Имейте терпение дочитать до конца. Или не читайте вообще. Касательно Комодо познавательная информация будет ближе к концу сообщения. Сначала - environment.
Описанная ситуация сложилась между 20-22 октября 2007 - первый раз, и между 29-31 окт - во второй. В первый раз на одном компьютере ( WinXP SP2 + Comodo + Avast! 4.7 Home Ed. - все в актуальном обновлении, владельцы - детишки, т.е. играют по преимуществу… со всеми вытекающими и втекающими обстоятельствами ) по неустановленной причине оказалась “вырубленной” вся сетка. Т.е. и с Комодо, и без него, в сеть и интернет не войти. При этом Комодо оказался заблокирован: и Монитор приложений, и Монитор компонентов принудительно (вирусом-червём-трояном?) были выключены и с Комодо ими было сделано так, что вручную включить эти ф-ции у файера не получется.
Ввиду крайней нехватки времени и при наличии довольно свежего “зеркала” диска С: с копией ОС (да, очень спасает Norton Ghost!) просто переустановил ОС, не разбираясь в обстоятельствах. (Естественно, “свежая” копия ОС решила все возникшие проблемы.)
Позавчера на том же компьютере обнаружил, что комп сильно флудит сеть. При поверке оказалось, что у детей раз или два срабатывал Аваст-антивирус и, по-видимому, “не справился” с удалением трояна (или они что-то не то нажали…).
Лечение выявило наличие Win32.SdBot-3458 [Wrm].
АВЗ как обычно “помог” удалить загрузчик червя - ф-л ntndis.exe (рядом лежал ещё ntndis.sys), который был прописан в реестре так:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
“Shell”=“Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe”
Кроме того есть подозрение на это:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
“%windir%\system32\sessmgr.exe”=“%windir%\system32\sessmgr.exe::enabled:@xpsp2res.dll,-22019"
“C:\DOCUME~1\User\LOCALS~1\Temp\g0ld.com”="C:\DOCUME~1\User\LOCALS~1\Temp\g0ld.com::Enabled:Control”
“C:\WINDOWS\system32\drivers\ntndis.exe”=“C:\WINDOWS\system32\drivers\ntndis.exe::Enabled:Control"
И это:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
“%windir%\system32\sessmgr.exe”="%windir%\system32\sessmgr.exe::enabled:@xpsp2res.dll,-22019”
“C:\DOCUME~1\User\LOCALS~1\Temp\g0ld.com”=“C:\DOCUME~1\User\LOCALS~1\Temp\g0ld.com::Enabled:Control"
“C:\WINDOWS\system32\drivers\ntndis.exe”="C:\WINDOWS\system32\drivers\ntndis.exe::Enabled:Control”
Естественно, файлы удалил, реестр почистил, и тогда всё заработало как надо!
Но после этого в ходе ревизии компьютера обнаружил, что Комодо тоже “полу-вырублен” этой дрянью! Вот скришот проблемы с Сетевым монитором. (См. прикрепленный ф-л.)
Как видите, за неделю Комодо был подвергнут 2 раза атакам - разным, но эта мерзость сумела-таки преодолевать активную защиту файера…
Делайте выводы, господа разработчики!
P.S. Естественно, я восстановил функционирование сетевого монитора по записям правил с другого здорового компьютера. У меня лично проблем нет, но возможно эта информация поможет другим, а особенно хотелось бы, чтобы она помогла усовершенствовать этот неплохой в целом софтвер…
Два ф-ла - ntndis.exe и g0ld.com - мне удалось сохранить. Могу прикрепить по запросу для передачи вирусологам или разработчикам Комодо.
Очень интересное Ваше сообщение… Хотя я не отношусь к разработчикам фаерволла COMODO, но с Вашего позволения, имею к Вам несколько разъяснений:
1 Если файлы загрузчика пришли в систему из интернета легальным способом(например порт 80) то фаервол здесь не при чем. Если есть такое разрешающее правило(как правило оно есть)
2 Если во время ручного запуска вредоносного файла монитор компонентов был в режиме обучения (как обычно многие оставляют его так), то анализатор приложений тоже будет бессилен. ИМХО
3 Если устанавливалась прога с подлинкованным загрузчиком, то виноват не фаервол а антивирус.
И это,к сожалению, далеко не все предпосылки (варианты) получения заражения где фаервол бессилен.
4 Отошлите образчики файлов в ALWIL -и пользователи Аваста будут Вам благодарны.
5 Попробуйте прописать правила для прог пожестче. Особенно для браузера.
6 Проверьте систему с помощью:
Использование SDFix:
1. Скачать [url=http://downloads.andymanchesta.com/RemovalTools/SDFix.exe]SDFix[/url];
Запускаем самораспаковывающийся архив,заходим в системный каталог и находим папку [b]SDFix[/b]( C:\SDFix );
2. Перезагружаем компьютер в [b]безопасный режим/Safe Mode[/b] (Нажимаем клавишу F8 при появлении меню загрузки Windows, в меню дополнительных режимов загрузки выбираем [b]Safe Mode[/b] и нажимаем [b]ENTER[/b]);
3. Открываем папку [b]SDFix[/b] и запускаем файл [b]RunThis.bat[/b], пишем букву [b]Y[/b] и нажимаем на [b]ENTER[/b];
Программа начнет свою работу, она удаляет компоненты вредоносных программ и восстанавливает системные настройки реестра. По окончании работы SDFix попросит вас нажать любую клавишу для того, чтобы перезагрузить ваш компьютер - перезагружаем;
4. После перезагрузки процедура удаления снова ненадолго продолжится. Появится надпись [b]Finished[/b], тогда нажимаем на любую клавишу для того, чтобы загрузить иконки на рабочем столе(до этого иконок не будет). Когда рабочий стол будет загружен, вы увидите лог SDFix(лог сохраняется в папке SDFix/[b]Report.txt[/b]), в котором будут описаны все сделанные действия.
Эта утилита как раз под Ваш вариант зловреда.
Пользуйтесь ограниченной учетной записью, запарольте админскую учетку.
Не пользуйтесь IE, пользуйтесь firefox или Opera. IE заблокировать в фаере.
Эти нехитрые решения дадут преимущество фаерволу и антивирусу в борьбе с вредоносами.
Что есть “подлинкованный загрузчик”? (Терминология мне не знакомая.)
Дык они знают о данной бяке, ибо Аваст детектирует её и пытается честно удалить - но безуспешно из-за “самовосстановления”. Я это выбросил из системы вручную с помощью установки AVZGuard и драйвера расширеного режима мониторинга в АВЗ.
За остальные советы спасибо. Особенно за подсказку по SDFix - я им ещё не пользовался. (Это относиться, думаю, к утилитам подобным АВЗ?)
Лично я-то на своём комьютере по большей части и следую аналогичным мерам безопасности. И много лет ничего серьезного не подхватывал. Компьютер детей “игрушечный” - дело иное. Не стану тратить лишние слова и время на разъяснения. Не всё то, что может сделать “под себя” пользователь-профессионал, пригодно для иных машинок, увы…
Спасибо за участие!
P.S.
Кстати, о приходе зловреда “легальным способом”.
См. http://www.viruslist.com/ru/weblog статью “Анти-реверс технологии в JavaScript”. Вот вам и “способы проникновения”, которыми стали уже пользоваться эти мерзавцы - “электронные террористы”! Чем даьше в лес, тем толще партизаны…
Бошки всем им “ловенгудам” отрывать нужно на корню!
Позвольте с Вами не согласиться, с руткит-технологиями одинаково плохо борятся все АВП. Даже проактивка каспера не помогает. Это видно даже из сообщений форума Касперского. Не говоря уже о наблюдениях специалистов.
Дык с “хорошим” руткитом вообще мало-кто способен совладать.
Тут нужны прямые руки и хорошее зрение
А вот если говорить про обычные вирусы, трояны, то вот примерная картина, по которой видно что аваст вообще мало детектит, тобишь ИХМО даже среди бесплатных продуктов он не лучший. http://img217.imageshack.us/img217/5220/antivirusesbk7.png
Если быть точнее,это не входит вообще в обязанности АВП, это работа антируткитов.
Я склонен не доверять тестам посторонним,а предпочитаю “испытывать на своей шкуре”
Может быть наш форум-это не совсем то место для обсуждения АВП, но отмечу,что АВАСТ,как и др.антивирусное ПО имеет ряд недостатков. Но и плюсы у него есть, и очень даже неплохие.
НИ ОДИН АНТИВИРУС НЕ ДАЕТ СТОПРОЦЕНТНОЙ (а по мне и пятидесяти процентов не даст) защиты.
Данное прошу не понимать как призыв отказаться от АВП, каждый волен строить защиту системы как умеет…
Вообще удивительно, что на форуме Комодо едва ли не все, кроме первого товарища, упоённо обсуждают достоинства и недостатки антивирусов, и как в рот воды набрали о имеющейся проблеме самого сабжевого софтвера!
Несмотря на включённую опцию “Защитить ключи и файлы файрвола от неавторизированных изменений” всякая нечисть может сделать с файером фактически всё что угодно!..
Мда.
сорри, что встреваю в оффтоп )
имхо, детишкам надо ограничить права по юзера и дать права на только на те папки, куда требуется доступ + настроить браузер+отключить не нужные службы, например в games, проверено, работает даже в агрессивной среде (домовые сети, приносили и флешки с вирусами, причем антивира на компе не стояло, но вирусы не проникли),
можно конечно и антивиры и firewall и ещё hips поставить, напр. DW (defensewall), но смысл охранять окна, если открыты настежь двери? ) http://security-advisory.newmail.ru/
ИМХО, такие данные, как параметры фильтров сетевого монитора, монитора компонентов и приложений, хранить в ключах реестра - убийственно! И так - по многим соображениям.
НУЖНО это хранить в личной папке конкретного юзверя* в стандартных ини-файлах, но - в ЗАШИФРОВАННОМ ВИДЕ: т.е. с возможностью верификации софтвером время от времени на предмет попыток взлома-подделки!
При грамотном использовании: включении опции защиты личных папко в ОС, это уже в какой-то мере затруднит доступ зловреду к важнейшей информации файера…
NB. Хотя я не разработчик подобного класса систем, но я имею представление касающееся общих принципов защиты и кое-какие - о программировании Окон…
Успехов!
В основном так и делаю. Но я не имею возможность активно админить “детский” компьютер по неимению свободного времени. А резко ограничивать права управления им - ущемлять их интересы… тоже не резон. Короче, в современной ситуации - куда ни кинь - везде клин!.. %)
Дык с "хорошим" руткитом вообще мало-кто способен совладать.
Тут нужны прямые руки и хорошее зрение
А вот если говорить про обычные вирусы, трояны, то вот __примерная__ картина, по которой видно что аваст вообще мало детектит, тобишь ИХМО даже среди бесплатных продуктов он не лучший.
http://img217.imageshack.us/img217/5220/antivirusesbk7.png
Я думаю хорошее зрение врядли поможет обычному пользователю, ибо руткиты скрывают свое присутствие в системе. На глаз, без отладчика, хуки СДТ не углядишь :) А если он вообще без хуков, а прямо списки объектов ядра колбасит ?
) по неустановленной причине оказалась “вырубленной” вся сетка. Т.е. и с Комодо, и без него, в сеть и интернет не войти. При этом Комодо оказался заблокирован: и Монитор приложений, и Монитор компонентов принудительно (вирусом-червём-трояном?) были выключены и с Комодо ими было сделано так, что вручную включить эти ф-ции у файера не получется.