PC Web Plus – Security & (ICT) info blog

Iedereen die gebruik maakt van MSN messenger zal het ongetwijfeld wel eens meegemaakt hebben, dat er ineens ongevraagde  berichten via MSN worden verzonden met teksten zoals ‘hey ben jij dit op deze foto’,of andere vreemde berichten die zich automatisch vertonen zonder dat u met het betreffende contactpersoon een conversatie oftewel een chat gesprek bent gestart.

Dit soort berichten zijn velaal het gevolg van een geïnfecteerd computersysteem of misbruik van de email en daarbij behorende inloggegevens.
De oorzaak, risico’s van de MSN “Phishing” zullen besproken worden in dit artikel, dit vooral omdat de term “Phishing” redelijk onbekend is en vooral onder de minderjarige gebruikers van MSN met alle gevolgen van dien.

MSN Phishing berichten
Dit soort berichten met “dubieuze” links zijn zoals eerder vermeld afkomstig van geïnfecteerde systemen of doordat de email en bijbehorende gegevens zoals wachtwoorden zijn buit gemaakt.
Dit laatste gebeurt dus vooral via de zogenoemde “Phishing” berichten, via dit soort berichten wordt er letterlijk naar uw eigen privé gegevens gevist.
Deze techniek wordt op grote schaal en op diverse manieren toegepast, en vaak op zo’n manier dat u dit in de eerste instantie niet gelijk opmerkt en als malafide berichten aanziet.
Maar in één opzicht zijn de gebruikte manieren gelijk, met als doel het verkrijgen van uw gegevens.

Hoe worden uw gegevens dan buit gemaakt vraagt u zich natuurlijk af?
Dit gebeurt in de meeste gevallen  door het invoeren van uw gegevens op een look-a-like website (Phishing)  site waar u uw gegevens moet invoeren om bijvoorbeeld uw account te valideren.
Bij het invoeren van uw gegevens is het kwaad al geschied en is uw email adres en het gebruikte wachtwoord in de handen van kwaadwillende, en in het ergste geval is ook uw gebruikte adresboek gekaapt.
Uw email adres zal dan gebruikt worden voor het versturen van malafide berichten, zoals ook naar uw contactpersonen uit het adresboek.

Klik dus nooit op dit soort links want de kans is erg groot dat je computer hierdoor geïnfecteerd raakt en vanaf jouw computer ook allerlei berichten naar jouw ingestelde contactpersonen worden verzonden zonder dat je dit zelf in de eerste instantie opmerkt.

Als je dit soort berichten krijgt van contactpersonen via MSN met als afzender je eigen email adres wil nog niet zeggen dat jouw eigen computer is geïnfecteerd, jouw email adres wordt gewoonweg misbruikt vanaf de geïnfecteerde computer omdat deze in de lijst van contactpersonen staat.

Dubieuze hyperlinks
De (dubieuze) hyperlinks in MSN berichten zijn niet altijd eenvoudig te herkennen aan phishing of ander misbruik, vaak zijn deze zo gecamoufleerd met leuke smileys en een pakkende tekst dat ze erg aantrekkelijk zijn om aan te klikken.
Dit varieert bijvoorbeeld van leuke add-ons zoals ‘smileys’ , ‘winks’ maar ook links die zogenaamd moet leiden naar een site waar jouw foto op staat.
Ook zijn er links bekend met meldingen dat jouw computer besmet is met een ernstige worm of ander vorm van malware en dat je aangeraden wordt de ‘MSN virus remover’ te downloaden via de bijgevoegde hyperlink.
Door het klikken op deze links zal de computer juist geïnfecteerd worden met alle gevolgen van dien.

De meeste “phishing” links worden automatisch verzonden zodra iemand zich aanmeld waarvan de email (MSN) gegevens zijn misbruikt, deze berichten worden ook verzonden als contactpersonen (off-line) zijn, deze berichten zult u dus later ontvangen.

Dit soort links kunnen ook automatisch tijdens conversaties (chat gesprekken)  tussendoor in een gesprek worden verzonden, waardoor het lijkt of diegene deze link zelf heeft gestuurd, naast het versturen van links kunnen er ook gewoon antwoorden geplaatst worden tijdens het gesprek wat ook uitermate vervelend is.

Dit soort berichten met dubieuze links worden niet alleen via MSN messenger als bericht verstuurd maar ook via de email zelf.
Kijk dus altijd uit welke websites u aanklikt in MSN en email-berichten ook al zien ze er nog zo betrouwbaar uit, als u de links niet vertrouwd vraag dan eventueel eerst bij de betreffende afzender na wat het is en of diegene deze links zelf heeft toegestuurd.

MSN virus (verwijder tools)
Er zijn heel veel programma’s (tools) die beloven dat het MSN virussen verwijderd, maar echter juist de computer infecteren, of legitieme bestanden verwijderen.
Het gebruik van dit soort programma’s is dan ook af te raden.
Voor controle op Spy/malware kunt u beter gebruik maken van reguliere antimalware software  zoals.
MalwareBytes’ Anti-Malware

Maatregelen
Als uw MSN misbruikt wordt voor het versturen van berichten, volstaat in de meest gevallen het wijzigen van het “wachtwoord” en de “geheime vraag” al hoewel u deze laatste optie beter niet kunt gebruiken.
Heel belangrijk is dat als u uw wachtwoorden veranderd dat u dit altijd doet op een computer waarvan u zeker weet dat deze vrij is van malware.
Controleer ook altijd of er geen “alternatief” email adres is ingesteld.

Het controleren van  de computer op aanwezige malware is zeker geen overbodige luxe als u te maken heeft gehad met MSN phishing, wormen zoals de (Worm.P2P.Palevo.DP) en (Backdoor.Win32.IRCBot.oyd) worden namelijk vaak gecamoufleerd verspreid als een *jpg beeldbestanden.
In dit artikel hebben we ons beperkt tot de basis informatie over MSN “phishing” , de gebruikte malware en de exacte werking ervan zullen we u in dit artikel besparen.

Meer informatie over malware vindt u op de onderstaande website, het bijgevoegde forum is voor ondersteuning en hulp bij malware problemen.
http://www.malwareinfo.nl
http://www.pcwebplus.nl/phpbb

Deze variant infecteerd de ‘Master Boot Record’ (MBR) dit kan zowel via een executable in het gebruikte OS zelf,  alsook via een geïnfecteerd PDF bestand die een ‘vulnerability’ in Acrobat Reader misbruikt.
Windows 2000 t/m Windows 7 zijn kwetsbaar voor deze infectie.

Symptomen.
Gekende symptomen op dit moment is vooral het verliezen van de focus van Internet Explorer (iexplore.exe) en dat er verbinding gemaakt wordt door iexplore.exe met verticalhorizonads.com

Detecteren van de infectie
Deze infectie  is te detecteren met de tool “MBRcheck” (van ad13) in de gemaakte logfile is dan te zien dat de PC is geïnfecteerd met  “(Whistler / Black Internet)!”

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0×000000fc

\\.\C: –> \\.\PhysicalDrive0 at offset 0×00000000`00007e00 (NTFS)

Size Device Name MBR Status
——————————————–
596 GB \\.\PhysicalDrive0 Known-bad MBR code detected (Whistler / Black I
nternet)!
SHA1: 47055FAD2554A7035F16CE4EFCBE590BACF67C33

Found non-standard or infected MBR.
Enter ‘Y’ and hit ENTER for more options, or ‘N’ to exit:

Verwijderen van de infectie / herstellen van de Master Boot Record (MBR)
Met diverse ‘tools’ is het mogelijk om een geïnfecteerde Master Boot Record te herstellen, alsook via de recovery console van Windows.

Belangrijk::
Het herstellen van de mbr kan er toe leiden dat disc to disc recovery functies niet meer functioneren.
Indien uw computer over een recovery partitie beschikt gebruik de tool dan niet.
In dit geval kunt u beter een backup maken van al uw bestanden en uw computer herstellen via de recovery image, zodat de computer weer naar de fabrieks-instellingen hersteld zal worden.

Indien u geen Windows CD/DVD heeft en de “recovery console” van Windows is niet geïnstalleerd kunt u op de onderstaande link de recovery CD’s downloaden.
- Recovery cd’s Windows Vista en 7 downloaden
Voor Windows XP is er echter geen recovery CD beschikbaar.

Windows XP Master Boot Record herstellen.
Voor Windows Vista werkt het herstellen van de MBR idem als voor Windows XP, alleen gebruikt u hier het commando bootrec.exe /fixmbr (Let op!!! de spatie voor de / slash)

Indien u hulp of advies nodig heeft betreffende deze infectie of het herstellen van de MBR kunt u op één van de forums die hier staan terecht

Indien de computer is besmet met deze variant van trojan.ransomware is deze op de onderstaande manier van de computer te verwijderen.

Download het Avira AntiVir Rescue System en sla deze op je bureaublad op.

1. Stop een lege CD/DVD in je computer.
2. Dubbelklik op rescue_system-common-en.exe.
3. Selecteer het station waar de lege CD/DVD in zit.
4. Klik op de knop Burn CD om het Avira AntiVir Rescue System op die lege CD/DVD te branden.

Voer deze stappen uit op de geïnfecteerde pc:

1. Stop de CD/DVD, met daarop het Avira AntiVir Rescue System, in je geïnfecteerde PC.
2. Start die PC opnieuw op.
3. Druk op de toets 1 om je computer vanaf de CD/DVD op te starten.
4. Het Avira AntiVir Rescue System zal automatisch worden geopend.
5. Klik linksonder op de Engelse vlag als je alles in het Duits ziet. Zo wordt de taal Engels.
6. Klik links op de knop Configuration.
7. Zorg ervoor dat Scan all files onder Scan Mode is geselecteerd.
8. Zorg ervoor dat Try to repair infected files en Rename files, if the cannot be removed? onder Action at malware discovery is geselecteerd.
9. Klik links op de knop Virus Scanner en klik vervolgens op Start Scanner.
10. Het Avira AntiVir Rescue System zal je computer nu gaan scannen. De scan kan veel tijd in beslag nemen.
11. Haal de CD/DVD uit je computer als het scannen klaar is en start je computer daarna opnieuw op.

Als de computer herstart is gaat u naar start>uitvoeren of geeft u het commando REGEDIT op in het zoekvenster van het startmenu.
Navigeer nu naar de onderstaande registersleutel.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Klik nu op Userinit en geef bij waardegegevens de onderstaande regel op.
“Userinit”=”C:\\Windows\\system32\\userinit.exe,” (Zonder aanhalingsteken)

Sluit het register en voer een scan uit met MalwareBytes’ Anti-Malware

Voor verdere hulp en of advies kunt u terecht op het forum.

Drive-by downloads zijn infecties die u oploopt tijdens het surfen en bezoeken van malafide website’s en het klikken op dubieuze hyperlinks in bijvoorbeeld e-mail berichten, MSN berichten, pop-ups e.d.
Maar ook het installeren van een onbekend ActiveX component of een Java Applet kan de oorzaak zijn van een drive-by download infectie.

Dit soort infecties maken vooral misbruik van beveiligingslekken in het besturingssysteem en browsers, vandaar dat het ook zo belangrijk is om uw software up-to-date te houden.

Lees hier verder

Zoals de titel al aangeeft gaat dit artikel over uw ‘veiligheid’ en ‘privacy’ op het internet, in dit artikel zullen we dan ook tips een adviezen geven waar u op moet letten.
Iedere computer gebruiker beseft wel dat er door het gebruik van het internet steeds meer privé informatie ‘online’ te zien is, lees: sociale netwerken zoals Hyves, Facebook e.d.

Maar naast het gebruik van deze ’sociale netwerken’ om digitaal te communiceren kan er op andere manieren ook misbruik gemaakt worden van uw privacy & veiligheid.
Dit kan heel eenvoudig zonder dat u het in eerste instatie op uw computer opmerkt, het kan hier dan bijvoorbeeld gaan om een ‘dubieuze’ toolbar die simpelweg met een ‘gratis’ (freeware) programma is meegeïnstalleerd.
Met zo’n toolbar kunnen al uw activiteiten op het internet verzonden worden naar derden, die in sommige gevallen deze gegevens weer door verkopen.
Met uw gegevens wordt dan dus een winstgevende ’handel’ gedreven op het internet zonder dat u er van weet.

Naast de hierboven genoemde ‘dubieuze’ toolbars zijn er nog veel meer malware varianten die inbreuk maken op uw privacy en de veligheid en werking van uw computer.

Doordat de ‘malware’ makers steeds geavanceerdere technieken gebruiken om hun malware te verspreiden en computers te infecteren merkt de gebruiker niet direct op dat de computer daadwerkelijk geïnfecteerd is geraakt met een malware infectie, vaak merkt u pas veel later dat uw computer slachtoffer is geworden.
In dit artikel leest u de voornaamste symptomen van een malware infectie.

Het begrip ‘malware’ gaat dan ook veel verder dan het gebruikte ‘computer virus’ in de volksmond, want niet alleen virussen zijn een bedrijging voor uw computer, maar elke ‘malware’ variant waar een virus maar een onderdeel van is.
Daarom geeft een geïnstalleerde ‘viruscanner’ ook geen 100% beveiliging op uw computer om niet geïnfecteerd te raken, want er zijn genoeg ‘malware’ varianten die een virusscanner niet detecteerd, zodat de gebruikte computer geïnfecteerd blijft met alle gevolgen van dien.

Controle op Spyware en overig Malware.

Hierboven heeft u kunnen lezen welke risico’s  het internet met zich meebrengt, en dat u heel simpel geïnfecteerd kunt zijn en raken met een malware infectie zonder dat u dit opmerkt op uw computer.

Op bepaalde forums kunt u terecht om uw computer te laten nakijken op aanwezige ’spyware’ en ‘malware’ infecties zodat er door het gebruik van programma’s zoals o.a. HijackThis een analayse wordt gemaakt van de computer.
De HijackThis loglezers kunnen o.a. aan deze logfile zien of er verdere acties / instructies nodig zijn om eventuele aanwezige malware op te sporen.

Op het forum van PC Web Plus is een speciaal forum waar dit soort vragen en problemen behandeld worden.

De registratie is gratis en hier krijgt u gedegen advies op het gebied van malware infecties. 

Vragen over dit onderwerp /artikel kunt u stellen op het forum van PC Web Plus

Heeft u een vraag of probleem over uw computer, (dit kunnen onder andere hardware, software & malware geraleteerde vragen zijn)  dan bent u op het forum van PC Web Plus aan het juiste adres.
Schroom dus niet en stel uw vraag / probleem / idee / opmerking op het forum.

Ook voor een controle op spyware, virussen en  overige malware kunt u terecht op het forum van PC Web Plus, u vraag en of probleem zal hier stapsgewijs individueel behandeld worden door een gekwalificeerd helper op het gebied van malware bestrijding.
De controle gebeurd op basis van een HijackThis logje, en aan de hand hiervan worden er indien nodig verdere stappen ondernomen om uw computer weer malware vrij te krijgen.

Meer informatie leest u op de onderstaande links.
1. Infectie stappenplan
2. HijackThis logje plaatsen
3. Malware en overige kwaadaardigheden.
4. Preventie tegen kwaadaardigheden zoals Malware e.d.

Meer informatie en uitgebreide artikelen over ‘ malware’  kunt u natuurlijk nalezen op de website Malwareinfo.

Indien u nog vragen heeft kun u deze stellen op het forum van PC Web Plus.

In Windows 7 is de optie voor het instellen van het ‘klassieke’ startmenu verdwenen, hierover is veel commotie geweest.
Maar doormiddel van een eenvoudige tweak is het mogelijk om in Windows 7 het klassieke startmenu terug in te stellen.

Link

Terwijl in de rest van de wereld Conficker en wachtwoordstelers de meest aangetroffen malware zijn, is in Nederland een “downloadvirus” voor de meeste besmettingen verantwoordelijk. TrojanDownloader.GetCodec is nog steeds de nummer één in Nederland. De malware die het resultaat is van het downloaden van muziek, films en andere mediabestanden, aldus anti-virusbedrijf ESET.

Ging het in december nog om 8,26% van de infecties, inmiddels is het aandeel iets gedaald naar 6,99%. Op de tweede plaats staat een nieuw Trojaans paard, genaamd Agent.NRL. Deze malware verspreidt zich via drive-by downloads en downloadt vervolgens andere malware.

Downloaden
“Er zijn twee opvallende zaken waar te nemen in de huidige malware-trends. Als eerste dat Nederland sterk afwijkt van andere landen. Onze top drie is aan verandering onderhevig, behalve dat er altijd wel een download-aspect aan de belangrijkste bedreigingen zit. De Nederlanders kunnen het blijkbaar niet laten om op twijfelachtige sites mediabestanden te zoeken en te downloaden”, zegt Nienke Ryan van SpicyLemon.

“Ten tweede zien we dat bestaande malware de kans krijgt sterk aanwezig te blijven. Bedreigingen als Conficker en Autorun.INF zijn al lange tijd bekend en toch nemen mensen blijkbaar nog altijd niet de relatief eenvoudige maatregelen om dit tegen te gaan.” Globaal gezien is Conficker de grootste dreiging, (11%) gevolgd door een wachtwoordsteler (4,68%) en malware die zich via Autorun verspreidt (3,96%).

Top 10 malware in Nederland

1. WMA/TrojanDownloader.GetCodec.Gen 6,99 %
2. JS/TrojanDownloader.Agent.NRL 2,70 %
3. Win32/Lethic.AA 2,24 %
4. Win32/Agent 2,17 %
5. Win32/TrojanClicker.Delf.NHC 1,95 %
6. Win32/Injector.AOA 1,75 %
7. Win32/Adware.Virtumonde.NEO~datafile 1,33 %
8. Win32/Agent.QNG 1,31 %
9. Win32/Injector.AMW 1,28 %
10. WMA/TrojanDownloader.GetCodec.C 1,15 %

Bron

De meeste software zowel gratis als betaald bevat een “EULA” (End User License Agreement) dit is een behoorlijke lap tekst met alles juridische gebruikersvoorwaarden.
Over het algemeen zal dit niet tot nauwelijks worden gelezen bij de installatie van een bepaald programma.

Eenmaal na de installatie van het programma blijkt u ineens een extra “toolbar” te hebben in uw browser of u wordt lastig gevallen door pop-ups.
In het ergste geval kunnen zelfs gegevens van u worden doorgespeeld aan derden via o.a. “spyware”.

Bij gratis software wordt er soms meer geïnstalleerd dan u denkt, het programma is dan wel gratis maar de maker wil er toch ook aan verdienen, dit gebeurt o.a. door middel van “adware” of optionele toevoegingen zoals een “toolbar”, “startpagina” en dergelijke.

Dit alles staat als het goed is vermeld in de ‘End User License Agreement’ met het programma “Eulalyzer
” kunt u een ‘End User License Agreement’ laten scannen op verdachte stukken in de tekst.
Na het scannen krijgt u hiervan een overzicht te zien, zodat u eenvoudig kan zien wat u eventueel te wachten staat als u het betreffende programma installeert.

Via de onderstaande link kunt u het programma downloaden.
 Link

Bron: http://www.malwareinfo.nl

De naam doet grootsere mogelijkheden vermoeden, maar Windows-enthousiastelingen zijn verheugd met de ontdekking van een verborgen ‘God-modus’ in Windows 7. Hiermee krijgen gebruikers alle instelmogelijkheden van het besturingssysteem te zien in één enkele map.

Door het aanmaken van een nieuwe map in Windows 7 en die een specifieke naam te geven, krijgen gebruikers een plaats waar ze alles kunnen aanpassen, gaande van het uiterlijk van de muisaanwijzer tot het maken van een nieuwe partitie.

Dit trucje werkt naar verluidt ook onder Windows Vista, al duiken er berichten op dat het de 64-bit versie van Vista doet crashen. Met de 32-bit versie zou deze God-modus wel werken.

Om deze modus te activeren moet je een nieuwe map aanmaken, en ze de volgende naam geven:

GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}

zodra dat gebeurd is, zal het icoontje van de map dat van het configuratiescherm aannemen en zal de map meer dan 280 instelopties bevatten.