SE7EN

Wiele wskazuje na to, że ten trojan wyłudzający okup często jest ładowany przez eksploity, w takich sytuacjach pomocny może być odpowiednio ustawiony (darmowy) EMET.

Szansa na infekcję systemu gospodarza zawsze jest niezerowa, możesz ją zminimalizować stawiając maszynę z Windowsem na Linuksie jako gospodarzu.

Tak, to fałszywy alarm. Avast wykrywa go przez sygnatury generyczne które mogą powodować takie przekłamania. Winne najprawdopodobniej jest użycie packera.

Why am I getting a virus warning for a file downloaded from your website?

The files downloaded from our website are NOT edited, they are the original files. The most common files we are getting reports are "HBCDMenu.exe, HBCDCustomizer.exe, R-Kill.com, konboot.gz". Please note, they do NOT contain a virus. If you are getting a virus warning, that is a false positive. Please report the file as a false positive via your antivirus software. During that time you should disable your antivirus or add the related file to your antivirus software’s exceptions list for a problem free use.

http://www.hirensbootcd.org/faq/

Z tych dwóch lepiej moim (nieeksperckim) zdaniem brać Avira Free Antivirus 2012.

Powodem może być zmiana trybu z fast path na interleaved.

Ciągle jestem na trybie interaktywnym... Od wersji 4

I pozostanę przy ESS

Nie chodzi mi o tryb pracy zapory sieciowej, ale o nowy moduł HIPS, którego nie było w ESS 4.

[...] Do tej pory zetknąłem się tylko z jednym takim przypadkiem. [...]

Osobiście coś znalazłeś ? Jeśli tak to poproszę o jakieś namacalne dowody (próbki, video itp.)?

@cod3r kilka lat temu dostępny był exploit na VMWare infekujący system hosta przez użyciu błędu w zabezpieczeniach związanego z folderem wymiany.

@walus002 Zostaw Sobie tego ESET Smart Security 5, w ochronie HIPS najpierw ustaw Tryb uczenia się, uruchom zainstalowane programy i zmień na Tryb interaktywny. Do ESET Smart Security 5 możesz dołożyć Sandboxie dla najczęściej atakowanych programów (przeglądarki internetowe, czytniki PDF, odtwarzacze multimedialne, komunikatory internetowe, programy p2p itp.) i HitmanPro do sprawdzania plików przed zainstalowaniem i okresowego skanowania systemu.

@Punisher2010 Na te cyferki nie patrz! Wśród kart graficznych jest tylko jedna prawidłowość, im dłuższa karta graficzna, tym lepiej .

Poszukaj na stronie producenta laptopa (DELL?) nowych sterowników do tej karty graficznej, jeśli są takowe to zrób aktualizację. Po wyłączeniu przyspieszenia sprzętowego Flash-a problem dalej występuje ?

Nie sprawdzałem tej strony z kreskówkami, ale zakładam że są one we flash-u. Napisz jaką masz wersję Flash player-a (do sprawdzenia TU), oraz w jakiej wersji są sterowniki do Radeon-a i co to za model. Możesz spróbować wyłączyć przyspieszenie sprzętowe (PPM na filmiku/Ustawienia...).

Tylko że działanie tego programu opiera się praktycznie na samych restrykcjach, a wirtualizacje jest jedynie częściowa.

Na stronie producenta możesz przeczytać:

DefenseWall Personal Firewall is based on a sandboxing approach that uses rights restrictions and partial virtualization.

Oznacza że stosowane jest sandboxowe podejście do zagadnień bezpieczeństwa, ale głównie przy użyciu restrykcji. Niezaufane programy np. nie mają uprawnień do modyfikowania zaufanych elementów (podział na pliki zaufane i niezaufane oraz prawo do ich modyfikacji) i na tym w głównej mierze opiera się ochrona DefenseWall, żadne niezaufane programy nie są uruchamiane w wirtualnym środowisku (poza ochroną przed luką LNK przy użyciu kontenera DefenseWallVC, plus może czymś tam jeszcze), narzucane są na nie jedynie silne restrykcje uniemożliwiające niepożądane modyfikacje. I to własnie ten typ ochrony można nazwać polityką piaskownicy.

Dla mnie ten czy inny program to bez różnicy, ważne żeby spełniał swoje zadania, ale przedstawiam dowody jak twierdzę że dany program nie działa jak powinien.

Bez dowodów nie ma nawet co pisać o tej wymyślonej historyjce. Nie ma dowodów, nie ma sprawy

Daj niepodważalne dowody (screeny, materiał video, próbkę tego malware) na poparcie tych tez, bo wiesz napisać to sobie możesz wszystko.

Z tym się muszę zgodzić, ale przysłowie w tym przypadku odnosi się do mojego adwersarza w tej dyskusji

Udało ci się ? To poproszę o dowody! Nie masz ich, to twoje wypociny tak jak pisałem wcześniej nie są nic warte. Podsumuję tą rozmowę fragmentem z Cycerona "Właściwością człowieka jest błądzić, głupiego w błędzie trwać". Napisz do autora DefenseWalla, dowiesz się jak działa ten program, no chyba że jego słowa też cie nie przekonają. Nie rozumiesz jak działają te programy, do czego służą i w jaki sposób je testować, tyle w temacie ode mnie Odpisywałem tylko w celach sprostowania twojego bełkotu, bo nie wszyscy co tu zaglądają potrafią od razu oddzielić ziarno od plew.

Sorry ale napiszę to wprost, twoje wywody nie są warte funta kłaków. DefenseWall to HIPS (działa w głównej mierze w oparciu o restrykcje, a jedyne techniki czysto wirtualizacyjne są stosowane do ochrony przed atakiem LNK, jeśli w to co piszę nie wierzysz napisz do twórcy DefenseWalla i się przekonasz jak jest na prawdę), a Sandboxie to piaskownica i jej zadaniem jest odizolowanie zmian wprowadzonych przez programy w niej uruchomione od realnego systemu, oczywiście można narzucić dodatkowe restrykcje (np. dostępu do wybranych zasobów np. folderów z prywatnymi dokumentami i ograniczenia np. dostępu do sieci). To że tobie się coś wydaje, nie świadczy o tym że jest to prawdą, a tylko wprowadza innych mniej zorientowanych w błąd. Pokarz mi próbkę malware która zainfekuje realny system przy uruchomieniu w środowisku Sandboxie, bo z twoich niedorzecznych testów CLT wynika że taka sytuacja może mieć miejsce.

Dla CLT wpływ Sandboxie jest w większości przypadków przezroczysty, zrozum CLT nie jest narzędziem do testowania piaskownic bo podaje fałszywy wynik. Przy wyniku Vulnerable w danym teście nie dokonywane są modyfikacje w realnym systemie, a jedynie w kontenerze Sandboxie. CLT jest testem zapory sieciowej (kilka testów odnosi się tam do tej ochrony) i monitora systemu (HIPS) i nie umie rozróżnić czy dokonuje modyfikacji w realny, czy wirtualnym środowisku. Niezależnie jak byś zaklinał rzeczywistość Sandboxie nie jest zaporą z monitorem systemu, a CLT nie jest zaprojektowane do testowania środowiska Sandbox.

Kostką masła też nie wbijesz gwoździ, co nie znaczy że masło jest do niczego. Wynik różny od 0 świadczy tylko o tym że Sandboxie ogranicza dostęp niskiego poziomu i dostęp do sprzętu. Ale stosowanie testu przeznaczonego do zapór sieciowych jest nieuzasadnione (żeby nie pisać mocniej, bezmyślne), zrozum, to że nie zaliczył jakiegoś testu nie znaczy że zostały wprowadzone trwałe zmiany w systemie. Wszystko odbywa się w obszarze kontenera.

Używanie CLT do testowania Sandboxie jest kompletnym nonsensem. Po pierwsze CLT zostało stworzone do testowania zapór sieciowych posiadających moduł HIPS (Sandboxie z tego co wiem nie jest ani firewallem, ani nie posiada HIPSa). Pomijając to że niemożliwe jest aby zaliczyło ono testy zapory, to wszystkie modyfikacje utworzone przez ten program są wrzucane do kontenera. Nawet jak wyjdzie że program nie przeszedł tej czy innej próby, nie znaczy to że zostały dokonane jakieś trwałe zmiany w systemie, a tylko tyle że dla CLT pracującego pod kontrolą Sandboxie wszystko wydaje się być realnym systemem, pomimo że na prawdę nic nie wychodzi z kontenera. To tak jak byś sprawdzał dla DWPF jak sobie radzi z blokowaniem stron z phishing'iem lub jaka jest w jego przypadku skuteczność skanera na żądanie. Jeśli tego nie rozumiesz to zobacz jaki wynik w teście CLT osiągnie Shadow Defender podczas trybu Shadow Mode.

TrustPort Total Protection 2012 na rok za darmo.

Link do strony z promocją: http://www.trustport.com/game/index.html

Leniwi znajdą rozwiązania TU.

To normalna technika infekcji, pewnie przeglądałaś wyniki z jakiejś wyszukiwarki i jeden z wyników przekierowuje na stronę z fałszywym skanerem. Taka technika nosi nazwę blackhat SEO i jest wykorzystywana często przez cyberkryminalistów dla nowych popularnych wyszukiwanych fraz. Mam nadzieję że nie zainstalowałaś tej złośliwej aplikacji, tylko zamknęłaś przeglądarkę (choćby przez ubicie procesu jeśli normalnie się nie dało).