Quote:
|
Originariamente inviato da oineg
...ricevo la segnalazione di riskware quando clicco sull'icona ... per effettuare l'update di widows. ... C:\WINDOWS\System32\WUPDMGR.EXE ..
|
ad essere imputato, e cosi' rispondo anche a schumy2006, è l'AAA del PDM, in particolare la voce "dangerous behaviour":
Ora, per un qualche motivo che mi è ignoto
,
l'UNICO MODO per avere il controllo sugli avvisi HIDDEN DATA SENDING è quello di settare su PROMPT FOR ACTION la voce in questione (
quando invece fino a poco tempo fa io consigliavo di tenerlo su termina/quarantena...).
SOLO in questo caso si riceve il pop-up di allarme che ci offre 3 alternative, termina/quarantena (e cessa il processo...)/autorizza.
Per dire, se fate il LeakTest di PcFlank con la voce "dangerous behaviour" settata su PROMPT superate il LeakTest ( e tutti i tentativi analoghi dei malware di spedire dati sfruttando le tecniche del LeakTest citato), altrimenti si riceve si' l'avviso ma i dati bypassano ugualmente il PDM/Firewall.
Questa dell'HIDDEN DATA SENDING è, assieme alla nuova tecnologia anti-Keylogger, un'altra novità dell'MP1:
"MP1 also introduces an extended set of verdicts that can be returned by the proactive defense module based on analyzing the behavior of running programs. Specifically, new verdicts include “Hidden data sending” and “Private data and passwords access”.
The former verdict is returned when a malicious program attempts to use a special mechanism of interaction with Internet Explorer to send data on behalf of the browser. This enables it to “dodge” the personal firewall installed in the system because firewall rules usually allow Internet Explorer to send data. "
Spero di essere stato chiaro...