Des virus passent à travers la sandbox!

Bonjour
après avoir fait des essais avec quelques virus (200) je me suis aperçu que même isolé dans la sandbox ces derniers faisaient encore des dommages.
J’ai essayé de mettre la sandbox en “limité” mais alors les “exe” ne se lancent plus correctement car ils n’ont plus assez de droits. Génant pour installer un logiciel sain, non reconnu par CIS.
La sandbox se vide à quel moment ?
Je pensais que c’était a redémarrage du PC !

Le principe même de la sandbox est de laisser les programmes s’exécuter dans un environnement sécurisé censément étanche du système lui-même.

En conséquence, elle rend régulièrement des résultats aberrants, ne saurait être utilisée que par des gens négligents ou très débutants, et fausse la quasi-totalité des tests de virus ou de pénétration…

Le choix sain pour les autres utilisateurs me semble être de désactiver totalement la sandbox, et de régler CIS à firewall personnalisé, defense+ paranoïa, niveau d’alerte maximum, tous paramètres de surveillance activés, pas d’éditeur de confiance.

Bien sûr, on aura dans ces conditions une tonne d’alertes pendant les quelques premiers jours (mais l’idée d’un logiciel de sécurité qui protège sans alerter n’est-elle pas un mythe?), pour ensuite pouvoir réellement contrôler ce qui rentre ou sort, sans en déléguer la responsabilité aux artefacts que sont sandbox, liste d’éditeurs de confiance, ou délirante règle par défaut d’aurorisation sortante.

Vous avez effectué le teste dans une machine virtuelle ?

bonsoir

est ce que l’antivirus comodo est fiable ou doije changer

je remarque que comodo est beaucoup plus leger quezone alarme extreme security 2011 hier j’ai voulu installer zone alarme et bien ecran bleu et long demarrage que avec comodo mon ordi sur seven fonctionne bien

a plus merci pour les infos

jluc

Re Jean Luc,

oui l’antivirus de Comodo a fait d’énorme progrès. Les mises à jour sont plus légères, les scans aussi.

je crois qu’il est arrivé à la hauteur de ténors comme Avast (si ce n’est meilleur) et il surpasse certains payants.

Re Symbian

oui j’ai fait mes essais dans une machine virtuelle.

CIS n’est pas pleinement fonctionnel sur les machines virtuelles a cause de certaines limitations des pilotes.
Vous pouvez si possible m’envoyer les virus qui ont pu causer des dommages pour les étudier et être plus sûre.

quand tu parles de dommage, tu parles de fichier qui apparaissent sur le disque ?
si ces fichiers ne sont pas lancé, il ne se passera rien (et de toute manière ils seront isolé).
la sandbox protège les points critiques du système.

Merci Symbian.

Je ne savais pas pour la machine virtuel, ce qui a pu tronquer mes résultats.

Il faut que je retrouves ceux qui m’ont posé des problèmes. Cela ne va pas être simple parmi plus de 200 virus.

Mais j’essaierai de te les envoyer par messagerie privée en début de semaine prochaine.

En tout cas , content de te revoir sur le forum.

Re Syl

j’ai peut être été un peut fort en parlant de dommage. J’aurai du parlé de modification de clé de registres.

Pour résumer la actions:

j’avais 2 dossiers remplie de virus. J’ai lancé un scan par l’antivirus de Comodo.

J’ai exécuté les 8 fichiers restants en mode sandboxé, puis refait un scan derrière.

J’ai redemarrez mon PC puis passé MalwareByte’s, Himan pro et Norton Poxer eraser.

Malwarebyte’s a trouvé 9 malwares et Hitman Pro 2 trojans

ça ne prouve rien, ça, la sandbox isole les fichiers, et ne les élimine pas.

J’ai en permanence plusieurs résultats antivirus positifs (par exemple Radmin, les antivirus ne veulent pas en entendre parler) et un dossier dédié renfermant tous mes virus de tests que j’isole de l’antivirus.

Le contexte n’est bien sûr pas le même, mais le fichier malveillant (ou de test) n’est pas éliminé, idem si on le laisse dans la sandbox.

ok mais en rallumant le PC, la sandbox aurait du se vider, et lors de l’analyse (après le redémarrage) MalwareByte’s n’aurait rien du trouver.

Je ne suis pas sûr de savoir comment tu as procédé: vider la sandbox ne suffit pas sauf à avoir supprimé les fichiers suspects (il y a une ambiguïté entre “enlever” et “supprimer”).

Dans la négative, les fichiers en question sont restés.

Maintenant, au risque de me répéter, je n’ai aucune confiance dans la sandbox: s’il n’y en a pas, et que tout est correctement paramétré, l’intrus est intercepté par l’antivirus, le firewall, defense+, laissant largement l’occasion de le bloquer et de le trucider (J’ai pour ma part fait des tas de tests de virus, vrais ou de tests, sans sandbox et sur mon poste “de production”, et je ne m’en porte pas plus mal, lui non plus).

Ravi de vous voir magneto et merci pour votre contribution.
Apres le redémarrage, votre analyse avec malwarebytes a trouvée quoi exactement ? des processus actifs dans la mémoire ? des cléfs de registre infectée ?

Pour MalwareBytes, je ne me souviens plus , je referai mes essais lundi.
Pour Hitman Pro, il s’agissait de clefs de registres infectées.

Ce qui signifierait, dans l’affirmative, que la sandbox n’autorise pas ces exécutables à s’exprimer mais leur permet d’écrire dans le registre?

De mieux en mieux…

La sandbox protège que les entrées critiques du registre. Il ne faut pas oublier que windows écrit lui même des clefs pour certain .exe pour la localisation sur le disque. C’est pour cette raison qu’il est préférable de mettre la main sur ces virus, faire le teste et définir s’ils arrivent vraiment a “infecter” ou non.

Nous sommes toujours d’accord: une soi-disant sandbox qui autorise une écriture quelconque autre que temporaire dans le registre ne sert à rien.

la sandbox de CIS ne virtualise pas complètement le système.
Surement pour permettre à la plupart des programmes de fonctionner correctement sans trop perdre en performance.

Si le virus n’est pas en mémoire après un redémarrage, c’est que la sandbox a fait son travail.
Tu peux passer un coup de MBAM et Hitman Pro pour nettoyer le reste. Je crois que ça sera le but du prochain CCE avec DACS.

Pour l’instant, on sait que la sandbox laisse trainer des fichiers dans des repertoires non critiques, mais ça ne veut pas dire que ton ordinateur est infecté, puisqu’il n’y a rien qui tourne en mémoire.