Új hozzászólás Aktív témák

• #43281 mrszitya senior tag

  Új Válasz 2016-09-21 21:04:23 #43281

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  mrszitya

  senior tag

  Csak a félreértések elkerülése végett, a Comodo (CIS/CAV) "természetesen" nem engedi a gépen lévő fájlokat titkosítani alapbeállítások mellett (sem) - a napokban közzétett Ammyy-s (Cerber ransomware) vírusnak (sem).

  Vírusirtó modulja továbbra is néma futtatás során, de az autosandbox megoldja a problémát, mint már megannyiszor kitárgyaltuk.

  Alapbeállítások mellett (tehát a hips ilyenkor nem aktív) a következő üzenetek jönnek fel a Comodo-tól a konkrét esetben:

  1. AA_v3.5.exe (Ammyy) futtatás

  2. Comodo Sandbox: AA_v3.5.exe nem beazonosítható és hozzáférést szeretne a géphez
  => Elszigetelt futtatás (ez jelenti a sandboxban való futtatást)
  => Korlátlan futtatás (ez jelenti a normál módon való indítását a fájlnak)
  => Tilt (kilép/bezárja az állományunkat)

  3. Rendszergazdai jogok kérése esetén még egyszer a 2. lépés

  4. Comodo Sandbox: Alkalmazás elszigetelve
  (A vírus által a háttérben elindított folyamat - mely a titkosítást végzi, csak a sandboxban tud dolgozni...)

  

  Eredmény: a cerber így csak a Comodo sandboxban megtalálható pár virtuális .txt és képállományt tudta letitkosítani, a valódi példányok sértetlenek.

  Megjegyzések:

  - A hips bekapcsolását - a magam részéről továbbra sem tartom jó ötletnek a Comodo-nál, csak paranoia és/vagy kellő hozzáértés esetén. Akkor viszont a védett mappák opció alkalmazásával rendesen bebiztosíthatjuk magunkat.

  (Alapbeállításra a beállítások / konfiguráció részében tudunk visszaállni (CAV esetében "Internet Security" a default mód)).

  - A Comodo AV része sosem brillírozott adatbázis felismerésben, de az ismeretlen állományok esetében alkalmazott elszigetelt futtatás lehetősége miatt a kártevők nem tudnak kárt tenni a gépben.
  Rendszeres kivétel ugyebár, ha az adott fájlunk nem futna normálisan a virtuális környezetben, emberünk viszont a gyanú ellenére mindenáron futtatni kívánja. Ilyenkor szépen a korlátlan futtatásra bök második nekifutásra, avagy keresi a kikapcsolás/kizárás lehetőségét a beállításokban, ahelyett hogy kicsit nyomozna a konkrét fájl esetében.
  (Másik örök probléma forrás a bekapcsolt hips, ezt a mai napig sem sikerült jól megcsinálniuk. Kompatibilitási hibák és rossz döntések a futtatásnál, a következmény).

  - Sandbox-ból kitörő vírusra nagyon-nagyon kevés a példa. A Comodo, Sandboxie, vagy Quihoo sandboxot egyetlen általam tesztelt ransomware vírus sem tudta átverni. Utóbbi egy esetben mindössze a háttérképet engedte lecserélni a malwarenek.
  Ha a virtuális környezetet észlelik, akkor jellemzően inkább nem fedik fel magukat a kártevők vagy hibaüzenettel leállnak (virtualbox tesztek esetében ez gyakori).

  - Az új CCAV (Comodo Cloud Antivirus) már kicsit másképp működik alapból - mint az "anya változat", itt sosem dob fel riasztási ablakot a rendszer hogy szeretnénk-e elszigetelt futtatást, hanem egyből abban fut az ismeretlen állomány. Ez a legjobb megoldás talán a kevésbé tapasztalt (azaz a legtöbb) felhasználónak, de egyelőre nagyon béta jellegű még.

  [ Szerkesztve ]

Új hozzászólás Aktív témák