Video: 22. Waarneming - beveiliging alarm opvolging. (November 2024)
Voor mijn malware-verwijderingstest installeer ik een antivirusproduct op een tiental door malware aangetaste virtuele machines (altijd dezelfde momentopname van de virtuele machine) en daag het uit om de rommel op te ruimen. Emsisoft's antivirus meldde een onvermogen om tien van deze twaalf systemen volledig op te ruimen. In sommige gevallen had een virus essentiële Windows-bestanden geïnfecteerd en in één geval was het geïnfecteerde bestand eigendom van Emsisoft zelf. Het meldde ook dat het verwijderen van rootkits hulp van technische ondersteuning zou vereisen.
Bij de nummers
Toen ik aan dit project begon, had ik geen idee dat het meer dan 30 uur van mijn tijd zou kosten, meer dan honderd e-mailberichten zou bevatten en meer dan 150 diagnostische logboeken en scripts moest uitwisselen. Toen het allemaal voorbij was, doorzocht ik de e-mailgesprekken om te analyseren wat er precies was gebeurd.
In de loop van de week gebruikte ik op instructies van mijn contactpersoon voor technische ondersteuning vijftien verschillende diagnostische en opruimtools, waarvan er slechts één een Emsisoft-product was. Ik heb 120 diagnostische logboeken ingediend en meer dan 30 opschoningsscripts uitgevoerd. In een paar gevallen moest ik de Windows XP SP3-update downloaden voor het herstellen van beschadigde systeembestanden.
Ik heb 11 van de 15 tools op de twee systemen met de meest hardnekkige problemen uitgevoerd. In de loop van het opruimen van de ergste, diende ik 30 diagnostische logboeken in en voerde 10 opruimscripts uit. Ik slaagde erin om mijn e-mail bij te houden en een paar andere projecten te bevorderen tijdens de zeldzame momenten waarop alle actieve testsystemen bezig waren met een soort scan, maar het grootste deel van mijn tijd besteedde ik aan het downloaden van tools en het uitwisselen van bestanden met technische ondersteuning.
Hulpmiddelen die de experts gebruiken
Dus, welke tools gebruikt een expert voor het opschonen van malware? Ik weet zeker dat elke expert bepaalde favorieten heeft, maar ik kan rapporteren over wat ik heb waargenomen. Hier zijn ze, in afnemende volgorde van het aantal keren dat ze nodig waren.
OldTimer List-It, of OTL, was veruit de meest gebruikte van alle beveiligingshulpmiddelen. Ik heb meer dan 50 OTL-logboeken ingediend bij mijn technische expert en meer dan 25 opruimscripts uitgevoerd die hij heeft geleverd na analyse van de logboeken. Op één testsysteem moest ik OTL een tiental keer uitvoeren, tussendoor met andere tools.
De extreem krachtige ComboFix-tool kreeg ook een training. ComboFix is niet voor bangeriken. U kunt de computer niet gebruiken terwijl deze actief is en deze wordt "as is" geleverd voor gebruik door experts. Het maken van een fix-up script op basis van de logbestanden van het hulpprogramma vereist training en expertise. Ik leverde 28 ComboFix-logboeken tijdens mijn slopende week en voerde zes keer fix-scripts uit.
Zoals ik al zei, meldde Emsisoft Anti-Malware zichzelf niet in staat om automatisch kwaadaardige programma's te verwijderen die rootkit-technologie gebruiken om hun activiteiten te verbergen. TDSSKiller van Kaspersky bestaat uitsluitend met het doel om bepaalde rootkits te verwijderen, en technische ondersteuning liet me deze negen keer gebruiken. Ze hebben ook driemaal een beroep gedaan op Panda Anti-Rootkit.
Emsisoft heeft zijn eigen gerichte malwareopruimtool, Emsisoft Emergency Kit. Door technische ondersteuning heb ik dit hulpprogramma vijf keer uitgevoerd, tegen het begin van de week, maar blijkbaar besloot het dat het niet werkte. Ze hebben me nooit gevraagd om het opnieuw uit te voeren na de eerste dag dat ik aan het probleem werkte.
McAfee werkt het Stinger-hulpprogramma voortdurend bij om specifieke infecties aan te pakken die moeilijk te verwijderen zijn. McAfee's Stinger kreeg de kans om vier van de testsystemen te repareren, en een minder bekende tool genaamd Avenger had een klap op drie.
Wat betreft de overgebleven gereedschappen, kreeg ik de opdracht om ze slechts een of twee keer te gebruiken. Deze omvatten: aswMBR van Avast!, AVZ AntiViral Toolkit van Kaspersky, de Farbar Service Scanner, Windows Repair van Tweaking.com, AdwCleaner by xPlode, Junkware Removal Tool en RunScanner. Ik heb ook een aantal keren logs geleverd vanuit de ingebouwde Windows SIGVERIF-tool.
Breekbaar
Dus als je malware tegenkomt die je antivirus niet kan verwijderen, moet je dan beginnen met het downloaden van deze verzameling tools? Waarschijnlijk niet, zo blijkt. Bijna alle zijn bedoeld voor gebruik door experts, en sommige vereisen actief de tussenkomst van een getrainde technicus die de logboeken kan analyseren en handmatig opschoningsscripts kan schrijven.
Als u deze hulpmiddelen zonder goed begrip gebruikt, kunt u meer kwaad dan goed doen. Zelfs terwijl ik strikt de instructies van een beveiligingsexpert opvolgde, slaagde ik erin om twee systemen te "doden", waardoor ze niet meer opstartbaar waren. Mijn testsystemen hebben Systeemherstel uitgeschakeld om ruimte te besparen en ik heb geen Windows XP SP3-schijf. De enige manier om die twee te redden zou zijn geweest door een geheim hulpmiddel te maken, een BartPE-reddingsschijf. Ik denk niet dat de gemiddelde gebruiker dat zou kunnen beheren, dus gaf ik het op, met enige opluchting.
Dus wat kunt u doen als uw antivirus niet volledig een malware-besmetting opruimt? Uw veiligste gok zou zijn om Malwarebytes, onze Keuze van de redactie, uit te voeren voor een gratis antivirus voor alleen opschonen. In onze eigen testen versloeg Malwarebytes alle andere producten, zowel gratis als betaald. Gebruik Comodo Cleaning Essentials ook voor bretels en gordelbescherming.
Een kwestie van vertrouwen
In een recente beoordeling van Kaspersky PURE 3.0 Total Security had ik het moeilijk om het product te installeren en op mijn aangetaste systemen te laten werken. Technische ondersteuning bracht een reeks hulpmiddelen naar voren om het probleem op te lossen - Kaspersky Rescue Disk, Kaspersky TDSSKiller, Kaspersky NetTest, Kaspersky Anti-Viral Toolkit, Kaspersky ReportMaker, enzovoort. Dat voelde goed; Kaspersky-tools die een Kaspersky-probleem oplossen.
Ik ben enorm onder de indruk van het doorzettingsvermogen en de toewijding van de Emsisoft-ondersteuningsmedewerker die het moeizame proces heeft doorlopen van het opschonen van de tien systemen die niet automatisch werden afgehandeld door de antivirus van Emsisoft. Het feit dat bijna alle gebruikte tools van andere leveranciers kwamen, vervult me echter niet met vertrouwen, noch het feit dat veel van hen steeds opnieuw moesten worden toegepast.
Een antivirusprogramma moet alle aanwezige malware identificeren, geldige bestanden desinfecteren die door een virus zijn beschadigd en alle niet-virus-malware in quarantaine plaatsen. Als hulp van technische ondersteuning nodig is, zal een definitieve reactie met behulp van de eigen tools van de verkoper en waarbij niet teveel gebruikersparticipatie nodig is, zeker het hoogste niveau van vertrouwen wekken.
