Firefox i skanowanie ściągniętych plików

30 Wrzesień 2009

Po zainstalowaniu Firefoxa w wersji 3, czyli już spory kawałek temu, po raz pierwszy zobaczyłem nową funkcjonalność przeglądarki, jaką było skanowanie nowo ściągniętych plików przez program antywirusowy. Zacząłem się wtedy zastanawiać czy Mozilla podrzuciła w F3.0 jakiś skaner, czy też sama zacząła zajmować się produktami AV. Od tamtego czasu nie miałem okazji i czasu by głębiej przyjrzeć się tematowi. Do dzisiaj.

Zasada działania skanowania w Firefox jest bardzo prosta. Jeśli użytkownik systemu Windows ma zainstalowany program antywirusowy, Firefox (a konkretniej Download Manager) użyje tego programu by przeskanować ściągnięty plik. Jeśli takowego programu nie ma, skanowania, opóźnienia w ściąganiu i zapisywaniu pliku nie będzie. Dodatkowo, w Windows XP SP2 i Windows Vista (i Windows 7) przeskanowany program nie aktywuje alertu bezpieczeństwa systemu.

Funkcjonalność ta pojawiła się w Firefoxie w wersji 3.0b3 na początku 2008 i zdążyła wywołać niemało problemów.

Pierwszym problemem, który został zaobserwowany przez dużą część użytkowników przeglądarki to problem w ściąganiu plików, a konkretniej w ich zapisaniu na dysku. Jednak nie jest to problem samej przeglądarki, ale programu antywirusowego, który może nieprawidłowo rozpoznać ściągnięty plik jako zagrożenie (false positive). Wykrycie jakiejkolwiek postaci malware uniemożliwia w rezultacie zapisanie pliku na dysku.

Drugim problemem, a raczej niedogodnością było opóźnienie związane z czynnością skanowania ściąganych plików, tym większe im większy jest plik. Opóźnienie to zależy też od szybkości działania programu antywirusowego.

Jak można się domyśleć, to co robi Download Manager jest tak naprawdę niepotrzebne, ponieważ nowo tworzone, zmieniane i otwierane pliki i tak są skanowane przez programy antywirusowe (w ustawieniach domyślnych). Dlatego też ja nie znajduję mocnych merytorycznych podstaw uzasadniających potrzebę dodania tej funkcjonalności do przeglądarki.

Skanowanie to można wyłączyć ustawiając zmienną browser.download.manager.scanWhenDone na false w ustawieniach przeglądarki (about:config, a poźniej Toggle na wartości).

Więcej:

Posted by michalos
Filed in Beta, Dev, Windows 7, Windows Vista, Windows XP, bezpieczeństwo
Tags: , , , , , , , , , , , , , , , , , ,
3 Comments »

Microsoft Security Essential uznaje oprogramowanie Lenovo za adware, część druga

8 Lipiec 2009

Dwa tygodnie temu pisałem o oprogramowaniu Lenovo, które jest wykrywane jako adware przez najnowszy produkt Microsoftu Security Essentials. Po moim poście dostałem email od jednego z pracowników Microsoftu zajmującego się Security Essentials z prośbą o sprostowanie mojego komentarza.

Zostało mi wskazane, że MSE prawidłowo rozpoznaje Lenovo Message Center Plus jako adware, co zostało potwierdzone w badaniach przeprowadzonych przez specjalistów z Microsoft. Skontaktowano się z Lenovo, które szybko wypuściło zmodyfikowaną wersję Message Center Plus nie zawierającą kodu uznawanego przez MSE za adware.

Po ukazaniu się nowej wersji oprogramowania Lenovo Microsoft opublikował nowe definicje dla MSE oznaczone numerem 1.61.794.0, które nie rozpoznają już tego oprogramowania jako adware.

Adware:Win32/LenovoMCP was a detection for Lenovo Message Center Plus. This program was detected by definitions prior to 1.61.794.0 as adware, as it violated the guidelines by which Microsoft identifies spyware and other potentially unwanted software. The vendor subsequently modified the program so as to remove the undesired behavior. Due to this vendor action, Microsoft has confirmed that the program no longer has potentially unwanted behaviors. Microsoft has released definition 1.61.794.0, which no longer detects this program.

(informacje ze strony Microsoft Security Encyclopedia)

Użytkownicy komputerów Lenovo powinni zaktualizować swoje oprogramowanie na nową, pozbawioną adware wersję Message Center Plus.

Posted by michalos
Filed in Microsoft, bezpieczeństwo
Tags: , , , , , , , , , , ,
Komentarze są wyłączone

Microsoft Security Essential uznaje oprogramowanie Lenovo za adware

26 Czerwiec 2009

Jeszcze nie tak dawno pisałem pochwalne peany na cześć MSE (Microsoft Security Essentials), a tu już na drugi dzień po zainstalowaniu przywitała mnie pierwsza wpadka tego programu antywirusowego.

Ku mojemu wielkiemu zaskoczeniu, MSE uznał, że Message Center Plus z Lenovo to szkodliwy program wyświetlający reklamy, tzw. adware.

Szczegóły:

  • plik – C:\Program Files\Lenovo\Message Center Plus\MCPLaunch.exe
  • wykryty jako Adware:Win32/LenovoMCP
  • poziom zagrożenia: średni

Najnowsza wersja Message Center Plus z Lenovo pochodzi z końca maja 2009 roku (link). Od maja nie pamiętam, bym widział reklamę wyświetloną inaczej niż z okna przeglądarki internetowej (Firefox, IE), tym bardziej nie z narzędzia Lenovo. Być może moje doświadczenia to za mało, by stwierdzić, że program tego nie robi, ale chyba nie jest to powodem by ostrzegać użytkowników laptopów Lenovo o potencjalnym zagrożeniu.

Znalezisko wygląda mi na klasyczny false positive. Mam nadzieję, że w niedługim czasie program nie będzie już wykrywany.

Posted by michalos
Filed in Beta, Microsoft, Windows XP, bezpieczeństwo
Tags: , , , , , , , , , ,
4 Comments »

Microsoft Security Essentials – darmowy i lekki program antywirusowy

24 Czerwiec 2009

Microsoft oficjalnie zakończył dostępność wersji beta swojego nowego produktu, Security Essentials, jednak program wciąż jest dostępny na innych serwerach. Softpedia udostępnia wersje 32 i 64 bitowe dla Windows 7, Vista i Windows XP (na chwile obecną link wciąż działa, ale prawnicy Microsoftu już mogli zacząć działać).

Ten niedawno stworzony produkt to darmowa wersja Microsoft Windows Live OneCare, czyli program antywirusowy. Oparty na Microsoftowej technologii sprawdzonego skanera antywirusowego, tego samego, który znalazł zastosowanie w Forefront i OneCare budzi we mnie nadzieję, że będzie to bardzo dobry produkt. Dodatkowo, wyniki z VB100 zdają się potwierdzać tę tezę. Pracuję z grupą odpowiedzialną za tworzenie programu antywirusowego w mojej firmie od ponad 2 lat. Postęp, jakiego jestem świadkiem i narzędzie jakie stworzyli pozwala mi odważnie postawić tezę, że będzie to jeden z najlepszych programów antywirusowych na rynku.

Przez ostatnie kilka lat codziennie miałem do czynienia z wieloma programami antywirusowymi – AVG, Symantec, McAfee, Eset, Norman, Avira – by wymienić tylko kilka. Jednym z czynników, na podstawie których można stwierdzić, że program antywirusowy jest dobry jest ilość tzw. false positives, czyli błędnych wskazań zagrożenia wirusem. Kolejnym jest oczywiście celność wskazania właściwego zagrożenia. Wymienione przeze mnie programy miały porównywalne wyniki w tym drugim teście, natomiast potrafiły nastręczać nie lada problemów przy pierwszym.

Skaner opracowany przez Microsoft nigdy nie nastręczał problemów przy false positive ale zawsze znajdywał to, co miał znaleźć.

Ściągnąłem i zainstalowałem Microsoft Security Essentials na swoim komputerze. Szybka instalacja i mała zasobożerność przyjemnie odróżniają się od znanych na rynku alternatywnych rozwiązaniach. Program pracujący w tle zajmuje nieco ponad 6MB przy włączonych opcjach skanowania modyfikowanych plików. To skutecznie pozwala zapomnieć o tym, że w ogóle mamy program antywirusowy, co nie jest takie proste przy zauważalnym odcisku na procesorze i pamięci np. w programie antywirusowym od firmy Symantec.

Wykonałem mały test za pomocą eicar’a by przetestować nie tyle działanie skanera, ile informacje jakie dostają użytkownicy w przypadku wykrycia zagrożenia wirusem. Microsoft Security Essentials nie tylko poprawnie wykrył zagrożenie, na moje żądanie je usunął, ale także udostępnił dodatkowe informacje on-line na stronach Microsoftu. Takie wsparcie bazą wiedzy bardzo się przydaje.

Nie był to test z prawdziwego zdarzenia, na taki pewnie przyjdzie jeszcze zaczekać, kiedy program ukaże się w finalnej wersji. Moje odczucia są bardzo pozytywne, bo żaden inny program antywirusowy do tej pory nie spowodował, że nie chcę go usuwać krótką chwilę po zainstalowaniu (tym samym przyznaję się, że do dnia dzisiejszego nie mialem zainstalowanego żadnego programu antywirusowego :) ).

Posted by michalos
Filed in Beta, Microsoft, Windows Vista, bezpieczeństwo
Tags: , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
3 Comments »

XAMLPad i programy antywirusowe

20 Marzec 2009

Niektóre osoby mogły zaobserwować dość niepokojące zachowanie programu antywirusowego przy po ściągnięciu lub w trakcie instalacji programu XAMLPad (plik nazywa się XamlpadX_4.0.exe), pochodzącego z Microsoftu (program jest dostępny na MSDN). Program ten był traktowany jako malware przez kilka programów antywirusowych. Poniżej znajduje się lista programów i nazwa rozpoznania:

  • a-squared -  Trojan.Generic!IK
  • BitDefender - Trojan.Generic.872546
  • Fortinet – PossibleThreat
  • GData - Trojan.Generic.872546
  • Ikarus - Trojan.Generic
  • K7AntiVirus - Trojan.Win32.Agent.FQZE
  • McAfee+Artemis - Generic.dx
  • NOD32 - probably a variant of Win32/Agent
  • Norman – W32/Agent.FQZE
  • nProtect – Backdoor/W32.RA-based.1814186
  • Panda – Generic Trojan
  • Symantec - Trojan Horse

Informacje dostępne na VirusTotal.com

Podobnie ma się z dodatkiem do Age of Empires II. Plik o nazwie age2_x1.icd jest niepoprawnie rozpoznawany jako malware (raport z VirusTotal.com).

Ten pliki oczywiście nie są trojanem ani żadną inną formą złośliwego oprogramowania. Mój zespół skontaktował się już ze wszystkimi producentami programów antywirusowych i poprosił ręczną analizę pliki i usunięcie rozpoznania.

Takie sytuacje się zdarzają. Ze względu na liczebność programów antywisurowych są to sytuacje wręcz nie do uniknięcia. Celem naszego zespołu w Microsofcie jest minimalizowanie tego typu zachowań poprzez współpracę z producentami oprogramowania antywirusowego.

Posted by michalos
Filed in Microsoft, bezpieczeństwo
Tags: , , , , , , ,
Komentarze są wyłączone

Adware z BIOS'u?

14 Styczeń 2009

Wpadła mi w ręce informacja dotycząca nieczystego zagrania pewnego dużego producenta komputerów przenośnych. Ze względu na toczącą się analizę problemu, nie ujawnię jego nazwy.
Na świeżo zainstalowanym systemie Windows Vista na komputerze od tego producenta, pokazało się okno Internet Explorera z reklamą pewnej usługi. Warto podkreślić, że nie był to obraz systemu, jaki zazwyczaj jest dostarczany z komputerem, ale świeża instalacja (nie tzw. OEM, ale FPP) wprost “z pudełka”. W grę nie wchodziły żadne programy, które mogły zainstalować się z Internetu. Poza systemem operacyjnym na komputerze nie było zainstalowane żadne inne oprogramowanie.

Dalsza analiza problemu pokazała, że niechciany software pochodził … z BIOS’u!

Amerykańska firma Absolute Software dostarcza rozwiązanie do ukrywania pewnego rodzaju oprogramowania wprost w BIOS’ie systemu. Oprogramowanie to, zwane Computrace, ma za zadanie namierzenie skradzionego komputera w momencie gdy jego nowy użytkownik połączy się z siecią Internet. System ten działa z powodzeniem w Stanach Zjednoczonych od 1997 roku. Stosuje go wielu znanych producentów systemów komputerowych (lista) – sugeruję sprawdzenie w swoim BIOS’ie.

Jednak firma Absolute Software dla jednego z tych producentów wykazała więcej inicjatywy i dostarczyła opcję wyświetlania reklam.

W 2006 roku program antywirusowy AVG znajdował w plikach rpcnetp.exe i rpcnetp.dll trojana. Nie pomagało usuwanie plików, używanie innych skanerów, ani nawet re-instalacja systemu. Pliki te zawsze “magicznie” pojawiały się w systemie po restarcie. Autorem tych dwóch plików jest firma Absolute Software (Computrace LoJack for Laptops) i pliki te były kopiowane z BIOS’u. Od tego czasu AVG już nie znajduje w tych dwóch plikach trojanów, ale jakby nie było, niesmak pozostał.

Problemów z tego rodzaju oprogramowaniem jest co najmniej kilka. Ale najbardziej niepokąjaca nie jest idea, że na naszych komputerach możemy mieć zainstalowane oprogramowanie, którego nie pozbędziemy się nawet stosując format dysku. Nawet jeśli Computrace stworzony został w zacnym celu, może okazać się przykry w skutkach, jeśli zostanie rozpracowany przez autorów malware.

Oryginalne okno z reklamą usługi Computrace. Wyciąłem nazwy i loga producenta oprogramowania.

Posted by michalos
Filed in bezpieczeństwo
Tags: , , , , , , , , , , , , , ,
5 Comments »

VB2009, Geneva: Call for papers

8 Styczeń 2009

Z dzisiejszej korespondencji:

VB2009, Geneva: Call for papers

Virus Bulletin is seeking submissions from those wishing to present at VB2009, the 19th VB International Conference, which will take place from 23-25 September 2009 at the Crowne Plaza, Geneva, Switzerland.

The conference will include a programme of 40-minute presentations running in two concurrent streams: Technical and Corporate. Submissions are invited on all subjects relevant to anti-malware and anti-spam. In particular, VB welcomes the submission of papers that will provide delegates with ideas, advice and/or practical techniques, and encourages presentations that include practical demonstrations of techniques or new technologies.

Abstracts should be submitted via the online abstract submission system at http://www.virusbtn.com/conference/abstracts/ and must be submitted no later than FRIDAY 6th MARCH 2009.

Further details of the paper submission and selection process, including a list of suggested topics for papers, can be found at http://www.virusbtn.com/conference/vb2009/call/.

Posted by michalos
Filed in bezpieczeństwo
Tags: , , , , , , ,
Komentarze są wyłączone

Apple doradza: zainstaluj antywirusa

2 Grudzień 2008

Przeczytane na BBC.

Na swojej stronie internetowej Apple sugeruje użytkownikom MacOS korzystanie z jednego z trzech wymienionych tam programów antywirusowych: Intego VirusBarrier, Symantec Norton Anti-Virus for Macintosh i McAfee VirusScan for Mac.

Pamiętacie poniższą reklamę?

Wydaje się, że od 2 maja 2006 roku, od daty początku ukazywania się reklam Mac vs. PC, troszkę się zmieniło. Reklama wciąż jest prawdziwa, bo wirusy pisane pod PC prawdopodobnie nie będą działać z równą skutecznością na Mac’ach i jedne drugich nie “zarażą”. Ale dla Maców powstaje dedykowany malware. I to powstaje tak szybko i zaczyna być na tyle skutecznym zagrożeniem, że firma Apple zaczęła to zauważać.

Przykładem może być AppleScript.THT, trojan który spisuje bufor klawiatury i zapamiętuje zrzuty akranu. Na komputery użytkowników dostaję się dzięki zmodyfikowanym stronom WWW, jak również poprzez iChat i Limewire. Polecam lekturę na stronie SecureMac w celu poznania innych efektów działań robaka.

Jak dla mnie to nie tylko koniec ery komputerów z jabłuszkiem wolnych od wirusów, ale definitywny koniec marketingu pod tytułem virus free Mac.

Posted by michalos
Filed in bezpieczeństwo
Tags: , , , , , , , , , , , , ,
4 Comments »

Ostatnie wpadki producentów oprogramowania antywirusowego

29 Wrzesień 2008

W ciągu ostatnich dwóch miesięcy dwie duże firmy antywirusowe spowodowały niemały chaos na systemach użytkowników PC. Przyczyną były niepoprawne aktualizacje, które wskazywały, że programy wchodzące w skład Windows, takie jak explorer.exe, są “szkodnikami”.

W sierpniu mieliśmy okazję się przekonać, że McAfee dzięki swojej aktualizacji z poniedziałku, 4-tego, uznał, że Office Live Meeting Microsoftu jest trojanem. Chodziło o plik LMCAPI.exe, komponent Live Update. Osoby, które miały okazcję otrzymać taką niespodziankę od McAfee dowiadywały się, że program dostarczany przez Microsoft jest szkodnikiem o nazwie Swizzor. W rezultacie plik był kasowany.

Mimo, że jak potwierdziła to firma w oficjalnym komunikacie prasowym, problem dotknął jedynie małego procenta użytkowników, administratorzy systemów musieli dystrybuować nowe wersje Live Update, a także poprawiony plik DAT dla skanera.[1][2]

Inny przypadek zdarzył się w piątek, 5-tego września, kiedy Trend Micro zidentyfikował wiele kluczowych elementów systemu Windows jako trojany. W rezultacie utraty kluczowych plików system stawał się niestabilny, nierzadko powodując restart maszyny. Trend poprawił swój błąd jeszcze tego samego dnia, ale zostawił wielu użytkowników z problemem naprawy systemu operacyjnego.

W tym wypadku, Trend Micro Internet Security wskazywał na robaka Troj_Generic.ADV, jakoby znajdującego się w wielu plikach DLL. Efektem mogł być brak paska zadań, wiele aplikacji uruchamiających się przy starcie nie uruchamiało się, aplikacje takie jak Word czy Excel pokazywały różne błędy.[3]

To tylko dwa przykłady, z całej palety błędów producentów oprogramowania antywirusowego. Do klasyki można zaliczyć Kasperskiego traktującego Windows Explorer jako szkodnik, AVG podobnie traktującego Adobe Reader, a CA i McAfee nie pozwalającego na uruchomienie nieszkodliwego kodu JavaScript.

Problem zdaje się nie istnieć na pojedynczych komputerach domowych, choć może być bardzo dokuczliwy. Prawdziwy problem dotyka firmy, które instalują oprogramowanie antywirusowe na wszystkich komputerach w firmie. W takim wypadku, incydent z Trend Micro mógłby zakończyć się prawdziwym paraliżem niejednego biura.

Jest kilka metod, które mogą zabezpieczyć nas przed wpadkami innych firm. Jedną z nich jest dystrybuowanie uaktualnień z własnego systemu, nie z systemu producenta (na zasadzie działania Windows Update + SMS’y). Przy takim rozwiązaniu warto posiadać komputer, na którym mamy zainstalowane wszystkie najpopularniejsze programy używane w firmie i traktować go jako poligon doświadczalny dla nowych aktualizacji.

Posted by michalos
Filed in Zarządzanie IT, bezpieczeństwo
Tags: , , , , , , , , , ,
3 Comments »

Najlepszy program antywirusowy?

8 Wrzesień 2008

Przy wielu okazjach, wiele osób pytało mnie jaki jest najlepszy program antywirusowy. Najczęściej odpowiadałem, że żaden i dodawałem, że świadomość tego co robisz jest najlepszą receptą na unikanie problemów. Jednak nie wszyscy są geekami i dla wielu osób nauczenie się zasad działania oprogramowania na ich komputerze może okazać się zadaniem karkołomym (pytanie choćby o ulubioną przeglądarkę wiąże się z odpowiedzią “onet.pl”).

Opublikowane kilka dni temu na stronie Virus Bulletin testy najpopularniejszych produktów antywirusowych wykonane przez AV-test.org dość dobrze pokazują co wybrać, by zabezpieczyć swój komputer przez malware, adware i spyware.

Cytat:

In terms of pure detection rates in on-demand scanning, a beta version of GDATA’s AVK 2009 topped the charts for both ‘malware’ (measured against 1,164,662 samples) and ‘ad- and spyware’ (94,291 samples), with Avira’s Premium Security Suite 2008 a close runner-up in the former category and F-Secure 2009 placing second in the latter. Secure Computing’s Webwasher gateway product, based on the Avira engine with some in-house heuristics, came third in both categories.

Na topie: AVK, F-Secure i Avira. O Avira wiedziałem od dawna, że jest bardzo dobrym skanerem, który nie przyprawia o częsty ból głowy jeśli chodzi o false positives. Microsoft też okazał się być niezły ze swoim skanerem, używanym np. w Live One Care, bijąc takich konkurentów jak Sophos, Norman, Eset, McAfee czy CA.

Czy jednak wykrywalność na poziomie 99.8% pozwoli każdemu, kto zainstalował program antywirusowy, spać spokojnie? Czy nawet najlepsze skanery uchronią nas przed szkodnikami, które chcą wykraść numery naszych kart kredytowych, próbują kasować nasze pliki i rozprzestrzeniają się po Internecie blokując nasz dostęp do Internetu? Absolutnie nie!

Zatem drogi użytkowniku, ściągnij sobie program antywirusowy, zainstaluj i miej go zawsze zaktualizowanego. Ale w międzyczasie ucz się w jaki sposób malware może dostać się na Twój komputer. Bez tej wiedzy możesz okazać się ofiarą tych 0.2% wirusów, które przechodzą koło nosa nawet najlepszym skanerom.

Posted by michalos
Filed in bezpieczeństwo
Tags: , , , , , , , , , , , , ,
2 Comments »