Ru-Board.club
← Вернуться в раздел «Программы»

» Comodo Internet Security

Автор: emhanik
Дата сообщения: 14.02.2016 20:10
XenoZ 04:33 14-02-2016
Цитата:
не раз замечал, после обновлений Windows, на индикаторе песочницы число, отличное от нуля
При отключенной автопесочнице? Тогда явно баг.
И уж тем более баг, когда —
ac3p 00:32 14-02-2016
Цитата:
пробовал очищать песочницу, но svchost сразу же после очистки попадал туда снова, и перезагрузка системы тож не помогала
при том, что —
emhanik 01:24 14-02-2016
Цитата:
В журнале у ac3p за последние 2 недели вообще нет записей о виртуализации


Однако у меня баг не воспроизвелся. Обновил виртуальную Win7x64 (не обновлявшуюся больше года) с CIS 8.2.0.4792 — никаких виртуальных процессов. Конфигурация — дефолтная Proactive Sequrity. Почти никакого софта не установлено — может, потому баг и не проявился.

То, что этот svchost — часть «оболочки», было наиболее вероятно с самого начала. Вопрос же, с какой стати она подгружается.
Автор: XenoZ
Дата сообщения: 17.02.2016 16:04
emhanik

Цитата:
При отключенной автопесочнице? Тогда явно баг.

Да, при отключенной. Автопесочницей, вирускопом и контент-фильтром не пользуюсь. ОС - реальная, Win7 x86 Pro.

И сегодня меня Комод ошарашил...
Написал на работе простенькую програмку, показывающую загрузку памяти/процессора, принес домой, запустил... а она запустилась! При режиме блокировки всего неопознанного.
Полез смотреть репутационный список, а она уже там, с репутацией Комода - доверенное.
Автор: emhanik
Дата сообщения: 17.02.2016 16:16
XenoZ 17:04 17-02-2016
Цитата:
Полез смотреть репутационный список, а она уже там, с репутацией Комода - доверенное.
..се!
А в журнале — «Просканировано онлайн и признано безопасным»?
На работе Comodo с включенным облачным анализом?..

Добавлено:
P.S.
Если нет — каким способом программа была доставлена на домашний ПК? Например, разархивирована через 7-ZipPortable или вроде того...
Если, конечно, включена опция «Доверять приложениям, установленным с помощью доверенных установщиков». Если отключена — вообще мистика.
Автор: XenoZ
Дата сообщения: 17.02.2016 16:55
emhanik

Цитата:
А в журнале — «Просканировано онлайн и признано безопасным»?
На работе Comodo с включенным облачным анализом?..

В журнале - никаких записей, на работе интернет отсутствует.

Цитата:
Если нет — каким способом программа была доставлена на домашний ПК?

На флешке (FAT), не упакована. С флешки перетащена на комп и запущена.
Автор: emhanik
Дата сообщения: 17.02.2016 17:39
XenoZ 17:55 17-02-2016
Цитата:
В журнале - никаких записей, на работе интернет отсутствует.
По идее, если появляется запись в списке доверенных — хотя бы это должно отразиться в журнале «Изменения конфигурации».
Автор: XenoZ
Дата сообщения: 17.02.2016 17:55
emhanik
В этот раздел не заглядывал, да, там запись есть, по времени совпадает.
Автор: anynamer
Дата сообщения: 20.02.2016 14:18
Продукты Comodo устанавливают на ПК пользователя опасную утилиту удаленной поддержки

https://t.co/7EQAopjdsR https://t.co/t0XnQcUwfq
Автор: XenoZ
Дата сообщения: 20.02.2016 14:28
anynamer

Цитата:
Продукты Comodo устанавливают на ПК пользователя опасную утилиту удаленной поддержки

GeekBuddy? А его еще кто-то ставит?

(да и к тому же баг уже пофиксили)
Автор: emhanik
Дата сообщения: 20.02.2016 20:59
XenoZ 17:55 17-02-2016
Цитата:
В журнале - никаких записей

18:55 17-02-2016
Цитата:
В этот раздел не заглядывал, да, там запись есть, по времени совпадает.

Такое сочетание, по-моему, возможно в двух ситуациях:
- или файл создан доверенным установщиком,
- или файл подписан доверенным поставщиком.

Однако в поисках объяснений произошедшего я нарыл кое-что пострашнее

Хотя как раз ситуацию с файлом meminfo.exe это и не объясняет...
Автор: XenoZ
Дата сообщения: 20.02.2016 21:39
emhanik

Цитата:
Такое сочетание, по-моему, возможно в двух ситуациях:
- или файл создан доверенным установщиком,
- или файл подписан доверенным поставщиком.

1 - нет;
2 - нет.

Цитата:
Однако в поисках объяснений произошедшего я нарыл кое-что пострашнее

Сложно сказать, в журнале, в качестве метки, указан sha1.
[more=Вот список...]2016-02-17 16:34:54  Добавлен объект  Администратор  Информация о репутации  F:\=TMP=\meminfo.exe    <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="C39B2086B65B46880AF82032C0B7FEC9CCBE2AC3" UserRating="none" ComodoRating="trust"/> 
2016-02-17 22:14:46  Добавлен объект  Администратор  Информация о репутации  F:\=TMP=\meminfo.exe    <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="F4499CF7633E5AA958F667B01F80190864470A73" UserRating="none" ComodoRating="unknown"/> 
2016-02-17 22:15:24  Изменен объект  Пользователь  Информация о репутации  F:\=TMP=\meminfo.exe  <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="F4499CF7633E5AA958F667B01F80190864470A73" UserRating="none" ComodoRating="unknown"/>  <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="F4499CF7633E5AA958F667B01F80190864470A73" UserRating="trust" ComodoRating="unknown"/> 
2016-02-18 06:39:40  Удален объект  Пользователь  Информация о репутации  F:\=TMP=\meminfo.exe  <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="F4499CF7633E5AA958F667B01F80190864470A73" UserRating="trust" ComodoRating="unknown"/>   
2016-02-18 06:39:40  Удален объект  Пользователь  Информация о репутации  F:\=TMP=\meminfo.exe  <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="C39B2086B65B46880AF82032C0B7FEC9CCBE2AC3" UserRating="none" ComodoRating="trust"/>   
2016-02-18 06:40:33  Добавлен объект  Администратор  Информация о репутации  F:\=TMP=\meminfo.exe    <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="C39B2086B65B46880AF82032C0B7FEC9CCBE2AC3" UserRating="none" ComodoRating="trust"/> 
2016-02-18 06:42:35  Удален объект  Пользователь  Информация о репутации  F:\=TMP=\meminfo.exe  <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="C39B2086B65B46880AF82032C0B7FEC9CCBE2AC3" UserRating="none" ComodoRating="trust"/>   
2016-02-18 06:43:23  Добавлен объект  Администратор  Информация о репутации  F:\=TMP=\meminfo.exe    <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="F4499CF7633E5AA958F667B01F80190864470A73" UserRating="none" ComodoRating="trust"/> 
2016-02-19 14:07:25  Добавлен объект  Администратор  Информация о репутации  F:\=TMP=\meminfo.exe    <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="B2D3AAF651F8BE8711E1A065C24C253BA0084460" UserRating="none" ComodoRating="unknown"/> 
2016-02-19 14:07:44  Изменен объект  Пользователь  Информация о репутации  F:\=TMP=\meminfo.exe  <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="B2D3AAF651F8BE8711E1A065C24C253BA0084460" UserRating="none" ComodoRating="unknown"/>  <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="B2D3AAF651F8BE8711E1A065C24C253BA0084460" UserRating="trust" ComodoRating="unknown"/> 
2016-02-20 07:56:20  Добавлен объект  Администратор  Информация о репутации  F:\=TMP=\meminfo.exe    <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="6A3C5590F28BBDD99B84837CF79DFEFC2037A6FF" UserRating="none" ComodoRating="unknown"/> 
2016-02-20 07:56:30  Изменен объект  Пользователь  Информация о репутации  F:\=TMP=\meminfo.exe  <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="6A3C5590F28BBDD99B84837CF79DFEFC2037A6FF" UserRating="none" ComodoRating="unknown"/>  <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="6A3C5590F28BBDD99B84837CF79DFEFC2037A6FF" UserRating="trust" ComodoRating="unknown"/> 
2016-02-20 11:42:24  Добавлен объект  Администратор  Информация о репутации  D:\=Me=\meminfo4.exe    <RatingFile FilePath="D:\=Me=\meminfo4.exe" FileHash="8A762A758053ABBCE2B538F91AA41E35902E21C9" UserRating="none" ComodoRating="unknown"/> 
2016-02-20 12:39:28  Добавлен объект  Администратор  Информация о репутации  D:\=Me=\meminfo4.exe    <RatingFile FilePath="D:\=Me=\meminfo4.exe" FileHash="E4EACD1786BE4A474046468F66D2EE877A0EFC19" UserRating="none" ComodoRating="unknown"/> 
2016-02-20 12:39:47  Изменен объект  Пользователь  Информация о репутации  D:\=Me=\meminfo4.exe  <RatingFile FilePath="D:\=Me=\meminfo4.exe" FileHash="E4EACD1786BE4A474046468F66D2EE877A0EFC19" UserRating="none" ComodoRating="unknown"/>  <RatingFile FilePath="D:\=Me=\meminfo4.exe" FileHash="E4EACD1786BE4A474046468F66D2EE877A0EFC19" UserRating="trust" ComodoRating="unknown"/> 
2016-02-20 12:39:47  Удален объект  Пользователь  Информация о репутации  D:\=Me=\meminfo4.exe  <RatingFile FilePath="D:\=Me=\meminfo4.exe" FileHash="8A762A758053ABBCE2B538F91AA41E35902E21C9" UserRating="none" ComodoRating="unknown"/>   
2016-02-20 22:11:00  Добавлен объект  Администратор  Информация о репутации  D:\=Me=\meminfo1.exe    <RatingFile FilePath="D:\=Me=\meminfo1.exe" FileHash="C39B2086B65B46880AF82032C0B7FEC9CCBE2AC3" UserRating="none" ComodoRating="unknown"/> 
2016-02-20 22:13:37  Удален объект  Пользователь  Информация о репутации  D:\=Me=\meminfo4.exe  <RatingFile FilePath="D:\=Me=\meminfo4.exe" FileHash="E4EACD1786BE4A474046468F66D2EE877A0EFC19" UserRating="trust" ComodoRating="unknown"/>   
2016-02-20 22:13:37  Удален объект  Пользователь  Информация о репутации  F:\=TMP=\meminfo.exe  <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="6A3C5590F28BBDD99B84837CF79DFEFC2037A6FF" UserRating="trust" ComodoRating="unknown"/>   
2016-02-20 22:13:51  Добавлен объект  Администратор  Информация о репутации  F:\=TMP=\meminfo.exe    <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="E4EACD1786BE4A474046468F66D2EE877A0EFC19" UserRating="none" ComodoRating="unknown"/> 
2016-02-20 22:14:08  Изменен объект  Пользователь  Информация о репутации  F:\=TMP=\meminfo.exe  <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="E4EACD1786BE4A474046468F66D2EE877A0EFC19" UserRating="none" ComodoRating="unknown"/>  <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="E4EACD1786BE4A474046468F66D2EE877A0EFC19" UserRating="trust" ComodoRating="unknown"/> 
2016-02-20 22:14:08  Удален объект  Пользователь  Информация о репутации  D:\=Me=\meminfo1.exe  <RatingFile FilePath="D:\=Me=\meminfo1.exe" FileHash="C39B2086B65B46880AF82032C0B7FEC9CCBE2AC3" UserRating="none" ComodoRating="unknown"/>   
2016-02-20 22:14:24  Добавлен объект  Администратор  Информация о репутации  D:\=Me=\meminfo.exe    <RatingFile FilePath="D:\=Me=\meminfo.exe" FileHash="6A3C5590F28BBDD99B84837CF79DFEFC2037A6FF" UserRating="none" ComodoRating="unknown"/> 
2016-02-20 22:14:28  Добавлен объект  Администратор  Информация о репутации  D:\=Me=\meminfo1.exe    <RatingFile FilePath="D:\=Me=\meminfo1.exe" FileHash="C39B2086B65B46880AF82032C0B7FEC9CCBE2AC3" UserRating="none" ComodoRating="unknown"/> 
2016-02-20 22:14:47  Удален объект  Пользователь  Информация о репутации  D:\=Me=\meminfo1.exe  <RatingFile FilePath="D:\=Me=\meminfo1.exe" FileHash="C39B2086B65B46880AF82032C0B7FEC9CCBE2AC3" UserRating="none" ComodoRating="unknown"/>   
2016-02-20 22:14:47  Удален объект  Пользователь  Информация о репутации  D:\=Me=\meminfo.exe  <RatingFile FilePath="D:\=Me=\meminfo.exe" FileHash="6A3C5590F28BBDD99B84837CF79DFEFC2037A6FF" UserRating="none" ComodoRating="unknown"/>   
2016-02-20 22:21:57  Добавлен объект  Администратор  Информация о репутации  D:\=Me=\meminfo.exe    <RatingFile FilePath="D:\=Me=\meminfo.exe" FileHash="C39B2086B65B46880AF82032C0B7FEC9CCBE2AC3" UserRating="none" ComodoRating="unknown"/> [/more]
Там видно, что еще одна версия проскакивала, как заведомо доверенная. crc32 у всех версий разный, проверил. И, кстати, последняя строка - это запуск версии, к-рую Комод ранее сразу "одобрил".
Меня давно терзают смутные сомнения, что большинство косяков - результат кривой реализации работы с sqlite.
Автор: emhanik
Дата сообщения: 21.02.2016 11:48
А-ха-ха! Их еще в 2007 предупреждали: http://www.matousec.com/info/advisories/Comodo-DLL-injection-via-weak-hash-function-exploitation.php
Автор: XenoZ
Дата сообщения: 21.02.2016 23:24
emhanik

Цитата:
А-ха-ха! Их еще в 2007 предупреждали

Так им же некогда, они новые рюшечки изобретают!
Автор: maispovis
Дата сообщения: 22.02.2016 12:31
как отключить встроенный антивирус в 5.12 у мну только firewall с проактивкой
я антивирь не устанавливал!
мож в реестре где что подправить, заколебал

http://hpics.li/caddf65
Автор: pangasiys
Дата сообщения: 22.02.2016 22:38
maispovis
ну ты в меню выбери убрать компоненты и убери антивирус


Автор: maispovis
Дата сообщения: 23.02.2016 13:48
pangasiys

у меня он не установлен, не проставлена птичка
Автор: kaijosta
Дата сообщения: 23.02.2016 15:22
maispovis
Сними галки, как на скрине
Автор: maispovis
Дата сообщения: 25.02.2016 10:22
kaijosta

та уже переставил даже его) вроде помогло

Народ ктонить знает в 5.12 есть опция "доверять проверенным поставщикам" иль типатого
Автор: pangasiys
Дата сообщения: 25.02.2016 11:03
maispovis

Цитата:
Народ ктонить знает в 5.12 есть опция "доверять проверенным поставщикам" иль типатого
в режиме Sandbox есть "Автоматически доверять файлам из доверенных программ установщиков"
Автор: bbd
Дата сообщения: 26.02.2016 16:52
Приветствую.
Ставил hex editor neo, в процессе установки программа "сходила" с интернет, проверила обновления, скачала русификатор, а Comodo Firewall не сообщил о подключении к интернету. В настройках стоит спрашивать разрешения для каждой программы. Скорее, я тут чего то не понимаю(т.к. не силён в настройках), но что это может быть: баг в firewall'е или так и должно быть для некоторых программ? И, если кто в курсе, для каких ещё?
Windows 7, Comodo Firewall 8.2.0.4792.

Спасибо.
Автор: emhanik
Дата сообщения: 26.02.2016 16:57
bbd 17:52 26-02-2016
Цитата:
Ставил hex editor neo, в процессе установки программа "сходила" с интернет, проверила обновления, скачала русификатор, а Comodo Firewall не сообщил о подключении к интернету
HexEditorNeo (кажется, еще PuntoSwitcher, Acrobat...) ходят через BITS. Можете заблокировать: http://kibinimatik.blogspot.com/p/08.html#proact-antileak-bits-all-apps
Автор: emhanik
Дата сообщения: 06.03.2016 22:32
Если кто пропустил — скандал с 32-битным хешем
Кто уже видел — пересмотрите, статья обновлена, в т.ч. видео.
Отдельного внимания заслуживает реакция модераторов и самого Мелиха (в их цитировании)
Автор: vitsat
Дата сообщения: 06.03.2016 23:23
emhanik, не мешайте 'работать' партнёрам Пу
Я отключил облачную проверку, когда заметил методичную отправку в 'облако' при каждом! открытии уже доверенных текстовых редакторов, фотопросмотрщиков и т.п. Проанализировав трафик, был приятно удивлён, что партёры интересуются текстами и фото
Автор: emhanik
Дата сообщения: 07.03.2016 00:03
vitsat 00:23 07-03-2016
Цитата:
Проанализировав трафик, был приятно удивлён, что партёры интересуются текстами и фото
Они что же, в незашифрованном виде передаются? Какова методология анализа?

P.S. Вообще-то облачная проверка, как оказалось, не связана с предъявленной уязвимостью, разве что очень косвенно.
Автор: vitsat
Дата сообщения: 07.03.2016 00:36

Цитата:
Какова методология анализа?

Я могу осветить только такие подробности: подменяем исполняемый файл текстового редактора, н-р, AkelPad.exe или просмотрщика, н-р, FSViewer.exe - и временное затишье в логах, но только временное, по какой-то адресной команде новые версии снова типа отсылаются в облако при каждом запуске.
Автор: emhanik
Дата сообщения: 07.03.2016 00:52
vitsat
Если не ошибаюсь, в логах действительно проскакивала облачная проверка программ, которые к тому времени уже запускались как доверенные. Но детально не проверял, были ли эти файлы «новыми»

Только при чем тут «тексты и фото»?
И «партнеры» при чем?

«Миром правит не тайная ложа, а явная лажа», что, кстати, и подтверждается вскрытой проблемой
Автор: vitsat
Дата сообщения: 07.03.2016 01:33

Цитата:
Только при чем тут «тексты и фото»?

Ага, месяц всё тихо, и вдруг откуда ни возьмись вылазит неожиданный спецефический баг, строго для определённой категории файлов. И объём отправляемого трафика каждый раз меняется пропорционально открытому файлу

Цитата:
«Миром правит не тайная ложа, а явная лажа»

А я всегда считал, что ж/д матрица, как минимум в информационном поле


Автор: emhanik
Дата сообщения: 07.03.2016 01:48
vitsat 02:33 07-03-2016
Цитата:
строго для определённой категории файлов. И объём отправляемого трафика каждый раз меняется пропорционально открытому файлу
Вы этого не сказали, когда я спрашивал о методологии. Так что вопрос остается открытым.

Как производились замеры? Я не представляю, как их произвести, если, по вашим словам, «баг» проявляется лишь изредка. Да еще и соотнести с размерами файлов («текстов и фото»!), которые открывались... Когда? — В течение месяца??


Цитата:
ж/д матрица
Чур меня...
Автор: vitsat
Дата сообщения: 07.03.2016 03:05

Цитата:
Я не представляю, как их произвести, если, по вашим словам, «баг» проявляется лишь изредка

"Баг", если уж проявляется, то это надолго. В событиях HIPS при КАЖДОМ открытии текста или фото добавляется строка о том, что файл прошёл облачную проверку и признан безопасным.
Обновляем (или наоборот) версию редактора AklePad или вьювера FastStoneImageViewer : в случае неопознанных принудительно указываем "Доверенный":

VirusTotal
Месяц может быть всё чисто в логах событий HIPS. И вдруг - опять двадцать пять... И не изредка, а напостоянку...
Устранение "бага" радикальное: вырубаем облачную проверку, обновления + наверх блокирующее правило фаера для Сomodo (наблюдаем ради интереса за активностью cmdagent.exe)

Добавлено:

Цитата:
Чур меня...

Кесарю - кесарево, слесарю - слесарево. Это вопрос физиков и лириков. А физик вы вроде бы неплохой.
Автор: WildGoblin
Дата сообщения: 07.03.2016 13:29
emhanik

Цитата:
Только при чем тут «тексты и фото»?
И «партнеры» при чем?
Для привлечения внимания наверное.
Автор: vitsat
Дата сообщения: 07.03.2016 13:34
WildGoblin смотрю, ты в любой дырке затычка? По теме есть что ответить?

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267268269270271272273274275276277278279280281282283284285286287288289290291292293294295296297298299300301302303304305306307308309310311312313314315316317318319320321322323324325326327328329330331332333334335336337338339340341342343344345346347348349350351352353354355356357358359360361362363364365366367368369370371372373374375376377378379380381382383384385386387388389390391392393394395396397398399400401402403404405406407408409410411412413414415416417418419420421422423424425426427428429430431432433434435436437438439440441442443444445446447448449450451452453454455456457458

Предыдущая тема: Victoria | Виктория | HDD Diagnostic (часть 2)


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.