Песочница Comodo и троян Gpcode

Попался вчера на глаза любопытный тестик

Троян благополучно срабатывает в песке при любых настройках D+ и Песочницы. Троян далеко не свежий, а вот поди ж ты… Возникает вопрос, неужели так слаба Комодовская песочница? И если это так, то стоит ли ей тогда вообще пользоваться?

Тут дело не в слабости песочницы, как таковой, а в слабости настроек по умолчанию. Вообще говоря, большинство косяков CIS берут начало именно в слабости умолчальных настроек и желании разрабов совместить несовместимое обеспечить наибольшую совместимость с чем бы то ни было. Если в защищённые файлы добавить, например, “.txt" (или ".doc” и т.д.), то поменять txt- или doc-файлы из песочницы уже не получится. Если к расширениям добавить ещё и пайп (“.txt|", ".doc|” и т.д.), то не получится даже создать новые. Проблема в том, что в автопесочнице отсутствует виртуализация, при этом возвращается ошибка отказа в доступе и файлы действительно не меняются/не создаются. Бог знает сколько приложений и их пользователей будут “рады” этому :slight_smile: Так что в принципе защититься от гпкодов и подобных труда не составляет, но в каждом конкретном случае нужно подумать, как это лучше сделать, какие файлы и/ил подкаталоги забросить в охраняемые файлы и т.п. Ну и ждём CIS6, где обещана полная виртуализация автопесочницы…

Полная виртуализация имеется в виду как в Sandboxie? :slight_smile: Было бы очень неплохо иметь такую АВТОпесочницу, да еще при бесплатности CIS :slight_smile:

В английской ветке уже давно эту тему поднимали. Решение против такого зловреда очень простое - добавить в защищенные файлы и папки строчку \Device\KsecDD


P.S. Комодовский антивирус без проблем подобную дрянь ловит.

Я давно не заглядывал в тот топик, но, тем не менее, считаю такое решение половинчатым и заточеным на вполне конкретныое семейство. Скажем, какая-нибудь малварь может не пользоваться этим криптодрайвером, тогда такой способ неэффективен…

P.S. Комодовский антивирус без проблем подобную дрянь ловит.

Антивирус на то и антивирус, что ловит уже известное…
А вот занесение в списки защищаемого масок *.doc *.txt и т.д. уже интересно. Но вот вопрос - менять такие файлы нельзя будет только из песочницы или уже обычный Word из доверенных не сможет этого сделать?

Из доверенных конечно сможет. Доверенным же можно менять защищённые файлы.

Спасибо, ntoskrnl, попробую пока нет шестой версии сделать так.

Это решение специально создано для борьбы с Gpcode, и со своими задачами оно справляется.

Данный вирус шифрует почтовые базы данных, файлы с расширениями TXT, XLS, RAR, DOC, HTML, PDF, JPG и др. Всего более 80 расширений. Так что удачи в добавлении.

Спасибо за пожелания, самое главное от всего сердца…
Но мне есть что терять, так что по сути не так уж много и добавить то придется…

Могу упростить Вам задачу. Добавьте в защищённые файлы сточку ?:*
Тогда все файлы будут контролироваться на предмет изменений. Параноидально, но Вам ведь так и надо?

Спасибо, добавил. Мне именно это и надо. Потерять несколько сот гигов, все что нажито непосильным трудом… Это смерти подобно.

Добавьте в защищённые файлы сточку ?:*
Тогда все файлы будут контролироваться на предмет изменений.

А это не повлияет на производительность системы?

Добавьте в защищённые файлы сточку ?:*
Тогда все файлы будут контролироваться на предмет изменений.

А это не повлияет на производительность системы?

Еще вопрос по поводу строчки она должна иметь вид ?:* или :*

У меня не повлияло

Так как я написал ?:*

А что будет если добавить папку Windows?

она по-умолчанию уже добавлена

Ясно спасибо. :slight_smile: