Malware opsporen in opstartitems en processen
Onder de noemer Sysinternals vind je een aantal handige systeem- en diagnosetools voor Windows. Hoewel ze voornamelijk bedoeld zijn voor professionals en programmeurs, kan je er als thuisgebruiker ook tot op zekere hoogte je voordeel mee doen. Twee van die tools zijn Process Explorer en Autoruns. Samen kan je ze zien als een uitgebreide versie van het taakbeheer in Windows. Net als Process Explorer kreeg Autoruns onlangs een extra functie: de bekende online virusscanner Virus Total, die je bestanden door de motoren van meer dan 50 verschillende scanners jaagt.
Je kan Autoruns hier downloaden. Het is een zip-bestand dat je naar eender welke map kan uitpakken. Dubbelklik op autoruns.exe om het programma te starten. Je kan ook autorunsc.exe gebruiken, dat is de zogenaamde command line interface. Het DOS-venster, zeg maar. Daar doe ik niet aan mee. De eerste keer dat je Autoruns start moet je de gebruiksvoorwaarden accepteren met een druk op ‘Agree’. Daarna komt er een interface te zien met een hele hoop tabbladen. Het geopende tabblad wordt meteen gevuld met alle informatie die het programma tijdens het scannen van je systeem vindt.
In dat tabblad, ‘Everything’, zie je alle opstartitems staan. Dat zijn niet alleen de programma’s die samen met je computer opgestart worden, maar ook alle registeritems die ingeladen worden. Alle items die met Windows zelf te maken hebben, worden verborgen. Wil je die ook tonen, dan klik je in de menubalk bovenaan op ‘Options’ en vervolgens verwijder je het vinkje bij ‘Hide Windows Entries’. Wil je integendeel ook alle items van Microsoft verbergen, dan ga je via ‘Options’ naar ‘Hide Microsoft Entries’.
Sommige items zijn geel gemarkeerd, die bestanden werden niet gevonden. Je kan ze uit het autorunsysteem halen door er met je rechtermuisknop op te klikken en ‘Delete’ te kiezen. Dat zal niet altijd lukken, zelfs niet als je de actie herhaalt als administrator. Maar echt belangrijk is dat ook niet. Het belangrijkste is dat je alle items door VirusTotal kan laten scannen, zodat je in een oogopslag ziet of er verdachte dingen gebeuren tijdens het opstarten van je computer. Dat doe je door bij ‘Options’ op ‘Scan Options’ te klikken en vervolgens een vinkje te zetten bij ‘Check VirusTotal.com’ en ‘Submit Unknown Images’ en op ‘Rescan’ te drukken.
De eerste keer dat je zo’n scan wil starten, moet je de gebruiksvoorwaarden van VirusTotal accepteren. Die gebruiksvoorwaarden worden geopend in je browser, maar je kan in het programma gewoon op ‘Ja’ drukken. In Autoruns zie je in de kolom VirusTotal nu overal Hash submitted staan. Dat betekent dat het bestand door VirusTotal gecontroleerd wordt. Na een tijdje verandert die tekst in een link met cijfers als 0/57. Dat betekent dat van de 57 gebruikte malware- en virusscanners er geen enkele een probleem heeft gevonden. Staat er iets anders dan 0/57, dan zal de link rood kleuren om aan te geven dat sommige scanners wél een probleem hebben gevonden.
Door op de link te klikken, zie je welke scanners een probleem vonden en wat dat probleem is. Op basis daarvan kan je dan zelf inschatten of het echt om een probleembestand gaat of niet. Sommige gratis tools waarmee je bijvoorbeeld netwerken kan afspeuren worden ook als schadelijk aanzien, omdat je er ook malafide dingen mee kan doen. Als dat soort false positives bekend zijn, zal de fabrikant dat op zijn website normaal gezien wel vermelden.
Process Explorer kan je hier downloaden. Het is eveneens een zip-bestand dat je eender waar kan uitpakken. Je start het programma met een dubbelklik op procexp.exe. Process Explorer ziet er zo mogelijk nog ingewikkelder uit dan Autoruns. Je krijgt een overzicht van alle lopende processen, maar uitleggen waar alles voor staat zou ons veel te ver leiden. Voor een leek als mezelf is het handigste onderdeel het vakje bovenaan met de bewegende groene lijn. Die geeft aan hoe hard de processor aan het werk is. Hoe lager het lijntje staat, hoe minder werk hij heeft. Staat het lijntje continu te pieken, dan loopt je processor tegen zijn limieten aan en zal je computer wellicht traag reageren. Door op het vakje te klikken krijg je een detailweergave te zien. Hetzelfde vakje zie je ook in het systeemvak van Windows.
Net zoals Autoruns heeft ook Process Explorer VirusTotal geïntegreerd. Je kan alle processen laten scannen via Options, VirusTotal.com, Check VirusTotal.com. In de kolom VirusTotal verschijnen na een tijdje dan weer (hopelijk) de meldingen à la 0/57. Elke keer je Process Explorer of Autoruns opnieuw opstart, zullen ze alle bestanden opnieuw laten controleren door VirusTotal. Zo kan je af en toe snel nog eens controleren of alles nog in orde is. Je kan uiteraard ook losse bestanden door VirusTotal laten scannen. Daarvoor surf je naar www.virustotal.com, waar je een bestand kan uploaden of een url kan invullen om die te laten controleren.