14.01.2016, 12:28
Postanowiłem opisać rzecz dziwną, którą odkryłem przypadkiem testując program YTD Video Downloader, służący do automatycznego niemal pobierania filmików z YT...jeden z użytkowników Wildersów poprosił o sprawdzenie, jak SS będzie reagował wobec tego programu, którego jednym z zachowań jest automatyczne kopiowanie adresu filmu w odpowiednie pole. Zdziwiło mnie to trochę, bo post sugerował, że kopiowanie schowka przez YTD może być poza kontrolą SS...no i tak jest.
"Przerobiłem" instalację YTD kilkukrotnie z SS ustawionym na poziomie "pytaj użytkownika" w nadziei, że wyłapie wszystkie dziwne zachowania i faktycznie pokazał, że m.min.:
- YTD instaluje aplikację Offercast.exe, która jest jest komponentem sygnowanym przez Ask,.com...co to oznacza nie trzeba szczegółowo wyjaśniać...to typowy adware traktowany jako "potencjalnie niepożądany"
- YTD otwiera proces OpenUrl.exe, który z kolei uruchamia Firefox.exe
- a na koniec YTD utworzył u mnie dziwny plik w domyślnej lokalizacji "Moje dokumenty" (czyli na dysku D) tajemniczy plik o nazwie ytCxxx.temp, który ważył aż 21 MB i nie wiadomo, co zawiera.
Szczegóły ze screenami opisałem na FW (od postu #205...http://www.wilderssecurity.com/threads/spyshelter-10.378379/page-9), więc teraz konkluzja...wziąłem się raz jeszcze za to, bo nie dawało mi to spokoju...poblokowałem wszystkie wymienione wyżej akcje i o dziwo program działał poprawnie...znaczy się wklejał automatycznie skopiowaną zawartość systemowego schowka. Robił to za każdym razem, ale tylko w jednym momencie - kiedy kursor myszy znalazł się w polu na adres odnośnika...kiedy kursor był w innym miejscu pulpitu czy okna programu, nic się nie działo. SS nie reagował i pozwalał na to bez zająknięcia!
Nieco się "wkurzyłem" i zacząłem blokować w zaawansowanych regułach procesu poszczególne podejrzane akcje...dalej nic i YTD robił, co swoje...w końcu zablokowałem wszystkie reguły w nadziei, że w końcu YTD zostanie złapany na gorącym uczynku. Ku swojemu rozczarowaniu tak się nie stało - YTD ma zablokowane wszystkie akcje i dalej działa czyli wkleja zawartość schowka.
Poniżej zrzuty z regułami...na screenach są niepoblokowane zezwolenia na ruch sieciowy, ale sprawdzałem - ich zablokowanie też niczego nie zmienia
Szczerze powiedziawszy to nie tylko zastanawiające i dla mnie trudno wytłumaczalne - nie mam pojęcia, czemu SS nie wyłapuje przechwycenia schowka i czemu mimo zablokowania dalej na to pozwala....może Kot_Pocztowy coś wyjaśni?
"Przerobiłem" instalację YTD kilkukrotnie z SS ustawionym na poziomie "pytaj użytkownika" w nadziei, że wyłapie wszystkie dziwne zachowania i faktycznie pokazał, że m.min.:
- YTD instaluje aplikację Offercast.exe, która jest jest komponentem sygnowanym przez Ask,.com...co to oznacza nie trzeba szczegółowo wyjaśniać...to typowy adware traktowany jako "potencjalnie niepożądany"
- YTD otwiera proces OpenUrl.exe, który z kolei uruchamia Firefox.exe
- a na koniec YTD utworzył u mnie dziwny plik w domyślnej lokalizacji "Moje dokumenty" (czyli na dysku D) tajemniczy plik o nazwie ytCxxx.temp, który ważył aż 21 MB i nie wiadomo, co zawiera.
Szczegóły ze screenami opisałem na FW (od postu #205...http://www.wilderssecurity.com/threads/spyshelter-10.378379/page-9), więc teraz konkluzja...wziąłem się raz jeszcze za to, bo nie dawało mi to spokoju...poblokowałem wszystkie wymienione wyżej akcje i o dziwo program działał poprawnie...znaczy się wklejał automatycznie skopiowaną zawartość systemowego schowka. Robił to za każdym razem, ale tylko w jednym momencie - kiedy kursor myszy znalazł się w polu na adres odnośnika...kiedy kursor był w innym miejscu pulpitu czy okna programu, nic się nie działo. SS nie reagował i pozwalał na to bez zająknięcia!
Nieco się "wkurzyłem" i zacząłem blokować w zaawansowanych regułach procesu poszczególne podejrzane akcje...dalej nic i YTD robił, co swoje...w końcu zablokowałem wszystkie reguły w nadziei, że w końcu YTD zostanie złapany na gorącym uczynku. Ku swojemu rozczarowaniu tak się nie stało - YTD ma zablokowane wszystkie akcje i dalej działa czyli wkleja zawartość schowka.
Poniżej zrzuty z regułami...na screenach są niepoblokowane zezwolenia na ruch sieciowy, ale sprawdzałem - ich zablokowanie też niczego nie zmienia
[Aby zobaczyć linki, zarejestruj się tutaj]
Szczerze powiedziawszy to nie tylko zastanawiające i dla mnie trudno wytłumaczalne - nie mam pojęcia, czemu SS nie wyłapuje przechwycenia schowka i czemu mimo zablokowania dalej na to pozwala....może Kot_Pocztowy coś wyjaśni?
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"