. De geloofwaardigheid die door een valse
virusmelding wordt gewekt, hangt daarnaast ook samen met de status van de
persoon of instantie die het bericht doorgaf.
Ga dus eerst na of de melding bovengenoemde kenmerken vertoont. Daarnaast
zijn er nog andere tekenen die kenmerkend zijn voor een valse virusmelding. Bij
gebruikers die een waarschuwing over een virus ontvangen moet al een lampje
gaan branden als hen in de melding geadviseerd worden dit bericht aan al hun
vrienden door te geven. Zo'n advies moet NOOIT worden opgevolgd. Bij twijfel
raadpleegt men best de site van McAfee (http://vil.mcafee.com/hoax.asp). Eventueel
kan men een medewerker van de werkgroep MTSO aanspreken.
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
8
Voorbeeld AOL4FREE
Dit is een goed voorbeeld waar mensen een "HOAX" hebben gebruikt om een echt virus te
creëren. Oorspronkelijk ging het om een bericht met betrekking tot een gevaarlijke virus dat
eigenlijk niet bestond. Maar zodra deze "Hoax" op grote schaal verspreid werd en het bekend was
dat het om een grap ging, is iemand een vernietigend virus beginnen te verspreiden als
attachment bij het originele waarschuwingsbericht.
Voorbeeld Big Brother
Dit is een voorbeeld van een hoax die in 2000 een tijdje in Nederland heeft rond gecirculeerd.
SUBJECT: FW: NIEUW VIRUS
PAS OP VOOR BIG BROTHER VIRUS!!!!
WANNEER JE EEN MAILTJE KRIJGT MET ALS TITEL: “BIG BROTHER 2, DE EERSTE NAAKTFOTO’S, OPEN DIT DAN NIET,
WANT HET BEVAT EEN VIRUS. IN DIT BERICHT STAAT DAT DE BIJLAGE FOTO’S BEVAT VAN TWEE BB-BEWONERS
SAMEN NAAKT ONDER DE DOUCHE. ALS JE DE BIJLAGE OPENT KRIJG JE INDERDAAD EEN FOTO TE ZIEN, MAAR DIT IS
DUIDELIJK EEN TRUCAGE FOTO.
MERK JE OP DAT MOMENT HELEMAAL NIETS. SLUIT JE ECHTER JE COMPUTER AF EN START JE LATER WEER
OPNIEUW OP, DAN NESTELT HET VIRUS ZICH IN JE SYSTEEM. IN HET REGISTER WORDEN DINGEN GEWIJZIGD EN IN
MSCONFIG WORDEN EEN AANTAL ZAKEN OVERSCHREVEN. OP HET MOMENT DAT JE WEER ONLINE GAAT WORDEN PER
E-MAIL ALLE OP JE PC IN GEBRUIK ZIJNDE LOGIN-NAMEN EN BIJHORENDE WACHTWOORDEN VAN JE
INTERNETVERBINDING NAAR EEN ONBEKEND E-MAIL ADRES GESTUURD. DIRECT HIERNA BEGINT HET VIRUS JE HARDE
SCHIJF TE WISSEN.
VERDER
DIVERSE ANTI-VIRUS SOFTWARE LEVERANCIERS, WAARONDER MCAFEE, ZIJN INMIDDELS OP DE HOOGTE VAN DIT
NIEUWE VIRUS EN ZIJN DRUK DOENDE OM HUN SOFTWARE AAN TE PASSEN. MOMENTEEL WORDT HET VIRUS NIET
DOOR HUN SOFTWARE HERKEND. WEES DUS EXTRA ALERT DE KOMENDE TIJD EN WAARSCHUW VRIENDEN/BEKENDEN,
ZODAT ZO MIN MOGELIJK MENSEN DE DUPE WORDEN VAN DIT HARDNEKKIGE VIRUS.
6 Spyware
Het aanbod van gratis software lijkt soms overweldigend. Achter veel van deze
programma's gaan zogenaamde spyware-applicaties schuil, kleine programma's
die ongevraagd en achter je rug informatie doorsturen over het surfgedrag of je
lastig vallen met reclamebanners.
Programma’s als Audio Galaxy en iMesh ontworpen om MP3’s te downloaden, installeren applicaties die een loopje nemen
met het recht op privacy. Daarbij worden gegevens over het surfgedrag doorgegeven, en advertenties en data gedownload.
Zelden wordt er bij de installatie van spyware toestemming gevraagd aan de gebruiker. Los van mogelijke
privacyschendingen, zijn er nog de factoren bandbreedte en systeemstabiliteit. Sommige spyware stuurt zoveel data door
dat het je surfsnelheid aantast. Ze nemen kostbaar systeemgeheugen in beslag en draaien vaak zonder dat de gebruiker
het weet. Heel de tijd wordt het surfgedrag bijgehouden en gecatalogeerd.
Spyware kan trouwens niet enkel via het internet op je pc terechtkomen. Er zijn
gevallen bekend waarbij spyware, ingebakken zit in de software en meegeleverd
wordt bij bepaalde stukken hardware.
Spyware kan men opsporen met Ad-Aware van Lavasoft. Dit programma scant
niet enkel niet enkel de harde schijf, maar tevens het geheugen van de pc. Meer
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
9
informatie omtrent Ad-Aware en het scannen op spyware, kan u lezen in MTSOINFO EXTRA 8.
7 McAfee VirusScan gebruiken
Een veilige computeromgeving onderhouden, betekent regelmatig scannen op
virussen. Afhankelijk van de mate waarin men diskettes met anderen uitwisselt,
bestanden via een lokaal netwerk gebruikt of met andere computers via internet
communiceert, kan dit variëren van één keer per maand tot zelfs enkele malen per
dag. Een andere goede gewoonte is altijd te scannen voordat u een reservekopie
van uw gegevens maakt, voordat u nieuwe programma's installeert of bestaande
programma's bijwerkt.
McAfee VirusScan is een programma dat in staat is om permanent naar virussen te
scannen. Programma's, e-mails, gedownloade bestanden en actieve componenten
van webpagina's worden voortdurend in het oog gehouden.
7.1 Overzicht van VirusScan
De anti-virusproducten van McAfee beschikken over twee algemene methoden
voor de beveiliging van het systeem. De eerste methode is scannen op de
achtergrond. Hierbij wordt de computer voortdurend gecontroleerd op de
aanwezigheid van virussen, terwijl u de computer gewoon kunt gebruiken. Bij
VirusScan wordt deze taak uitgevoerd door de VShield-scanner. De tweede
methode houdt in dat u uw eigen scanbewerkingen kunt starten. Deze
bewerkingen worden in principe door de toepassing VirusScan uitgevoerd.
7.1.1 VirusScan
U kunt VShield (cfr. 5.1.2) gebruiken om het geheugen van de computer te
scannen en om het systeem te bewaken tussen de opeenvolgende
scanbewerkingen. Onder normale omstandigheden is dit voldoende om de
integriteit van het systeem te garanderen. Maar een goede bescherming en
beveiliging tegen virussen vereist regelmatig een complete scan van het systeem,
want:
♦ Bij scannen op de achtergrond worden bestanden gecontroleerd wanneer ze
worden uitgevoerd. Met VShield zoekt u naar viruscodes zodra er uitvoerbare
bestanden worden gestart of van een diskette worden gelezen, maar met
VirusScan zoekt u ook naar viruscodes in bestanden die op de vaste schijf
zijn opgeslagen. Als u een geïnfecteerd bestand maar zelden start, bestaat
de kans dat u met VShield de virusinfectie pas ontdekt nadat het virus zijn
werk al heeft gedaan. Met VirusScan kunt u echter ook virussen opsporen die
nog niet zijn geactiveerd.
♦ Virussen zijn slim ontworpen. Als men een diskette in het diskettestation
achterlaat terwijl de computer opstart, kan er een virus in het geheugen
worden geladen voordat VShield wordt gestart, met name als VShield niet is
ingesteld om diskettes te scannen. Een virus dat in het geheugen aanwezig
is, kan vrijwel elk programma infecteren, zelfs VShield.
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
10
♦ Als het op de achtergrond scannen tijdelijk is uitgeschakeld door een
softwareconflict of als het scannen niet is ingeschakeld voor een bepaalde,
kwetsbare ingang tot het systeem, kan de computer worden geïnfecteerd
door een virus. Door regelmatig te scannen, kunt u virussen onderscheppen
voordat deze schade veroorzaken.
7.1.2 VShield
De VShield-scanner beschikt over een aantal mogelijkheden, waardoor het
programma naadloos wordt geïntegreerd in het uitgebreide antivirusprogramma
van VirusScan:
♦ Bij toegang scannen: Bij deze optie worden de bestanden die u opent,
kopieert, opslaat of op andere wijze wijzigt en de bestanden die u vanaf
diskette of het netwerk leest of ernaar schrijft, gescand. De VShield-scanner
kan zo ingesteld worden dat deze niet alleen fungeert als primaire
antivirusbeveiliging, maar ook tussentijdse bescherming biedt tussen elke
uitgevoerde scanbewerking. Virussen in het geheugen worden ontdekt zodra
een poging wordt gedaan deze vanuit geïnfecteerde bestanden uit te voeren.
♦ Detecteren en blokkeren van schadelijke objecten: Schadelijke
ActiveX- en Java-objecten worden geblokkeerd voordat zij het systeem
bereiken en een bedreiging kunnen vormen.
♦ Filteren van internetsites: De VShield-scanner bevat een lijst met
onbetrouwbare websites en internetsites die een bedreiging voor het
systeem kunnen vormen, meestal in de vorm van schadelijke software.
♦ Automatische uitvoering: De VShield-scanner is geïntegreerd met
verschillende browser-software en e-mailtoepassingen. Op die manier kan de
scanner worden aangemeld en de e-mailbijlagen scannen op virussen
voordat deze de kans krijgen het systeem binnen te dringen.
De VShield-scanner bestaat uit vijf aan elkaar verwante modules die elk een specifieke functie hebben:
♦ Systeemscan: Deze module wordt gebruikt voor het zoeken naar virussen
op de vaste schijf. Daarnaast scant deze module ook diskettes en
netwerkstations die met het systeem verbonden zijn.
♦ E-Mailscan: Deze module wordt gebruikt voor het scannen van emailberichten en attachments.
♦ Downloadscan: Deze module wordt gebruikt voor het scannen van
gedownloade bestanden.
♦ Internetfilter: Deze module wordt gebruikt voor het zoeken naar, en
blokkeren van, schadelijke Java-klassen en ActiveX-besturingselementen.
Bovendien kan met deze module de browser worden geblokkeerd zodat er
geen verbinding wordt gemaakt met onbetrouwbare internetsites die
schadelijke software bevatten.
♦ HAWK: HAWK (Hostile Activity Watch Kernel) houdt in de gaten of er op de
computer geen verdachte activiteiten plaatsvinden die erop kunnen wijzen
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
11
dat het systeem is geïnfecteerd. In tegenstelling tot VirusScan, dat virussen
onschadelijk maakt, zorgt HAWK ervoor dat virussen, wormen en Trojaanse
paarden zich niet verder kunnen verspreiden.
♦
Beveiliging: Deze module wordt gebruikt voor het instellen van wachtwoordbeveiliging voor de overige modules
van VShield.
7.2 Schijven scannen op virussen
Klik in het Snelstart menu op Nu Scannen. Vervolgens moet men bepalen welke
schijf men wil scannen op virussen, neem bijvoorbeeld een diskette. Selecteer de
A:-schijf en klik onderaan het scherm op de knop Scannen.
VirusScan geeft de voortgang van het scanproces aan. Wanneer er geïnfecteerde
bestanden gevonden werden, geeft men dit aan in de kader Geïnfecteerde
bestanden beheren. Daar kan men kiezen wat men met de bestanden kan
doen:
♦ Opschonen: Als u deze optie selecteert, wordt de viruscode uit een
geïnfecteerd bestand verwijderd zodra deze is gevonden. Als het virus niet
kan worden verwijderd, wordt de toegang tot het bestand geweigerd en
wordt de gebeurtenis in het logboekbestand vermeld.
♦ Verwijderen: Kies deze optie als u geïnfecteerde bestanden wil laten
verwijderen zodra deze worden gevonden. Zorg ervoor dat u de rapportoptie
hebt geselecteerd, zodat u beschikt over een overzicht van de bestanden die
zijn verwijderd. U zult de verwijderde bestanden met behulp van een eerder
gemaakte reservekopie moeten herstellen. Als het geïnfecteerde bestand niet
kan worden verwijderd, wordt dit in het logboekbestand vermeld.
♦ Info
♦ Quarantaine: u kan geïnfecteerde bestanden verplaatsen naar een
quarantainemap. Hierdoor worden geïnfecteerde bestanden afgeschermd van
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
12
gebieden waar ze kunnen worden geopend en kunt u de bestanden
opschonen of verwijderen op een moment dat u dat gelegen komt.
7.3 VirusScan updaten
7.3.1 Belang
Elke maand komen er meer dan 200 nieuwe virussen bij. Deze nieuwe virussen
kunnen vaak niet worden gedetecteerd door oudere gegevensbestanden. Eenmaal
je McAfee VirusScan geïnstalleerd hebt (lees MTSO-Info Extra 8), komt het er dus
op aan dit programma ook REGELMATIG te updaten. Dat kan handmatig of
automatisch gebeuren.
7.3.2 Handmatig updaten
Open Internet Explorer en ga naar het volgend adres: www.mcafee.com1.
1
De screenshots zijn gebaseerd op de website van McAfee in december 2001. Ondertussen kan
deze er al anders uitzien. Het principe blijft natuurlijk hetzelfde.
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
13
Klik in het scherm Downloads aan.
Blader in dit scherm naar beneden en kies in het menu Anti-virus updates voor
VirusScan 4.03 or higher. Als deze keuze in het venstertje geselecteerd is, kies
dan voor GO.
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
14
Volgend scherm verschijnt dan:
Klik op de knop Download om het downloaden van de nieuwe versie te starten.
Als het downloadvenster verschijnt, klik dan op OK:
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
15
Kies in het venster om het bestand op te slaan in C:\Temp. Dan is het later snel
en eenvoudig terug te vinden:
Klik op Opslaan om het downloaden te starten.
Als het downloaden voltooid is, zal Windows het downloadvenster sluiten (soms
moet je dat handmatig doen).
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
16
Start nu Verkenner op en ga naar de map Temp.
Dubbelklik op het bestand dat je net hebt gedownload om de update te starten.
Klik op Volgende om verder te gaan met de installatie.
Als de installatie voltooid (en gelukt) is, krijg je volgend scherm:
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
17
Klik om Voltooien om het programma af te sluiten. Soms zal gevraagd worden
om de computer te herstarten. De update is nu volledig uitgevoerd.
7.3.3 Automatisch updaten
Ga in de systeembalk naar het symbool van McAfee. Dubbelklik en je krijgt het
volgende scherm. In dit scherm klik je op Zoeken naar een update van
VirusScan.
McAfee gaat dan op zoek naar de laatste update. Indien deze beschikbaar is, vink
deze update aan en klik op Bijwerken.
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
18
McAfee start dan met downloaden.
Mcafee geeft aan wanneer het downloaden is geslaagd. Druk op OK. We raden
wel aan je computer opnieuw op te starten zodat de nieuwe VirusScan optimaal
kan werken.
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
19
Opmerking: McAfee geeft zelf aan wanneer er een nieuwe versie van VirusScan
kan gedownload worden. Je ziet dan in je takenbalk een icoontje van McAfee
verschijnen.
Wanneer dit icoontje verschijnt is je virusscanner DRINGEND aan updating toe.
Pas in dat geval bovenstaande update procedure toe.
7.4 Virusinformatiebibliotheek
Wanneer men in het startmenu de optie Virusinformatiebibliotheek aanklikt,
wordt er automatisch een link gelegd met de website McAfee AVERT (Anti-Virus
Emergency Response Team).
Op deze website vindt men actuele informatie over bekende virussen en hun
symptomen en kunt u tevens bijgewerkte DAT-bestanden (bestanden met
antivirushandtekeningen) downloaden.
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
20
8 Tot slot: enkele tips
♦ Wees altijd op je hoede, ook al lijkt de afzender of bron te vertrouwen.
♦ Update regelmatig je antivirus-programma.
♦ Verhoog de veiligheidsgraad van de software die u gebruikt om te surfen
(Internet Explorer, NetScape, etc) via de opties van deze programma's.
♦ Voer regelmatig een back-up uit van de informatie die op de computer staat
(zie MTSO-INFO 19).
♦ Open geen verdachte attachment files of attachments die door een
onbekende afzender werden verstuurd. Het is belangrijk dat de
bestandsextensies (.exe, .com, .doc, enz.) leesbaar zijn2.
Men kan dit zelf instellen. Open Windows Verkenner. Klik in de menubalk
Extra op Mapopties. Kies het tabblad Weergave en klik de instelling
Bestandsextensies verbergen voor bekende bestandstypes af. Druk
op OK.
2
Volgende truc wordt regelmatig door virusmakers gehanteerd: Een virus heeft soms de extensie
.vbs. Dat is een Visual Basic Script dat automatisch uitgevoerd kan worden en de pc kan
besmetten. Virusmakers geven hun virusbestand dan de naam xxx.jpg.vbs Als de optie
“Extensies verbergen” opstaat dan krijgt de gebruiker enkel xxx.jpg te zien en dan denkt hij dat
het een tekening of foto is in het JPG-formaat (wat een heel gangbaar en onschuldig grafisch
formaat is). Enkel door de opties “extensies verbergen” uit te schakelen krijgt de gebruiker de
volledige bestandsnaam te zien en merkt hij dat het niet een jpg-bestand maar een vbsbestand is dat waarschijnlijk een virus bevat.
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
21
9 Bibliografie
Site
Site
Site
Site
Site
Site
Site
Site
Site
Site
Anti Virus Power Controls : http://www.antiviruspowercontrols.com
Anti Viral Toolkit Pro: http://www.avp.ch/avpve/entry/entry2.htm#1-2
BIPT: http://www.bipt.be/bipt.htm
Computer Knowledge: http://www.cknow.com/vtutor/vtintro.htm
Decursor: http://www.decursor.be/On-line/Virussen/
Diskidee: http://www.diskidee.nl/cursus/cursus45.html
Hoax Info: http://hoaxinfo.com/vprotect.htm
McAfee: http://www.mcafee.com
Microsoft: http://www.microsoft.com
Webwereld: http://www.webwereld.nl/bijlage/01_19_d/3.phtml
© MTSO–INFO / UA–FPSW - http://www.ua.ac.be/mtso/
Related documents
Virussen
Virussen
les 2 mediawijsheid
les 2 mediawijsheid
Omgaan met conflicten
Omgaan met conflicten
Biosenz - Stichting Fondsbeheer Gelderland valoriseert
Biosenz - Stichting Fondsbeheer Gelderland valoriseert
Examenvragen_virologie
Examenvragen_virologie
Opdracht Virus verhaal met indeling Zwolle
Opdracht Virus verhaal met indeling Zwolle
Virale_Infecties_2016
Virale_Infecties_2016
Protocol wat te doen bij prik- , spat- snij- en
Protocol wat te doen bij prik- , spat- snij- en
Vragen over de “VIRUS” - theorie
Vragen over de “VIRUS” - theorie
Waarom Innocid® DW-i 20 toepassen Waar Innocid
Waarom Innocid® DW-i 20 toepassen Waar Innocid
van oncolytische virussen naar oncolytische vaccins
van oncolytische virussen naar oncolytische vaccins
Download
advertisement