(25.06.2017, 13:10)zord napisał(a):[Aby zobaczyć linki, zarejestruj się tutaj]
Można wiedzieć na podstawie czego szkodliwe przekierowanie zostało wykryte jako szkodliwe ?
W drugim ataku [S], gdzie malware było pobierane manualnie, w kodzie HTML testowej strony znajdował się zobfuskowany kod JavaScript, który przekierowywał do
[Aby zobaczyć linki, zarejestruj się tutaj]
, /malware2.bat, itd. Niektóre antywirusy bez problemu radzą sobie z zaciemnionym kodem, a niektóre blokowały stronę przed zapisaniem malware na dysku (skanowanie w trakcie pobierania).W skrócie, w pierwszym ataku [F] tam gdzie jest w tabelkach wynik "1/-/-/-", zadziałało albo aktywne skanowanie WWW, więc zagrożenie zostało zatrzymane w przeglądarce, albo też zadziałał moduł do ochrony przed exploitami lub IPS / IDS. Jeśli program antywirusowy posiadał taki moduł, było to doskonale widać w raportach. Załączam dwa pliki. Pierwszy z nich pokazuje Bitdefendera i jego ochronę przed explitami, drugi Eseta i zatrzymanie zagrożenia w przeglądarce.
W drugim ataku [S] mówimy o ochronie WWW, gdzie przed zapisaniem, skanowane są pliki lub popularność adresów IP. Chociaż tutaj kolektywna ochrona na podstawie reputacji nie mogła zadziałać, ponieważ były to adresy IP serwerów wykorzystanych tylko na czas testów.
Dodaję jeszcze skrócony raport detekcji zagrożenia modułem IPS / IDS w oprogramowaniu Quick Heal:
Kod:
Report For - Total Security Intrusion Detection & Prevention
...
Total Security Version - 17.00
........
--------------------------------------------------------------------
Action Taken: Blocked
Vulnerability detected: VID-02008
Description: Mozilla Firefox 'nsSMILTimeContainer::NotifyTimeChange' Use After Free Remote Code Execution
.....