Author Topic: Rilevazioni AV  (Read 1399 times)

Offline portobello

  • Comodo Family Member
  • ***
  • Posts: 72
Rilevazioni AV
« on: May 01, 2012, 01:49:22 AM »
Ciao a tutti .
Mi rivolgo in particolare al gentile fuco, al quale avevo chiesto spiegazioni in altro topic da dove riprendo il discorso.
Riassumendo ho fatto tre titpi di prove.
La prima, utilizzando il browser dentro sandboxie, un software che utilizzo praticamente sempre quando navigo sul web; tale software è stato da me appositamente  impostato in modo da eliminare automaticamente il contenuto alla chiusura del browser, pertanto tutto quello che di buono o di malware vi è contuno viene automaticamente eliminato, se vi sono dei download in corso, mi esce una finestra di avviso che mi chiede il da farsi.
Anche se sandboxie crea una specie di barriera che impedisce a qualsiasi cosa di uscire, non impedisce ai software di protezione ( antimalware, antispyware, antivirus) di fare il loro lavoro e quindi in caso di rilevazione di una minaccia di metterla in quarantena: tale fatto lo posso dire con ragionevole certezza perchè ho fatto dei test con altri AV diversi da Comodo e ho notato che così succede, pertanto non penso che il problema del " non confermato" sia dovuto al browser sandboxato, in virtù anche della succesiva prova.
Seconda prova: effettuata con browser SENZA sandboxie ( tranquillo lo faccio con le dovute precauzioni)
Pertanto sono tornato sulle url della MDL che qui non riporto per motivi di sicurezza.
Utilizzo sempra la stessa url cambiando le impostazioni dell'AV cosi verifico anche il famoso discorso dell'ottimizzato e del completo, ma il procedimento non cambia nel senso che i malware rilevati vengono messi in quarantena sempre con la famosa scritta "NON CONFERMATO" vedi immagine.
Treza e ultima prova, per ora.
Prendo un archivio contenente dei virus veri e dopo averlo copiato a caso nella cartella download lo apro ed entra in funzione la protezione dell'AV che li rileva tutti ( bravo Comodo) e li mette in quarantena ma non compare la famosa scritta "non confermato" vedi immagine.
Ora mi domando cosa significa il famoso "non confermato" dei virus rilevati navigando in rete e messi in quarantena. 

Offline fuco

  • Comodo's Hero
  • *****
  • Posts: 471
Re: Rilevazioni AV
« Reply #1 on: May 01, 2012, 03:16:42 AM »
Ciao portobello,

La prima, utilizzando il browser dentro sandboxie, un software che utilizzo praticamente sempre quando navigo sul web; tale software è stato da me appositamente  impostato in modo da eliminare automaticamente il contenuto alla chiusura del browser, pertanto tutto quello che di buono o di malware vi è contuno viene automaticamente eliminato, se vi sono dei download in corso, mi esce una finestra di avviso che mi chiede il da farsi.
Anche se sandboxie crea una specie di barriera che impedisce a qualsiasi cosa di uscire [...] non penso che il problema del " non confermato" sia dovuto al browser sandboxato, in virtù anche della succesiva prova.

Seconda prova: effettuata con browser SENZA sandboxie ( tranquillo lo faccio con le dovute precauzioni)
Pertanto sono tornato sulle url della MDL che qui non riporto per motivi di sicurezza.
Utilizzo sempra la stessa url cambiando le impostazioni dell'AV cosi verifico anche il famoso discorso dell'ottimizzato e del completo, ma il procedimento non cambia nel senso che i malware rilevati vengono messi in quarantena sempre con la famosa scritta "NON CONFERMATO" vedi immagine.

Dunque...relativamente a queste due prove ho visionato sia le immagini da te postate in questa discussione, sia le immagini postate nella vecchia discussione.

Provo a fare il punto della situazione.... :)

Nelle prime 2 prove da te effettuate, si nota che i file scaricati tramite url, sono rilevati come infetti e messi in quarantena con il nome Non confermato <valore numerico casuale>.

Come anche tu hai notato, questo non dipende dal fatto che il browser sia utilizzato dentro o fuori dalla sandbox.

Quando si scarica un qualsiasi file da internet, il processo di download è costituito dalle seguenti fasi:

1) Mentre il download è in corso è creato un file temporaneo con un nome diverso rispetto al nome del file scaricato.

2) Terminato il download, il file temporaneo pinco pallino viene copiato nella destinazione dove l'utente ha deciso di salvarlo e viene rinominato con il nome corretto.

Treza e ultima prova, per ora.
Prendo un archivio contenente dei virus veri e dopo averlo copiato a caso nella cartella download lo apro ed entra in funzione la protezione dell'AV che li rileva tutti ( bravo Comodo) e li mette in quarantena ma non compare la famosa scritta "non confermato" vedi immagine.

In questo caso è stato preso un'archivio preesistente sul disco fisso.
Di conseguenza qui i file non avevano il nome assegnatogli come file temporanei, ma avevano quello definitivo.
Sono stati messi in quarantena con quel nome.

Ora mi domando cosa significa il famoso "non confermato" dei virus rilevati navigando in rete e messi in quarantena. 

Probabilmente è il nome con cui il browser o Comodo hanno identificato quei file temporanei di internet.

Come dicevo più sopra:

Non confermato <valore numerico casuale>

Alla fine, comunque, l'importante è che Comodo abbia bloccato l'infezione in tutte le tue prove.  :).

Saluti

fuco

Offline portobello

  • Comodo Family Member
  • ***
  • Posts: 72
Re: Rilevazioni AV
« Reply #2 on: May 01, 2012, 09:19:57 AM »
 :-TU
Grazie.

Ciao.

 

Seo4Smf 2.0 © SmfMod.Com | Smf Destek