COMODO Internet Security

[nV 25]

Quote:

Originariamente inviato da cloutz

...peccato perchè CIS è vulnerabile a questo confliker..

Argomentare, grazie, altrimenti buttata cosi' può significare tutto...e nulla.

E' vulnerabile nel senso che

• il modulo AV (firme/euristica) non lo identifica come pericoloso
• il modulo hips ha un bug/non monitora certe azioni per cui il malware, una volta eseguito, riesce ad infettare la macchina
• a seconda di come si configura D+, si registrano risultati diametralmente opposti*

*inevitabile dato che ciascuna configurazione spenge/accende determinate funzionalità del D+...

[andrea.ippo]

Ok cerco di rispondere:

il D+ provo a renderlo più aggressivo come mi è stato suggerito
Per quanto riguarda l'immagine di Acronis, ricordo distintamente che prima di effettuare il ripristino i primi di gennaio, avevo pulito l'MBR con GMER.
Quindi seppure non ho ripristinato l'MBR contenuto nell'immagine di Acronis (cosa che forse avrei dovuto fare), sono partito con un MBR a prova di GMER.
In ogni caso a questo punto per andare sul sicuro formatto per bene...che oo

Rispondendo a Sirio e a tutti quelli che domandano i sample, l'ho ripristinato dalla quarantena e zippato (Alessandro Recchia ce l'ha già)
Ora vi dò il link in pvt.



EDIT: inviato a cloutz e sirio, dimentico qualcuno?

[cloutz]

Quote:

Originariamente inviato da nV 25

Argomentare, grazie, altrimenti buttata cosi' può significare tutto...e nulla.

E' vulnerabile nel senso che

• il modulo AV (firme/euristica) non lo identifica come pericoloso
• il modulo hips ha un bug/non monitora certe azioni per cui il malware, una volta eseguito, riesce ad infettare la macchina
• a seconda di come si configura D+, si registrano risultati diametralmente opposti*

*inevitabile dato che ciascuna configurazione spenge/accende determinate funzionalità del D+...

ho fatto riferimento a questo:
https://forums.comodo.com/italiano_i...2235#msg262235

Ma solo adesso mi accorgo che lì si parla di Falsi positivi...ergo stavo confondendo le due cose, AV e D+

Vogliate scusarmi

[cloutz]

Quote:

Originariamente inviato da andrea.ippo

Rispondendo a Sirio e a tutti quelli che domandano i sample, l'ho ripristinato dalla quarantena e zippato (Alessandro Recchia ce l'ha già)
Ora vi dò il link in pvt.

Grazie

[@Sirio@]

Cmq CAVS lo vede così:



Grazie Andrea, vado a scaricare quello...

[andrea.ippo]

Comunque una delle cose che mi premono di più è:
formattando (per davvero stavolta, cioè formattazione completa di C: con conseguente reinstallazione dell'MBR da parte del setup di XP), sono sicuro di partire col pc pulito?
Che voi sappiate conficker si propaga sulle altre partizioni? In caso, dove dovrei guardare?

Grazie

[nV 25]

Quote:

Originariamente inviato da cloutz

ho fatto riferimento a questo....

Ah, ecco...


Che il problema fosse (in linea generale) l'utente & il modulo AV lo davo personalmente per pacifico...

In parte, xò, la colpa è anche della comunicazione Comodo che fa credere (parlando della parte hips..) come anche con i settaggi "minimi" l'utente abbia il medesimo ° di protezione garantito dalla modalità Proactive Security + Paranoid Mode...

Che poi quest'ultima configurazione possa essere meno aderente alla massa, è un altro discorso...

[@Sirio@]

Quote:

Originariamente inviato da andrea.ippo

...


EDIT: inviato a cloutz e sirio, dimentico qualcuno?

Mi serve la password

[nV 25]

Quote:

Originariamente inviato da andrea.ippo

Comunque una delle cose che mi premono di più è:
formattando (per davvero stavolta, cioè formattazione completa di C: con conseguente reinstallazione dell'MBR da parte del setup di XP), sono sicuro di partire col pc pulito?...

ma scusa, perchè non ripristini l'immagine e poi ti scarichi Prevx CSI + Rootrepeal e ci posti i log da qualche parte?

Qui sul forum (sezione "aiuto sono infetto e bla bla blà...), infatti, c'è della gente preparatissima e disponibilissima...
ed eviteresti tutto lo sbattimento legato ad una formattazione...

[andrea.ippo]

D'oh

è lo stesso file che ho allegato alla mail per erreale, ecco perché c'è la pwd

Anche per cloutz, la pwd dello zip è

Passw0rd

[andrea.ippo]

Quote:

Originariamente inviato da nV 25

ma scusa, perchè non riprendi l'immagine e poi ti scarichi Prevx CSI + Rootrepeal e ci posti i log da qualche parte?

mmm...e se neanche loro se ne accorgono? Rischio di ripristinare l'immagine e trovarmi nuovamente con il pc infetto?

[@Sirio@]

Quote:

Originariamente inviato da nV 25

Ah, ecco...


Che il problema fosse (in linea generale) l'utente & il modulo AV lo davo personalmente per pacifico...

In parte, xò, la colpa è anche della comunicazione Comodo che fa credere (parlando della parte hips..) come anche con i settaggi "minimi" l'utente abbia il medesimo ° di protezione garantito dalla modalità Proactive Security + Paranoid Mode...

...

Per questo bisogna seguire la guida ATTENTAMENTE.

Cmq imo non serve essere in Paranoid il D+ va bene anche il Clean PC mode se però quando si installa CIS il Conficker non c'è... l'importante è avere la configurazione PROACTIVE SECURITY...

[nV 25]

CSI e RootRepeal consentirebbero di lavar via ogni dubbio sul discorso del MBR infetto SI/NO con un margine di attendibilità del 99%...

[nV 25]

Quote:

Originariamente inviato da @Sirio@

Per questo bisogna seguire la guida ATTENTAMENTE.

O giovane!!

Quote:

Originariamente inviato da @Sirio@

...va bene anche il Clean PC mode se però quando si installa CIS il Conficker non c'è...

ma va?

Si dovrà essere ragionevolmente sicuri che non ci sia Conflicker, ConFLIPPER, ConSUELOOOOOOOOO!!, ecc...

Quote:

Originariamente inviato da @Sirio@

l'importante è avere la configurazione PROACTIVE SECURITY...

vero

[andrea.ippo]

Scansione con Prevx CSI (non del so ripristinato dall'immagine, ma della situazione attuale)
Mi ha solo trovato mediacoder come adware (forse perché apre una pagina internet quando lo si avvia...)

Nient'altro

Ora faccio rootrepeal

PS: il D+ l'ho messo provvisoriamente su Paranoid, ho messo tutte le applicazioni come file da controllare, cioè *
il pc è inutilizzabile o quasi, solo per scompattare rootrepeal con 7zip mi saranno arrivati 20-30 alert...
Forse è meglio che rimetto il controllo solo su exe, dll e non so che altro. Chi mi dice quali file sono controllati dal D+
(Image execution control settings-> scheda "Files to check"

Grazie

[cloutz]

niente da fare, a me non si avvia in VM :



aspettiamo Sirio e vediamo se ha più fortuna

[andrea.ippo]

Finita la scansione con RootRepeal ho intenzione di formattare, fatemi sapere se ci sono altri controlli che devo fare.

PS: x era un file SENZA estensione.
Nei file temporanei di internet dei Network Users o come si chiama quel gruppo, era un bmp, ma solo di nome, non di fatto

[cloutz]

Quote:

Originariamente inviato da andrea.ippo

Forse è meglio che rimetto il controllo solo su exe, dll e non so che altro. Chi mi dice quali file sono controllati dal D+
(Image execution control settings-> scheda "Files to check"

Grazie

.com, .exe, .bat sono di default, ma l'image execution funziona solo in Clean Pc Mode(se non sbaglio)...

il mio di prima era un insieme di appunti, da non prendere tutti insieme
stasera non mi so proprio spiegare uffi

[andrea.ippo]

Tutto pulito anche con RootRepeal, ora procedo col format

[Romagnolo1973]

Quote:

Originariamente inviato da cloutz

.com, .exe, .bat sono di default, ma l'image execution funziona solo in Clean Pc Mode(se non sbaglio)...

il mio di prima era un insieme di appunti, da non prendere tutti insieme
stasera non mi so proprio spiegare uffi

Sbagli Image Execution funziona in qualsiasi impostazione