3 replies to this topic

[spywar]

Bonsoir,

 

Je crée ce sujet afin de parler d'un problème connu chez Comodo* qui à mon avis est un réel soucis mais ils n'en n'ont pas grand chose à faire.

Si vous le savez pas : Comodo fonctionne sous le sytème de "Default Deny Protection" autrement dit : Tout ce qui n'est pas whitelisté est autosandboxé et envoyé à un système d'analyse d'automatique basé sur le cloud (qui analyse le comportement du PE) et si celui ci est suspect, l'exécutable est alors ajouté à la base de donnée de Comodo. http://www.comodo.co...dp/database.php ici on voit un nombre très important de "UnclassifiedMalware" ou "Heur.Suspiciousé ils proviennent de CAMAS (http://camas.comodo.com/).

 

Parlons un peu des FP(s), qui sont à 90% causés par CAMAS :

 

1) Je télécharge a.exe un fichier sain qui n'a pas de signature digitale.

2) Il est inconnu par Comodo

3) Le fichier est donc sandboxé comme partiellement limité (d'ailleurs ça c'est pas bon on verra après...)

4) Il est envoyé à CAMAS

5) Supposons que CAMAS détecte un comportement malveillant il est donc bloqué et l'utilisateur est alerté : "CloudBehavior.Suspicious"

6) Vous soumettez le FP (pas du logiciel en lui même ils sont jamais fixés... mais du forum)

7) 5h après, le FP est fixé, et le fichier est whitelisté (placé en liste blanche).

8) Une nouvelle version de ce a.exe sort

9) Vous le mettez à jour.

10)Le fichier change de hash (ou empreinte digitale) il est donc inconnu à présent (oui les fichiers sont whitelistés par hash).

11)Il est donc autosandboxé à nouveau puis soumis à CAMAS ...

12)"CloudBehavior.Suspicious"....

etc

etc

 

Voilà pourquoi un membre du forum a du soumettre ~10/15 fois RogueKiller.exe ou moi avoir soumis 2/3 fois TDSSkiller...

 

*Connu chez comodo effectivement : http://forums.comodo...a-t92567.0.html

Mais mon sujet a été déplacé....

 

Au sujet du partiellement limité : Par défaut il n'y a aucune virtualisation totale, et Comodo n'analyse pas le fichier (contrairement à Avast!) il empêche des modifications d'être faîtes (en gros HIPS automatisé...) mais des membres avaient reportés des ransomwares capables de bypassés ce système.

 

Si vous avez quelconque questions sur le fonctionnement de CIS ou Avast! n'hésitez pas.

[vigen]

"mais ils n'en n'ont pas grand chose à faire."

 

C'est pas faute de l'avoir dit !!!

[EboO]

Doit-on en déduire qu'il faut configurer l'ensemble en virtualisation totale ?
Ou carrément mettre avast au profit de comodo ?

[spywar]

Doit-on en déduire qu'il faut configurer l'ensemble en virtualisation totale ?
Ou carrément mettre avast au profit de comodo ?

L'autosandbox de Comodo par défaut : Partiellement limité - n'est pas recommandé. De plus comme j'ai dit il n'analyse rien il applique les règles du HIPS donc empêche partiellement le programme de modifier certaines choses. L'analyse du fichier s'effectue avec CIMA.

 

D'après un modo : Il est recommandé de le passer en virtualisation totale.