comodo是否被过？

显示全部楼层 · 发表于 2011-12-14 18:56:52

本帖最后由 yhjtj 于 2011-12-14 19:04 编辑

二次压缩过后的样本如果违规，请删除此样本，到样本区的帖子下载http://bbs.kafan.cn/thread-1150143-3-1.html，这是dll样本的在线扫描结果，两个报毒http://r.virscan.org/report/a3184767bf065d057262adc92f0673ed.html

下面是md日志：
2011-12-14 18:24:01 创建文件阻止
进程: c:\documents and settings\administrator\桌面\实物细节.exe
目标: C:\Program Files\StormDate\StormUpdate.dll
规则: [文件组][S]系统文件夹 -> [文件]?:\program files\*\*; *.dll

2011-12-14 18:24:01 创建文件阻止
进程: c:\documents and settings\administrator\桌面\实物细节.exe
目标: C:\Program Files\StormDate\MicroExamin.exe
规则: [文件组][S]系统文件夹 -> [文件]?:\program files\*\*; *.exe

2011-12-14 18:24:04 修改注册表值阻止(创建启动项)
进程: c:\documents and settings\administrator\桌面\实物细节.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroExamin
值: C:\Program Files\StormDate\MicroExamin.exe
规则: [注册表组][E]自动运行程序所在位置 -> [注册表]*\SOFTWARE\Microsoft\window*\CurrentVersion\Run*

2011-12-14 18:24:06 创建新进程允许
进程: c:\documents and settings\administrator\桌面\实物细节.exe
目标: c:\windows\system32\verifier.exe
命令行: "C:\WINDOWS\system32\verifier.exe"
规则: [应用程序]* -> [子应用程序]*

2011-12-14 18:24:10 修改其他进程的内存允许
进程: c:\documents and settings\administrator\桌面\实物细节.exe
目标: c:\windows\system32\verifier.exe
规则: [应用程序]* -> [目标应用程序]*

2011-12-14 18:25:07 修改其他进程的线程允许
进程: c:\documents and settings\administrator\桌面\实物细节.exe
目标: c:\windows\system32\verifier.exe
规则: [应用程序]* -> [目标应用程序]*

2011-12-14 18:26:21 访问网络允许
进程: c:\windows\system32\verifier.exe
目标: TCP [本机 : 8754] -> [98.126.131.187 : 80 (http)]
规则: [应用程序]* -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

有意思的发现，去dll之家http://www.dllzj.com/DllDetail_StormUpdate.dll.html下载了StormUpdate.dll的历史合集包，发现和样本版本1.0.0.1相同的文件，除了大小不一样，同样都没有数字签名，而其他版本的StormUpdate.dll都有数字签名

猜测的病毒原理：利用信任可执行文件，不验证dl就l默认加载特定文件名.dll的漏洞，顺利加载病毒dll文件，启动系统文件，并修改系统文件内存，插入线程，执行联网操作，如有不对请高手指正！

显示全部楼层 · 发表于 2011-12-14 19:10:50

信任和非信任程序的识别只能作为第一道防线，想更安全，疯狂模式是必须的！

显示全部楼层 · 发表于 2011-12-14 19:18:34

估计又是那个信任权限的Bug

显示全部楼层 · 发表于 2011-12-14 19:24:21

mxf147 发表于 2011-12-14 19:18
估计又是那个信任权限的Bug

这可是个方向性的问题啊！难道要推倒重建？

显示全部楼层 · 发表于 2011-12-14 19:26:07

h8888 发表于 2011-12-14 19:24
这可是个方向性的问题啊！难道要推倒重建？

不是方向性的问题，一个Bug，5.8在某些情况下会把压缩软件信任为“信任的/安装程序”，导致压缩软件解压出来的东西不分黑白直接进入信任列表

显示全部楼层 · 发表于 2011-12-14 19:30:42

mxf147 发表于 2011-12-14 19:26
不是方向性的问题，一个Bug，5.8在某些情况下会把压缩软件信任为“信任的/安装程序”，导致压缩软件解压出 ...

以厂商为标准划分信任与不信任，这本身是个漏洞。

显示全部楼层 · 发表于 2011-12-14 19:41:52

h8888 发表于 2011-12-14 19:30
以厂商为标准划分信任与不信任，这本身是个漏洞。

这个只能说是不太符合东方大国的国情

显示全部楼层 · 发表于 2011-12-14 19:51:39

http://bbs.kafan.cn/thread-1143370-1-2.html
一个意思

显示全部楼层 · 发表于 2011-12-14 20:03:33

这个好像确实是安全的

显示全部楼层 · 发表于 2011-12-14 20:21:36

http://forums.comodo.com/news-an ... n-out-t79070.0.html
官人门知道了漏洞的原因是没有监控DLL.

[讨论] comodo是否被过？

本帖子中包含更多资源