» Comodo Internet Security

XenoZ 04:33 14-02-2016
Цитата:

не раз замечал, после обновлений Windows, на индикаторе песочницы число, отличное от нуля

При отключенной автопесочнице? Тогда явно баг.
И уж тем более баг, когда —
ac3p 00:32 14-02-2016
Цитата:

пробовал очищать песочницу, но svchost сразу же после очистки попадал туда снова, и перезагрузка системы тож не помогала

при том, что —
emhanik 01:24 14-02-2016
Цитата:

В журнале у ac3p за последние 2 недели вообще нет записей о виртуализации

Однако у меня баг не воспроизвелся. Обновил виртуальную Win7x64 (не обновлявшуюся больше года) с CIS 8.2.0.4792 — никаких виртуальных процессов. Конфигурация — дефолтная Proactive Sequrity. Почти никакого софта не установлено — может, потому баг и не проявился.

То, что этот svchost — часть «оболочки», было наиболее вероятно с самого начала. Вопрос же, с какой стати она подгружается.

emhanik

Цитата:

При отключенной автопесочнице? Тогда явно баг.

Да, при отключенной. Автопесочницей, вирускопом и контент-фильтром не пользуюсь. ОС - реальная, Win7 x86 Pro.

---

И сегодня меня Комод ошарашил...
Написал на работе простенькую програмку, показывающую загрузку памяти/процессора, принес домой, запустил... а она запустилась! При режиме блокировки всего неопознанного.
Полез смотреть репутационный список, а она уже там, с репутацией Комода - доверенное.

XenoZ 17:04 17-02-2016
Цитата:

Полез смотреть репутационный список, а она уже там, с репутацией Комода - доверенное.

..се!
А в журнале — «Просканировано онлайн и признано безопасным»?
На работе Comodo с включенным облачным анализом?..

Добавлено:
P.S.
Если нет — каким способом программа была доставлена на домашний ПК? Например, разархивирована через 7-ZipPortable или вроде того...
Если, конечно, включена опция «Доверять приложениям, установленным с помощью доверенных установщиков». Если отключена — вообще мистика.

emhanik

Цитата:

А в журнале — «Просканировано онлайн и признано безопасным»?
На работе Comodo с включенным облачным анализом?..

В журнале - никаких записей, на работе интернет отсутствует.

Цитата:

Если нет — каким способом программа была доставлена на домашний ПК?

На флешке (FAT), не упакована. С флешки перетащена на комп и запущена.

XenoZ 17:55 17-02-2016
Цитата:

В журнале - никаких записей, на работе интернет отсутствует.

По идее, если появляется запись в списке доверенных — хотя бы это должно отразиться в журнале «Изменения конфигурации».

emhanik
В этот раздел не заглядывал, да, там запись есть, по времени совпадает.

Продукты Comodo устанавливают на ПК пользователя опасную утилиту удаленной поддержки

https://t.co/7EQAopjdsR https://t.co/t0XnQcUwfq

anynamer

Цитата:

Продукты Comodo устанавливают на ПК пользователя опасную утилиту удаленной поддержки

GeekBuddy? А его еще кто-то ставит?

(да и к тому же баг уже пофиксили)

XenoZ 17:55 17-02-2016
Цитата:

В журнале - никаких записей

18:55 17-02-2016
Цитата:

В этот раздел не заглядывал, да, там запись есть, по времени совпадает.

Такое сочетание, по-моему, возможно в двух ситуациях:
- или файл создан доверенным установщиком,
- или файл подписан доверенным поставщиком.

Однако в поисках объяснений произошедшего я нарыл кое-что пострашнее

Хотя как раз ситуацию с файлом meminfo.exe это и не объясняет...

emhanik

Цитата:

Такое сочетание, по-моему, возможно в двух ситуациях:
- или файл создан доверенным установщиком,
- или файл подписан доверенным поставщиком.

1 - нет;
2 - нет.

Цитата:

Однако в поисках объяснений произошедшего я нарыл кое-что пострашнее

Сложно сказать, в журнале, в качестве метки, указан sha1.
[more=Вот список...]2016-02-17 16:34:54  Добавлен объект  Администратор  Информация о репутации  F:\=TMP=\meminfo.exe    <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="C39B2086B65B46880AF82032C0B7FEC9CCBE2AC3" UserRating="none" ComodoRating="trust"/> 
2016-02-17 22:14:46  Добавлен объект  Администратор  Информация о репутации  F:\=TMP=\meminfo.exe    <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="F4499CF7633E5AA958F667B01F80190864470A73" UserRating="none" ComodoRating="unknown"/> 
2016-02-17 22:15:24  Изменен объект  Пользователь  Информация о репутации  F:\=TMP=\meminfo.exe  <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="F4499CF7633E5AA958F667B01F80190864470A73" UserRating="none" ComodoRating="unknown"/>  <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="F4499CF7633E5AA958F667B01F80190864470A73" UserRating="trust" ComodoRating="unknown"/> 
2016-02-18 06:39:40  Удален объект  Пользователь  Информация о репутации  F:\=TMP=\meminfo.exe  <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="F4499CF7633E5AA958F667B01F80190864470A73" UserRating="trust" ComodoRating="unknown"/>   
2016-02-18 06:39:40  Удален объект  Пользователь  Информация о репутации  F:\=TMP=\meminfo.exe  <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="C39B2086B65B46880AF82032C0B7FEC9CCBE2AC3" UserRating="none" ComodoRating="trust"/>   
2016-02-18 06:40:33  Добавлен объект  Администратор  Информация о репутации  F:\=TMP=\meminfo.exe    <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="C39B2086B65B46880AF82032C0B7FEC9CCBE2AC3" UserRating="none" ComodoRating="trust"/> 
2016-02-18 06:42:35  Удален объект  Пользователь  Информация о репутации  F:\=TMP=\meminfo.exe  <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="C39B2086B65B46880AF82032C0B7FEC9CCBE2AC3" UserRating="none" ComodoRating="trust"/>   
2016-02-18 06:43:23  Добавлен объект  Администратор  Информация о репутации  F:\=TMP=\meminfo.exe    <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="F4499CF7633E5AA958F667B01F80190864470A73" UserRating="none" ComodoRating="trust"/> 
2016-02-19 14:07:25  Добавлен объект  Администратор  Информация о репутации  F:\=TMP=\meminfo.exe    <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="B2D3AAF651F8BE8711E1A065C24C253BA0084460" UserRating="none" ComodoRating="unknown"/> 
2016-02-19 14:07:44  Изменен объект  Пользователь  Информация о репутации  F:\=TMP=\meminfo.exe  <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="B2D3AAF651F8BE8711E1A065C24C253BA0084460" UserRating="none" ComodoRating="unknown"/>  <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="B2D3AAF651F8BE8711E1A065C24C253BA0084460" UserRating="trust" ComodoRating="unknown"/> 
2016-02-20 07:56:20  Добавлен объект  Администратор  Информация о репутации  F:\=TMP=\meminfo.exe    <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="6A3C5590F28BBDD99B84837CF79DFEFC2037A6FF" UserRating="none" ComodoRating="unknown"/> 
2016-02-20 07:56:30  Изменен объект  Пользователь  Информация о репутации  F:\=TMP=\meminfo.exe  <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="6A3C5590F28BBDD99B84837CF79DFEFC2037A6FF" UserRating="none" ComodoRating="unknown"/>  <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="6A3C5590F28BBDD99B84837CF79DFEFC2037A6FF" UserRating="trust" ComodoRating="unknown"/> 
2016-02-20 11:42:24  Добавлен объект  Администратор  Информация о репутации  D:\=Me=\meminfo4.exe    <RatingFile FilePath="D:\=Me=\meminfo4.exe" FileHash="8A762A758053ABBCE2B538F91AA41E35902E21C9" UserRating="none" ComodoRating="unknown"/> 
2016-02-20 12:39:28  Добавлен объект  Администратор  Информация о репутации  D:\=Me=\meminfo4.exe    <RatingFile FilePath="D:\=Me=\meminfo4.exe" FileHash="E4EACD1786BE4A474046468F66D2EE877A0EFC19" UserRating="none" ComodoRating="unknown"/> 
2016-02-20 12:39:47  Изменен объект  Пользователь  Информация о репутации  D:\=Me=\meminfo4.exe  <RatingFile FilePath="D:\=Me=\meminfo4.exe" FileHash="E4EACD1786BE4A474046468F66D2EE877A0EFC19" UserRating="none" ComodoRating="unknown"/>  <RatingFile FilePath="D:\=Me=\meminfo4.exe" FileHash="E4EACD1786BE4A474046468F66D2EE877A0EFC19" UserRating="trust" ComodoRating="unknown"/> 
2016-02-20 12:39:47  Удален объект  Пользователь  Информация о репутации  D:\=Me=\meminfo4.exe  <RatingFile FilePath="D:\=Me=\meminfo4.exe" FileHash="8A762A758053ABBCE2B538F91AA41E35902E21C9" UserRating="none" ComodoRating="unknown"/>   
2016-02-20 22:11:00  Добавлен объект  Администратор  Информация о репутации  D:\=Me=\meminfo1.exe    <RatingFile FilePath="D:\=Me=\meminfo1.exe" FileHash="C39B2086B65B46880AF82032C0B7FEC9CCBE2AC3" UserRating="none" ComodoRating="unknown"/> 
2016-02-20 22:13:37  Удален объект  Пользователь  Информация о репутации  D:\=Me=\meminfo4.exe  <RatingFile FilePath="D:\=Me=\meminfo4.exe" FileHash="E4EACD1786BE4A474046468F66D2EE877A0EFC19" UserRating="trust" ComodoRating="unknown"/>   
2016-02-20 22:13:37  Удален объект  Пользователь  Информация о репутации  F:\=TMP=\meminfo.exe  <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="6A3C5590F28BBDD99B84837CF79DFEFC2037A6FF" UserRating="trust" ComodoRating="unknown"/>   
2016-02-20 22:13:51  Добавлен объект  Администратор  Информация о репутации  F:\=TMP=\meminfo.exe    <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="E4EACD1786BE4A474046468F66D2EE877A0EFC19" UserRating="none" ComodoRating="unknown"/> 
2016-02-20 22:14:08  Изменен объект  Пользователь  Информация о репутации  F:\=TMP=\meminfo.exe  <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="E4EACD1786BE4A474046468F66D2EE877A0EFC19" UserRating="none" ComodoRating="unknown"/>  <RatingFile FilePath="F:\=TMP=\meminfo.exe" FileHash="E4EACD1786BE4A474046468F66D2EE877A0EFC19" UserRating="trust" ComodoRating="unknown"/> 
2016-02-20 22:14:08  Удален объект  Пользователь  Информация о репутации  D:\=Me=\meminfo1.exe  <RatingFile FilePath="D:\=Me=\meminfo1.exe" FileHash="C39B2086B65B46880AF82032C0B7FEC9CCBE2AC3" UserRating="none" ComodoRating="unknown"/>   
2016-02-20 22:14:24  Добавлен объект  Администратор  Информация о репутации  D:\=Me=\meminfo.exe    <RatingFile FilePath="D:\=Me=\meminfo.exe" FileHash="6A3C5590F28BBDD99B84837CF79DFEFC2037A6FF" UserRating="none" ComodoRating="unknown"/> 
2016-02-20 22:14:28  Добавлен объект  Администратор  Информация о репутации  D:\=Me=\meminfo1.exe    <RatingFile FilePath="D:\=Me=\meminfo1.exe" FileHash="C39B2086B65B46880AF82032C0B7FEC9CCBE2AC3" UserRating="none" ComodoRating="unknown"/> 
2016-02-20 22:14:47  Удален объект  Пользователь  Информация о репутации  D:\=Me=\meminfo1.exe  <RatingFile FilePath="D:\=Me=\meminfo1.exe" FileHash="C39B2086B65B46880AF82032C0B7FEC9CCBE2AC3" UserRating="none" ComodoRating="unknown"/>   
2016-02-20 22:14:47  Удален объект  Пользователь  Информация о репутации  D:\=Me=\meminfo.exe  <RatingFile FilePath="D:\=Me=\meminfo.exe" FileHash="6A3C5590F28BBDD99B84837CF79DFEFC2037A6FF" UserRating="none" ComodoRating="unknown"/>   
2016-02-20 22:21:57  Добавлен объект  Администратор  Информация о репутации  D:\=Me=\meminfo.exe    <RatingFile FilePath="D:\=Me=\meminfo.exe" FileHash="C39B2086B65B46880AF82032C0B7FEC9CCBE2AC3" UserRating="none" ComodoRating="unknown"/> [/more]
Там видно, что еще одна версия проскакивала, как заведомо доверенная. crc32 у всех версий разный, проверил. И, кстати, последняя строка - это запуск версии, к-рую Комод ранее сразу "одобрил".
Меня давно терзают смутные сомнения, что большинство косяков - результат кривой реализации работы с sqlite.

А-ха-ха! Их еще в 2007 предупреждали: http://www.matousec.com/info/advisories/Comodo-DLL-injection-via-weak-hash-function-exploitation.php

emhanik

Цитата:

А-ха-ха! Их еще в 2007 предупреждали

Так им же некогда, они новые рюшечки изобретают!

как отключить встроенный антивирус в 5.12 у мну только firewall с проактивкой
я антивирь не устанавливал!
мож в реестре где что подправить, заколебал

http://hpics.li/caddf65

maispovis
ну ты в меню выбери убрать компоненты и убери антивирус

pangasiys

у меня он не установлен, не проставлена птичка

maispovis
Сними галки, как на скрине

kaijosta

та уже переставил даже его) вроде помогло

Народ ктонить знает в 5.12 есть опция "доверять проверенным поставщикам" иль типатого

maispovis

Цитата:

Народ ктонить знает в 5.12 есть опция "доверять проверенным поставщикам" иль типатого

в режиме Sandbox есть "Автоматически доверять файлам из доверенных программ установщиков"

Приветствую.
Ставил hex editor neo, в процессе установки программа "сходила" с интернет, проверила обновления, скачала русификатор, а Comodo Firewall не сообщил о подключении к интернету. В настройках стоит спрашивать разрешения для каждой программы. Скорее, я тут чего то не понимаю(т.к. не силён в настройках), но что это может быть: баг в firewall'е или так и должно быть для некоторых программ? И, если кто в курсе, для каких ещё?
Windows 7, Comodo Firewall 8.2.0.4792.

Спасибо.

bbd 17:52 26-02-2016
Цитата:

Ставил hex editor neo, в процессе установки программа "сходила" с интернет, проверила обновления, скачала русификатор, а Comodo Firewall не сообщил о подключении к интернету

HexEditorNeo (кажется, еще PuntoSwitcher, Acrobat...) ходят через BITS. Можете заблокировать: http://kibinimatik.blogspot.com/p/08.html#proact-antileak-bits-all-apps

Если кто пропустил — скандал с 32-битным хешем
Кто уже видел — пересмотрите, статья обновлена, в т.ч. видео.
Отдельного внимания заслуживает реакция модераторов и самого Мелиха (в их цитировании)

emhanik, не мешайте 'работать' партнёрам Пу
Я отключил облачную проверку, когда заметил методичную отправку в 'облако' при каждом! открытии уже доверенных текстовых редакторов, фотопросмотрщиков и т.п. Проанализировав трафик, был приятно удивлён, что партёры интересуются текстами и фото

vitsat 00:23 07-03-2016
Цитата:

Проанализировав трафик, был приятно удивлён, что партёры интересуются текстами и фото

Они что же, в незашифрованном виде передаются? Какова методология анализа?

P.S. Вообще-то облачная проверка, как оказалось, не связана с предъявленной уязвимостью, разве что очень косвенно.

Цитата:

Какова методология анализа?

Я могу осветить только такие подробности: подменяем исполняемый файл текстового редактора, н-р, AkelPad.exe или просмотрщика, н-р, FSViewer.exe - и временное затишье в логах, но только временное, по какой-то адресной команде новые версии снова типа отсылаются в облако при каждом запуске.

vitsat
Если не ошибаюсь, в логах действительно проскакивала облачная проверка программ, которые к тому времени уже запускались как доверенные. Но детально не проверял, были ли эти файлы «новыми»

Только при чем тут «тексты и фото»?
И «партнеры» при чем?

«Миром правит не тайная ложа, а явная лажа», что, кстати, и подтверждается вскрытой проблемой

Цитата:

Только при чем тут «тексты и фото»?

Ага, месяц всё тихо, и вдруг откуда ни возьмись вылазит неожиданный спецефический баг, строго для определённой категории файлов. И объём отправляемого трафика каждый раз меняется пропорционально открытому файлу

Цитата:

«Миром правит не тайная ложа, а явная лажа»

А я всегда считал, что ж/д матрица, как минимум в информационном поле

vitsat 02:33 07-03-2016
Цитата:

строго для определённой категории файлов. И объём отправляемого трафика каждый раз меняется пропорционально открытому файлу

Вы этого не сказали, когда я спрашивал о методологии. Так что вопрос остается открытым.

Как производились замеры? Я не представляю, как их произвести, если, по вашим словам, «баг» проявляется лишь изредка. Да еще и соотнести с размерами файлов («текстов и фото»!), которые открывались... Когда? — В течение месяца??


Цитата:

ж/д матрица

Чур меня...

Цитата:

Я не представляю, как их произвести, если, по вашим словам, «баг» проявляется лишь изредка

"Баг", если уж проявляется, то это надолго. В событиях HIPS при КАЖДОМ открытии текста или фото добавляется строка о том, что файл прошёл облачную проверку и признан безопасным.
Обновляем (или наоборот) версию редактора AklePad или вьювера FastStoneImageViewer : в случае неопознанных принудительно указываем "Доверенный":

VirusTotal
Месяц может быть всё чисто в логах событий HIPS. И вдруг - опять двадцать пять... И не изредка, а напостоянку...
Устранение "бага" радикальное: вырубаем облачную проверку, обновления + наверх блокирующее правило фаера для Сomodo (наблюдаем ради интереса за активностью cmdagent.exe)

Добавлено:

Цитата:

Чур меня...

Кесарю - кесарево, слесарю - слесарево. Это вопрос физиков и лириков. А физик вы вроде бы неплохой.

emhanik

Цитата:

Только при чем тут «тексты и фото»?
И «партнеры» при чем?

Для привлечения внимания наверное.

WildGoblin смотрю, ты в любой дырке затычка? По теме есть что ответить?