comodo怎么防御最近流行的数字签名+病毒dll组合？

显示全部楼层 · 发表于 2012-3-1 22:36:15

问过同样的问题，有人说默认防不住的（我没试过）

另外问下微点是否能防住。

显示全部楼层 · 发表于 2012-3-1 22:50:33

daixiaoran 发表于 2012-3-1 22:36
问过同样的问题，有人说默认防不住的（我没试过）

另外问下微点是否能防住。

默认确实防不住，本版规则我也试过柯林的，防不住

显示全部楼层 · 发表于 2012-3-1 23:17:29

本帖最后由 Candygu 于 2012-3-1 23:35 编辑

默认设置是防不住的。必须把暴风从Trusted Software Vendors里删除。

删除之后，日志如下

D+

2012-03-01 23:28:00 C:\WINDOWS\explorer.exe Create Process, Block File C:\Documents and Settings\Pirate0\桌面\BAOFENGUPDATES\bfUpdate.exe
2012-03-01 23:28:03 C:\Documents and Settings\Pirate0\桌面\BAOFENGUPDATES\bfUpdate.exe Sandboxed As Partially Limited
2012-03-01 23:28:05 C:\WINDOWS\Explorer.EXE Sandboxed As Partially Limited
2012-03-01 23:28:08 C:\Documents and Settings\Pirate0\桌面\BAOFENGUPDATES\bfUpdate.exe Modify File C:\WINDOWS\system32\billlog.dat
2012-03-01 23:28:08 C:\Documents and Settings\Pirate0\桌面\BAOFENGUPDATES\bfUpdate.exe Access Memory C:\WINDOWS\explorer.exe
2012-03-01 23:28:22 C:\WINDOWS\system32\userinit.exe Modify Key HKUS\S-1-5-21-329068152-764733703-1957994488-1003\Software\Microsoft\Windows NT\CurrentVersion\Windows\Device
2012-03-01 23:28:27 C:\WINDOWS\system32\userinit.exe Access COM Interface \RPC Control\spoolss
2012-03-01 23:28:27 C:\Documents and Settings\Pirate0\桌面\BAOFENGUPDATES\bfUpdate.exe Access Memory System
2012-03-01 23:28:51 C:\Documents and Settings\Pirate0\桌面\BAOFENGUPDATES\bfUpdate.exe Access Memory System

复制代码

Firewall

2012-03-01 23:28:04 C:\Documents and Settings\Pirate0\桌面\BAOFENGUPDATES\bfUpdate.exe Asked Out TCP 10.0.2.15 1034 14.158.5.47 8080
2012-03-01 23:28:07 C:\Documents and Settings\Pirate0\桌面\BAOFENGUPDATES\bfUpdate.exe Blocked Out TCP 10.0.2.15 1034 14.158.5.47 8080

复制代码

显示全部楼层 · 发表于 2012-3-1 23:29:29

Candygu 发表于 2012-3-1 23:17
默认设置是防不住的。必须把暴风从Trusted Software Vendors里删除。

删除之后，日志如下

我试了很多遍，有些记不清楚了，好像是，第一遍运行，我看的的弹框和你的一样，第二遍运行就被信任了，被自动加入到信任文件中，不管怎么运行都不会弹出，让选择进入沙盘的对话框，病毒成功运行C:\WINDOWS\system32\userinit.exe和C:\WINDOWS\explorer.exe，联网

显示全部楼层 · 发表于 2012-3-1 23:39:17

yhjtj 发表于 2012-3-1 23:29
我试了很多遍，有些记不清楚了，好像是，第一遍运行，我看的的弹框和你的一样，第二遍运行就被信任了，被 ...

1、你第一遍运行后是不是勾选了第一个弹窗的“Always trust the publisher of this file”？

2、第二遍运行之前，你要结束掉bfUpdate.exe这个进程，不然运行不起来。

3、要是点了Allow，全白费了。。。

显示全部楼层 · 发表于 2012-3-1 23:43:49

Candygu 发表于 2012-3-1 23:39
1、你第一遍运行后是不是勾选了第一个弹窗的“Always trust the publisher of this file”？

2、第二遍 ...

没有，点的进入沙盘运行，你试下结束进程后再运行，或者看下信任文件列表，是不是有这个程序

显示全部楼层 · 发表于 2012-3-1 23:46:42

yhjtj 发表于 2012-3-1 23:43
没有，点的进入沙盘运行，你试下结束进程后再运行，或者看下信任文件列表，是不是有这个程序

1、没有。一直待在Unrecognized files里边。

2、会运行C:\WINDOWS\system32\userinit.exe和打开“我的文档”。

显示全部楼层 · 发表于 2012-3-1 23:55:04

Candygu 发表于 2012-3-1 23:46
1、没有。一直待在Unrecognized files里边。

2、会运行C:\WINDOWS\system32\userinit.exe和打开“我的 ...

奇怪的很，关闭了云选项，总是自动加入，受信任文件，我想是这个作怪，可是没办法，你知道怎么搞，不自动加入信任么？

显示全部楼层 · 发表于 2012-3-2 18:01:20

开疯狂模式

显示全部楼层 · 发表于 2012-3-2 18:23:35

GoldJune 发表于 2012-3-2 18:01
开疯狂模式

开了，没用，要不你试试？
我还关掉了云选项，清空了受信任文件和信任的数字签名列表，结果出了鬼了，还是被毛豆信任。

[讨论] comodo怎么防御最近流行的数字签名+病毒dll组合？