Добрый день!
CIS пропустил зловреда, находясь в игровом режиме и выключенной песочницей (забыл вернуть после тестов). На одном из сайтов сработал редирект, запустилась машина Java и произошёл запуск блокиратора (CIS ничего не заблокировал, поэтому пришлось откатываться, т.к. заблокировался Windows по всем правилам: отправьте СМС, введите код и пр.).
Сам файл вируса я нашёл в Temp, он встречался мне и раньше, но никогда не запускался без моего разрешения (т.е. ни разу). Включив Sandbox, я стал настраивать защиту. Файл запускается в песочнице, CIS предупреждает о хуке и я его запрещаю, но окно с блокировкой всё равно запускается, всё равно это окно всегда активное, и мышка не выходит за его пределы. Помечать все неопознанные приложения как заблокированные я не хочу.
Поэтому, вопрос такой: каким образом должен быть настроен CIS, чтобы подобные файлы либо не запускались, либо не переключали на себя фокус и мышь?
P.S. Вирусный файл у меня сохранён, могу выложить.
CIS пропустил зловреда, находясь в игровом режиме и выключенной песочницей (забыл вернуть после тестов)
Это не CIS, это Вы пропустили зловреда... Дело в том, что в [b]Игровом режиме[/b] все программы запускаются так как им нужно при запуске, т.е. получают "зеленый свет" на все свои действия(так сделано, чтобы не было при игре назойливых алертов). Игровой режим аналогичен режиму "Обучение", вот CIS и выполнил все прихоти вируса для внедрения в систему.
Вообще Игровой режим не советую запускать, т.к. и без этого многие игры идут без алертов, а вот опасность во время игры дать волю какому-нибудь вирусу, вполне очевидна.
Как по мне, так Игровой режим вообще не нужен в CIS, это скорее дань моде, взятая из других антивирусных продуктов, стараясь сделать работу своих антивирусных комбайнов комфортной и незаметной. Но вот к чему это может привести Вы убедились.
Вирусный файл у меня сохранён, могу выложить
Отправьте файл с вирусом в Comodo для анализа - http://camas.Comodo.com/ и http://internetsecurity.Comodo.com/submit.php , если его нет в базе, то добавят.
Если режим игровой = режиму обучения, зачем он тогда вообще нужен. Как я понял из описания, игровой режим отличается от обычного тем, что не выдаются сообщения, на которые должен ответить пользователь, при этом все вторжения в систему блокируются… Было бы правильным в игровом режиме блокировать запросы неизвестных программ, а не пропускать зловредов.
Да, я тоже так считал. Но суть-то не в том, что из-за игрового режима что-то прошло. Суть в том, что даже при включенной защите происходит запуск программы, перехват фокуса и мыши, и хочется этого избежать в дальнейшем.
(Файл с вирусом загрузил).
Кстати, SerB, Ваша цитата из соседней ветки:
Смысл "Игрового режима" в чём, - не отвлекать вас и не нарушать ход игры: [...]
Вы спросите, а как же он защищает без алертов D+ и фаера? Так они же блокируют всё, если не отвечать на алерт в течении 120 сек.(по-умолчанию).
Так что, по идее, вирус не должен был запуститься даже в игровом режиме.
Ещё раз повторюсь, - с Игровым режимом вирусы не тестировал, поэтому его “косяки” не знаю. Пару раз попробовал, вижу, что его работа сводится к аналогичному режиму “Обучение”, больше экспериментировать не стал. В описании Игрового режима из Хелпа очень скудно и противоречиво описана его работа:
[i]Игровой режим:
- [b]Defense + / Firewall оповещения подавлены, как будто они находятся в режиме обучения[/b];
- Обновления антивирусных баз данных и сканирования по расписанию отложены до выключения Игрового режима
- [b]Автоматическая изоляция неизвестных приложений и сканирование в реальном времени на обнаружение вирусов по-прежнему функционирует.[/b]
Отключите Игровой режим для возобновления оповещения и запланированнных сканирований.[/i]
Теоретически, что получается(кроме того, что не выскакивают алерты):
если зловред известен Comodo и он находится в чистом виде в небольшом файле, то по идее он должен быть обнаружен и изолирован либо антивирусом(при проставленной галочке “автоматически… в карантин”), либо D+ (в Песочницу и Неопознанные, при соответствующих настройках), с жестким запретом на инфицирование системы.
если зловред замаскирован в файле большого размера, например в какую-нибудь игру, что получается, - игра устанавливается, алерты отключены, D+ и фаервол работают в режиме “Обучения”, т.е. обучаются на модификацию файлов, доступ к клавиатуре программам-шпионам и т.д. Абсурд, не правда ли?
В общем нужно экспериментировать и экспериментировать с этим режимом. Для этого форум и создан, чтобы те кто пользовался Игровым режимом отписались, как он работает на практике.
По поводу файлов большого размера: по умолчанию COMODO не проверяет файлы размером больше 20 МБ. Возможно это было причиной пропуска вируса, а не Игровой режим.
Да нет, 457 Кб весит. Видно, правда антивирус в игровом режиме обучился разрешать вирусу шалить :). Но я им всё равно не пользуюсь, включил раз для теста и забыл выключить.
Хочу снова акцентировать внимание на основной вопрос: как не допустить перехвата мыши зловредом, попавшим в песочницу и которому не удалось установить хук?
Зловреда могу выложить, но это обычный блокер Windows. Сегодня он наконец-то стал обнаруживаться CIS как Heur.Suspicious.
Хочу снова акцентировать внимание на основной вопрос: как не допустить перехвата мыши зловредом, попавшим в песочницу и которому не удалось установить хук?
Что, даже с отключенным Игровым режимом пропускает?
Какие настройки Проактивной защиты(выложите скринами, если не трудно)
Пропускает.
Окно вируса сделано, судя по всему, на флеше. Мышка не может выйти за пределы этого окна. При переключении на другое окно, вирус всё равно остаётся поверх всех окон (но его можно завершить через диспетчер, если CIS включен; если нет - то всё, как с блокираторами Windows - не удалить, не завершить, не переключиться).
Окно с запуском в Sandbox тоже вылезло, не скриншотил.
(Снимок6, предпоследний файл, появляется только когда хук запрещён).
Посмотрите файл с вирусом, он случайно не имеет ложной цифровой подписи? (как на скрине ниже)
(наводите курсор на файл с вирусом > правая кнопка мыши > Свойства > Цифровые подписи)
Я бы Вам советовал убрать галочку с Настройки Проактивной защиты > Общие настройки > Создавать правила для безопасных приложений
Интересно, а без Песочницы тоже вирус проходит, когда блокируете хук?
У меня вкладки такой у exe нет, видно, потому что проверка ЦП в системе отключена.
“Создавать правила для безопасных приложений” я включил уже после заражения, так что причина не в созданном автоматом правиле.
Без Sandbox запустится, разумеется. Но пропишется в автозапуск, ещё что-нибудь проделает, в общем, проверять не хочется.
Я боюсь, что если этот файл имеет поддельную цифровую подпись какого-либо доверенного поставщика, зарегистрированном в Комодо, то он его сразу пропустил. Встречаются такие “подписанные” зловреды.
Если нет, то это явный пропуск зловреда(Trojan.WinLock) со стороны CIS. Файл отправили на проверку, надеюсь там его проанализируют и разберутся. Но не пойму, как его HIPS пропустил, если Вы его в блок… странно :o Кажется с этой заразой CIS должен справляться.
На всякий случай линки для разблокировки: вот, вот и вот
Тут вот какой момент с этим блокировщиком. После перезагрузки он запускается или нет? Уже стали попадаться такие, которые просто показывают окно, но в автозапуск не прописываются. Причем они просто разворачивают окно на весь экран и по таймеру загоняют его на самый верх, ограничить район движения мышки тоже не сложно. И то, и другое очень трудно считать зловредными действиями самими по себе и реагировать на них автоматом. Nostradamus, если сэмпл остался, бросьте в личку, если не трудно. “Игровым режимом” (именно в кавычках) пользуйтесь с особой осторожностью, он ещё очень сырой, лучше не пользуйтесь вообще.
ntoskrnl, без CIS зловред вполне себе запускается, прописывается в автозапуск и полностью блокирует работу с системой после перезагрузки (вероятно, в т.ч. и безопасный режим, я не стал искать следы, а сразу откатился). с CIS только перехват мыши.
Сэмпл в личку не кинуть, могу выложить здесь или сбросить по почте, если, конечно, почтовый сервер не порежет как спам. SerB, так файл уже стал обнаруживаться Comodo как опасный, проанализировали уже, значит?
Ну, собственно, теперь зловреда не запустить, если в антивирусе не добавить в исключения, что уже хорошо. Но предположу, что таких зловредов разных модификаций миллион (дряни с такой же самой иконкой и похожими названиями у меня запускались в песочнице через ту же яву и месяц назад, правда, они никак себя не проявляли, как в этот раз), поэтому на одном антивирусе каши не сварить, от перехвата мыши хочется защититься.
Я так и подумал, что запрещено выкладывать, не стану.
Да, получил, спасибо. Просто ещё не ковырял основательно, но на первый взгляд всё, как и должно быть, попытки заражения CIS легко пресекает, а вот выделить какой-то критерий именно злонамеренности “перехвата”, как Вы говорите мыши, вряд ли получится. Но вообще, она легко убивается из процесс эксплорера с клавиатуры.
Не очень легко, кода стоит сортировка процессов по загрузке ЦП, долго ловить приходится :).
А разве CIS не должен спросить пользователя, разрешать ли перехват мыши? Почему об одном хуке есть запрос, а о другом нет?
