» Comodo Internet Security

bona25

Цитата:

в меню выбор есть, что отключить что оставить

В каком меню?
HIPS:

Автопесочница:


Это не режимы, а модули. А режимы упомянутых модулей выбираются из выпадающего списка (там же, в выделенной рамке).

Skif_off

Цитата:

наверное, удобнее 5.10 или 5.12

У 5-ки есть неприятные глюки на относительно слабых машинах:
1. отвратительно долго открываются списки.
2. при обновлении безопасных файлов происходит дублирование записей в списке.
(это навскидку, что вспомнил)

XenoZ

Да именно про них и говорил они в трее еще дублируются. Я их называю режимы. Так что просто путаница с терминами.

Столкнулся с проблемой в 7 версии.
Есть вирус шифровальщик идет как скрипт .js (по почте "добрые люди" рассылают)
Берем 6 версию программы: конфиг -Proactive Security, HIPS в безопасном режиме . Приложение explorer.exe - Разрешенное приложение. Запускаем скрипт шифровальщика идет оповещение explorer.exe пытается запустить такойто файл и т.д. В журнале есть запись.
Делаем все тоже самое в 7 версии скрипт без вопросов запускается, никаких записей в журнале нет оповещений тоже.
Может чето в 7 еще докрутить надо, что следило нормально?

bona25
Чтобы контролировать запуск скриптов, должен быть включен «Эвристический анализ командной строки» на вкладке «Поведенческий анализ». Кстати, в 7-ке он как раз таки усовершенствован: перехватывает запуск rundll32

Однако имеет значение, каким именно образом происходит запуск скрипта из почты. Через почтовую программу? Через браузер? Или просто из проводника?..
Понял, что вы запускали проводником... Но интересно, какой сценарий предполагали «добрые люди»?


P.S. Вообще-то определенным способом скрипты можно запустить в обход защиты CIS. Я обнаружил эту дыру в 7-ке, но наверняка она касается всех версий.

emhanik
Файл с письма вытащил, запускаю просто из проводника.
Эвристика строки включена. Нет там не rundll32, просто скрипт.
Почему нет реакции на запуск непонятно.

bona25
Цитата:

Файл с письма вытащил, запускаю просто из проводника.

Да, понял, но интересно, как должен был поступить пользователь по замыслу злоумышленников

Надо детально проверять конфигурацию
Какой режим оповещений HIPS? «Не показывать оповещения: Блокировать запросы» или?
Какие правила у проводника? «Разрешенное»?
Нет ли вдруг скрипта в «доверенных файлах»?

Маловероятно, но спрошу:
HIPS > настройка мониторинга
Все галки стоят?

emhanik
Галка "Не показывать оповещение снята"
Настройка мониторинга - стоят все галки.

Нет в доверенных быть не может. Эксперименты ставлю на виртуалке пробую потом откатываю назад снимок системы до помещения вируса в систему.

Я выше писал explorer.exe - Разрешенное приложение. Там на Запуск приложение - стоит спросить.
В 6 версии отрабатывает как нужно при таких настройках, действительно спрашивает в 7 чето глухо.

bona25
Очень странно.
Можете залить файл конфигурации и журналы: «События Защиты+» и «Изменения конфигурации» за весь период? В идеале с самим зловредом

Добавлено:
bona25
Еще вопрос: как был запущен проводник? Обычным ярлыком?
Автопесочница отключена? (Хотя это не играет роли)

emhanik
Запускал просто файл в папке на рабочем столе.


Вот вирус http://bit.ly/1p8G5rQ
Он двумя путями прилетел в одном письме был уже файл, во втором эта ссылка, там точно такой же в архиве.

Вот настройки и журнал после запуска вируса.
https://yadi.sk/d/7g1ejQn4bUPpK

bona25
Жесткий баг: анализ командной строки сбоит на длинных именах.
Еще одна дыра...
Спасибо за информацию.

Стоит ли переходить с 5.10 на последнюю версию сабжа (Comodo Firewall), используя его на Win 7 x86? Есть ли существенные изменения по производительности (бесят тормоза при открытии настроек фаера) и возможностям?

emhanik
Вот оно что. Хорошо что проверил. Придется видимо 6 версию пользовать.
По поводу запуска в ней через rundll32 что можно сделать, хватит просто заблокировать в правилах rundll32.exe наглухо?

bona25
Блокировать rundll332.exe — не вариант. По крайней мере, избегать запуска поддельных ярлыков.

Всем привет!
Вчера обновил Firefox с 31 версии на 32.0.1 через автообновление. После этого Comodo (версия 7.0.317799.4142) стал задавать кучу вопросов (о том что Firefox хочет выйти в инет, запустить приложение, получить доступ к com-интерфейсу и т.д.) и пишет что C:\Program Files\Mozilla Firefox\firefox.exe не опознан.
Куда копать? До этого при переходе на новые версии Firefox такого не было

Visman
Цитата:

Всем привет!
Вчера обновил Firefox с 31 версии на 32.0.1 через автообновление

Приветствую.
Сверим файлы: русская версия, 32.0.1, контрольная сумма MD5:
906444ab3e7b24fa7ca88d78bb8448ee *firefox.exe

Откройте «Рейтинг файлов» > «Доверенные поставщики», выполните поиск: «Mozilla Corporation». Есть такой?

Сумма - 906444ab3e7b24fa7ca88d78bb8448ee (тотал командер посчитал).
В доверенных поставщиках строчка "Mozilla Corporation" есть.
В доверенных файлах есть C:\Program Files\Mozilla Firefox\firefox.exe. Тут же нажал сделал обновление доверенных файлов, сохранил изменения, перезапустил файрфокс, снова вопросы, т.е. автоматически Comodo не принимает браузер, только правила заданные вручную с сохранением.

Visman
Цитата:

В доверенных файлах есть C:\Program Files\Mozilla Firefox\firefox.exe

Это запись для старого файла.

Есть три решения:
1) или обновить антивирус (онлайн),
2) или в «Рейтинге файлов» включить «Облачный анализ»,
3) или вручную занести firefox.exe в доверенные (если он там есть — сначала удалить и применить изменения)

Созданные вручную и по оповещениям правила удалите


All
Вопрос ко всем, кто понимает в цифровых подписях.
В свойствах файла firefox.exe стоит подпись, но импортировать из него поставщика не удается. Почему?
Если CIS не обновлен, сообщается, что файл не дописан поставщиком
Если обновлен — сообщается, что поставщик уже есть в списке

Цитата:

В свойствах файла firefox.exe стоит подпись, но импортировать из него поставщика не удается.

Импортировать куда? В хранилище сертификатов удалось без проблем.

KismetT
Цитата:

Импортировать куда?

В список доверенных поставщиков CIS

Добавлено:

Цитата:

В свойствах файла firefox.exe стоит подпись, но импортировать из него поставщика не удается. Почему?
Если CIS не обновлен, сообщается, что файл не дописан поставщиком
Если обновлен — сообщается, что поставщик уже есть в списке

Перепроверил.
В виртуальной Win7x64 не проявилось: удаляю из доверенных поставщиков CIS (свежеустановленного, без интернета и без обновления) запись «Mozilla Corporation»; применяю изменения; затем импортирую поставщика из файла — проходит корректно.
Также корректно проходит аналогичная манипуляция в виртуальной WinXP, но с обновленным CIS (интернет после обновления был отключен).
Но в виртуальной WinXP с необновленным CIS при попытке импорта поставщика из файла выдавалось собщение, что файл не подписан

Comodo не загружает сертификат из файла firefox.exe. Пишет: Файл не является исполняемым файлом, подписанным цифровой подписью.
Обновление Comodo через кнопку Обновить не проходит. Базы и программа последней версии.
Скачал установочный файл с сайта, сверил его по-байтно с тем, с которого устанавливал Comodo, полное соответствие файлов.
Удалил файл firefox.exe из списка доверенных, сохранил, снова добавил его туда, сохранил, удалил правила ручные, запустил firefox и снова куча вопросов.
Включил все галки в настройках рейтинга файлов, ни каких изменений.

ОС Win XP SP3

Visman
Цитата:

Удалил файл firefox.exe из списка доверенных, сохранил, снова добавил его туда, сохранил, удалил правила ручные, запустил firefox и снова куча вопросов.

Если хипс в «безопасном режиме», то это очень странно...

Цитата:

Пишет: Файл не является исполняемым файлом, подписанным цифровой подписью.

Цитата:

Базы и программа последней версии.

И это странно

Цитата:

Включил все галки в настройках рейтинга файлов, ни каких изменений.

И это

Цитата:

Обновление Comodo через кнопку Обновить не проходит

Какой-то один большой глюк... Остается удалить CIS с помощью Revo Uninstaller'а и установить заново

Все, проблему на Win XP кажется решил.
Обновил корневые сертификаты (от марта 2014) http://www.microsoft.com/ru-ru/download/details.aspx?id=42092
После этого Comodo стал воспринимать Firefox нормально.

З.Ы. Пора менять ось

Visman
Спасибо
Я не знал, что CIS обращается к системному списку корневых сертификатов. И вообще в них не смыслю пока

Интересно, что у меня на голой необновленной виртуальной WinXP-SP3 достаточно было обновить CIS...

Comodo Internet Security 8.0.332922.4281 Beta
http://www.comss.ru/page.php?id=1227

По следам диалога с bona25
Обнаруженная уязвимость появилась в CIS 7, осталась в CIS 8 beta
Также есть уязвимости, связанные с ярлыками, они касаются всех версий
Решение проблемы

emhanik
Из твоей ссылки
Можешь помочь, как должны эти записи выглядеть в комодо?:
?:\*????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????.js
?:\*???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????.jse

Это все в одну строку или как записывать?

bona25
Буквально, как сказано:
- добавить любой файл в HIPS > Защищенные объекты > Заблокированные файлы
- изменить добавленную строку:
?:\*????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????.js
- повторить для остальных, т.е. получить список строк
Каждая строка должна иметь длину 131
Последнюю, с расширением CHM, лучше не добавлять, а вместо этого занести C:\Windows\hh.exe в список виртуализации

emhanik
В 7 версии прописал строку в заблокированных файлах, все равно вирус запускается.

bona25
Опля...
Ко всему прочему, в Comodo еще и wildcard криво поддерживается. Проблема в точках.

Или это правильно, что шаблон «?» не включает «.»?

Добавлено:
Вывод: блокируем не только длинные пути, но и пути, содержащие слишком много точек.

emhanik
Точнее, скорее всего, проблема в т.н. "двойном" (тройном и т.д.) расширении. Судя по всему, Комод проверяет не имя файла целиком, а раздельно расширение и непосредственно имя. Стандартно, разделитель (точка) ищется слева направо, до первого встреченного, если не изменяет память.
Соответственно, в вышеупомянутом примере расширение будет .Scanned.OK.dоc .js, а не просто .js

Добавлено:
Шаблон в случае множественных расширений может выглядеть так:
*????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????.*.js
(часть ?:\ необязательна)