www.MegaLab.it

[sampei.nihira]

Su KMI c'è un utente russo che si stà divertendo a trovare un metodo per "uccidere" gli antivirus installati nei pc.
Ha inserito un Poc il 2 Ottobre 2012 cioè "Blockit.exe" che è stato efficace nella lista sottostante di antivirus:

Kis 2012,2013
Eset NOD32
DrWeb
Avast
McAfee
Avira
BitDefender (only 32bit)
NortonInternetSecurity
Fsecure
Panda
Outpost
ZoneAlarm

Oggi ovviamente quel Poc,che io ho analizzato per inserirlo in questo 3D, viene visto dalla maggioranza degli antivirus come un malware:

https://www.virustotal.com/file/9be615f ... 351414354/

Più recentemente ha inserito un nuovo topic che mette in evidenza un nuovo Poc:

http://www.kernelmode.info/forum/viewto ... =11&t=1926

si noti la lista degli antivirus vulnerabili:

Kaspersky
Eset
Avast
McAfee
AVG
ZoneAlarm

e di quelli non vulnerabili trà quelli che lui ha testato:

panda 2013
DrWeb

Nel link sopra c'è la possibilità di visionare un video con il Poc in azione.

*** Morale della favola ***

Ancora una volta ci viene rammentato che non è consigliabile affidare la protezione del nostro sistema ad un unico prodotto,cioè l'antivirus.
Ma occorre diversificare la nostra configurazione di sicurezza a più strati e livelli per garantirne la massima efficacia possibile.

[farbix89]

Sbaglio sampei o non vedo COMODO?

[sondlive07]

per panda intende la suite oppure ha preso di mira anche il pandino cloud ?

[sampei.nihira]

Mica l'ha provato quel.....Oddio mi vien da starnutire....et..et...et-CIS !!
Magari era vulnerabile.
Si noti però che Comodo ha aggiunto le firme al file exe di Poc......
Ed ancora l'ennesima conferma data dal primo Poc che un OS a 64 bit sia meglio rispetto al 32 bit in tema sicurezza.

[devicepenguin]

..et...et-CIS !!

Si noti però che Comodo ha aggiunto le firme al file exe di Poc......

.. e vi pare poco?

[sampei.nihira]

..et...et-CIS !!

Si noti però che Comodo ha aggiunto le firme al file exe di Poc......

.. e vi pare poco?

Si ma al momento che il Poc è nato mica ce l'aveva.
Ti faccio un esempio io ti spedisco un e-mail il 2 ottobre con un bel exe mascherato da PDF.
Nell'email dico che in quel pdf c'è una sorpresa.
Insomma le solite mosse di ingegneria sociale
Tu lo fai analizzare on line ed il risultato è nullo o al massimo c'è 1 rilevamento.
E quindi concludi che sia un falso positivo.
Lo apri e.......

[sampei.nihira]

per panda intende la suite oppure ha preso di mira anche il pandino cloud ?

Non sono un esperto dei processi di Panda.
Verifica tu nelle voci di registro:

http://anubis.iseclab.org/?action=resul ... format=txt

[devicepenguin]

Si ma al momento che il Poc è nato mica ce l'aveva.

E' 'normale' . Esce sempre prima il virus e poi il 'vaccino' (anche se un modulo comportamentale non dovrebbe/deve appoggiarsi su alcuna firma

[farbix89]

Esiste anche la mascherina o il "preservativo" prima del vaccino.

E si chiama HIPS.

Infatti sul forum di COMODO c'è una prova col POC mostrato qui ed esso viene fermato senza firme attive.

Quindi è finora l'unico AV a non farsi uccidere,proprio grazie all'HIPS,è COMODO.

anzi gli impedisce di uccidere eventuali AV affiancati a COMODO.

In una configurazione multistrato l'HIPS è la torretta di guardia più importante, il resto viene dopo.

[hashcat]

Sarei curioso di sapere come si comporta Online Armor in questo caso.

[hashcat]

@farbix Non sono riuscito a trovare la discussione relativa al POC nel forum di Comodo, potresti postare il link?