20.11.2011, 18:58
Do napisania wątku sprowokował mnie dziś dziwny incydent, jakiego przyczyną był znany i ceniony program - CCleaner. Zaczęło się od tego, że postanowiłem uporządkować reguły w OA Free...najpierw usuwałem ręcznie niektóre, ale potem pojechałem "po całości"...wykasowałem dokładnie wszystkie - te dotyczące aplikacji, uprawnień do sieci, autostartu i wykrytych akcji "key-logging". OA został "czysty", ustawiłem tryb nauki, po czym zrestartowałemkomputer. Tym sposobem, co się miało załadować z systemem, to się załadowało, a reszta czekała na decyzję w trybie normalnym.
Jednym z wielu programów, które uruchomiłem...a pierwszym programem do konserwacji...był CCleaner. Mam wersję portable z wyłączoną opcją automatycznego sprawdzania aktualizacji, więc teoretycznie nie miał prawa łączyć się z siecią...i tu moje zaskoczenie, bo zaraz po uruchomieniu programu wyskoczył komunikat,że CCleaner próbuje nawiązać połączenie i to za pośrednictwem svchost.exe ...sprytnie, ale chyba nie za sprytnie, bo jak widać OA go przechytrzył. Problem w tym, że nawet OA sugeruje, że to program zaufany i dlatego do tej pory nie wykrywał tej akcji...podobnie nie wykrywał i następnej, którą CCleaner mnie zaskoczył. Otóż po zwyczajowej analizie plików do usunięcia zaczynamy zwykle dokonywać oczyszczania (w końcu po to ten program jest) i tu nagle zaraz po wciśnięciu klawisza "Uruchom cleaner" wyskoczył następny komunikat OA, że CCleaner próbuje dokonać zrzutu ekranu ...i to dopiero mnie zaskoczyło! Nie było mowy...podobnie jak poprzednio zabroniłem akcję. W tym momencie lekko mnie zamurowało i na myśl przyszło, że to może nie tylko "przypadłość" CCleanera takie dziwne, niespodziewane i w sumie nieco dwuznaczne...żeby nie powiedzieć podejrzane...akcje. Poszedłem dalej tym tropem i znalazłem jeszcze trochę takich "kwiatków".
Próba dokonania przechwycenia ekranu- CCleaner, OSPC (Online Solution Privacy Cleaner), Vit Registry Fix (panel główny programu) oraz Vit Disk Cleaner, poza tym Ultimate Defrag Free
Próba nawiązania połączenia(programy wymienione nie miały aktywnej opcji automatycznego sprawdzania aktualizacji) - CCleaner, Anvir Task Manager, ProcessHacker (również za pomocą svchost.exe)
Problem dla mnie jest w tym zasadniczy jeden:
- po co tym aplikacjom zawartość przechwytywanego ekranu i ukryte przed użytkownikiem połączenia z siecią?
a mniej zasadnicze pytania:
- jakie jeszcze programy robią coś bez naszej wiedzy...i co robią bez naszej wiedzy?
- jak się przed tym ustrzec i czego używać do wykrywania takich zachowań...OA wg mnie pokonał wszystkie inne HIPSy i anty-loggery..SS wybacz, ale Ciebie też.
Jednym z wielu programów, które uruchomiłem...a pierwszym programem do konserwacji...był CCleaner. Mam wersję portable z wyłączoną opcją automatycznego sprawdzania aktualizacji, więc teoretycznie nie miał prawa łączyć się z siecią...i tu moje zaskoczenie, bo zaraz po uruchomieniu programu wyskoczył komunikat,że CCleaner próbuje nawiązać połączenie i to za pośrednictwem svchost.exe ...sprytnie, ale chyba nie za sprytnie, bo jak widać OA go przechytrzył. Problem w tym, że nawet OA sugeruje, że to program zaufany i dlatego do tej pory nie wykrywał tej akcji...podobnie nie wykrywał i następnej, którą CCleaner mnie zaskoczył. Otóż po zwyczajowej analizie plików do usunięcia zaczynamy zwykle dokonywać oczyszczania (w końcu po to ten program jest) i tu nagle zaraz po wciśnięciu klawisza "Uruchom cleaner" wyskoczył następny komunikat OA, że CCleaner próbuje dokonać zrzutu ekranu ...i to dopiero mnie zaskoczyło! Nie było mowy...podobnie jak poprzednio zabroniłem akcję. W tym momencie lekko mnie zamurowało i na myśl przyszło, że to może nie tylko "przypadłość" CCleanera takie dziwne, niespodziewane i w sumie nieco dwuznaczne...żeby nie powiedzieć podejrzane...akcje. Poszedłem dalej tym tropem i znalazłem jeszcze trochę takich "kwiatków".
Próba dokonania przechwycenia ekranu- CCleaner, OSPC (Online Solution Privacy Cleaner), Vit Registry Fix (panel główny programu) oraz Vit Disk Cleaner, poza tym Ultimate Defrag Free
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Próba nawiązania połączenia(programy wymienione nie miały aktywnej opcji automatycznego sprawdzania aktualizacji) - CCleaner, Anvir Task Manager, ProcessHacker (również za pomocą svchost.exe)
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Problem dla mnie jest w tym zasadniczy jeden:
- po co tym aplikacjom zawartość przechwytywanego ekranu i ukryte przed użytkownikiem połączenia z siecią?
a mniej zasadnicze pytania:
- jakie jeszcze programy robią coś bez naszej wiedzy...i co robią bez naszej wiedzy?
- jak się przed tym ustrzec i czego używać do wykrywania takich zachowań...OA wg mnie pokonał wszystkie inne HIPSy i anty-loggery..SS wybacz, ale Ciebie też.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Z tym, że po akcji "Zablokuj" pyta jeszcze raz, a w przypadku drugiej odpowiedzi "Zezwól" AQQ i tak się wykrzacza i wisi.
