www.MegaLab.it

[hashcat]

Controllando sul forum Comodo ho trovato questo:

I did some more tests.
GPCode:


Defense + : FAIL

Sandbox:

partially limited : FAIL
limited : FAIL
restricted : PASS
untrusted : PASS

(L'indirizzo della discussione è questo)

[sampei.nihira]

Lasciate perdere le "soluzioni" di Egemen........ che è meglio !!

[hashcat]

Per risolvere temporaneamente il problema (utenti Comodo) ci sono due soluzioni:

• Inserire nelle impostazioni del Defense+ nella sezione file bloccati la seguente stringa
  
  

  Codice: Seleziona tutto

  *_CRYPT

  
  Video esplicativo fix_1:
  
  

I file non saranno codificati dal gpcode perché non sarà possibile scrivere file che abbiano come estensione _CRYPT (quella utilizzata dal gpcode)
_________________________________________________________________________________________________________________________________

Secondo metodo:

Inserire nelle impostazioni del Defense+ nella sezione File e Cartelle Protette la seguente stringa:

Codice: Seleziona tutto

\Device\KsecDD

Video esplicativo fix_2:



Questo fix (come il precedente) è stato scoperto e testato da Ronny su sei differenti varianti del gpcode e permetterebbe di bloccare le infezioni.

[farbix89]

Un'ottima segnalazione hashcat


Resta comunque il fatto che per la prima volta sia D+ che Sandbox falliscono in maniera così "tragica"...2 spicchi importanti della protezione a strati (forse gli unici più efficaci).

A questo punto urge chiarimento,devo scoprire cosa non è andato (qualche bug di sicuro è coinvolto,non vorrei che ...... )

[hashcat]

Anche avere accesso diretto al campione non sarebbe male.

Se qualcuno è in possesso o avrà questo campione è pregato di inserire un link per scaricarlo in questa discussione o inserirlo nel MegaVirusLab

[nix87]

Per risolvere temporaneamente il problema (utenti Comodo) ci sono due soluzioni:

[list]
[*]Inserire nelle impostazioni del Defense+ nella sezione file bloccati la seguente stringa

Codice: Seleziona tutto

*_CRYPT

I file non saranno codificati dal gpcode perché non sarà possibile scrivere file che abbiano come estensione _CRYPT (quella utilizzata dal gpcode)
_________________________________________________________________________________________________________________________________

Secondo metodo:

Inserire nelle impostazioni del Defense+ nella sezione File e Cartelle Protette la seguente stringa:

Codice: Seleziona tutto

\Device\KsecDD

Questo fix (come il precedente) è stato scoperto e testato da Ronny su sei differenti varianti del gpcode e permetterebbe di bloccare le infezioni.

Non ho capito bene cosa fa effettivamente il fix proposto nel secondo metodo.

Inoltre sarebbe opportuno o no adottare tutti e due i fix per una maggiore sicurezza dai gpcode ?

Grazie per eventuali risposte.

[hashcat]

Non ho capito bene cosa fa effettivamente il fix proposto nel secondo metodo.

Inoltre sarebbe opportuno o no adottare tutti e due i fix per una maggiore sicurezza dai gpcode ?

Grazie per eventuali risposte.

Il secondo metodo potrebbe provocare (potenzialmente) problemi con alcune applicazioni. Per bloccare gpcode finché cifrerà i file ed userà l'estensione _CRYPT con il primo metodo dovresti essere protetto da tutte le varianti di gpcode.

[eugenio19911]

Anche avere accesso diretto al campione non sarebbe male.

Se qualcuno è in possesso o avrà questo campione è pregato di inserire un link per scaricarlo in questa discussione o inserirlo nel MegaVirusLab

eccolo: topic71546.html
Pronto per i test

[hashcat]

Non ho capito bene cosa fa effettivamente il fix proposto nel secondo metodo.

Inoltre sarebbe opportuno o no adottare tutti e due i fix per una maggiore sicurezza dai gpcode ?

Grazie per eventuali risposte.

Errata corrige:

Da alcuni test che ho condotto, ho scoperto che solo il secondo metodo protegge dalle varie varianti del gpcode. Il primo fix vale solo per la specifica variante nominata nella discussione sul forum di Comodo.

Come avevo specificato prima non so che impatti possa avere il secondo fix sull'utilizzo del computer e dei programmi. Sulla macchina virtuale non ho riscontrato particolari problemi utilizzando questo fix.

[sampei.nihira]

Volevo evidenziare una fonte certa:

http://www.hwupgrade.it/forum/showpost. ... count=1360

l'autore (Cloutz = Kronos) dei rimedi in data di ieri di CIS, ha inserito noterete la data di marzo ,cioè ben 1 mese fà la sua soluzione.
Ieri apparsa anche su MLI.


Onore al merito.

[hashcat]

Volevo evidenziare una fonte certa:

http://www.hwupgrade.it/forum/showpost. ... count=1360

l'autore (Cloutz = Kronos) dei rimedi in data di ieri di CIS, ha inserito noterete la data di marzo ,cioè ben 1 mese fà la sua soluzione.
Ieri apparsa anche su MLI.


Onore al merito.

Il merito non è suo ma di Ronny:

http://forums.comodo.com/leak-testingattacksvulnerability-research/weakness-of-the-gpcode-t65960.0.html;msg491814#msg491814

e

http://forums.comodo.com/leak-testingattacksvulnerability-research/weakness-of-the-gpcode-t65960.0.html;msg492142#msg492142

Data1: February 11, 2011, 06:40:17 PM
Data2:February 12, 2011, 06:06:43 PM

[Rumez]

@sampei.nihira
hashcat mi pare non si sia preso alcun merito anzi! ha reperito un'informazione, l'ha rielaborata con tanto di screenshot e l'ha condivisa con la comunità. Nessuno sta cercando di farsi bello con il lavoro degli altri.

[sampei.nihira]

Grazie di aver citato altre fonti.
E' sempre doversoso citare le fonti.

Quindi per il moderatore faccio notare che non ho sostenuto/scritto/criticato nessuno.

Se non la regola implicita di citare le fonti ove reperite.
Grazie.

Rimango a disposizione per ulteriori chiarimenti se richiesti.

[crazy.cat]

Anche avere accesso diretto al campione non sarebbe male.

Se qualcuno è in possesso o avrà questo campione è pregato di inserire un link per scaricarlo in questa discussione o inserirlo nel MegaVirusLab

Ho appena aggiunto una variante Trojan-Ransom.Win32.PornoBlocker.aabb appena scaricata da un exploit.

[sampei.nihira]

Alla fine della fiera........... mica diventerà a pagamento ?

Io inizierei (da subito) a cercare un 'altro prodotto !!!

[eugenio19911]

Alla fine della fiera........... mica diventerà a pagamento ?

Io inizierei (da subito) a cercare un 'altro prodotto !!!

Non ho nessun problema a cambiare antivirus (naturalmente rimarrò fra i free) prima di allarmarsi troppo meglio avere conferme ufficiali.
Nel caso dovesse risultare vero sicuramente la promozione per un anno gratuita da poco rilasciata è una buona strategia .
Comunque se per risolvere problemi troppo avanzati come alcuni tipi rootkit ci può anche stare (bisogno del supporto tecnico) altrimenti se la situazione diventa rilevazione e non rimozione si risolve subito: ombrellino rosso o palla arancione in arrivo...
Spero però che sia un falso allarme ...
Comunque la decisione di incorminciare a cercare un "sistema di difesa alternativo" non fa male

[eugenio19911]

non sono ancora arrivate né smentite né conferme da parte di Melih (CEO di Comodo).
Chi tace acconsente questo sarebbe un topic in cui una rettifica (se fosse così sarebbe doverosa nei confronti degli utenti), a questo punto il suggerimento di sampei sarebbe da prendere in alta considerazione.
Che questo sia solo un ricordo...

[eugenio19911]

falso allarme
Comodo Forum

[farbix89]

Meno male

Il grande Melih non poteva farci questo,dopo aver sfornato un prodotto in grado di far la pelliccia alle suite a pagamento

Ditemi quello che volete,ma in un modo o nell'altro,resta la migliore suite gratuita disponibile sul mercato.

[sampei.nihira]

Se non sbaglio (ma non sbaglio) mi sembra di aver letto (in modo sfuggevole visto che leggere del sw in questione mi fà lacrimare gli occhi ) di un'altro bypass di CIS 5 configurato a default.
Coloro che usano tale sw dovrebbero informarsi sul forum dedicato.

E nel caso riportare qualche info in più merito per gli utenti interessati.