» Comodo Internet Security

emhanik
Файл с письма вытащил, запускаю просто из проводника.
Эвристика строки включена. Нет там не rundll32, просто скрипт.
Почему нет реакции на запуск непонятно.

bona25
Цитата:

Файл с письма вытащил, запускаю просто из проводника.

Да, понял, но интересно, как должен был поступить пользователь по замыслу злоумышленников

Надо детально проверять конфигурацию
Какой режим оповещений HIPS? «Не показывать оповещения: Блокировать запросы» или?
Какие правила у проводника? «Разрешенное»?
Нет ли вдруг скрипта в «доверенных файлах»?

Маловероятно, но спрошу:
HIPS > настройка мониторинга
Все галки стоят?

emhanik
Галка "Не показывать оповещение снята"
Настройка мониторинга - стоят все галки.

Нет в доверенных быть не может. Эксперименты ставлю на виртуалке пробую потом откатываю назад снимок системы до помещения вируса в систему.

Я выше писал explorer.exe - Разрешенное приложение. Там на Запуск приложение - стоит спросить.
В 6 версии отрабатывает как нужно при таких настройках, действительно спрашивает в 7 чето глухо.

bona25
Очень странно.
Можете залить файл конфигурации и журналы: «События Защиты+» и «Изменения конфигурации» за весь период? В идеале с самим зловредом

Добавлено:
bona25
Еще вопрос: как был запущен проводник? Обычным ярлыком?
Автопесочница отключена? (Хотя это не играет роли)

emhanik
Запускал просто файл в папке на рабочем столе.


Вот вирус http://bit.ly/1p8G5rQ
Он двумя путями прилетел в одном письме был уже файл, во втором эта ссылка, там точно такой же в архиве.

Вот настройки и журнал после запуска вируса.
https://yadi.sk/d/7g1ejQn4bUPpK

bona25
Жесткий баг: анализ командной строки сбоит на длинных именах.
Еще одна дыра...
Спасибо за информацию.

Стоит ли переходить с 5.10 на последнюю версию сабжа (Comodo Firewall), используя его на Win 7 x86? Есть ли существенные изменения по производительности (бесят тормоза при открытии настроек фаера) и возможностям?

emhanik
Вот оно что. Хорошо что проверил. Придется видимо 6 версию пользовать.
По поводу запуска в ней через rundll32 что можно сделать, хватит просто заблокировать в правилах rundll32.exe наглухо?

bona25
Блокировать rundll332.exe — не вариант. По крайней мере, избегать запуска поддельных ярлыков.

Всем привет!
Вчера обновил Firefox с 31 версии на 32.0.1 через автообновление. После этого Comodo (версия 7.0.317799.4142) стал задавать кучу вопросов (о том что Firefox хочет выйти в инет, запустить приложение, получить доступ к com-интерфейсу и т.д.) и пишет что C:\Program Files\Mozilla Firefox\firefox.exe не опознан.
Куда копать? До этого при переходе на новые версии Firefox такого не было

Visman
Цитата:

Всем привет!
Вчера обновил Firefox с 31 версии на 32.0.1 через автообновление

Приветствую.
Сверим файлы: русская версия, 32.0.1, контрольная сумма MD5:
906444ab3e7b24fa7ca88d78bb8448ee *firefox.exe

Откройте «Рейтинг файлов» > «Доверенные поставщики», выполните поиск: «Mozilla Corporation». Есть такой?

Сумма - 906444ab3e7b24fa7ca88d78bb8448ee (тотал командер посчитал).
В доверенных поставщиках строчка "Mozilla Corporation" есть.
В доверенных файлах есть C:\Program Files\Mozilla Firefox\firefox.exe. Тут же нажал сделал обновление доверенных файлов, сохранил изменения, перезапустил файрфокс, снова вопросы, т.е. автоматически Comodo не принимает браузер, только правила заданные вручную с сохранением.

Visman
Цитата:

В доверенных файлах есть C:\Program Files\Mozilla Firefox\firefox.exe

Это запись для старого файла.

Есть три решения:
1) или обновить антивирус (онлайн),
2) или в «Рейтинге файлов» включить «Облачный анализ»,
3) или вручную занести firefox.exe в доверенные (если он там есть — сначала удалить и применить изменения)

Созданные вручную и по оповещениям правила удалите


All
Вопрос ко всем, кто понимает в цифровых подписях.
В свойствах файла firefox.exe стоит подпись, но импортировать из него поставщика не удается. Почему?
Если CIS не обновлен, сообщается, что файл не дописан поставщиком
Если обновлен — сообщается, что поставщик уже есть в списке

Цитата:

В свойствах файла firefox.exe стоит подпись, но импортировать из него поставщика не удается.

Импортировать куда? В хранилище сертификатов удалось без проблем.

KismetT
Цитата:

Импортировать куда?

В список доверенных поставщиков CIS

Добавлено:

Цитата:

В свойствах файла firefox.exe стоит подпись, но импортировать из него поставщика не удается. Почему?
Если CIS не обновлен, сообщается, что файл не дописан поставщиком
Если обновлен — сообщается, что поставщик уже есть в списке

Перепроверил.
В виртуальной Win7x64 не проявилось: удаляю из доверенных поставщиков CIS (свежеустановленного, без интернета и без обновления) запись «Mozilla Corporation»; применяю изменения; затем импортирую поставщика из файла — проходит корректно.
Также корректно проходит аналогичная манипуляция в виртуальной WinXP, но с обновленным CIS (интернет после обновления был отключен).
Но в виртуальной WinXP с необновленным CIS при попытке импорта поставщика из файла выдавалось собщение, что файл не подписан

Comodo не загружает сертификат из файла firefox.exe. Пишет: Файл не является исполняемым файлом, подписанным цифровой подписью.
Обновление Comodo через кнопку Обновить не проходит. Базы и программа последней версии.
Скачал установочный файл с сайта, сверил его по-байтно с тем, с которого устанавливал Comodo, полное соответствие файлов.
Удалил файл firefox.exe из списка доверенных, сохранил, снова добавил его туда, сохранил, удалил правила ручные, запустил firefox и снова куча вопросов.
Включил все галки в настройках рейтинга файлов, ни каких изменений.

ОС Win XP SP3

Visman
Цитата:

Удалил файл firefox.exe из списка доверенных, сохранил, снова добавил его туда, сохранил, удалил правила ручные, запустил firefox и снова куча вопросов.

Если хипс в «безопасном режиме», то это очень странно...

Цитата:

Пишет: Файл не является исполняемым файлом, подписанным цифровой подписью.

Цитата:

Базы и программа последней версии.

И это странно

Цитата:

Включил все галки в настройках рейтинга файлов, ни каких изменений.

И это

Цитата:

Обновление Comodo через кнопку Обновить не проходит

Какой-то один большой глюк... Остается удалить CIS с помощью Revo Uninstaller'а и установить заново

Все, проблему на Win XP кажется решил.
Обновил корневые сертификаты (от марта 2014) http://www.microsoft.com/ru-ru/download/details.aspx?id=42092
После этого Comodo стал воспринимать Firefox нормально.

З.Ы. Пора менять ось

Visman
Спасибо
Я не знал, что CIS обращается к системному списку корневых сертификатов. И вообще в них не смыслю пока

Интересно, что у меня на голой необновленной виртуальной WinXP-SP3 достаточно было обновить CIS...

Comodo Internet Security 8.0.332922.4281 Beta
http://www.comss.ru/page.php?id=1227

По следам диалога с bona25
Обнаруженная уязвимость появилась в CIS 7, осталась в CIS 8 beta
Также есть уязвимости, связанные с ярлыками, они касаются всех версий
Решение проблемы

emhanik
Из твоей ссылки
Можешь помочь, как должны эти записи выглядеть в комодо?:
?:\*????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????.js
?:\*???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????.jse

Это все в одну строку или как записывать?

bona25
Буквально, как сказано:
- добавить любой файл в HIPS > Защищенные объекты > Заблокированные файлы
- изменить добавленную строку:
?:\*????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????.js
- повторить для остальных, т.е. получить список строк
Каждая строка должна иметь длину 131
Последнюю, с расширением CHM, лучше не добавлять, а вместо этого занести C:\Windows\hh.exe в список виртуализации

emhanik
В 7 версии прописал строку в заблокированных файлах, все равно вирус запускается.

bona25
Опля...
Ко всему прочему, в Comodo еще и wildcard криво поддерживается. Проблема в точках.

Или это правильно, что шаблон «?» не включает «.»?

Добавлено:
Вывод: блокируем не только длинные пути, но и пути, содержащие слишком много точек.

emhanik
Точнее, скорее всего, проблема в т.н. "двойном" (тройном и т.д.) расширении. Судя по всему, Комод проверяет не имя файла целиком, а раздельно расширение и непосредственно имя. Стандартно, разделитель (точка) ищется слева направо, до первого встреченного, если не изменяет память.
Соответственно, в вышеупомянутом примере расширение будет .Scanned.OK.dоc .js, а не просто .js

Добавлено:
Шаблон в случае множественных расширений может выглядеть так:
*????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????.*.js
(часть ?:\ необязательна)

XenoZ
Насколько я наэкспериментировался, вывод именно такой: под шаблон «?» не подходит точка.
Попробуйте использовать точку в имени не скрипта, а каталога на его пути.
Или назвать скрипт одними точками.

Или вписываем в блокировку «*\Desktop\test\*.????». А затем благополучно создаем файл «...Desktop\test\y.yy.y»


Цитата:

часть ?:\ необязательна

По идее, да, но вроде бы при шаблоне наподобие вашего я замечал блокировку путей меньшей длины, чем представляют опасность. Подозреваю, что где-то происходило обращение по Native-именам. Воспроизвести пока не удается

emhanik
С точкой в имени каталога тоже блокирует:

шаблоны:

XenoZ
На первом скриншоте сработал первый шаблон, на втором — второй
Однако такой путь не заблокируется:
C:\q............................................................................................q\q...........................................q.js

emhanik

Цитата:

На первом скриншоте сработал первый шаблон, на втором — второй

Все правильно.

Цитата:

Однако такой путь не заблокируется

Ну, извращаться можно долго...
Для универсальной блокировки файлов с многоточиями (двойное расширение - частный вариант) подойдет такой шаблон: *.*.js
Хотя, это уже больше вопрос к программерам Комода, дабы написали грамотную процедуру обработки имен по шаблонам.