© CIDimport

Weg met onbekende malware!

Geplaatst: 18 augustus 2009 - 08:08

Aangepast: 27 augustus 2022 - 14:43

Redactie ID.nl

U hebt een firewall en anti-virustool geïnstalleerd en dus voelt u zich veilig. Niet helemaal terecht, want onbekende malware glipt nog wel eens door de mazen van het net. Met de gratis tool ThreatFire pakt u voortaan ook compleet onbekende malware aan, nog voor die zich in uw systeem weet te nestelen.

U hebt een firewall en anti-virustool geïnstalleerd en dus voelt u zich veilig. Niet helemaal terecht, want onbekende malware glipt nog wel eens door de mazen van het net. Met de gratis tool ThreatFire pakt u voortaan ook compleet onbekende malware aan, nog voor die zich in uw systeem weet te nestelen. Klassieke beveiligingsprogramma's identificeren binnenkomende malware gewoonlijk aan de hand van een databank met 'handtekeningen'. ThreatFire heeft deze aanpak afgezworen en analyseert alles wat zich binnen uw systeem afspeelt. Zodra iets verdachts wordt opgemerkt, reageert de tool. Op deze manier kan dus ook geheel onbekende malware worden ontmaskerd en precies daarom is ThreatFire een goede aanvulling op uw al geïnstalleerde anti-malware-software. Het programma laat zich bovendien makkelijk bedienen en springt zuinig om met systeembronnen. Het laat zich zowel in Windows 2000, XP als Vista installeren.

Stap 1

Weg met onbekende malware!-16254429

© CIDimport

Surf naar www.threatfire.com , download en installeer - de gratis versie van - het programma. De installatie is rechttoe rechtaan, maar voordat u met ThreatFire aan de slag gaat, herstart u voor de zekerheid even uw pc. In het systeemvak van Windows krijgt u een nieuw pictogram te zien. Dubbelklik hierop om het programmavenster van ThreatFire te openen en klik op de knop Security Status. De Spyware & Virus Protection hoort op ON te staan. Zo niet, klikt u deze knop aan om de beveiliging alsnog te activeren. Open regelmatig ook even het tabblad Protection Statistics. U verneemt hier namelijk hoeveel verdachte activiteiten werden gedetecteerd en hoeveel malware ThreatFire effectief heeft geblokkeerd.

Stap 2

Weg met onbekende malware!-16254434

© CIDimport

ThreatFire is standaard prima geconfigureerd, maar het kan nooit kwaad om de verschillende opties en instellingen te verkennen. Druk hiervoor op de Settingsknop. Op het tabblad General kunt u onder meer het gevoeligheidsniveau (sensitivity level) instellen. ThreatFire beveelt hier niveau 3 aan; een hoger niveau zou namelijk te veel valse meldingen kunnen genereren (software die onterecht als 'verdacht' wordt gemarkeerd), terwijl u met een te laag niveau riskeert dat malware door de mazen van net glipt. Ook het onderdeel Default Actions kunt u het best ongemoeid laten; bij potentiële malware vraagt ThreatFire u dan wat er precies moet gebeuren, terwijl bekende malware automatisch in quarantaine wordt gestopt. Op het tabblad Scan kunt u ervoor zorgen dat ThreatFire op gezette tijden automatisch een scanronde uitvoert. Plaats hier een vinkje bij Run a scheduled scan, stel de gewenste frequentie in en kies het scantype (zie volgende stap). Bevestig met OK.

Stap 3

Weg met onbekende malware!-16254438

© CIDimport

We zijn nu klaar voor de eerste scanronde. Die kunt u op elk moment handmatig starten. Daarvoor klikt u de knop Start Scan aan en kiest u het gewenste scantype, waarbij u de keuze hebt uit Intelli-Scan en Full Scan. Het eerste type beperkt zich tot die gebieden van uw schijf waar malware zich wel vaker tracht te verstoppen, terwijl het tweede type de complete schijf analyseert. U begrijpt dat dit laatste type veel meer tijd in beslag kan nemen. Met Start Scan zet u de scanronde in gang. Die kunt u met de Pause-knop echter op elk moment weer onderbreken. Op het einde van de scan krijgt u dan een overzicht van de gedetecteerde bedreigingen, inclusief de locatie op uw schijf en een inschatting van het risico. De geselecteerde items kunt u vervolgens in quarantaine plaatsen (Quarantine selected, zie ook stap 5) of als onschuldig markeren zodat ThreatFire die voortaan met rust zal laten (Exclude Selected from Future Scans).

Stap 4

Weg met onbekende malware!-16254442

© CIDimport

Nu wilt u natuurlijk wel weten hoe Threatfire precies reageert bij mogelijke malware. Om deze alarmmeldingen op een veilige manier te genereren, kunt u gebruikmaken van de tooltjes op www.misec.net/trojansimulator en www.spycar.org. Botst ThreatFire op bekende malware, dan verschijnt een rood venster. U kunt in zo'n geval alleen op Proceed drukken om het onding linea recta in quarantaine te plaatsen. Potentiële malware genereert een geel meldingsvenster. U krijgt daarin meer informatie over het type bedreiging, het mogelijke risico en het bestand dat achter de bedreiging schuilgaat. U kunt het dan ongestoord zijn gang laten gaan (Allow this process to continue), dan wel het in quarantaine plaatsen (Kill and quarantine this process). Als u de optie Remember this answer aanvinkt, zal ThreatFire u bij een overeenkomstig voorval niet langer lastigvallen. Bij ernstige twijfel ten slotte verschijnt een grijs venster, met opties als die van een geel venster.

Stap 5

Weg met onbekende malware!-16254447

© CIDimport

Neemt u ooit een verkeerde beslissing, dan nog is er geen man overboord. Klik in zo'n geval Threat Control aan. Op het tabblad Allowed krijgt u dan een overzicht van de items die u als 'goedaardig' had bestempeld. Door zo'n item te selecteren en op Remove te drukken, haalt u het weer weg uit de lijst en zal ThreatFire een volgende keer weer alarm slaan. Ook het omgekeerde (vals positief) is mogelijk; die items vindt u onder het tabblad Denied. Open ook even het tabblad Quarantined. Hierin vindt u alle items terug die u in quarantaine hebt laten plaatsen. U hebt dan twee mogelijkheden: Restore Selected (hef de quarantaine op) of Permanently Delete (voorgoed van de schijf weghalen).

Stap 6

Weg met onbekende malware!-16254451

© CIDimport

Gevorderde gebruikers hebben ongetwijfeld ook iets aan de ingebouwde monitoringfunctie van ThreatFire. Als u Advanced Tools aanklikt en vervolgens het tabblad System Activitiy Monitor opent, krijgt u in het linkerpaneel namelijk verschillende rubrieken te zien: Applications, Autoruns, System, Services en Other. Het gaat met name om programma's, services en processen die in het geheugen actief zijn. Wanneer u deze rubrieken openklikt, krijgt u de bijhorende items te zien. Klik zo'n item met de rechtermuisknop aan en kies Get information on... voor bijkomende uitleg. En bent u het item liever uit het geheugen kwijt, selecteer dan Kill... en bevestig met Ja.

Stap 7

Weg met onbekende malware!-16254456

© CIDimport

Welke criteria ThreatFire precies hanteert om het kaf van het koren te scheiden is ons niet bekend, maar het is in elk geval wél mogelijk eigen filterregels te maken. U kunt het programma bijvoorbeeld een melding laten geven wanneer software een bestand in de Windows-map zet. Open opnieuw Advanced Tools en kies Advanced Rule Settings. Druk op de knop Custom Rule Settings en selecteer New. Druk op Next, kies Any process en bevestig met Next. Kies vervolgens tries to a access a file en klik onderaan op access. Plaats een vinkje bij Create en druk op OK. Druk nogmaals op Next, plaats een vinkje bij In the folder en klik onderaan The folder aan. Navigeer naar de gewenste map en druk op OK en op Next. Definieer eventueel uitzonderingen (bijvoorbeeld Except when the target file is file name), druk op Next, geef een geschikte naam aan de regel en sluit af met Finish. Plaats een vinkje bij uw nieuwe regel en druk op OK: ThreatFire heeft er nu een zorg bij...


Deze workshop komt uit Computer Idee nummer 8, jaargang 2009.

Deel dit artikel
Voeg toe aan favorieten