Virus Testing Machine

[sampei.nihira]

Quote:

Originariamente inviato da @Sirio@

Grazie sampei

Cmq è vero: non fanno in tempo a coprire un buco che ne escono fuori altri 10 ..una lotta senza fine.
Poi... forse sarà perché sono le suite più diffuse e vengono prese di mira maggiormente, in ogni caso c'è sempre qualche malware che riesce a trovare il modo di bypassare le protezioni.

Avevo dimenticato di scrivere che questa volta (per me la prima) l'euristica del D+ ha fatto cilecca

E' per quello che io preferisco da sempre usare sw meno diffusi di quelli più diffusi.
Ci potrebbe essere il rovescio della medaglia e cioè che lo sviluppo dei sw poco diffusi è meno efficiente, ma probabilmente la maggiore attenzione vanifica come giustamente hai scritto tu questo sforzo.

[cloutz]

Quote:

Originariamente inviato da sampei.nihira

E' per quello che io preferisco da sempre usare sw meno diffusi di quelli più diffusi.
Ci potrebbe essere il rovescio della medaglia e cioè che lo sviluppo dei sw poco diffusi è meno efficiente, ma probabilmente la maggiore attenzione vanifica come giustamente hai scritto tu questo sforzo.

quello di cui mi sto rendendo conto io è che tutto è vano..
i softw meno diffusi sono meno presi di mira, ma il loro sviluppo ristagna e lascia spazio a bug; i softw più diffusi hanno uno sviluppo incessante, ma sono i più esposti...
per un motivo o per un altro ci sono sempre fattori, vulnerabilità, che rendono precaria la sicurezza del nostro sistema...

è una corsa contro il tempo ad armi impari...che tristezza

[arnyreny]

Quote:

Originariamente inviato da cloutz

quello di cui mi sto rendendo conto io è che tutto è vano..
i softw meno diffusi sono meno presi di mira, ma il loro sviluppo ristagna e lascia spazio a bug; i softw più diffusi hanno uno sviluppo incessante, ma sono i più esposti...
per un motivo o per un altro ci sono sempre fattori, vulnerabilità, che rendono precaria la sicurezza del nostro sistema...

è una corsa contro il tempo ad armi impari...che tristezza

e' come una partita al poker...non si ha mai la sicurezza di vincere,perche' non esiste il punto assoluto...

[@Sirio@]

Vero.. ma noi non ci abbattiamo e ci mettiamo una "pezza"

wvwersion vs CIS 3.11 e RVS 2010 - Aggiornamenti

Forse il popup in cui ricevevo la richiesta per la modifica di wversion.zip nella partizione virtuale Z: da parte di rvsmon.exe, per intenderci questo era dovuto ad un errore di RVS 3.0.5438.4886 ricevuto dopo aver eseguito il primo test e riavviato il PC.
Ho scaricato e installato la nuova beta 3.0.5869.4905 di RVS 2010, e ripetuto la prova.
Questa volta non ho ricevuto alcuna richiesta da parte di rvsmon.exe ma sempre da wversion.exe... come IMO dovrebbe essere, però il problema del D+ che non riesce a bloccare la modifica degli archivi nella partizione Z anche negando le richieste, rimane. Allora, visto che il malware si preoccupa di criptare alcuni archivi o file di testo, ho tentato aggiungendo questi tipi di file nei File Protetti per l'esattezza, ho creato prima dei gruppi dal pulsante Gruppi... e poi li ho aggiunti nel My Protected Files.
Aggiungendo queste estensioni, il D+ sfornerà qualche popup in più riguardo i file in questione, per esempio, avendo creato le voci *.zip, *.rar e *.7z, quando andremo a comprimere o decomprimere un archivio avente una di queste estensioni (attività legittime), il D+ si farà sentire sempre e comunque (una palla...), ma noi possiamo ovviare al problema andando a fare le regole opportune. Andiamo in D+ -> Avanzate -> Policy di Sicurezza del Computer -> cerchiamo il nostro programma di compressione (Winzip, 7-Zip, ecc.), doppio click -> Diritti di Accesso -> cerchiamo File/Cartelle protette e clicchiamo sul tasto Modifica corrispondente -> Aggiungi -> Sfoglia... -> su Aggiungi nuovo elemento digitiamo: *.zip e clicchiamo sul pulsante + che è accanto e la voce *.zip andrà a spostarsi negli Elementi Selezionati.
Ripetiamo questo passaggio per tutte le estensioni che ci interessano (.rar, .7z, ecc.) -> click su Applica e otterremo una finestra del genere -> click su OK -> Applica -> Applica -> Applica. In questo modo il nostro programma di compressione potrà fare il suo lavoro senza che il D+ intervenga per ogni file o cartella.

Le richieste che ho avuto rieseguendo il test sono sempre le stesse (eccetto per rvsmon.exe che non ho più visto) però questa volta il virus non riesce a modificare alcun file, neache quelli su Z:

Eccovi il Log

[@Sirio@]

Quote:

Originariamente inviato da buonasalve

ciao Sirio

son sicuro che se comunichi la cosa a quelli di Comodo risolveranno il problema.
o ti manderanno a caghèr

Vedrò in seguito, forse dipende da RVS che è ancora in fase beta... dovrei fare qualche altra prova ma il tempo è quello che è, e per fare questi test cercando di non sbagliare ce ne vuole tanto.

Ciao.

[@Sirio@]

Quote:

Originariamente inviato da sampei.nihira

...

e cioè che lo sviluppo dei sw poco diffusi è meno efficiente, ma probabilmente la maggiore attenzione vanifica come giustamente hai scritto tu questo sforzo.

In che senso? SCusami ma non ho ben capito

[sampei.nihira]

Quote:

Originariamente inviato da cloutz

quello di cui mi sto rendendo conto io è che tutto è vano..
i softw meno diffusi sono meno presi di mira, ma il loro sviluppo ristagna e lascia spazio a bug; i softw più diffusi hanno uno sviluppo incessante, ma sono i più esposti...
per un motivo o per un altro ci sono sempre fattori, vulnerabilità, che rendono precaria la sicurezza del nostro sistema...

è una corsa contro il tempo ad armi impari...che tristezza

No non è una lotta ad armi impari perchè con ciò che hai esposto sopra tu impari la diversificazione.
Prima inizi a diversificare i vari sw di sicurezza nella configurazione di magari vari pc poi secondo me l'ulteriore passo è qella della diversificazione dei OS.

[sampei.nihira]

Quote:

Originariamente inviato da @Sirio@

In che senso? SCusami ma non ho ben capito

Ciao Sirio volevo scrivere quello che ha scritto Cloutz.
Ed invece non si è capito nulla !!

[cloutz]

@Sirio:
hai ricevuto l'email? c'era scritto, in maniera molto più sbrigativa, proprio questo*
poi tu conosci meglio di me il D+, anche per la gestione delle regole, quindi hai fatto un lavoro di fino con eleganza...il mio pensiero era più grezzo


*l'aggiungere tali estensioni ai my protected files


Saluti

[buonasalve]

Quote:

Originariamente inviato da @Sirio@

Vedrò in seguito, forse dipende da RVS che è ancora in fase beta... dovrei fare qualche altra prova ma il tempo è quello che è, e per fare questi test cercando di non sbagliare ce ne vuole tanto.

Ciao.

beh mi pare che l'hai risolto da solo il problema con la storia delle regole per zip rar 7zip
se non ho capito male

cmq dici che quelle regolette dovremmo "apprenderle" anche noi ?

[@Sirio@]

Quote:

Originariamente inviato da cloutz

@Sirio:
hai ricevuto l'email? c'era scritto, in maniera molto più sbrigativa, proprio questo*
poi tu conosci meglio di me il D+, anche per la gestione delle regole, quindi hai fatto un lavoro di fino con eleganza...il mio pensiero era più grezzo


*l'aggiungere tali estensioni ai my protected files

Saluti

Ciao cloutz,
bravo però non ho ricevuto alcuna mail da parte tua, non so quale indirizzo usi ma a me 'ste mail che mi mandi non arrivano mai

Quote:

Originariamente inviato da buonasalve

beh mi pare che l'hai risolto da solo il problema con la storia delle regole per zip rar 7zip
se non ho capito male

cmq dici che quelle regolette dovremmo "apprenderle" anche noi ?

No, non hai capito male

Per le regolette, mmmhhh... beh la possibilità di beccare un virus del genere è remota, poi come hai visto gli AV lo riconoscono, però potrebbe uscire qualche variante... anche se IMHO i malware oggi sono più orientati a fare altro che rendere inservibile il nostro sistema.

Cmq se hai un po' di pazienza e ti vuoi divertire a farle sicuramente renderai il PC più sicuro e imparerai meglio l'uso del D+.

Ciao

[cloutz]

Quote:

Originariamente inviato da @Sirio@

Ciao cloutz,
bravo però non ho ricevuto alcuna mail da parte tua, non so quale indirizzo usi ma a me 'ste mail che mi mandi non arrivano mai

ho usato la funzione "Invia e-mail" cliccando sul tuo nome utente
d'ora in poi solo pm, sennò è un casino

comunque, alla fine, se il problema è stato limitato con la semplice creazione di qualche regola...direi che non può essere considerata una "vulnerabilità", ma solo una questione di ruleset (potremmo farglielo presente, volendo, cosicchè migliorino il ruleset @default).

il problema sarebbe stato ben più grosso se, anche creando le regole, non avesse intercettato tali comportamenti

Saluti

[buonasalve]

Quote:

Originariamente inviato da @Sirio@

No, non hai capito male

Per le regolette, mmmhhh... beh la possibilità di beccare un virus del genere è remota, poi come hai visto gli AV lo riconoscono, però potrebbe uscire qualche variante... anche se IMHO i malware oggi sono più orientati a fare altro che rendere inservibile il nostro sistema.

Cmq se hai un po' di pazienza e ti vuoi divertire a farle sicuramente renderai il PC più sicuro e imparerai meglio l'uso del D+.

Ciao

ah mbè...allora si possono mettere tranquillamente queste regolette...pararsi il non fa mai male, soprattutto a noi uooooomini

[buonasalve]

X Sirio

ho aggiunto le regole come hai segnalato per zip rar 7z.
siccome ho visto che avevi aggiunto anche le regole per i gruppi "file di testo" e "file immagini" li ho aggiunti anche io
va fatta identica procedura, vero ? solo che una volta aggiunti i gruppi in File protetti non so più proseguire in "Avanzate" "Policy di sicurezza" perchè se per Winrar c'era la relativa voce per i file immagini e testo che strada bisogna seguire ? oppure basta solo aggiungere i gruppi e basta ?

[@Sirio@]

@ buonasalve

Visto che le estensioni .zip, .rar, .7z, ecc. interagiscono con il tuo programma di compressione, ovviamente tu avrai fatto le regole per winrar.exe (aggiungere nei suoi Diritti di Accesso nella voce File/Cartelle protette nel tab File Cartelle Abilitati, tali estensioni).
Per i file di testo quali programmi usi? Blocco note, word, ecc.? Bene, nelle Regole Applicazioni dovrai aggiungere ad ogni programma per la gestione dei testi, le varie estensioni messe... nei File Protetti (.txt, .doc, ecc.).
Per le immagini stessa cosa, cerchi nelle Regole Applicazioni i tuoi programmi per la gestione delle immagini e aggiungi tali estensioni... sempre alla voce File/Cartelle protette.
Se vuoi puoi farle pure per i file musicali .mp3, .wav, ecc. e così via.....

[@Sirio@]

Quote:

Originariamente inviato da cloutz

ho usato la funzione "Invia e-mail" cliccando sul tuo nome utente
d'ora in poi solo pm, sennò è un casino

Ecco perché avoglia a cercare le tue mail non uso molto quell'indirizzo eMail... lo devo cambiare. Cmq usa i PM, è più sicuro... a parte che ricordo di averti dato l'indirizzo che uso regolarmente almeno un paio di volte... che fine gl'hai fatto fare? Formattone...?

Quote:

comunque, alla fine, se il problema è stato limitato con la semplice creazione di qualche regola...direi che non può essere considerata una "vulnerabilità", ma solo una questione di ruleset (potremmo farglielo presente, volendo, cosicchè migliorino il ruleset @default).

il problema sarebbe stato ben più grosso se, anche creando le regole, non avesse intercettato tali comportamenti

Saluti

Si però le richieste ci sono... perché anche rispondendo no, i file vengono modificati?

Dovrei provare senza RVS e con qualche pendrive o HD esterno, se trovo il tempo...

Anche perché vorrei passare al b.css

Ciao

[arnyreny]

Quote:

Originariamente inviato da @Sirio@

@ buonasalve

Visto che le estensioni .zip, .rar, .7z, ecc. interagiscono con il tuo programma di compressione, ovviamente tu avrai fatto le regole per winrar.exe (aggiungere nei suoi Diritti di Accesso nella voce File/Cartelle protette nel tab File Cartelle Abilitati, tali estensioni).
Per i file di testo quali programmi usi? Blocco note, word, ecc.? Bene, nelle Regole Applicazioni dovrai aggiungere ad ogni programma per la gestione dei testi, le varie estensioni messe... nei File Protetti (.txt, .doc, ecc.).
Per le immagini stessa cosa, cerchi nelle Regole Applicazioni i tuoi programmi per la gestione delle immagini e aggiungi tali estensioni... sempre alla voce File/Cartelle protette.
Se vuoi puoi farle pure per i file musicali .mp3, .wav, ecc. e così via.....

Grande sirio ...potevi nella grande guida inserire un paragrafo per gli smanettoni...e inserire queste interessanti regole.
questo programma non finisce mai di stupirmi

[cloutz]

Quote:

Originariamente inviato da @Sirio@

Ecco perché avoglia a cercare le tue mail non uso molto quell'indirizzo eMail... lo devo cambiare. Cmq usa i PM, è più sicuro... a parte che ricordo di averti dato l'indirizzo che uso regolarmente almeno un paio di volte... che fine gl'hai fatto fare? Formattone...?

l'avrò perso figurati

Quote:

Originariamente inviato da @Sirio@

Si però le richieste ci sono... perché anche rispondendo no, i file vengono modificati?

ehm..questo passaggio mi era sfuggito

edit:
nel 3d dove Aigle ne parla (qui) c'è anche D+ che viene testato dal post 14 al 16. Benchè aigle si fermi prima, anche lui sostiene che "data file encrption will be intercepted if u add data files( txt, doc, zip) etc into ur protected files".

[buonasalve]

Quote:

Originariamente inviato da arnyreny

Grande sirio ...potevi nella grande guida inserire un paragrafo per gli smanettoni...e inserire queste interessanti regole.
questo programma non finisce mai di stupirmi

ci avessi capito qualcosa almeno !

le regole per i file rar zip 7z mi pare di essere riuscito a metterle
ma il messaggio di Sirio di inizio pagina mi è oscurissimo
ho bisogno dei passi specifici così come aveva fatto per i file compressi

Sirioooooo, sii magnanimo da fare una piccola guida

[cloutz]

Quote:

Originariamente inviato da buonasalve

ci avessi capito qualcosa almeno !

le regole per i file rar zip 7z mi pare di essere riuscito a metterle
ma il messaggio di Sirio di inizio pagina mi è oscurissimo
ho bisogno dei passi specifici così come aveva fatto per i file compressi

Sirioooooo, sii magnanimo da fare una piccola guida

una volta aggiunte le voci nei File Protetti hai fatto in modo che il D+ ti avvisi su tutto ciò che riguarda .zip, .7z e .rar.
In tal caso la regola sarebbe troppo assillante, dato che per esempio WinRar può avere, abbastanza tranquillamente, il permesso di gestire tali estensioni senza creare problemi*.

Quindi vai in D+> Advanced> Computer Security Policy (sarebbe l'equivalente di Policy di Sicurezza del Computer, credo).
Qui doppio click sulla regola per l'applicazione di compressione che ti interessa (per es. WinRar o Izarc) e selezioni Access Rights (Diritti di Accesso). A questo punto vai in Protected Files/Folders e clicchi Modifica.



Sarà in questa finestra che dovrai impostare le regole che permetteranno al tuo programma (WinRar o Izarc) di usare le estensioni .zip ecc...quindi creerai delle regole permissive.

clicchiamo su Add > Browse (in italiano penso sia Sfoglia)e nella finestra che si apre scriviamo in alto *.zip, cliccando poi sul + che abbiamo in alto a destra. Aggiungiamo le altre estensioni (.rar, .7z e .gz), clicchiamo tutti gli Apply che dobbiamo dare nelle altre finestre rimaste aperte e usciamo.

ora, la stessa ed identica cosa puoi farla con Word e i file .doc, con Notepad e i file .txt, con WindowsMediaPlayer e i file .mp3, .wav ecc...sempre inserendoli nei File protetti e poi andando a permetterli nella scheda Diritti di Accesso di ciascuna Regola Applicazione (Word, Notepad, WMP ecc)..

p.s.: scusate se lo screen e i riferimenti sono in Inglese..momentaneamente ho installato questa

Saluti


*in realtà il concetto è un pò diverso..nel senso che, come abbiamo visto in questo test, la fase di criptaggio è stata a carico del nuovo processo (sconosciuto) vwersion.exe, non a carico del programma di compressione predefinto (Winrar per es).
Quindi abbiamo dato libertà al nostro Winrar mentre tutto il resto, per cui non esiste una esplicita regola che consenta ciò (= tutto quello che è sconosciuto), sarà monitorato.
Ciò comporta che con queste regole vwersion.exe sarebbe stato monitorato, come qualunque altro processo sconosciuto che tenta di trattare .zip