COMODO Firewall Professional 3.0 BETA - podejrzenie infekcji


(Hashimoto) #1

Nawiązując do komentarza napisanego przez @Pan Janek:

http://dobreprogramy.pl/index.php?dz=19&id=2164&t=84

Co do podejrzenia infekcji COMODO Firewall "wykrytego" przez Trend Micro Anti-Spyware for the Web komentuje:

Dzięki za skaner :slight_smile:

Prosiłem o wysłanie pików ponieważ miałem problemy z instalcją COMODO Firewall Professional 3.0 Beta.

Po wcześniejszym odinstalowaniu (i powrocie do wersji 2.4) pozostały jakieś

wpisy po wersji Beta (monit o wyłączonym COMODO - choć był on odinstalowany) i nie mogłem sobie z tym poradzić przy pomocy jv16, CC i EasyCleanera. Ponowny reinstal wersji 2.4, odinstalowanie i ręczne "dłubanie" w rejestrze pomogły (usunięcie całego klucza Comodo wraz z podkluczmi dotyczącymi ustawień, reguł oraz kilku innych, które udało się wyszukać). Znalazłem ponadto klucze silnika, które były chronione przed modyfikacją (jak się można domyśleć pewnie pod Viste x64). Ale udało się. Miałem problemy z odpalaniem przeglądarki. Strony ładowały się tylko do pewnego momentu i zatrzymywały. Usunąłem wszystkie reguły i dałem od nowa. Wyłączyłem usługi avast oraz antispyware i udało się. Prawdopodobnie jakiś konflikt - jeszcze posprawdzam.

Teraz meritum sprawy:

Co do plików w folderze Common to wystarczy spojrzeć na datę utworzenia plików oraz datę modyfikacji (zaraz po instalacji) - są to prawdopodobnie pliki ustawień profilu bezpiecznych aplikacji, które COMODO tworzy podczas pierwszego uruchomienia (czyli nie są one zawarte w instalatorze Comodo). Ponadto w katalogu C:\Documents and Settings\All Users\Dane aplikacji\Comodo\Common\MarkSafe jest plik zawierający spis bezpiecznych aplikacji wchodzących w skład profilu. Prawdopodobnie jest to zła interpretacja pliku przez skaner Trend (rzeczywiście scaner ten wskazał te pliki jako niebezpieczne).

Skan podejrzanych plików przy pomocy Virus Total :

22_d.sld:

http://www.fotosik.pl/pokaz_obrazek/pel ... f3e95.html

233_d.sld:

http://www.fotosik.pl/pokaz_obrazek/pel ... c42fb.html

311_d.sld:

http://www.fotosik.pl/pokaz_obrazek/pel ... 36c2f.html

Co do szkodliwości plików to są one w 100% nieszkodliwe. Na potwierdzenie daje screen z podglądu binarnego plików :

http://www.fotosik.pl/pokaz_obrazek/pel ... ba39f.html

http://www.fotosik.pl/pokaz_obrazek/pel ... 82417.html

http://www.fotosik.pl/pokaz_obrazek/pel ... 00b55.html

http://www.fotosik.pl/pokaz_obrazek/pel ... b06c1.html

http://www.fotosik.pl/pokaz_obrazek/pel ... 240cf.html

(plik podzielony na kilka screenów - scroll nie działał).

233_d.sld:

http://www.fotosik.pl/pokaz_obrazek/pel ... 78eb8.html

311_d.sld:

http://www.fotosik.pl/pokaz_obrazek/pel ... c1426.html

  • Podgląd wykonany przy pomocy narzędzia WinHex.

Jak widać pliki te są "puste" - nie zawierają żadnego kodu.

Ponadto wykonałem logi HiJackThis oraz skan Ewido anti-spyware 4.0 micro scanner

(przy okazji znalazłem bug podczas ściągania sygantur - raport wysłany 8) )

http://www.fotosik.pl/pokaz_obrazek/pel ... 95a06.html

oraz Ashampoo AntiSpyware. Podgląd binarny daje pewność, że pliki są nieszkodliwe.

Pozdrawiam.

PS Dobrze, że zwróciłeś uwagę na ten alert.

Ponadto jako pierwsi w sieci przetestowaliśmy Comodo pod tym względem.

Złączono Posta : 19.08.2007 (Nie) 12:12

Znalazłem przyczynę - Avast! (jeden ze skanerów ochrony w czasie rzeczywistym):

Klik na ikone "a" -> Kontrola ochrony dostępowej -> osłona WWW -> Zakończ

Prawdopodobnie następny bug, ponieważ próbowałem różnej konfiguracji i nic. Wyłączenie tej jednej usługi rozwiązuje problem.