تاپیک اختصاصی محصولات COMODO - || آرشیو شماره 1 ||

[edi2]

اقا مهران دوست عزیز من تنظیمات لازم رو تو صفحه اول رو انجام دادم قبلن اما میخواستم بدونم برای ما که ویروس ها و انواع مخرب ها رو رو سیتممون اجرا میکنیم تنظیمات دیگه های هم هست که انجام بدیم تا از اسیب رسیدن به سیتمم و یا کپی شدن فایل های ناشخته تو پوشه های مهم جلوگیری کنه؟

[M E H R A N]

اقا مهران دوست عزیز من تنظیمات لازم رو تو صفحه اول رو انجام دادم قبلن اما میخواستم بدونم برای ما که ویروس ها و انواع مخرب ها رو رو سیتممون اجرا میکنیم تنظیمات دیگه های هم هست که انجام بدیم تا از اسیب رسیدن به سیتمم و یا کپی شدن فایل های ناشخته تو پوشه های مهم جلوگیری کنه؟

اگر برای محافظت از سیستم میخوای تنظیمات دیگه ای رو انجام بدی, اونوقت لازم نیست چون همین تنظیمات برای روزی که ویروسی یا کرمی مثلا از طریق فلش مموری بخواد وارد کامپیوتر شما بشه و آنتی ویروس کمودو هم تشخیص نده کافیه. اما اگر میخوای که محافظت سیستم را که توسط این تنظیمات تقریبا میشه گفت 99 درصد هست به نزدیکای 100 درصد برسونی اونوقت شما میتونی کمودو را در یک سیستمی که تمام برنامه ها و داریوهاش نصب شدند و قرار هم نیست برنامۀ دیگری را نصب کنید, حدود دو هفته استفاده کنید تا تمامی اینها یا اتوماتیک توسط کمودو شناخته بشند و یا خودتون اون برنامه ها و فایل هایی را که مطمئن هستید سالمند از Unrecognized Files به Trusted Files انتقال بدید و بعد تنظیمات قسمت Sandbox در +Defense را از Limited که قبلا گفتم بر روی Blocked قرار بدید.



اما اگر برای تست ویروسها میخوای تنظیماتی داشته باشی و نه برای محافظت کلی از سیستم اونوقت میتونی قبل از اینکه ویروس و یا تروجانی رو اجرا کنی اول کمود را Exit کنی و بعد ویروسها و تروجانها رو اجرا کنی

راه دیگۀ شما برای تست ویروسها و تروجانها اینه که اونها رو با دابل کلیک اجرا نکنید چون در اینصورت داخل Automatic Sandbox اجرا خواهند شد و چون Automatic Sandbox محدودیت داره بنابراین ممکنه فایل هایی در 2 پوشۀ نامبرده شده که قبلا بحثش شده کپی بشند اما قابل فعال شدن نیستند. بلکه شما باید روی ویروس و یا تروجان کلیک راست بکنید و بعد Run in COMODO Sandbox را انتخاب کنید. با اجرا کردن ویروسها و تروجانها از این طریق فایل ها فقط در پوشۀ محافظت شده ای به اسم VirtualRoot که در درایو C قرار داره کپی میشند و اجازۀ کپی شدن حتی به اون 2 پوشۀ قبلی را ندارند. این سند باکس در کمودو به اسم Manual Sandbox معرفی میشه و کارش با Automatic Sandbox فرق میکنه.

برای Manual Sandbox شما حتی میتونید فایل های آلوده و یا سالمتون رو با رفتن به قسمت +Defense و بعد Computer Security Policy در قسمت Always Sandbox وارد کنید تا موقع اجرای این گونه فایل ها همیشه داخل سند باکس اجرا بشند.

مثلا شما میتونید برنامۀ PDF Reader را در قسمت Always Sandbox وارد کنید تا اگر اکسپلویتی خواست در سیستم شما از طریق برنامۀ PDF Reader اجرا بشه نتونه به سیستم آسیبی وارد کنه.



روش دیگر شما برای تست ویروسها و تروجانها و نه برای استفادۀ روزمره اینه که +Defense را از حالت Safe Mode بزارید روی Paranoid Mode اینطوری همونطور که از اسمش معلومه بصورت دیوانه کننده برای هر حرکتی به شما خبر میده و خودتون میتونید تصمیم بگیرید که Allow را بزنید و یا Block و قاعدتا چون شما موقع تست ویروسها و تروجانها میدونید که یک فایل آلوده را دارید تست میکنید بنابراین Allow را باید کلا فراموش کنید.

کلا راه برای شخصی سازی کمودو زیاده و از هر طریقی که بخواهید میتونید شخصی سازی کنید. شما هر شیوه را که دوست داشتید میتونید استفاده کنید. و یا حتی میتونید از تنظیمات اتواتیک کردن پیغامهای کمودو استفاده کنید که در پست دوم تاپیک این تنظیمات را قبلا گفتم.

موفق باشید.

[alone_boy]

درود
مهران اون پستی که داده بودین رو کامل خوندم و چیزی دستگیرم نشد
چپ و راست به Svchost حمله میکنه و بعد پیغام میده که اجازه میدی فایل اجرایی درست کنه؟من بلوکش میکنم ولی بعد از چند دقیقه اینترنتم رو از کار میندازه و باید ریستارت کنم
مشکل چیه؟!

[M E H R A N]

درود
مهران اون پستی که داده بودین رو کامل خوندم و چیزی دستگیرم نشد
چپ و راست به Svchost حمله میکنه و بعد پیغام میده که اجازه میدی فایل اجرایی درست کنه؟من بلوکش میکنم ولی بعد از چند دقیقه اینترنتم رو از کار میندازه و باید ریستارت کنم
مشکل چیه؟!

دوست عزیز شما با MalwareBytes AntiMalware فول اسکن کردی؟ با خود آنتی ویروس کمود چی؟ اگر فول اسکن کردی پس نتیجه اش چی شد؟ منظورم اینه که چه فایل هایی رو در چه مسیر هایی پیدا کرد و به چه اسم هایی.

اگر با این برنامه ها اسکن کردی و مشکل حل نشد پست زیر را بخون و چیزی رو که خواستم بذار تا ببینم چه خبره.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

ویرایش: عکس این قسمت هایی را هم که بهت میگم در کمودو ضمیمۀ پستت کن. یعنی عکس هاشو بذار تا دقیق بدونم چه فایل هایی آزاد یا بلاک شدند.

در قسمت آنتی ویروس برو به Virus Scanning Settings و عکس قسمت Exclusions را بذار.

بعد برو به قسمت Firewall و بعد Network Security Policy و تمام برنامه هایی که در Application Rules هستند رو بذار.

بعد برو به قسمت +Defense و عکس تمام برنامه هایی که در قسمت Trusted Files هستند رو بذار.

بعد در +Defense برو به Computer Security Policy و عکس قسمت های Defense Plus Rules و Blocked Files رو بذار.

یک عکس هم از قسمت Unrecognized Files برام بذار . البته اگر فایلی و یا برنامه ای وجود داشت وگرنه لازم نیست.

[M E H R A N]

یاهو مسنجر هم به فکر تم ساختن برای طرفداران COMODO افتاده.



عکس کانسپته و در فتوشاپ درست شده.

[M E H R A N]

False Positive - Maybe or not

کسانی که از PowerDVD نسخۀ 10 استفاده میکنند. حواسشون باشه که کمودو 2 تا فایل زیر را در پوشۀ نصب این برنامه به اشتباه بعنوان ویروس تشخیص میده. البته نسخه ای که من استفاده میکنم کرک شده است و ممکنه تشخیص درست هم باشه اما چون قبلا تشخیص نمیداد و از دیروز شروع به اینکار کرده امکان False Positive بودنش زیاده.



مشکل دیگه ای که کمودو با شرکت Cyberlink پیدا کرده اینه که اسم این شرکت از لیست سفید نرم افزار های کمودو از دیروز پاک شده. این لیست از طریق آپدیت هم میتونه اضافه بشه و هم پاک بشه. دلیل اینکه چرا پاک شده رو من نمیدونم. اما همین پاک شدن اسم Cyberlink از لیست سفید باعث میشه که هر برنامه ای که مربوط به این شرکت باشه بعد از اجرا شدن داخل سند باکس باز بشه, حتی اگر امضای دیجیتالی هم داشته باشه..!!



این دو مورد یعنی هم شناسایی فایل های نصب PowerDVD و هم پاک شدن اسم Cyberlink از لیست سفید چه ربطی میتونه به هم داشته باشه. کمی مشکوکه... اما به هر حال من این 2 موضوع رو با کمودو در میون گذاشتم و یخورده غر زدم سرشون. ببینیم جواب چی میشه.

پس حواستون باشه که اگر برنامه ای از شرکت Cyberlink اتوماتیک داخل سند باکس باز شد اون رو بصورت دستی به Trusted Files انقال بدید تا مشکلی برای این برنامه ها پیش نیاد.

ویرایش: دلیل حذف شدن اسم Cyberlink از لیست سفید

اگر به تاپیک معرفی ویروسها و تروجانها رفته باشید, حتما متوجه شدید که من تا حالا چندین نمونۀ مختلف از تروجانها و ویروسها رو قرار دادم که به اسم شرکت های مختلف نرم افزاری امضا شده بودند. این ویروسها و تروجانها به همین دلیل میتوند امضای دیجیتالی باشند و اگر اسم شرکتی که این ویروسها در امضای دیجیتالی دارند در لیست سفید کمودو باشه با اجرا کردنشون کنترلی بر روی اونها صورت نمیگیره و ویروسها و یا تروجانها میتونند در سیستم کاربرانی که از CIS استفاده میکنند خرابکاریهاشون رو بکنند.

دیروز شرکت کمودو چند نمونه فایل آلوده را پیدا کرده که تونستند امضای دیجیتالی شرکت Cyberlink را هــک کنند و خودشون رو داخل برنامه های نصبی این شرکت قایم کنند تا با نصب یکی از این نرم افزار های به اصطلاح کرک شده سیستم کاربران آلوده بشه. به همین دلیل کمودو فعلا اسم شرکت Cyberlink را از لیست سفید حذف کرده تا مشکلی برای کاربران CIS بوجود نیاد.



اون 2 فایل بالا هم که آنتی ویروس کمودو اونها رو به عنوان فایل آلوده تشخیص داده در حال بررسیه.

این موضوع قدرت CIS را در مقابل تروجانها و ویروسهای امضا شده نشون میده و ثابت میکنه که هر شرکتی نمیتونه در لیست سفید کمودو وارد بشه. و از طرفی هم نشون میده که دوستان نباید به برنامه های کرک شده اعتماد کنند.

[ALI16437]

مهران جان سلام
من یک سوال دارم اگر با گزینه Run in COMODO Sandbox یک ویروس رو اجرائ کنی ویروس کجا میره
چون توی سندبکس که خالی بود و اثری ازش نبود

[santamove]

واقعا چطوری یه امضای دیجیتالی رو -- می کنن؟؟؟
استاکس نت با این شیوه یکسال تونست تو وب تاخت و تاز کنه!!!
تا این که آنتی ویروس vba-32 اونو شناخت و کشف کرد...

ولی شیوه تدافعی هوشمند کومودو در مورد این شیوه ها خیلی جالبه....

[M E H R A N]

مهران جان سلام
من یک سوال دارم اگر با گزینه Run in COMODO Sandbox یک ویروس رو اجرائ کنی ویروس کجا میره
چون توی سندبکس که خالی بود و اثری ازش نبود

دوست عزیز اگر قرار باشه که ویروس بعد از اجرا شدن چه از طریق Automatic Sandbox و چه از طریق Manual Sandbox بتونه خرابکاری بکنه و یا خودش رو به پوشه های مهم سیستم مانند ویندوز و یا سیستم32 کپی بکنه که در این صورت باید بگم کمودو را پاک کنید بهتره چون از سیستمتون محافظت نمیکنه.

سند باکس برای اینه که یک محیط مصنوعی و نه واقعی را از ویندوز در اختیار ویروس و یا برنامه ها قرار بده. مثلا اگر ویروسی خواست در رجیستری کلیدی را ثبت کنه, سند باکس رجیستری واقعی سیستم شما را در اختیار ویروس قرار نمیده بلکه یک رجیستری مصنوعی و مجازی را بهش تحویل میده تا ویروس بتونه کار خودش رو بکنه.

اگر از طریق Manual SandBox ویرسی را اجرا کنید در این صورت نه تنها رجیستری مجازی بلکه کل سیستم شما را در یک محیط مصنوعی تحویل ویروس میده تا اگر ویروس خواست فایلی رو کپی کنه بتونه این کار رو بکنه اما این فایل ها در اصل به داخل پوشۀ ویندوز و یا سیستم32 و هر پوشۀ دیگری نخواهند رفت بلکه این محیط ساخته شده و مصنوعی داخل پوشه ای بنام VirtualRoot در داخل درایو C تحویل Mr.Virus داده خواهد شد. این پوشه کلا محافظت شده و هیچ چیزی نمیتونه ازش بیرون بیاد و به سیستم آسیبی وارد کنه.

اگر کاربر خواست عکس العمل ویروس را بعد از اجرا شدن بررسی و آنالیز کنه میتونه با رفتن به پوشۀ VirtualRoot تمام پوشه های ساخته شده و فایل های کپی شده را ببینه. این پوشه نشون میده که اگر ویروس بیرون از محیط سند باکس اجرا میشد به چه پوشه هایی میتونست دسترسی داشته باشه و چه فایل هایی را در چه مسیرهایی کپی میکرد.

برای اینکه بهتر متوجه بشید با هم میریم یک ویروس را از طریق Run in COMODO Sandbox آزمایش کنیم. شما هم این کار را انجام بدید تا با سند باکس بهتر آشنا بشید. البته قبل از انجام دادن این تست تنظیمات برنامۀ شما دقیقا باید تنظیماتی باشه که در پست دوم بعنوان بهترین تنظیمات برای بالابردن امنیت توضیح دادم.

دانلود ویروس:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

پسورد: 123

این ویروس بسیار خطرناکه و اگر در سیستم هر کاربری خارج از محیط سندباکس اجرا بشه سیستمش آلوده میشه و احتمال بالا نیامدن ویندوز هم وجود داره. پس هر کسی خواست اینو تست بکنه دقیقا کارهایی را که میگم انجام بدید... نه بیشتر نه کمتر... ریسک تست کردن هم بر عهدۀ خودتونه.

این ویروس تا بحال توسط آنتی ویروسهای زیر شناسایی شده...

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

آنتی ویروس کمودو هم در این لحظه که تست را انجام دادم اینو شناسایی نمیکرد اما ممکنه بزودی به دیتابیس اضافه بشه.

ویروس را که دانلود کردید آنرا از هر دو لایۀ rar شده خارج کنید تا کاملا بیرون بیاد. بعد روش کلیک راست کنید و Run in Comodo Sandbox را بزنید.

بعد از اجرا شدنش +Defense یک پیغام بهتون نشون میده که در عکس زیر مشخصه...



این پیغام میگه که Explorer.exe یک فایل شناخته شده و قابل اعتماد است اما میخواد که یک فایل ناشناخته به اسم KILL.EXE را اجرا کند. تصمیم شما چیست Allow یا Block ؟ خب چون ما میخوایم که ویروس را اجرا کنیم بنابراین Allow را میزنیم تا ویروس در سیستم ما اجرا بشه. اگر Block را بزنید ویروس اصلا اجرا نمیشه و همون جا سر جایی که هست میمونه. اما قبل از اینکه Allow را بزنید تیک قسمت Remember را بردارید تا چیزی ثبت نشه. اگر هم دوست داشتید میتونید تیک قسمت Submit the file را بزنید تا فایل Kill.exe برای بررسی به کمودو فرستاده بشه.

بعد از اینکه Allow را زیدید و ویروس اجرا شد CIS را باز کنید و برید به مسیر Defense Plus >> Active Process List در اونجا اگر بگردید مستر ویروس را به اسم Kill.exe و نوچه ای که با خودش درست کرده به اسم SEXO.bat را خواهید دید. این دو فایل الان در سیستم شما اجرا شده هستند و حتی خواستند که از طریق CMD یعنی داس کدهای آلودۀ خودشون رو به فایل های دیگه تزریق کنند.

زمانی که میخواد کدهای خودشو تزریق کنه +Defense خبرشو به شما میده و پیغام زیر براتون باز میشه...



اگر پیغام را دقیق بخونید متوجه میشید که در این پیغام گفته شده: Global Hook یکی از ویژگی های ویندوز است که به برنامه هایی مانند مدیا پلیر, کیبرد و غیره... اجازه میده که کدهای اجرایی خودشون را مانند dll های قابل اجرا شدن به بقیۀ برنامه ها تزریق کنند. اما همچنین بطور معمول این کار میتونه توسط مخربها برای کپی کردن اطلاعات, عکس گرفتن و فیلم برداری کردن از دسکتاپ و یا در دست گرفتن کنترل نرم افزار های سالم انجام بشه و غیره...

حالا با توجه به توضیحات بالا آیا باید این پیغام را Allow کنید و بهش اجازه بدید و یا Block کنید؟ خب چون ما در پیغام میبینیم که فایل kill,exe که در گوشۀ سمت چپ بالا اسمش نوشته شده و این فایل را ما نمیشناسیم بنابراین بدون اینکه Remember my answer را انتخاب کنید Block را میزنیم.

تا اینجا تمام خرابکاریهایی که قرار بود Kill.exe بر سر سیستم ما بیاره هم توسط سند باکس اتوماتیک دفع شد و هم با ایم پیغام آخری خودمون اون رو دفع کردیم و نگذاشتیم که آسیبی به سیستممون وارد کنه.

حالا شما دوباره برید به قسمت Active Process List در +Defense اونجا متوجه میشید که این 2 فایل هر دو بصورت Limited اجرا شدند و کلمۀ Limited هم به معنی اینه که اینها داخل سند باکس اجرا شدند و تنظیمات سند باکس هم چون بر روی Limited قرار داره بنابراین با همین حالت اجرا شدند.

اما بعضی از ویروسها و تروجانها بعد از اجرا شدن در سند فاکس یا خودشون, خودشون رو غیر فعال میکنند چون میتونند متوجه بشند که در یک سیستم واقعی اجرا نشدند و یا اینکه با محدودیتی که سندباکس براشون اجرا میکنه نمیتونند داخل سند باکس فعال بمونند و بنابراین غیر فعال میشند.

اما این نمونۀ ما سمج تشریف داره و هنوز فعاله. حالا شما یا میتونید کامپیوترتون رو ریستارت کنید تا غیر فعال بشند و یا میتونید با کلیک راست کردن بر روی Kill.exe و انتخاب گزینۀ Terminate اون رو غیر فعال کنید. چون فایل SEXO.bat زیر مجموعۀ Kill.exe است و توسط Kill.exe اجرا شده بنابراین با Terminate کردن Kill.exe فایل SEXO.bat هم غیر فعال خواهد شد.



بعد از غیر فعال کردنش میتونید فایل kill.exe را هر جا که ذخیره کردید بصورت دستی پاک کنید.

اما برای اینکه متوجه بشیم kill.exe به کدام پوشه های مصنوعی دسترسی داشته و اگر در سیستم بقیه اجرا میشد به چه پوشه هایی سرک میکشید میتونید برید به مسیر c:\VirtualRoot و اونجا پوشه ای را که به اسم kill.exe از طرف کمودو ساخته شده را ببینید. داخل پوشه که برید تمام مسیر ها و پوشه های ساخته شده را خواهید دید.



بعد از تمام شدن تحقیقات میتونید پوشۀ kill.exe را پاک کنید.

موفق باشید.

[edi2]

اقا مهران موقع اجرا تو سند باکس کومودو از روی هوشش شناختش