Firewall s povolováním odchozích spojení typu ZoneAlarm prostě vyžaduje znalosti, které naprostá většina uživatelů nemá a nikdy mít nebude. A hlavně to nebrání scénářům které jsem popisoval, a nejsou na vývoj nijak náročně. Takže i kdybychom všechny uživatele naučili zpaměti seznam executables, seznam TCP portů a všechny ty vychytávky typu "když firefox.exe chce připojení, ale není to poprvé po instalaci FW a nedošlo před tím k update Firefoxu, tak to není v pořádku, s výjimkou případu kdy má URL za hostname tečku a jiné číslo než obyčejně, protože pak to být v pořádku může a nemusí", tak to nepomůže. Autoři malwaru začnou používat jednu z těch jednoduchých technik které jsem popisoval, a jste přesně tam kde bez dotazů na odchozí spojení, jen jste všem uživatelům vzal pár týdnů života :)
Ad ZoneAlarm totiz procesy nerozlisuje jen podle jmena, takze dalsi firefox.exe znamena dalsi dotaz - to sice ano, ale když jsem ho viděl naposledy, tak v dotazu zobrazoval jen jméno procesu, ne celou cestu.