comodo是否被过？

显示全部楼层 · 发表于 2011-12-14 20:28:30

mxf147 发表于 2011-12-14 19:26
不是方向性的问题，一个Bug，5.8在某些情况下会把压缩软件信任为“信任的/安装程序”，导致压缩软件解压出 ...

仔细看，不是压缩软件，是暴风影音的程序，有数字签名的，所以自动被毛豆信任，但由于此程序对加载的dll验证不严格，加载了可疑的文件，所以md拦截危险行为的毛豆都自动放过了。

显示全部楼层 · 发表于 2011-12-14 20:34:03

yhjtj 发表于 2011-12-14 20:28
仔细看，不是压缩软件，是暴风影音的程序，有数字签名的，所以自动被毛豆信任，但由于此程序对加载的dll验 ...

打开你的压缩软件，在进程列表里看看压缩软件被判定为什么级别？

显示全部楼层 · 发表于 2011-12-14 20:44:36

yhjtj 发表于 2011-12-14 20:28
仔细看，不是压缩软件，是暴风影音的程序，有数字签名的，所以自动被毛豆信任，但由于此程序对加载的dll验 ...

测试了一下，确实不是解压过程的问题，但虚拟机里不能运行，没有测试出结果

显示全部楼层 · 发表于 2011-12-14 20:52:21

mxf147 发表于 2011-12-14 20:44
测试了一下，确实不是解压过程的问题，但虚拟机里不能运行，没有测试出结果

我就是虚拟机测的毛豆，实机测的md，运行不了的框好像是样本故意弹的，实际已经运行，你可以再看下

显示全部楼层 · 发表于 2011-12-14 20:58:02

紫涵发表于 2011-12-14 20:21
http://forums.comodo.com/news-announcements-feedback-cis/58-are-worn-out-t79070.0.html
官人门知道了 ...

看到一个叫ronny的猜测是dll问题，下面还有个人说毛豆倒退了，不检测dll了，实际上很简单加入对可信程序主动加载的dll控制就可以了，没有数字签名的dll一律报警

显示全部楼层 · 发表于 2011-12-14 21:02:41

本帖最后由紫涵于 2011-12-14 21:02 编辑

yhjtj 发表于 2011-12-14 20:58
看到一个叫ronny的猜测是dll问题，下面还有个人说毛豆倒退了，不检测dll了，实际上很简单加入对可信程序主 ...

我帖错了,这个帖子里有官人的回应是不监控DLL的原因.
http://forums.comodo.com/news-an ... otkit-t79079.0.html

显示全部楼层 · 发表于 2011-12-14 21:13:36

yhjtj 发表于 2011-12-14 20:28
仔细看，不是压缩软件，是暴风影音的程序，有数字签名的，所以自动被毛豆信任，但由于此程序对加载的dll验 ...

LZ说的是对的，昨天下午我们几个和mj专门针对这个病毒做了N次攻防实验！http://bbs.kafan.cn/thread-1150685-1-1.html

显示全部楼层 · 发表于 2011-12-14 21:17:06

本帖最后由 jefffire 于 2011-12-14 21:20 编辑

yhjtj 发表于 2011-12-14 20:58
看到一个叫ronny的猜测是dll问题，下面还有个人说毛豆倒退了，不检测dll了，实际上很简单加入对可信程序主 ...

这样性能会下降一个数量级。
而且没有数字签名的正常dll太多了，windows自身就有一堆，虚警吓死人，又要面临做规则的问题了。

PS：类似的dll加载漏洞，很多软件都有，尤其是老版本的，茫茫多啊。。。

显示全部楼层 · 发表于 2011-12-14 21:17:49

直接运行这个exe，360马上就报行为了，但是我机器上毛豆没报，但是360卫士当时也有点问题，如果把这个病毒解压到桌面根目录当时就不报行为了，后来MJ增强了卫士，并且把dll入库了！

显示全部楼层 · 发表于 2011-12-14 21:24:25

jefffire 发表于 2011-12-14 21:17
这样性能会下降一个数量级。
而且没有数字签名的正常dll太多了，windows自身就有一堆，虚警吓死人。
...

系统目录可以做排除的，例如hash值排除，这样就简单了

[讨论] comodo是否被过？