Мусор с браузере встретил на компе с CAV 5.5. Но также на какой-то из версий CIS в ноябре видел.
Сталкивались?
http://s012.radikal.ru/i321/1112/74/d22ba741e364.jpg
http://i023.radikal.ru/1112/4e/24f0cb30d87b.jpg
http://s017.radikal.ru/i407/1112/ec/0d44038bd8c6.png
http://s016.radikal.ru/i334/1112/e3/a277d2a642db.jpg
Сталкивались. А в чём, собственно, вопрос?
Вопрос в том, сам ли пользователь запустил какой-то вредоносный файл несмотря на предупреждение антивируса (если оно вообще было) или запись в ветку реестра произошла мимо внимания CAV’а?
Смоделировал. Зависит от настроек Comodo и реакции пользователя. Попозже отпишусь поподробнее, но, в общем, результат для HIPS Comodo неутешительный…
Чем там модулирование закончилось?..
Завтра на работе, где комодо установлен, запущу дроппер и отпишусь, со скриншотами.
Докладываю по итогам лабораторной работы.
Имеем: Windows Vista Pro 32 bit, UAC по умолчанию. CIS 5.9.221665.2197, конфигурация Proactive Security с небольшими изменениями, “безопасный режим”, “Обрабатывать неопознанные файлы как ограниченные”, SandBox отключен.
Запускаем дроппер “Маячка”, ответив утвердительно на запрос UAC, получаем перезагрузку без вопросов и заражённую систему. Несмотря даже на то, что параметр реестра HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows - в защищённых.
Теперь включаем песочницу. Для зловреда теперь не всё так радужно. Сперва его Comodo его виртуализирует. Затем эвристика проактивной защиты выдаёт предупреждение о потенциально вредоносном поведении Ждём “разрешить”. Получаем сообщение об ошибке системы: “Недостаточно квот для обработки команды”. Всё. Кроме нескольких файлов с расширением .tmp в папке Windows\system32 никаких следов от попытки заражения. Простите, что без скриншотов, загружать через сторонний хостинг было лень.
Несколько пояснений по работе дроппера. При запуске он копирует себя во временную папку с именем flash_player_update.exe, запускается оттуда, далее, по всей вероятности (не отслеживал с помощью FileMon или отладчика) пишет файл с расширением .tmp с содержимым будущей .dll, копирует этот временный файл в .dll, имя которой формируется индивилуально для каждой заражаемой системы (подробности тут w4kfu's bl0g), прописывает эту dll в AppInit_DLLs и ребутит систему. Иногда временный файл остаётся нулевой длины, иногда совпадает с вирусной dll. Копия дроппера с именем flash_player_update.exe то остаётся во временной папке, то, видимо, подтирается зловредом - эти два момента, похоже, зависят от версии дроппера.
И немного самопиара 
На основе этого маленького исследования был написан скрипт (во вложении) для AVZ для борьбы с этим зловредом, который работает на 32- и 64-битных системах (на последних не запускается в обычном режиме AVZ, поэтому применять скрипт в безопасном режиме). Скрипт карантинит и удаляет маячок и дроппер из временной папки (если он там был) и зачищает реестр от него.
[attachment deleted by admin]
Vvvyg, это известная неприятность. Разрабы в курсе и egemen обещал “принять меры” и вернуть-таки контроль за dll-ками. (Честно говоря, я опасался, что ближе к шестёрке придётся скандалить на эту тему, но жизнь, как говорится, заставила сама 
) Пока не совсем ясно, появится ли это в 5.10, но скорее всего, в шестёрке, будем надеяться. Естественно, параноидальный режим с немного изменёнными настройками спасает ситуацию, т.е. опять, не столько проблема ХИПСа, как такового, как проблема умолчальных настроек.
ntoskrnl, можете скинуть ссылку, где это обсуждалось в английской ветке?
Могу, вот она, правда я сейчас перечитал пост Vvvyg, тут немного другая ситуация (там дроппер приезжал вместе с доверенным флэш-апдейтером и подсовывал ему свою dll-ку, которая бросала заразный файл в System32) Здесь другой механизм и как именно дроппер умудрился прописать AppInit_DLLs не понятно. К тому же маячок лезет в бутсектор раздела, здесь это никак не отражено… Vvvyg, можете метнуть в меня эту бяку? (Только к посту не прикрепляйте).
Есть две разные ветки маячка - классический, тот, что в AppInit_DLLs, и бутовый, сейчас, кстати, появилась разновидность, блокирующая восстановление VBR из заражённой системы: VBR Rootkit (Mayachok.2) вернулся - Современные угрозы и защита от них - Форумы Anti-Malware.ru.
Ссылка на хранилище дропперов - в личке.
Я знаю, что их два, но, поскольку не слежу за ним очень уж пристально, посчитал, что появился какой-нибидь ещё (в дополнение к тому, что обсуждается на AM), поскольку обычными заразить из-под CIS нереально. К тому же невнимательно, каюсь, прочитал Ваш пост и почему-то мне показалось, что там такой же механизм, как у 0access по ссылке выше. Вашу ссылку получил, спасибо, но, как и ожидалось, заразиться не смог. 
Дроппер тупо пытался смастерить dll-ку в system32, естественно, получал от CIS по пальцам, а потом (ещё тупее ) принялся периодически запускать сам себя (свою копию из временного каталога) и канючить, чтобы ему дали админ-права, пока не надоел и не был прибит. Само собой - никакого заражения нет. Может быть, конечно, это другой дроппер, он, судя по вирустоталу (см. аттач), свеженький.
[attachment deleted by admin]
И какие же это настройки, поделитесь пожалуйста.
Кстати, в 5.10 облачные технологии порою даже работают При попытке запуска очередной вариации дроппера Comodo заблокировал его с вердиктом, что объект вредоносный (хотя в базах его ещё нет) и дал ссылку на анализ поведения: http://cima.security.comodo.com/report/1e2e836e1a8c67151f9cbd6e3d4244f9ed033393.htm
Всё ясно, не надо лишний раз в виртуалке гонять.