WATERGEEST

dagboek van een early vutter

Sinowal / MBroot infectie blijkt leerzame ervaring, en ook nog lekker

Een reactie plaatsen

Enige dagen geleden vroeg een buurman of ik eens naar zijn pc wilde kijken. Dat wilde ik wel, want hij heeft soms boeiende virussen, die ik op mijn eigen pc zelden binnenkrijg. Deze keer was zijn probleem dat advertenties zijn beeld wegdrukten. Ik begon met het updaten van zijn MalwareBytes software, maar een scan leverde niets op. Ik pakte mijn usb-stick, waarop ik wat standaard spulletjes heb staan, zoals Mcafee rootkitremover. Die vond niks. Voor alle zekerheid heb ik Housecall van Trendmicro aangeroepen. Die vond wel een paar trojaantjes, maar niets wat op adware leek. Bij het opnieuw opstarten van de pc zag ik iets raars, er verdwenen icoontje uit de system-tray (dat vakje rechtsonder in je scherm). Achteraf bleek het normaal, maar ik werd wantrouwig. Ik tikte de websiteadressen in van Norton en Mcafee, bekende virusbestrijders. Internet Explorer kon de sites niet vinden. Met normale sites zoals bijv. buienradar, werkte alles wel.
Alle drie mijn computernerdharen stonden nu overeind. Op mijn eigen pc laadde ik mijn usb-stick vol met alle mogelijke rootkit bestrijders. Voor de niet-ingewijde leek: een rootkit is een virus dat zich nestelt in de zgn. bootsector en van daaruit heel de pc voorgoed beheerst. De eerste analyse liet zien dat er een onbekende rootkit in de bootsector zat. De volgende tool noemde het beestje bij naam: Sinowal/MBroot. virushazardAlle alarmbellen stonden nu op maximum. Zodra de buren thuiswaren heb ik gevraagd om op mijn pc het wachtwoord van hun internetbankieren te wijzigen. Want Sinowal is er bij uitstek voor bedoeld om jouw inlogcode en wachtwoord naar maffiose servers te sturen. Gelukkig was hun geld er nog. Opeenvolgende tools brachten steeds meer besmettingen aan het licht. Gelukkig ook de adware besmetting waar het mee begonnen was: direct of indirect veroorzaakt door iets met de naam Browser Companion.
Na een dag ontsmetten vond ik nog steeds sporen van Sinowal. Tijd voor zwaarder geschut. Ik zocht op het internet naar een zogenaamde rescuedisk. Dat is een disk met een ander operating system en een virusscanner, zodat Sinowal niet meer actief kan worden bij het starten van de pc. Gelukkig zijn er een heleboel van dat soort rescue-cd’s. Ik heb die van AVG gebruikt. Andere rescue-disks zijn die van F-secure, Comodo en Kaspersky. Als je maar minstens twee verschillende cd’s achter de hand hebt. Let er wel op dat de disk echt van een betrouwbare leverancier is. Want er zijn ook nep disks in omloop. Een ding nog: rescue-cd’s zijn erg grondig, het scannen van 125 Gb duurde zes uur.
Wat hebben we geleerd, vraag je jezelf dan na twee dagen af. Nou, een heleboel. Bijv. hoe moeilijk het is om rootkits te ontdekken en hoe weinig de normale virusscanners er tegen kunnen uitrichten. En dat het belangrijk is om de drie gevaarlijke verleidingen te weerstaan: 1) Gratis hulpmiddeltjes, zoals toolbars, die je worden aangeboden door een site. Trap er niet in. 2) Oplichtende schermpjes die zeggen dat je een virus hebt, op deze knop drukken om het te verwijderen. Of dat je een prijs gewonnen hebt, echt waar, klik hier. Nooit doen. 3) Een mailtje van iemand die je kent met een link als: “Look what Pamela Anderson (naked) is doing with her horse”. Bel die persoon maar op en vraag of ie echt dat mailtje heeft gestuurd. Nu denk ik niet dat de buren zelf in deze verleiders zijn getrapt. Maar er zitten weleens kleinkinderen achter hun pc. En dat is nou zo gek, kinderen zijn wantrouwig als de pest als je zegt dat spinazie goed voor ze is, maar alle rottigheid, daar trappen zij met open ogen in.
Niet alleen was dit weer een leerzaam ervaring, ik hield er ook een doos bonbons plus een goede fles wijn aan over. Waarvoor dank.

Advertenties

Heb je zelf een mening? Geef hem hier!

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s