Подцепил FakeAV. (CIS 5.x.x )
HIPS отработал. Заражения нет все в пордке, но выяснилась интересная особенность.
Запускаю полученный файл в песочнице и слежу за активностью Firewall. (настроен параноидально, разрешено только то что считаю нужным, все стандартные правила удалены, доступ в сеть запрещен всему, даже SVCHOST и всем системным приложениям)
- Доступ на 80 порт с ID моего компьютера. Видимо сообщение ботоводам что файл установлен. (разрешаю запрос)
- Доступ в сеть на DNS - разрешаю
- Жму “КУПИТЬ ПРОГРАММУ”
- Появляется окно (судя по всему компонент IEXPLORE)
- Фаервол просит разрешения на случайны порт и IP 127.0.0.1 (разрешаю, так-как ожидаю что, тот кто открыл прокси на 127.0.0.1 постучится в сеть за контентом формы отплаты)
- Форма оплаты появляется, вопроса о доступе в сеть больше не появляется.
То-есть если программе разрешен доступ на 53 порт и на IP 127.0.0.1 она без вопросов может получить доступ в сеть. В “Событиях фаервола” картина такая же. Доступ на DNS, доступ на 127.0.0.1 и всё.
Напомню что никаких правил по умолчанию нет. Доступ в сеть запрещен всему, все правила по умолчанию удалены и собраны вручную.
БАГ?!