Z Flasha rzadko się coś łapie,
Za to nieaktualna Java, jedna krótka wizyta na odpowiedniej stronie (nie musisz nic klikać) i jakiś nieznany exek automagicznie się otwiera - mówię z doświadczenia ;]
Po czym wykrywać nieznane zagrożenia - tutaj z pomocą służy dobry firewall, który:
- pokaże Ci program, którego wcześniej jeszcze nie uruchamiałeś i zapyta czy zezwolić na taką akcję
- (niekoniecznie, ale ja lubię) zapyta kiedy jedna aplikacja uruchamia drugą
- zapyta, kiedy jakiś program uzyskuje dostęp do internetu (osobno z połączeń wychodzących jak i przychodzących)
- zapyta, kiedy uruchamiany plik exe jest inny niż ostatnio
Antywirusy to programiki łapiące najpopularniejsze syfy, mocno zmulające system, za to zupełnie się nie sprawdzą w walce z czymkolwiek nowym, albo dobrze napisanym.
Dwa przykłady moich doświadczeń:
-
Pobieram gierkę, którą ktoś tam polecił (razem z linkiem), instaluję, uruchamiam. Gierka się uruchamia, ale firewall pyta o jeszcze jeden plik - jakiś plik o nazwie typu: ewriu2rf4.exe umieszczony w TEMP-ie. Blokuję, gra się uruchamia bez problemu mimo to, ja zaglądam do TEMP-a, widzę ten plik, brak ikony, niewielki rozmiar (typowe cechy wirusa). Wysyłam na virustotal.com - 0/42 programy antywirusowe widzą w tym wirusa. A ja jestem bardziej niż pewien, bo kiedyś już tę gierkę miałem i czegoś takiego z nią nie było. Firewall uratował mi dupsko.
-
Wchodzę na stronę, bo ktoś podał linka. W systemie aktywna Java, stara, bo mi się nie chciało aktualizować. W momencie zwykłego wejścia na stronkę wyskakuje pytanie Firwalla o uruchomienie czegoś tam, kątem oka zauważam tylko "update", akceptuję z przyzwyczajenia (to błąd!, ale aktualizacje systemu to za każdym razem nowy "exe", więc firewall zawsze pyta o każdą aktualizację..). Wyskakuje kolejne okienko, przykuwa moją uwagę - plik z TEMP-a uruchamia inny plik. Blokuję. Wyskakuje informacja, że Windows Update BEZPOŚREDNIO chce łączyć się z internetem (windows update pobiera aktualizacje korzystając z innych części systemu, więc sam wuauclt.exe
nigdy nie łączy się z internetem). Blokuję, jako, że program atakuje serią połączeń tworzę blokadę na stałe. || Na szybko: Pochodzenia tego nie udało mi się odnaleźć, ale mój komputer stał się częścią botnetu. Wysyłka jakichkolwiek plików z kompa na virustotal.com - 0/42
Jak wykrywać? Firewallem. Gdy jest już za późno - obserwować nowe procesy, szczególnie te z TEMP-a i podobnych lokalizacji, szukać plików o nazwach zbliżonych do tych systemowych, patrzeć co łączy się z Internetem (tu też potrzebny firewall - dodam, że to coś z windowsem to nie firewall, tylko namiastka czegoś w tym stylu).
TRYB PRYWATNY przeglądarki przed niczym nie chroni! Jeżeli wirus samoczynnie uruchomi się z jakiejś strony (głównie z pomocą wtyczek, rzadko przeglądarka ma taką dziurę, czasy IE6 minęły ;)), to to jakiego trybu wtedy używałeś nie ma już znaczenia.
Co innego Sandboxing. Tutaj odsyłam gdzieś do wiki, bo za dużo, żeby pisać samemu. Podejrzewam jednak, że z takiej piaskownicy da się i tak "wyskoczyć", jednak większość wirusów jest prosta, na prostych ludzi, z prostymi programikami antywirusowymi, których można spokojnie atakować, a za 3 miesiące jak wykryją zagrożenie - napisać nową wersję.