21.02.2015, 17:24
To ja zgłoszę problem, VoodooShield nie poradził sobie z exploitem.
Po ponownym uruchomieniu komputera system nadal jest zablokowany.
Sprawdzałem na wersji stabilnej 2.22 oraz na wersji beta 2.23l.
EDYCJA
Udało mi się dojść do tego co sprawiało jakby "problem", że VS nie blokował pliku uruchamianego przez exploita.
Testy robiłem na Windows 7 64bit, VS podczas instalacji instaluje "Microsoft Visual C++ 2010 SP1 Redistributable Package (x64)" jak widać tylko w wersji 64 bitowej.
Gdy sam specjalnie pobrałem i zainstalowałem "Microsoft Visual C++ 2010 SP1 Redistributable Package (x86)" czyli wersję 32 bitową, to program zaczął normalnie działać i udało mu się zablokować plik uruchamiany przez exploita.
Z tego co zaobserwowałem, to wydaję mi się, że żeby program prawidłowo funkcjonował potrzebne są obie wersje bibliotek (przynajmniej na systemie 64-bitowym). Nie wiem czy twórcy programu celowo instalują jedną wersję bibliotek (twierdząc, że tak powinno prawidłowo działać), czy może coś przeoczyli i nie wiedzą o problemie.
Dodam jeszcze, że gdy nie miałem zainstalowanej dodatkowo wersji 32-bitowej tych bibliotek, to program prawidłowo blokował/wyświetlał powiadomienia o uruchamianych programach, w które sam klikałem, natomiast te uruchamiane przez exploita jak widać nie były już blokowane.
[Aby zobaczyć linki, zarejestruj się tutaj]
Białe tło na końcu to działający ransomware, tyle że to w miarę stara próbka, więc serwer, z którego pobiera dane jest prawdopodobnie wyłączony i pewnie z tego powodu nic więcej się nie pojawiło.Po ponownym uruchomieniu komputera system nadal jest zablokowany.
Sprawdzałem na wersji stabilnej 2.22 oraz na wersji beta 2.23l.
EDYCJA
Udało mi się dojść do tego co sprawiało jakby "problem", że VS nie blokował pliku uruchamianego przez exploita.
Testy robiłem na Windows 7 64bit, VS podczas instalacji instaluje "Microsoft Visual C++ 2010 SP1 Redistributable Package (x64)" jak widać tylko w wersji 64 bitowej.
Gdy sam specjalnie pobrałem i zainstalowałem "Microsoft Visual C++ 2010 SP1 Redistributable Package (x86)" czyli wersję 32 bitową, to program zaczął normalnie działać i udało mu się zablokować plik uruchamiany przez exploita.
Z tego co zaobserwowałem, to wydaję mi się, że żeby program prawidłowo funkcjonował potrzebne są obie wersje bibliotek (przynajmniej na systemie 64-bitowym). Nie wiem czy twórcy programu celowo instalują jedną wersję bibliotek (twierdząc, że tak powinno prawidłowo działać), czy może coś przeoczyli i nie wiedzą o problemie.
Dodam jeszcze, że gdy nie miałem zainstalowanej dodatkowo wersji 32-bitowej tych bibliotek, to program prawidłowo blokował/wyświetlał powiadomienia o uruchamianych programach, w które sam klikałem, natomiast te uruchamiane przez exploita jak widać nie były już blokowane.