COMODO Internet Security

[nV 25]

Anzitutto GRAZIE! @ Sirio per la sua preziosa condivisione di informazioni:
non mi ero infatti mai messo a scartabellare sul forum ufficiale a proposito delle modalità di funzionamento dell'installing mode di D+...


ProSecurity, allora, per MrBrain che vorrebbe essere informato sui tentativi di device driver installation e accessi vari alla memoria fisica (+Kernel) quando installa un software, sarebbe stato sicuramente più consono al suo scopo invece che usare D+ con mezze funzionalità disattivate....

Come caso di scuola, cmq, la politica di MrBrain la trovo interessante....


PS x Sirio:
pur alla luce di un test particolare come quello interessante che hai condotto, rilevo che abbiamo cmq un uso diverso dell'installing mode:
io, infatti, non mi sono mai trovato a dover mettere D+ in questa modalità prima di eseguire il set up ma ammettendo sempre l'esecuzione del setup da parte di explorer.exe per gestire poi il child process con la modalità di cui sopra....

[cloutz]

tra l'altro non avevo mai fatto caso a quanto dice l'Help File:

Quote:

Installer applications and updaters may need to execute other processes in order to run effectively. These are called 'Child Processes'. In 'Paranoid', Train with Safe' and 'Clean PC modes', Defense+ would raise an alert every time these child processes attempted to execute because they have no access rights. Whilst in one of these 3 modes, Comodo Internet Security will make it easy to install new applications that you trust by offering you the opportunity to temporarily engage 'Installation Mode' - which will temporarily bestow these child processes with the same access rights as the parent process - so allowing the installation to proceed without the usual alerts.

Non avevo mai notato che al child process, durante l'Installation Mode, venissero dati i diritti del parent process..E' sempre rimasto, per me, un qualcosa di "misterioso" l'assegnazione dei privilegi di questa modalità, non ho mai approfondito..

adesso è un tassello in più per capire meglio CIS

p.s.: anche io solitamente attivo l'Installation mode da popup..in questo modo è chiaro quale sia il Parent e quale il Child process...ma se attivo a monte l'Installation Mode lui cosa fa? da chi prende i diritti del parent? Come fa a capire a quale applicatione voglio dare i diritti di Installing? controlla solo il My Proteced Files/Registry Keys?

[arnyreny]

sono l'unico ad avere problemi con il defence con firefox settato in modalita'ì ask,che non ricorda l'azione per cscui.dll?

[arnyreny]

ho risolto in modo drastico block hai file protetti

[GT82]

Quote:

Originariamente inviato da Xaolao

Volevo descrivervi (non so se può interessare) un piccolo inconveniente che ho riscontrato nell'utilizzo di questo firewall (ma la cosa è analoga per esempio anche con OA) in abbinata con un qualsiasi antivirus che monitori le connessioni (ad es. KAV 2009 o Avira Antivir Premium).
Quando uno imposta il firewall solitamente acconsente alle richieste di accesso alla rete fatte dall'antivirus (almeno io facevo così) ma così si presenta una "piccolissima" falla nella sicurezza; il problema è che se questo monitora la rete agisce come una sorta di proxy e impedisce al firewall di capire la reale applicazione che ha richiesto accesso alla rete stessa.

Faccio un esempio: se io voglio navigare con firefox e ho installato Avira Premium, mi comparirà al primo sito un avviso del firewall che mi dice che Avira vuole accedere alla rete, per es. sulla porta 80; normalmente si da libero accesso all'antivirus (e se non ti fidi di quello...) ma a quel punto qualunque applicazione vorrà accedere alla rete sulla porta 80 sarà libera di farlo. Controesempio: se a questo punto imposto firefox all'interno di Comodo come applicazione bloccata, questa accederà comunque alla rete, proprio perché Comodo "vede" che è Antivir che vuole connettersi, non firefox. E vi accederà anche qualunque altra applicazione passante sulla porta 80 (metteci poi le altre porte dei browser e quelle per il monitoraggio delle mail e siamo a posto...


Ma a questo punto avere un firewall diventa totalmente inutile , come mi era stato confermato anche nel thread di Online Armor.


Morale della fiaba: secondo me andrebbe consigliato agli utenti di installare Comodo disabilitando il monitoraggio delle connessioni da parte degli antivirus (ad es. non installando il Webguard e il Mailguard di Avira Premium) o comunque ricercata una soluzione alternativa
Sono graditi i vostri pareri

Scusate, uso Avira Free-Personal ma non trovo alcun setting per disattivare questo WebGuard, non è che la versione Free non ce l'ha proprio??
quindi il problema sopra del controllo sulla porta 80 non si pone con la versione Free?
Comodo FW ha il completo monitoraggio del traffico su quella porta?

grazie

[cloutz]

Quote:

Originariamente inviato da GT82

Scusate, uso Avira Free-Personal ma non trovo alcun setting per disattivare questo WebGuard, non è che la versione Free non ce l'ha proprio??
quindi il problema sopra del controllo sulla porta 80 non si pone con la versione Free?
Comodo FW ha il completo monitoraggio del traffico su quella porta?

grazie

il WebGuard e il MailGuard sono solo nella Premium, a pagamento, quindi non hai alcun problema e Comodo monitora perfettamente il traffico sulla porta 80

[VashTheStampede83]

Una domanda sulla lista "My Pending File". Ho notato che questa si riempie di file di cui però non mi è stato notificato nulla tramite pop-up, in qualunque modalita del D+. Inoltre ho visto che in questa lista non ci sono solo eseguibili ma anche ad esempio .dll; la valutazione di questi file è più difficile in quanto in nomi non sono sempre molto espliciti. Qual'è il modo migliore per decidere se aggiungerli ai safe file o cancellarli dalla lista? Il fatto di lasciarli nella lista quali conseguenze ha?

[cloutz]

Quote:

Originariamente inviato da VashTheStampede83

Una domanda sulla lista "My Pending File". Ho notato che questa si riempie di file di cui però non mi è stato notificato nulla tramite pop-up, in qualunque modalita del D+. Inoltre ho visto che in questa lista non ci sono solo eseguibili ma anche ad esempio .dll; la valutazione di questi file è più difficile in quanto in nomi non sono sempre molto espliciti. Qual'è il modo migliore per decidere se aggiungerli ai safe file o cancellarli dalla lista? Il fatto di lasciarli nella lista quali conseguenze ha?

Siceramente con le precedenti versioni mi capitava di trovarmi dei pending files (fino anche una ventina alla volta), ma adesso no, pur essendo in Paranoid Mode

Teoricamente, da quando installi Comodo, il D+ monitora tutti i file che entrano nel sistema, li controlla con la Safe-List nei suoi database, e se non li conosce te li mette in My Pending Files. Idem se un file già presente nel sistema viene modificato.

Le azioni che trovo più logiche da fare, correggetemi se sbaglio, sono nell'ordine:
1. Purge: elimina i file temporanei e file ormai inutili.
2. Lookup*1: controlla che Comodo non abbia i suddetti file nei suoi database
3. Submit*2: se Comodo non li riconosce glieli mandiamo, in modo che possano studiarli (ed eventualmente aggiungerli al DB)
4. Remove: dopo averli posti all'attenzione di Comodo, io li cancellerei...al massimo si ripresenteranno, ma in tal caso Comodo saprà già cosa fare (così non andiamo a impelagarci in My Own Safe/Blocked Files)

*1: di default l'azione è automatica. Controlla in Miscellaneous>Settings>Update di avere la spunta alla 2^opzione
*2: di default l'azione è automatica. Controlla in Miscellaneous>Settings>Update di avere la spunta alla 3^ opzione

In sostanza, teoricamente, il lookup e il submit lo fa da solo in automatico, alla bisogna...controlla di avere quelle due spunte..

Per ulteriori risposte aspetta i big del 3d

[Roby_P]

Quote:

Originariamente inviato da VashTheStampede83

Una domanda sulla lista "My Pending File". Ho notato che questa si riempie di file di cui però non mi è stato notificato nulla tramite pop-up, in qualunque modalita del D+. Inoltre ho visto che in questa lista non ci sono solo eseguibili ma anche ad esempio .dll; la valutazione di questi file è più difficile in quanto in nomi non sono sempre molto espliciti. Qual'è il modo migliore per decidere se aggiungerli ai safe file o cancellarli dalla lista? Il fatto di lasciarli nella lista quali conseguenze ha?

Ciao VashTheStampede83,
ma sei in Clean PC Mode?
Io sapevo che My Pending File funziona solo in questa modalità?!?
E COMODO mette lì tutti i file che tu non hai autorizzato rispondendo ai pop up (quindi praticamente tutto ).
Tenere My Pending File pieno di roba provoca rallentamenti al pc! Meglio se lo tieni pulito
Regolati magari con il nome dei file, il percorso e la compagnia

Ciao ciao

[@Sirio@]

Quote:

Originariamente inviato da nV 25

...


PS x Sirio:
pur alla luce di un test particolare come quello interessante che hai condotto, rilevo che abbiamo cmq un uso diverso dell'installing mode:
io, infatti, non mi sono mai trovato a dover mettere D+ in questa modalità prima di eseguire il set up ma ammettendo sempre l'esecuzione del setup da parte di explorer.exe per gestire poi il child process con la modalità di cui sopra....

Di solito anch'io passo all'install mode tramite la richiesta (come scritto in prima pag.), mi è capitato raramente di farlo prima però questa volta ho voluto switchare dall'inizio per vedere se cambiava qualcosa: il comportamento di explorer.exe. La sostanza non cambia = è la stessa cosa.

Quote:

Originariamente inviato da cloutz

tra l'altro non avevo mai fatto caso a quanto dice l'Help File:


Non avevo mai notato che al child process, durante l'Installation Mode, venissero dati i diritti del parent process..E' sempre rimasto, per me, un qualcosa di "misterioso" l'assegnazione dei privilegi di questa modalità, non ho mai approfondito..

adesso è un tassello in più per capire meglio CIS

p.s.: anche io solitamente attivo l'Installation mode da popup..in questo modo è chiaro quale sia il Parent e quale il Child process...ma se attivo a monte l'Installation Mode lui cosa fa? da chi prende i diritti del parent? Come fa a capire a quale applicatione voglio dare i diritti di Installing?

Da quello che ho potuto vedere CIS riesce a riconoscere l'applicazione a cui dare i diritti di installing (non ho la più pallida idea di come fa) sia in un modo che nell'altro.

Quote:

controlla solo il My Proteced Files/Registry Keys?

Questi li controlla sempre, in ogni caso.

[@Sirio@]

Quote:

Originariamente inviato da Roby_P

Ciao VashTheStampede83,
ma sei in Clean PC Mode?
Io sapevo che My Pending File funziona solo in questa modalità?!?

...

Esattamente, devo scriverlo in prima pag.

@ cloutz

L'ordine delle azioni da eseguire è corretto, però per quanto riguarda il lookup e il submit non avvengono automaticamente nel MPF, bisogna farlo manualmente.

[cloutz]

Grazie mille Sirio

metto alla vostra attenzione, nel caso non lo fosse già , questo 3d, in cui si parla di implementare un behaviour blocker in CIS 4.0

personalmente non sono a favore di ciò, ho già espresso la mia idea in quel 3d...sarebbe sì più user-friendly, ma perderebbe troppo, si perderebbe il controllo profondo che si ha con il D+ di adesso, e ciò sarebbe un peccato...

forse stanno spingendosi un pò troppo oltre, hanno in progetto di aggiungere una marea di features nella versione 4.0, a mio dire a discapito dell'ottimo D+

[andrea.ippo]

Ricordate il mio problema di qualche giorno fa sull'alert del D+ in concomitanza con una rilevazione di Avira?

Oggi, ahimé, è risuccesso.
E stavolta ho la certezza che sono fregato

Ecco quà la sorpresa

https://www.virustotal.com/it/analis...1b7a19ca078a88


PS: come cacchio è possibile che tutte a me capitano...
PPS: mi succede sempre e solo all'UNI, a casa mai. Com'è sta cosa?

[nV 25]

Quote:

Originariamente inviato da andrea.ippo

Ricordate il mio problema di qualche giorno fa sull'alert del D+ in concomitanza con una rilevazione di Avira?

Oggi, ahimé, è risuccesso.
E stavolta ho la certezza che sono fregato

Ecco quà la sorpresa

https://www.virustotal.com/it/analis...1b7a19ca078a88


PS: come cacchio è possibile che tutte a me capitano...
PPS: mi succede sempre e solo all'UNI, a casa mai. Com'è sta cosa?

E' il Conflicker, sei felice?


PS: ma hai inserito qualche chiavetta USB? Hai prestato/fatto usare il Pc ad altri?
Come ricorderai, sono sempre interessato a sapere cosa uno possa aver fatto per infettarsi pur avendo un Hips...






PS 2: Se avrai la bontà di rispondermi, ti prometto di non far morali......

[cloutz]

Quote:

Originariamente inviato da andrea.ippo

Ricordate il mio problema di qualche giorno fa sull'alert del D+ in concomitanza con una rilevazione di Avira?

Oggi, ahimé, è risuccesso.
E stavolta ho la certezza che sono fregato

Ecco quà la sorpresa

https://www.virustotal.com/it/analis...1b7a19ca078a88


PS: come cacchio è possibile che tutte a me capitano...
PPS: mi succede sempre e solo all'UNI, a casa mai. Com'è sta cosa?

puoi uppare il sample e passarmelo via pm?
consiglio di passarlo anche a erreale

Grazie

[andrea.ippo]

Quote:

Originariamente inviato da nV 25

E' il Conflicker, sei felice?


PS: ma hai inserito qualche chiavetta USB? Hai prestato/fatto usare il Pc ad altri?
Come ricorderai, sono sempre interessato a sapere cosa uno possa aver fatto per infettarsi pur avendo un Hips...

Una chiavetta un paio di giorni fa...
Però lo strano è che questo messaggio era comparso, se ricordi, almeno una settimana fa (vado a memoria), quindi l'infezione era già presente...E allora non avevo attaccato ancora niente, salvo la mia pendrive che ho ripulito accuratamente con ubuntu, verso i primi di gennaio, quando presi l'infezione per la prima volta (nell'altro post dissi di essere stato una delle prime vittime della prima ondata di conficker).

Penso che questa sia una seconda ondata, perché la variante della prima creava uno script in RECYCLER mi pare (anche e soprattutto sulle pendrive), mentre ora i RECYCLER ce li ho puliti su tutte le partizioni (salvo un file INFO2, che ho visto essere relativo ai file spostati nel cestino) e anche sulle unità rimovibili (la mia pendrive + una SD sempre collegata).

Al contrario, l'infezione ora si trova appunto in C:\WINDOWS\system32\x

[andrea.ippo]

Non faccio in tempo a rispondere un post che già mi ritrovo in arretrato di una risposta e un PS
Meno male, non sono solo!
Non mi abbandonate, sennò frullo tutto dalla finestra

Grazie

[nV 25]

mi faresti la cortesia di dirmi come è settato il tuo CIS? (dalla tray bar, tasto dx sull'icona di Comodo poi linguetta "D+ security level" & "Configuration")

Sarebbe interessante conoscere anche i settaggi di RunDll32.exe....

Grazie


EDIT:
se ne hai la possibilità, vorrei sapere anche il livello dell'Image Execution Control e se hai lasciato spuntata la voce "Trust applications digitally signed by Trusted Software Vendors"...

[andrea.ippo]

Quote:

Originariamente inviato da nV 25

mi faresti la cortesia di dirmi come è settato il tuo CIS? (dalla tray bar, tasto dx sull'icona di Comodo poi linguetta "D+ security level" & "Configuration")

Sarebbe interessante conoscere anche i settaggi di RunDll32.exe....

Grazie

Non appena torno su win
Andando a memoria direi cavolate probabilmente.

Grazie per l'aiuto

PS: per quanto riguarda il fatto che l'alert compare solo quando sto all'università (connesso alla wifi di ateneo), nessuno ha ipotesi?
A casa mai successo...

[Phantom II]

Quote:

Originariamente inviato da Phantom II

Ho un piccolo problema con la scansione antivirus di CIS.
Dalla finestra Run a scan avviando una delle tre scansioni disponibili ottengo un messaggio d'errore che riporta quando segue:

Error code 0x800705aa. Risorse di sistema insufficienti per completare il servizio richiesto.

Ovviamente, nella mattinata, col pc non ho fatto praticamente nulla

Nessuno sa dirmi nulla?