Er bestaan massa’s (soorten) malware en sommige van die perfide programma’s – met name heel wat zogenoemde RAT’s ofte remote access tools – maken gebruik van een speciale techniek om contact op te nemen met de ‘thuisbasis’ of om onder de radar van klassieke antivirustools te blijven. Phrozen RunPE Detector is er speciaal op gericht dergelijke vormen van malware alsnog te detecteren.

De naam RunPE Detector mag dan wat vreemd lijken, maar die naamkeuze heeft alles te maken met de techniek die door heel wat malwares wordt toegepast. Die techniek heet namelijk RunPE en bestaat erin om een legitiem proces – niet zelden een browser- of een systeemproces van Windows – te genereren en het vervolgens direct in het geheugen met malafide code te injecteren. Op die manier wordt vaak niet alleen je firewall omzeild maar slaagt de malware er ook in veel antivirustools te misleiden.

[download_file]

Wanneer je RunPE Detector opstart, lijst het meteen alle lopende processen op waarna je die met een druk op de knop kunt laten scannen. De tool gaat hierbij na of bepaalde processen niet ‘gekaapt’ werden door malafide code. Blijkt dat inderdaad het geval dan vermeldt het programma dat en kun je op zoek gaan naar het ‘hostbestand’ dat in de eerste plaats voor die injectie zorgde. Ook daarbij kan RunPE Detector je helpen, maar de makers van de tool geven zelf toe dat hun programma daar lang niet altijd in slaagt. In dat geval zit er toch weinig anders op dan – bijvoorbeeld vanaf een live medium – een diepe scan te laten uitvoeren door een degelijk en up-to-date antivirusprogramma.

Dit alles maakt meteen duidelijk dat Phrozen RunPE Detector een bijkomende beveiligingsmaatregel is die je bij voorkeur regelmatig uitvoert. Het is echter geenszins bedoeld als vervanger van klassieke antivirusprogrammatuur!

We voegen er nog aan toe dat op dit moment RunePE Detector alleen 32-bits processen kan scannen, maar volgens de makers hoeft dat geen echte handicap te zijn gezien nagenoeg alle malware tot op heden in een 32-bit architectuur wordt gecompileerd. Niettemin zijn er concrete plannen om ook in 64-bits scans te voorzien.