45 replies to this topic

[visualbasic]

http://forums.comodo...d-t57051.0.html

EN:
What's New in COMODO Internet Security 4.1.149672.916?

NEW! Sandbox button in elevated privilege alerts: Privilege elevation alerts now include a sandbox button to run installers in limited mode
IMPROVED! Default security policy is modified so that outbound firewall connection alerts are shown for the unknown applications
IMPROVED! Online Lookup: Defense+ now checks the applications online in real-time before automatically sandboxing them
FIXED! The vulnerabilities related to certain hooks reported by
Matousec.com(http://www.securityfocus.com/bid/39924/)
FIXED! Incompatibility problems with many applications(e.g. HD Speed, Autocad etc)
FIXED! Already submitted files can be submitted again under certain conditions
FIXED! Defense+ does not show protected registry key modification alerts for sandbox applications in Windows XP 64
FIXED! Windows System Restoration fails because of file sfi.dat
FIXED! Cfp.exe freezes while showing real-time virus detection dialog
FIXED! Antivirus crashes while scanning certain files

FR :

Nouveau! Bouton sandbox avec des privilèges élevés des alertes : alertes une élévation de privilège incluent désormais un bouton sandbox pour exécuter des programmes d'installation en mode limité
IMPROVED ! Stratégie de sécurité par défaut est modifié de sorte que les alertes de connexion de pare-feu sortant sont affichés pour les applications inconnues
IMPROVED ! Recherche en ligne : Defense + vérifie désormais les applications en ligne en temps réel avant la sandbox automatiquement
FIXED ! Les vulnérabilités liées à certains hooks signalés par
Matousec.com(http://www.SecurityFocus.com/bid/39924/)
fixés ! Problèmes d'incompatibilité avec de nombreuses applications (par exemple, vitesse de HD, AutoCAD etc.)
FIXED ! Déjà soumis de fichiers peuvent être soumis à nouveau, sous certaines conditions
FIXED ! Défense + n'affiche pas protégé de registre clés de modification des alertes pour les applications de sandbox dans Windows XP 64
FIXED ! Restauration du système Windows échoue en raison de fichier sfi.dat FIXED ! Cfp.exe se bloque lors de la détection de virus en temps réel montrant de dialogue
FIXED ! Antivirus se bloque lors de l'analyse de certains fichiers.
(Traduit par bing translator, y se débrouille pas mal..)

CODE

FIXED! Cfp.exe freezes while showing real-time virus detection dialog

Ca c'est bien drôle, le premier fichier qu'il a detecter, il a planter ..,
Pour ceux qui ne connaisent pas l'anti logger test de spyhelter, La webcam est maintenant plus capturées, mais les screenshots le sont encore, malheureusement.

Ce message a été modifié par visualbasic - 02 juin 2010 - 17:52 .

[visualbasic]

Attention pour ceux qui avait des problémes avec COMODO LEAK TEST et l'antivirus qui crash,
Les bugs sont encore là, et plus nombreux, comme d'hab, je pense que c'est leur politique .. quand cette beta sera stable, l
De plus un bug vien, c'est le probleme de switch de comodo v 3.14 a celle la, sur les windows xp sp3, la barre des taches est impossible a géré,
Sandboxie de tZuk, ne marche plus, ces drivers ne se lancent plus, ensuite les problémes a ce bloquage de drivers sur l'OS, Quel sont ces répercutions ..
Problemes du kernel, etc.
Encore un autre problémes :
Comodo installers detecte avira internet security, mais c'est la version free instalées.


Je lui ai laisser encore une chance, encore une fois décu, j'en ai marre, je ne viendrais plus sur cette suite.

Comme le dit Sunbelt (vipre antivirus premium)

*The end of av as you know it
*Finally! Security no longer slows down your PC ( en gros comodo demonte votre windows, sans vous en rendre compte, mais un de ces jours .., je le sais CTM a detruit le kernel de windows.)
*Kiss Your Antivirus Bloatware Goodbye!

La vérité c'est qu'il protege trop leur drivers et se préocupe pas de rajouter des fonctions utiles.
De plus la vulnérabilité trouvée par shaoran, je doute qu'elle soit corigée, non !! y prefere matousec. je sais pas si vous avez remarquez, mais il propose de telecharger ses executables de test, mais tout ceux si sont corompu.

Ce message a été modifié par visualbasic - 03 juin 2010 - 18:10 .

[visualbasic]

Bof COMODO marche bien sur 50% des pcs, mais moi aussi il fonctionnait bien a la premiere version de comodo 4.
Pareil pour la version 3, apres les autres mises a jour de COMODO 4, c'est la merde.

[visualbasic]

http://forums.comodo...s-t57189.0.html

Pour ceux qui voudraient pas le thémes rouge.

Ce message a été modifié par visualbasic - 05 juin 2010 - 07:06 .

[Shaoran]

Un truc sympa.

http://www.miroriii....ll_cis2-7z.html

Prérequis : uniquement c:\, le lieu d'exécution ne change rien normalement, la sandbox doit être active.

Lancez et redémarrez puis enfin, rigolez.


J'ai noté le même bug contournant D+ en mode sécurisé (en parano j'ai pas tenté), malheureusement, j'ai juste un soucis qui provoque une alerte sur autre chose que je n'arrive pas à régler pour l'instant, mais le principe est le même et devrait passer une fois l'autre souci résolu.

Ce message a été modifié par Shaoran - 07 juin 2010 - 17:21 .

[visualbasic]

mdr vilain tu bypass comodo comment cette fois, encore en java?
Je vais pas le tester parce que j'en ai marre de reinstaller cette suite, désolé.

Ce message a été modifié par visualbasic - 07 juin 2010 - 17:28 .

[Shaoran]

En Delphi, on m'a assez critiqué avec java, autant changer

Toujours la même méthode sinon PendingFileRenameOperation, sauf que j'ai appris qu'on pouvait directement effacer un fichier avec cette méthode, donc cette fois si, cmdagent part aux oubliettes.

Ce message a été modifié par Shaoran - 07 juin 2010 - 17:32 .

[visualbasic]

Ah ok, deja que comodo savait pas redemarer son drivers, alors si on le suprime c'est fini..
J'aimerais bien le compiler dans un trojan, et que peghorse le test, juste pour que comodo se bougent

Ce message a été modifié par visualbasic - 07 juin 2010 - 17:34 .

[Shaoran]

Sert à rien, pour un bug réparé, t'en aura 50 en plus en bonus <<

Ce message a été modifié par Shaoran - 07 juin 2010 - 17:40 .

[visualbasic]

Vue de ce point .. ^^

[EboO]

Ptdr, Shaoran tu m'as l'air légèrement énervé après comodo en ce moment... Mais si au moins ça pouvait servir à quelque chose. Et sur OA ça marche ? Tes techniques de bypass tu les as testées sur DW et OSSS ?

[Shaoran]

Bof, je suis pas si énervé que beaucoup le pense. C'est comme ce que je disais à Peg hier, beaucoup semble avoir oublié les évènements d'une semaine avant mon départ par exemple.

Là je suis tombé la dessus par hasard en voulant démontrer tout à fait autre chose que je présenterais plus tard.
Je ne pense pas par contre qu'OA soit toucher, même s'il faudra que je contrôle.
DW et OSSS, surtout sur le dernier, j'ai aucun espoir des les bypasse un jours je pense avec mes connaissances ^^

Ce message a été modifié par Shaoran - 07 juin 2010 - 19:24 .

[visualbasic]

OSSS est surrement l'une des suites les plus convointée actuellement, il ont un bon avenir pour l'entreprise, Shaoran as-tu penser a la traduire pour avoir une lisence gratuite? je me suis dit " je vais la traduire " et me faire aider par quelqun pour l'ortho.. ca aurait etait du tout cuit

Ce message a été modifié par visualbasic - 07 juin 2010 - 19:32 .

[Shaoran]

CIS, c'est presque 1 mois et demi de travail avec beaucoup de journée comptant au moins 6 - 8 heures de travail sachant que a fin a été presque bâclé pour gagner du temps.
OSSS à je pense plus de texte car plus de module, et très sincèrement, il n'y a que le module d'analyse de ce qu'il y a au démarrage qui m'intéresse chez eux, leur hips, je ne pense pas un jours l'utiliser ayant déjà eu bien marre du nombre de pop up obtenu sous machine virtuelle.
Donc non, je ne suis pas trop intéresser par une licence gratuite. Surtout que je vise des softs que je vais mettre sur d'autre pc que d'autre utilisateurs devront pouvoir prendre en main facilement, y compris sur mes machines pour voir à l'avance les possible bugs et savoir quoi aire si necessaire chez les autres (comme c'est déjà arrivé quelques fois avec Comodo -_-')

Ce message a été modifié par Shaoran - 07 juin 2010 - 19:56 .

[visualbasic]

Ok,ok, as-tu tester rising free antivirus 2010 ? a ce qui parait son behavioral analysis est bon..

[Shaoran]

Non, mais justement j'ai vu dernièrement que l'antivirus était gratuit (ouais ouais, je suis toujours à jours xD)
Je regarderai ça prochainement.

Edit : heu non d'ailleurs, il est payant uniquement ...
Edit : heu non j'ai trouvé

Ce message a été modifié par Shaoran - 07 juin 2010 - 20:56 .

[EboO]

Concernant la traduction (et vu la réponse à mon mail) je pense que tu seras bien épaulé par l'équipe des développeurs si tu te lances. Visualbasic tu traduits et je te corrige les fautes, mais c'est toi qui négocie les 2 licences
Tu sais sur quoi tu vas partir comme logiciel Shaoran ?

[Shaoran]

J'ai déjà donné mes avis, mais sinon pour l'instant c'est Panda cloud, firewall windows et wot en amont.

Ce message a été modifié par Shaoran - 08 juin 2010 - 07:42 .

[visualbasic]

Bah oui,On utilise pas que des logiciels signé, meme si il le sont, faut qu'il soit signé par verisign, donc la sandbox est déja limitée, mais surtout defense+

Failles 1 : Les failles de Shaoran.
Failles 2 : Les applications peuvent faire du shellcode a leur aise, mais surtout du .dll dans l'executable
Failles 3 : Les applications peuvent lancer internet explorer, sans alertes de COMODO.
Failles 4 : Quand COMODO dit que cette application lancée a tenter de la lancer une application, voulez vous la lancez sandboxée, en vérité elle n'est pas sandboxée.
Failles 5 : Un keylogger defonce aisement la sandbox.
Failles 6 : Meme sandboxée, defense+ donnes des alertes.
Failles 7 : cette application tente de faire un hook, oui.. et ? le keylogger fait ce qu'il veut.
Failles 8 : les jeux ne savent pas ce lancée dans la sandbox, n'importe laquelle elle est bugée, pas que en 16b, comme le dit certains.
Failles 9 : Quand une application ce met a jour, alors qu'elle est sandboxée, la mises a jour a pas lieu.
Failles 10 : Les applications de HP ne marche pas.
Failles 11 : Bypass de la sandbox avec windows installers.
Failles 12 : Bypass de la sandbox avec Java.
Failles 13 : Les .bat n'est pas des applications, elle ne peuvent pas etre sandboxée, elle le sont, mais peut faire ce qu'il veulent.
Failles 14 : Meme sandboxée, une application peut modifier des parametres windows.
Failles 15 : dans certaines condition apres une application sandboxée, il donne un PID unknow.
Failles 16 : Les scripts python ne fonctionne plus, n'importe lequel.
Failles 17 : Peut bloquer certains modules de firefox.
Failles 18 : Cette application tente d'acceder a upx compressor, vous mettez oui, l'application a tout les droits.
Failles 19 : Quand une application demande l'acces du hook, vous mettez oui, l'application a tous les droits.
Failes 20 : Comodo ouvre plusieurs explorer.exe apres une longue utilisation, et lancez 2x cfp.exe
Failles 21 : Quand un installers est sandboxée, COMODO est ralenti et lance seulement son alertes, 10 minutes apres.. Des gros installers a la 600mo etc.
Failles 22 : La webcam est capturée
Failles 23 : le Son de votre micro est capturée
Failles 24 : Dans certaines Condition votre screenshot est pris sans alertes.
Failles 25 : Empeche les applications crée en VB de fonctionner
Failles 26 : Empeche les applications d'acceder a la libraries de wincap, QT
Failles 27 : Les anti-cheats des jeux peuvent être bloquée.
Failles 28 : Une application qui tente d'utiliser paint.exe ou le blocnote peut tout faire avec.
Failles 29 : La sandbox permet a des applications d'etre inkillable, dans certaines condition.

Voila ce que j'ai mis sur le forum de malekal.

Ce message a été modifié par visualbasic - 08 juin 2010 - 19:26 .

[Shaoran]

Ah c'était toi Skillhackers, j'avais pas pensé à faire le lien xD

edit : bypasse windows installer : et merde, c'était sur quoi je bossais et qui contourne D+ ^^

Ce message a été modifié par Shaoran - 08 juin 2010 - 19:52 .

[vigen]

Ah c'était toi Skillhackers, j'avais pas pensé à faire le lien xD

edit : bypasse windows installer : et merde, c'était sur quoi je bossais et qui contourne D+ ^^

La méchanceté de cet homme !!!!

[EboO]

Visualbasic tu as des topos dans le même genre pour les autres hips du moment ? J'espère que non parce que ça va être la claque, avec comodo c'est pas surprenant mais j'espère que les autres sont moins malades !

[visualbasic]

pour les autres hips du moment

Nan pas specialement, j'ai utiliser une fois online armor, je l'ai trouvé bien.. y ne donner pas d'alertes bien connes, les seuls alertes que j'avais, il empechait les applications sans signature, et fallait aprouver dans l'interface, c'etais chiant.. Mais apres c'est sur, Online armor ce fait avoir avec les .bat et les hooks/upx/windows installers, c'est sur par contre et vue que online armor ne surveille pas le hook, les screenshot sont tous pris, la webcam aussi.
De toute maniere toute ces failles sont avec la sandbox et pas defense+ en lui meme, Defense+ c'est pire y detecte plus rien quasi.. les rogues passent tous la defense+ sans sandbox, ne se voilons pas la face lol, meme avec la sandbox, D'ailleurs l'application peut se relancer au demarage si y ce mets dans l'autoexec.bat de windows, le rogue se redemarent.

Une alerte débile qui vien d'arrivé sur la version 4.(Sans sandbox biensure)
J'ai juste double cliquez sur l'executable.
Conhost a voulez executer ...a.exe ..
Conhost est une application sure
Explorer.exe a voulu executer a.exe ..
Explorer.exe est une application sure.

Ce message a été modifié par visualbasic - 09 juin 2010 - 07:56 .

[Shaoran]

La méchanceté de cet homme !!!!

Mais nan voyons

En fait, j'ai voulu créer un programme d'installation malveillant censé berner les utilisateurs d'hips et de firewall à filtrage sortant afin de montrer ce que j'ai toujours dit, qu'ils ne servent à rien car on se fera berner bien assez vite, auquel cas on pourra se demander à quoi ont servi toutes ces pop up chiantes (c'est aussi une réponse pour toi Eboo ^^)

Bref, pour se faire, j'ai crée un programme d'installation en utilisant les scripts inno setup, et j'ai voulu utiliser toujours la même attaque à savoir PendingFileRenameOperations qui je le rappel sert à supprimer ou intervertir un fichier lorsque Windows démarre permettant ainsi de passer outre les problèmes de fichiers en cours d'utilisation.

Dans un premier temps, j'ai utilisé Comodo qui devait être selon moi le plus facile à passer, j'ai donc écris directement en base de registre la demande de suppression de cmdagent.
En Sandbox comme prévisible avec les réglage par défaut, aucun soucis. Avec D+, il m'alertait d'une demande d'accès en mémoire sur explorer.exe. Je me suis dit qu'on allait me critiquer sur le fait que je touche à explorer et que ça, peu allait le laisser passer.
Alors j'ai voulu changer et trouver quelque chose de plus vague et plus perturbant pour l'utilisateur, j'ai donc demandé au setup d'installer un fichier à la place de cmdagent en utilisant le paramètre restartreplace qui permet de créer une clé de remplacement au démarrage si le fichier est en cours d'utilisation, le tout utilisant la fonction shell MoveFileEx.
Là, surprise, l'hips n'a pas réagit à la création de la clé, il a réagit au fait que le setup place le fichier temporaire dans le dossier de Comodo, et ça naturellement c'est surveillé, on reçoit donc l'alerte setup tente de créer un fichier _trucbidule.tmp dans le dossier Comodo.
Autrement dit, il ne me restait qu'à modifier la fonction interne de inno setup pour qu'il mette le fichier temporaire ailleurs et c'était bon.
La sandbox quand a elle, naturellement, comme d'hab, elle laisse tout passer.

En voulant modifier la fonction, j'ai tenté de faire le code sous delphi, et j'ai été étonné de voir que la sandbox laissait passer ça tranquillement alors que c'est un simple exe .... ça a donné le programme que j'ai posté au dessus.
Toutefois, ayant bien réussi à l'utiliser, inno setup n'aime pas ma modification, donc pour l'instant, je suis coincé avec mon setup.

M'enfin voila, je suis tombé dessus par hasard, stout, et je ne suis pas méchant

Ce message a été modifié par Shaoran - 09 juin 2010 - 08:39 .

[visualbasic]

Interessant.. je pense que du c++ avec _Asm pourrait detroner facile la sandbox, j'essayerais de regarder avec pour le reverse enginering.. en faisan une shellinjection comodo ne detecte plus certaines methodes .. Au pire envoyer un dll pour faire planter le drivers serait le mieux que de le tuer, Apres le malware fait ce qu'il veut, sans que comodo s'en rende compte ou l'utilisateur.
Au pire bloquer download.comodo.com, et bloquer les processus pour pas que l'antivirus arrive a scanner, la aussi y'aurais pas d'alertes.

Ce message a été modifié par visualbasic - 09 juin 2010 - 08:55 .

[visualbasic]

new updates ?