Цифровая подпись - додоверялись? :) - Страница 4 - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию
spw

Цифровая подпись - додоверялись? :)

Recommended Posts

ladoslav

Umnik

Как Вам передать ссылку на архив с вирусами? (в личку не получается написать - пишет "Вам запрещено использовать личные сообщения на форуме" почему-то)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

ladoslav

Не нужно. Архив с теми наш вирусный аналитик Юрий Паршин получил и, знаете ли, не все то зараза, что китайское.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ladoslav
ladoslav

Не нужно. Архив с теми наш вирусный аналитик Юрий Паршин получил и, знаете ли, не все то зараза, что китайское.

Хотите сказать что файл PARTNER2036.exe безвреден?

PARTNER2036 - пропущен, добавлен в доверенные (файл имеет цифровую подпись...);

SearchToobar... - запуск и установка прошли беспрепятственно, тоже добавлен в доверенные (имеется цифровая подпись);

Интересно просто, в названии компании, чья подпись, что фигурирует?

PARTNER2036 - 21ViaNetBroadBand Limited.

Насчет SearchToolbarSetupDev я видимо ошибся. Цифровой подписи нет, но KSN показывает что программу использует немало пользователей. Видимо она безвредна (обычный тулбар в IE)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Хотите сказать что файл PARTNER2036.exe безвреден?

Этот файл зловредный - его подпись добавили в черный список (софт не будет помещаться в доверенные), а сам файл задетектили - Backdoor.Win32.PcClient.eefn

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Да, капец какой то пошел с подписями... Пора доверять только подписям MS и своей базе... Остальных в топку. ЦП от VeriSign и других - уже ничего не стоят в плане безопасности....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Hitomi

А можно раскидать по "чёрным" и "белым" спискам? То есть если файл пришёл с ЦП от проштрафившегося издателя проверять как обычный файл. Без учёта подписи...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

Так наверно и сделали, в доверенные не попадет уже по любому а дальше пойдет по всем проверкам.

Вот теперь тонны доверенных файлов наверно будут перепроверяться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Так подпись по KSN и блокируется. Не просто так даже файлы с подписью добавляются в Доверенные по KSN. Если подпись производителя уйдет налево, то нормальные программы этого производителя так и останутся доверенными.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak
Да, капец какой то пошел с подписями... Пора доверять только подписям MS и своей базе... Остальных в топку. ЦП от VeriSign и других - уже ничего не стоят в плане безопасности....

Много программ полагаются на подписи - это начинает пугать. Интересно, Comodo тоже так легко будет такие штуки пропускать или хоть как-то пикнит...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Liam
Comodo тоже так легко будет такие штуки пропускать

7-я минута

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Насколько я помню, я ужи видел этот тест. Многие заметили, что при тесте был выключен интернет. Так ли это?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Liam
Так ли это?

в первом он показывал что будет если выключить облако + базы сутки не обновлялись.Во втором включен.

Но languy99 заинтересованное лицо,да и тестом это назвать сложно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rampant
его подпись добавили в черный список

за это спасибо ребятам с кадетов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
за это спасибо ребятам с кадетов.

вам еще не надоело своих кадетов рекламировать? <_<

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rampant

Dmitriy K

нет, данный зловред получен оттуда, и ещё очень многие новые определения, которые выявляют довольно серьёзные проблемы, в различных продуктах.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
различных продуктах
если вы про песочницу комода, то это было известно и без ваших тестов.

А упоминания про ваш горячо любимый форум в последнее время попадаются во всех ваших постах.

Или вы ищите новых зомби-тестеров? :blink:

------

эту разборку предлагаю перенести в личку :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rampant
то это было известно и без ваших тестов

на форуме Комодо, об этом я заговорил первый, к тому же я рекламирую не форум, а выражаю благодарность его пользователям, и насколько я помню, ссылки на кадеты выложил первым кто то из ЛК. Да помимо проблемы у Комодо, была выявлена проблема у последней версии Нортон, это плохо? Хорошо, я больше не буду публиковать наши скромные находки, на этом ресурсе.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
на форуме Комодо, об этом я заговорил первый, к тому же я рекламирую не форум, а выражаю благодарность его пользователям, и насколько я помню, ссылки на кадеты выложил первым кто то из ЛК. Да помимо проблемы у Комодо, была выявлена проблема у последней версии Нортон, это плохо? Хорошо, я больше не буду публиковать наши скромные находки, на этом ресурсе.

Я считаю, что все оК. Да, впервые ссылки были выложены в разделе ЛК тут и сотрудником ЛК. И ничего страшного нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

[offtop]

помимо проблемы у Комодо

справку читали?

Partially Limited - The application is allowed to access all the Operating system files and

resources like clipboard. Modification of protected files/registry keys is not allowed. Privileged

operations like loading drivers or debugging other applications are also not allowed.

перевод (может я "коряво" перевел? )

Частично ограниченные - приложению разрешен доступ ко всем файлам операционной системы и ресурсам,

таким как буфер обмена. Модификация защищенных файлов/ключей реестра не разрешена.

Привилегированные операции, такие как загрузка драйверов или отладчики приложений также не разрешаются.

Это я к тому, каким образом у вас установился Фаншен :)

Дыра в песочнице? :lol:

[/end of offtop]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic
Это я к тому, каким образом у вас установился Фаншен smile.gif

Дыра в песочнице? laugh.gif

Только что проверял запуск фаншена с установкой "Обрабатывать неопознанные файлы как подозрительные". Установился как миленький, без всяких алертов. Не просто дыра - это дупло какое-то...

  • Upvote 20

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rampant

Есть файлик интересный (с форума который не называю))) вот его свойства

a607c428596c.jpg

и вот результаты с VT

http://www.virustotal.com/file-scan/report...3efe-1286499411

интересно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Есть файлик интересный

что интересного он делает? :)

интересно?
было бы интересней если бы у файла была действителоьная цифровая подпись и такой же результат с вирустотала ;)

такие подражатели существуют уже очень давно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

А что в нем может быть интересного? Только как очередной зверек для Юры Паршина, не более того.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

А это все липа, которая не действующая?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Ну что, продолжим темку ?

Итак, сегодня на арене все та же гавнокомпания Комодо, со своим гавнодиректором ("Anti Virus Companies are Protecting Criminals!") - в этот раз нафакапившая с выдачей SSL сертификатов каким-то мутным иранским чувакам.

Иранцы получили серты на

login.live.com

mail.google.com

www.google.com

login.yahoo.com (3 certificates)

login.skype.com

addons.mozilla.org

"Global Trustee"

В итоге Микрософт, Мозилла и Гугл выпускают патчи-фиксы и банят все попало, а Комодо рассказывает о том, что они не виноваты и вообще спасут мир.

Хотя за такое у них давно пора отозвать лицензию и распять на столбе.

Ссылки по темам тут:

http://www.securelist.com/en/blog/6153/A_Web_of_Mis_Trust

http://www.zdnet.com/blog/security/microso...le_skin;content

http://www.comodo.com/Comodo-Fraud-Incident-2011-03-23.html

http://blogs.comodo.com/it-security/data-s...-ca-compromise/

http://www.microsoft.com/technet/security/...ry/2524375.mspx

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Проблема оказалась в редакции windows, для home нужно дополнительно прописывать флаг в реестр, в RC4 теперь это делается автоматически.
        Добавил функцию для образов.

      ---------------------------------------------------------
       5.0.RC4
      ---------------------------------------------------------
      o Добавлена поддержка включения отслеживания командной строки процессов для "Home" редакций Windows.
        Теперь при включении отслеживания в лог печатается статус этой опции.

      o Функция "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом" теперь доступа и при работе с образом,
        если образ сделан при активном отслеживании процессов.

      o Исправлена критическая ошибка при создании файла описания для скопированного в Zoo большого текстового файла (vbs/cmd и т.д.).

       
    • santy
      Привет. По 5.0 RC3 Это работает. (саму команду еще не проверил как работает). И в цепочку процесс укладывается, хотя цепочка достаточно запутана, но к сожалению, отслеживание командной строки не включилось по какой-то причине. Возможно потому что не был отключен антивирус MBAM.
       o В окне истории процессов и задач в контекстное меню процесса добавлен новый пункт: 
         "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом"
         Это может быть полезно при поиске процесса модифицировавшего неявно запущенный им процесс. Функция есть в истории процессов и задач, но работает видимо только из активной системы.                           DESKTOP-867G3VL_2025-07-15_20-59-13_v5.0.RC3.v x64.7z
    • demkd
      Да, с этим файлом проблема, починю.
    • PR55.RP55
      В настройках добавить: Отправлять лог применения\выполнения скрипта на сервер\адресату. Уникальный идентификатор прописывается в скрипт при его генерации. т.е. Оператор не запрашивает результат выполнения скрипта у пользователя.    
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.14.
×