Anti virus info

 

50 % besmet
Wie maken en sturen virussen
Welke versie heb ik

Antivirus en Anti SPAM

Laatste nieuws: 50 procent van alle Nederlanders heeft al eens een virus ontvangen, het artikel

Op deze plaats heb ik veel informatie samengebracht, eigenlijk als reactie op veel vragen die mij bereiken. Lees eerst een deze info door. Het is mijn persoonlijke mening gebaseerd op alle informatie die mij ter ore en onder ogen komt, doorgelicht met mijn vakkennis en geprobeerd om dit in duidelijke taal neer te zetten.

Inleiding

Op internet moet je je net zo gedragen als we kleine kinderen vertellen hoe ze zich op straat moeten gedragen: geen snoepjes aannemen van vreemden. Met moderne partydrugs is het al net zo. Volgens de laatste cijfers heeft 1 op de drie Nederlanders in 2002 een virus op de computer gehad. Het vermoeden is zelfs dat het aantal nog veel hoger ligt. Dus: luister even naar goede raad en doe verstandig.......

Bijlages in email 

Op internet houdt dit in dat toegestuurde bijlages altijd met grote zorg moeten worden bekeken, en meegestuurde programma's (.EXE , .COM , . BAT , .PIF of .VBS) nooit en dan ook nooit moeten worden geopend, tenzij u heeft afgesproken dat u die bestanden zou krijgen. De afzender kan bij email zeer eenvoudig worden verdoezeld, of worden vervangen door een andere persoon (zie hierna). Dit is echt peanuts, dus als de afzender een goede bekende is, hoeft dit niet beslist zo te zijn!

Bij de nieuwere versie van Internet Explorer zoals versie 6 is dit gezien als veiligheidspunt dus staat het kunnen openen en opslaan van bestanden als EXE of COM standaard geblokkeerd. Via een eenvoudig vinkje is dit zo uit te schakelen en meteen is er dus weer het risico!. Vertrouw niet zonder meer op je virusscanner want als ik binnen 10 minuten een programma kan schrijven die bestanden op je computer kan wissen dan kan een ander het ook (en sneller!). Als ik mijn vers-geschreven programma vervolgens stuur aan iemand die ik kwaad wil doen, dan is er geen virusscanner die daar tegen helpt. Bovendien: als mijn programma zichzelf niet verder verspreid dan is het zelfs geen virus volgens de definitie.... dus zal het in principe ook nooit opgenomen worden in de virusdefinities.

Windows Update gebruiken?

Door stomme fouten in de code van Microsoft (en anderen) kan het bovendien gebeuren dat schijnbaar onschuldige bijlages met extensie als MP3 toch als uitvoerbaar bestand wordt gestart. Dit gedrag is door vandalen aangegrepen om speciaal gemaakte emails te sturen om hiermee je beveiliging te doorbreken.
Elke gerapporteerde fout wordt uiteindelijk (hopen we) door M$ uit de code verwijderd en dat gecorrigeerde bestand krijg je dan bij een Windows Update sessie op je PC geïnstalleerd als je ervoor kiest. Zelfs als je Internet Explorer nooit gebruikt bedenk je dan dat veel code van IE ook wordt gebruikt bij bijvoorbeeld  Outlook Express en andersom: dezelfde DLL wordt bij beide gebruik....

Dus werk je Windows regelmatig bij door naar Windows Update te gaan en in ieder geval de snelle update te doen. Wil je meer controle over wat M$ nu weer uitspookt op je machine, kies dan voor AANGEPAST. Dan kun je wellicht ook voorkomen dat M$ ineens allerlei extra controles op legale versies en zo op je machine installeert (WGA genoemd) om iets te noemen, onder de noemer van 'veiligheid'. 

Mail van Microsoft

Sinds september 2003 worden er mails ontvangen die afkomstig lijken te zijn van de firma Microsoft, met een bijlage. Teksten proberen u te verleiden de bijlage te openen, waarna u een virus op uw computer heeft. Microsoft heeft nog NOOIT een bijlage gestuurd aan een gebruiker en zal dat ook nooit doen. Microsoft heeft daarnaast bij mijn weten nooit spontaan gebruikers benaderd om hen te wijzen op fouten in de software. Alleen personen die zich abonneren op mailings van hen, krijgen info toegestuurd, maar daarbij is eigenlijk nooit een spontaan toegegeven zwakheid of onvolkomendheid vermeld. Wel de nieuwste programmatuur die u kunt kopen......Ook M$ verkoopt liever nieuwe producten, liever dan spontaan fouten in oude toe te geven of op te biechten. 

Maar de email is van Microsoft, Gill Bates, Balkenende.... noem maar op!

Tja, als ik nu een envelope zou pakken, er jouw adres op schrijf en als afzender op de achterkant een beroemde naam zet. Gelooft u dan meteen dat die inderdaad van die persoon komt? Meestal niet, maar als iemand een email van diezelfde naam lijkt te krijgen, dan gelooft een deel van de bevolking het wèl..... Zeker met een leuk logootje (zelf gekopieerd van een website). 
Weer even een voorbeeld: als ik je een email wil sturen als Gill Bates, dan kost me dat om een onervaren internetter voor de gek te houden eenmalig hooguit tien minuten (ruim gerekend). Om een wat doorgewinterde internetter voor het lapje te houden kost het iets meer tijd. 

Bijlages 2

Daarom: wantrouw meegestuurde programma's en al helemaal mailtjes waarbij u ongevraagd allerlei handige tooltjes krijgt om uw computer te controleren of bestand te maken tegen virussen. Alleen een link naar een bekend bedrijf, alwaar u bij het bedrijf zelf de informatie ophaalt (download), kunt u evenzeer vertrouwen als u het bedrijf kan vertrouwen. Bekende speler is bijvoorbeeld Symantec of McAffee, nu onderdeel van NAI.

Updaten, niet alleen bij de RABO

Enneh...nog het belangrijkste: een aantal virussen gebruiken beveiligingsfouten van Internet Explorer om je computer te besmetten. Zonder dat je mailtje zelf hoeft te openen, wordt door het vertonen in het preview schermpje (meestal onderaan je beeld) een module van Internet Explorer geopend. Door een speciale truc kan daarbij je computer al besmet worden, zonder dat je een bijlage opent. Dit gat in Internet Explorer moet je dichten met de security updates van Microsoft, die regelmatig toch nog nieuwe hiaten vertonen. 

De patch is in voor de diverse internet explorer versies op te halen via de bladzijde Critical Updates voor een overzicht van de belangrijkste foutverbeter-programma's.  Elke maand worden er wel nieuwe fouten in Windows programmatuur ontdekt en vele daarvan stellen u opnieuw bloot aan acties van kwaadwilligen. Dus kijk er regelmatig of gebruik de mogelijkheden van Windows Update en gebruik die minstens eens per maand.
Let goed op welke je moet hebben, want dat hangt van je versie internet explorer af!
 
Deze bestanden zijn ongeveer 2 MB groot en vaak niet meer te de-installeren (dus geen weg terug!). 
Als je eens iets anders wil proberen dan Internet Explorer dan kan ik je Opera aanraden: gratis, wat sneller en meer controle over venstertjes die oppoppen en zo. Ook in het Nederlands via www.opera.com (iets van 12 MB). Installeer echter wel de internet explorer patch want vanwege Microsoft's ideeën van integratie ben je ook kwetsbaar als je alleen Outlook Express gebruikt (vanwege het eerder genoemde delen van DLL's).
 

En mijn virusscanner dan?

Vele virusscanner zitten niet daadwerkelijk tussen internet en je internetprogramma (McAfee, Norton, ZoneAlarm Pro en een paar anderen doen dit wèl, de meeste niet!), kun je er toch last van krijgen, al gebruik je een virusscanner. Dus zorgt een goede virusscanner voor inperken van de gevolgen. Advies: de juiste patch ophalen en uit laten voeren conform de instructies op bladzijde.

 

Nog even een kort overzicht:

Wees voorzichtig met allerlei gratis virusscanner. Een voorbeeld is STOP-SIGN van eAnthology. Bij downloaden van de sharewareversie (die slechts 30 dagen werkt) wordt meteen ook even iMesh meegeïnstalleerd. iMesh is weer zo'n lekker programma dat alleen door een expert van je systeem is af te halen en terecht door ad-aware als ongewenst wordt bestempeld. Ad-aware scant je computer op aanwezigheid van ongewenste programmatuur die iets anders doet dan jij wilt: of rekenkracht ter beschikking stellen, of een platform voor allerlei ongewenste advertenties en zo. 
Meer reacties over ellende met STOP-SIGN zijn hier en hier te vinden. Laatste overzicht met meningen over STOP-SIGN en de troep van Anthology is hier te vinden. Ad-aware is hier te vinden. Let op: dingen verwijderen die je niet kent of waarvan je het doel niet kent kan ervoor zorgen dat je systeem het niet meer doet!!!!!

Wie maken en sturen virussen?

 

Emails aan niet bestaande adressen die binnenkomen

Mensen die een virus op hun computer krijgen, krijgen daarbij te maken met een programmaatje dat hun adresboek doorkijkt en aan de hand van stukken van adressen voor en na het @ zelf allerlei nieuwe combinaties proberen. Zo in de zin van: als bauke@home.nl bestaat en er is ook een adres geertje@planet.nl dan zullen bauke@planet.nl en geertje@home misschien ook wel kunnen bestaan. Het programma stuurt gewoon naar allerlei combinaties van delen van het adresboek emails, met als afzender ook een samengesteld adres (als jouw computer virus-mails verstuurt met jouw email adres als afzender, dan ben je er snel achter dat je computer een virus heeft; door een ander email adres als afzender op te geven wordt de verkeerde, onschuldige aangesproken. De echte afzend-computer blijft uit het zicht.

 
Alles wat niet aankomt of wordt geweigerd, dat komt vaak weer terug bij iemand wiens domein-deel is gebruikt als onbestelbaar. In jouw geval: alles wat als (vals) verzendadres ....@jouwdomeinnaam.nl heeft opgegeven gekregen.
 
 
Mensen die verkoop via spam aan de man proberen te stimuleren (uw zoveelste Viagra mail) nemen gewoon lijsten met voorkomende voorvoegsels en bestaande domeinnamen en sturen gewoon miljoenen mails op goed geluk naar daaruit samengestelde adressen. Veel mails met een paar letters voor het @, of typisch Amerikaanse namen zijn daarvan voorbeeld.
Daarnaast zijn niet alleen zoekmachines als Google continue op zoek naar nieuwe bladzijdes en inhoud van bladzijdes op het internet, maar ook die van verzamelaars van bestaande email adressen. Overal waar een email adres als tekst op een webpage staat, wordt het email adres op deze wijze gelezen en opgeslagen. Ook als het email adres door kleurtjes niet zichtbaar is voor een mens...in de onderliggende code staat het gewoon geschreven. Dus vul nooit een vast emailadres in op webpages, gastenboeken en commentaren, blogs enz enz enz. In veel gevallen geef je zo je kostbare eigen emailadres vrij en binnen een jaar word je helemaal suf gemaild met libido-verhogende en verlengende (aldus de reclames) middelen waar je waarschijnlijk niet op zit te wachten.

Op een eigen website ook bij grote voorkeur geen email adres in tekst neerzetten. Wel zou dit in een plaatje kunnen omdat dit niet eenvoudig snel en foutloos gelezen kan worden door zoekmachines. Mensen kunnen 'm echter gemakkelijk toevoegen in hun lijst, dus ook de SPAMMER! Het beste is een webformulier waarin je je boodschap kwijt kan en je met een knop de tekst kan laten doorsturen. Een goed webformulier geeft het te gebruiken email adres niet vrij, bijvoorbeeld door gebruik van PHP.

 
Ketting-emails: mails aan vele personen om te 'waarschuwen' voor fouten in Windows, virussen enz enz enz. Bedelbrieven, acties voor doodzieke jongetjes die nog 10000 ansichtkaarten wil verzamelen.... Sommige zijn misschien waar en/of goedbedoeld, maar velen zijn alleen bedoeld om hetzij het emailverkeer lam te leggen (>50% van het email was al SPAM in 2005) maar sommige zijn ook bedoeld om emailadressen te verzamelen. Elk email dat je naar 10 man doorstuurt, zal na 7x doorsturen als meer dan tien miljoen personen hebben bereikt. Als er één persoon in Nederland zich met SPAM bezig houdt, dan heeft hij al snel een email met daarin uiteindelijk vele duizenden email adressen.....Zo gratis in zijn emailbox. Als hij vervolgens uit het mailtje de email adressen distilleert (voor mij zou een dergelijke routine eenmalig ongeveer 20 minuten maximaal kosten om te schrijven) en zijn product anabiedt in zo'n mail aan die adressen, dan hoeft maar 1% iets te kopen waarbij hij al tientallen keren zijn product verkoopt. 100000 emails versturen kost alleen een beetje tijd, 1000 foldertjes verspreiden zal hij selectiever doen omdat dat veel meer geld kost (drukker, verspreider).
 
DUS: alle kettingbrieven doorbreken, geen emails doorsturen met ladingen email adressen erin, en belangrijkste: WAARSCHUW diegene waarvan je ze krijgt dat je er geen prijs op stelt en waarschuw diegene voor het gevaar.

Op een eigen website ook bij grote voorkeur geen email adres in tekst
neerzetten. Wel zou dit in een plaatje kunnen omdat dit niet eenvoudig snel
en foutloos gelezen kan worden door zoekmachines. Mensen kunnen 'm echter
gemakkelijk toevoegen in hun lijst, dus ook de SPAMMER! Het beste is een
webformulier waarin je je boodschap kwijt kan en je met een knop de tekst
kan laten doorsturen. Een goed webformulier geeft het te gebruiken email
adres niet vrij, bijvoorbeeld door gebruik van PHP. Zoals op jouw site ;-).


Een uitgebreid antwoord waarmee ik probeer aan te geven hoe je zou moeten
handelen:
- gebruik een persoonlijk email adres voor vrienden en bekenden, liefst niet
eenvoudig te raden.gokken
- gebruik een email adres voor iedereen anders, maar gebruik dat nooit op
webpages of gastenboeken en zo
- gebruik een weg-te-gooien adres voor gastenboeken en die plaatsen waar je
'm echt even moet invullen. Gebruik bijv een hotmail of gmail adres en zodra
er veel spam op binnenkomt, gewoon een andere nemen en de oude niet meer
gebruiken. Voor gastenboeken zou je gewoon bij de homepage opgave een
bladzijde kunnen opgeven waarmee ze je kunnen bereiken zoals http://www.jouwdomeinnaam.nl/email.htm  bijvoorbeeld.

Alternatief is om per uitgave aan een persoon, bedrijf oid een uniek adres
uit te geven: een volgnummer, of zelfs gewoon de naam van het bedrijf: bij BNN op de website www.bnn.nl vul je dan in: bnn.nl@jouwdomeinnaam.nl (ik verdenk ze niet van spammen hoor). Zodra je op dat unieke adres SPAM binnenkrijgt dan weet je waar het mis ging en kun je vaak eenvoudig het specifieke adres blokkeren. 


HOAXES

Af en toe wordt door kwaadwilligen ingespeeld op de angst voor virussen. Door een mailtje te maken met de verwijzing naar een bestandje dat misschien zou kunnen voorkomen op je harde schijf, wordt stap 1 gezet. De ontvanger kijkt en controleert of het bestand aanwezig is. In veel gevallen is dat dan zo, want de kwaadwillende heeft een bestand opgezocht dat op veel computers staat EN DAAR OP THUIS HOORT. Voorbeelden zijn bijvoorbeeld jdbgmgr.exe en suflbnk.exe.
 
Stap twee is meestal de aanwijzing om het bestand te verwijderen. Vaak is het echter een bestand dat cruciaal is voor de werking van Windows of een populaire toepassing. Op het moment dat het verwijderd wordt (prullenbak of echt weg met SHIFT DEL), is vaak nog niets te merken. Pas bij opstarten blijkt het bestand nodig te zijn en doet de computer dus niets meer.....
In andere gevallen doet de toepassing waarbij het bestand hoorde het niet meer. In beide gevallen is het doel van de kwaadwillende bereikt en heeft men schade aan de Windows installatie en dus doet de computer niet meer wat hij behoort te doen.
 
Soms gaat de kwaadwillende nog verder: dan wordt een bestandje bijgeleverd dat in plaats van het besmette bestand moet worden geplaatst. Dat men hiermee zelf een virus of trojan op de schijf plaatst, beseft men zich niet........

Informatie over de jdbgmgr.exe hoax is te vinden bij McAfee (onderdeel van NAI) op:
http://www.symantec.com/avcenter/venc/data/jdbgmgr.exe.file.hoax.html  
In het Nederlands o.a. bij Planet Internet: http://www.planet.nl/computer/0,1178,73_1022_874292,00.html 
Meer over courante HOAXES is te vinden op: http://www.virusalert.nl/?show=hoaxes 

Het is niet echt nodig om het bestand opnieuw op je computer te zetten. Microsoft dumpt zo af en toe rotzooi op je computer die je toch nooit gebruikt. Alleen diegenen die ontwikkelen in de J++ programmeertaal hebben het bestandje jdbgmgr.exe nodig. Dus laat het rustig achterwege en leer er van.

 
Dus leef bij dezelfde regels als goede ouders je al hadden bijgebracht:
  • Accepteer geen snoepgoed van vreemden (lees voor snoepgoed ELK bestand met .EXE .SCR .BAT .COM en nog een rits weinig voorkomende bestandsextensies)
  • Als je het van een bekende krijgt, maar niets verwacht, vraag dan eerst per email of het klopt dat je een bestand kreeg
  • Bestanden met .JPG .JPEG .BMP .PCX .TIF .TIFF zijn doorgaans plaatjes, maar LET OP dat er niet twee extensies worden gebruikt, dus bijvoorbeeld PLAATJE.JPG.exe want dat is mogelijk een kwaadwillend programma
  • Als spontaan een scherm verschijnt met de keuze OPSLAAN of UITVOEREN dan kun je er vergif op innemen dat het programma gebruikt maakt van de zogenaamde X-WAV-EXPLOIT: een foutje in Internet Explorer en Outlook Express waardoor code automatisch uitgevoerd kan worden. Vrijwel altijd heb je nu te maken met een virus, want dit hoort NOOIT te gebeuren. Kies voor ANNULEREN en verwijder het emailtje met DEL of DELETE
  • Verstuur zelf geen virus-waarschuwingsberichten, want tegen de tijd dat je goed-bedoelde berichtje aankomt bij de geadresseerde, is in 80 procent van de gevallen het virus er al geweest als men er last van zou hebben. Er zijn een aantal sites waar je kan abonneren op virus waarschuwingen: vaak bij je eigen provider (waar je dus inbelt), of bijvoorbeeld bij www.ealadin.com ,
    virusalert.nl http://www.virusalert.nl/?show=lidworden . Sinds kort heeft de overheid eindelijk hun verantwoordelijkheid in Nederland-Regelland genomen en http://www.waarschuwingsdienst.nl/ begonnen. Hoewel men af en toe de mist ingaat, kun je je hier aanmelden voor virusmeldingen en andere waarschuwingen.
  • Onderstaande berichten vallen onder de term HOAX (broodje aap), met de bedoeling om proberen email systemen plat te leggen met alarmberichten, hetgeen soms lukt als de tekst maar dramatisch genoeg is. Zie meer over hoaxes:
    http://www.virusalert.nl/?show=watis&id=hoax
  • Ongeveer de helft van alle email verkeer bestaat namelijk uit goedbedoelde waarschuwingen aan elkaar, die vaak achterlopen in de tijd en daarnaast soms zelf weer de bron van ellende zijn, zoals dit mailtje met: gooi dat en dat bestand weg.
  • Als je door goede, genormeerde firma's een emailtje wilt ontvangen zodra er een nieuw virus is ontdekt, meld je dan aan bij:
  • Wil je computer laten controleren op virussen, maar je hebt geen virusscanner, dan kun je terecht bij http://housecall.antivirus.com/ of eenvoudiger te onthouden voor later http://scan.doorhet.net (doorschakelservice). Kies eventueel voor scannen zonder registreren (je kunt uiteraard wel registreren en virus info ontvangen als er weer iets nieuws is) en kies het juiste land + GO. Na enige minuten kan het scannen beginnen. Je blijft echter wel met internet verbonden, dus doe het bij voorkeur na 19.00 uur of in het weekend (uitgaande van inbellen via KPN).
  • Je kunt op die site ook een gratis 30-dagen virusscanner krijgen en wel via de link http://www.antivirus.com/pc-cillin/download/.
  • Voor wat meer dichtimmeren van veiligheidgaten in met name Internet Explorer en Outlook Express:
    http://securitycheck.passport.com/
  • Stelregels:
    • Basisregel: nooit bijlages openen van vreemden....of ze willen je wat verkopen, of ze willen je ergens toe verleiden. 
    • Nooit bijlages met EXE COM BAT SCR VBS enz van bekenden tenzij je ze blindelings vertrouwt EN absoluut zeker weet dat ze bij de 1 promille meest deskundigen op virusgebied EN ze zich nooit in de luren laten leggen EN nooit een fout maken EN zich zelf ook houden aan deze regels. Volgens de laatste opiniepeiling behoort alleen Allan McAfee tot deze groep..... DUS NOOIT DOEN!!!! Ikzelf probeer meestal mensen vriendelijk af te remmen om me allemaal leuk bedoelde programmaatjes te sturen en desgevraagd antwoord ik dat ik het niet dusdanig aardig vond dat ik een volgende wil :)
    • Automatisch OPSLAAN UITVOEREN voor je neus? Meteen alarmbellen rinkelen en het emailtje deleten! Dit is vrijwel altijd een virus of Trojan.
    • Zorg voor regelmatig een backup van je data, zoals telebankieren, boekhouding, belangrijke bestanden van email, Word, Excel en zo voort....... KIJK NU EENS wat je kwijt zo zijn als op dit moment je computer in elkaar stuitert. Je zal er van schrikken hoeveel informatie je kwijt bent. Programma's staan zo weer op je computer, maar data NIET (tenzij je een backup hebt), ook instellingen voor netwerk, internetten, telebankieren, enz enz kosten vaak uren tijd om weer in te stellen.
    • Stuur geen viruswaarschuwingen e.d. door, maar bedank de verzender beleefd voor zij/haar zorg, maar geef aan dat je het liever niet ontvangt. Wijs de verzender ook op de virus-waarschuwingslijsten, -emails en zelfs voor de paranoïa onder ons de SMS-waarschuwingsdiensten (SMS bij een nieuw virus).
    • Gooi op aanwijzing van anderen NOOIT bestanden weg van je harddisk, plaats nooit reparatiebestanden van anderen, gebruik NOOIT zogenaamde virusscanners en virusverwijderaars, maar haal ze zelf op, op sites als http://antivirus.pagina.nl of vergelijkbare sites, dus bij de bron. 
    • Houd je aan de simpele regeltjes en zelfs dan loop je eigenlijk al weinig risico. Een virusscanner helpt je vaak als je toch tegen deze regeltjes zondigt, maar soms ook niet: als het een nieuw virus is, kent de scanner hem nog niet en ben je alsnog het haasje. Alleen regelmatig nieuwe virus-bestanden ophalen en installeren beperkt dit risico wat. Bedenk je hierbij dat een echt 'succesvol' virus meestal in één of twee dagen de aarde rond is..... dus een update van drie dagen geleden is al OUD!. Houd je dus aan de voorgaande regeltjes en dan wordt het al bij de ingang opgelost.
    • Microsoft stuurt nooit spontaan emails met bijlages, dus meteen wegkieperen die emailtjes. De bijlage is een bekend virus.

Alle informatie is naar beste kunnen, inschatting, kennis en vertrouwen samengesteld. Toch moet ik om zuiver juridische redenen stellen dat ik niet aansprakelijk kan zijn voor enige schade die ontstaat door opvolgen van deze aanwijzingen. Voor diegenen die twijfelen kijk ook op www.planet.nl/computer  en http://antivirus.pagina.nl

Meer links via Google naar jdbgmgr.exe gerelateerde webbladzijden:
http://www.google.nl/search?q=jdbgmgr.exe&lr=lang_nl


Courante Virus en Hoax informatie

Toegevoegd na een tip van Sander de Jong, kijk eens rond op zijn site.

Bron van informatie: Sophos Anti-Virus
Voeg deze info toe aan je eigen website: klik

De informatie in bovenstaande tabel wordt bij de opbouw van deze bladzijde vers gehaald bij Sophos, zodat u altijd naar courante informatie van Sophos kijkt!