COMODO Internet Security 5.0 正式推出

Comodo今天不久前正式釋出了COMODO Internet Security 5.0
除了改進以往既有的功能，它還加入了時下最流行的雲端技術
不但使用了雲端掃瞄、雲端行為分析、應用程式白名單
還有了新的用戶操作介面跟越來越流行的"遊戲模式"！



新的CIS帶來了諸多特性
Comodo似乎有意要把CIS這樣的專業變得很簡單易用
像現在很多廠商都已經有了的"遊戲模式"也包含了
似乎有想大小通吃的感覺，因為實際上
規則設定完成，遊戲時根本是不會跳框影響用戶遊戲的！
實用性其實不高，對初階用戶來說比較有用得到的機會


安裝時會詢問是否使用Secure DNS，如果你有偏好的DNS Server
或是在路由之下，請選擇不使用Secure DNS



使用上建議把Comodo Message Center關掉，以免跳框頻繁增加困擾



建議使用Clean PC Mode，並勾選Create rule for safe app跟Block all unknown request....



防火牆的部份同上，也是建議勾選Create rule for safe app



以往我們在制定規則時，需要在不同的窗口來回切換，現在5.0一次把它通通擺放在這裡



緝毒引擎可以手動開啟雲端掃瞄



Comodo的緝毒引擎一向都不好，5.0其實也沒有什麼改進
只開低啟發就會報殼，看來它還有好長的一段路要走
在現在這個到處都在OEM引擎，賣引擎使用權的現在
Comodo還願意自己開發，其實是該值得鼓勵
但可惜這個緝毒引擎現在依然不建議使用




官方論壇更新說明

重點提示一下！
4.x版的用戶可以直接下載5.0安裝程式進行更新
為了避免其它未知的重大錯誤影響穩定性
自動更新將會在兩個星期後才會正式啟動


而目前正在使用3.x的用戶你將無法透過自動更新
或直接用5.0安裝程式進行更新，必須先將其移除


而3.x的用戶還有一點需要注意的事！
官方將在今年11月1號停止特徵碼的更新服務
所以建議目前依然死守在3.x的用戶趁勢更新到5.0吧！ (繼續閱讀...)

Preview：COMODO Time Machine 2.0 Beta

前兩天COMODO推出了Time Machine 2.0 Beta（簡稱CTM）
一直以來COMODO始終致力於免費又高效的安全軟體
旗下COMODO Internet Security已然成為業界的另一個精英！



而更重要的是"防毒"在資訊安全中只是一小部分
平常我們應該確保資料的保存，並應該及時備份
使用CTM除了可以還原因為中毒所造成的破壞外
也可以用來還原一些錯誤的操作，很適合實機測試軟體

CTM安裝後，它會在Windows開機選單前載入CTM的DOS操作模式
用戶就算進不了OS，只要借助這個DOS工具，也可以進行還原、備份等操作




CTM提供傻瓜模式，你可以直接選擇建立系統快照，或還原系統快照




我們進入進階的部分
快照上CTM提供像VMWare WKS這類的"多重快照"功能
不像某些影子系統，還原快照只能單向進行
一旦經過還原，後面建立的快照將一去不復反！
在方便性上來說，CTM的多重快照限制較少，使用上更為靈活！




再來介紹一下同步功能
這個功能相當實用，我用它來同步我的profile
遊戲存檔或者是桌面物件等，它會在完成還原時同步
不會讓你的資料遺失或被覆蓋掉！

首先進入設定勾選"Synchronize these．．"開始啟用同步功能




接下來把你想要同步的資料夾加入到清單內，套用後這樣就完成資料同步了




CTM使用很容易上手的，而且功能上也相當強
還原速度還算快，它同時也支援多系統的維護
就一款免費軟體來說，CTM它非常直得使用
而同等級的其它商業軟體售價都不便宜

不過目前能處於測試階段，使用上或多或少會存在一些風險
使用前請務必瞭解這點，否則造成不必要的資料損失
那就真的得不償失了！ (繼續閱讀...)

CIS 3.11 Release Note

COMODO在昨天發佈了CIS 3.11
新版的版號為3.11.108364.552
原CIS 3.10的用戶在昨天
已經可以透過自動升級升級至新版



下載：

32bit Setup
Size: 39M ( 40493328 )
MD5: 543567c36f5629ece2c64b1842c0d582
SHA1: 31baba2476c2843cc525d7dcf5d32eb54cdfd582

64bit Setip
Size: 42M ( 43249424 )
MD5: 39e663f4af7083a95620d9e13c37492c
SHA1: 76b1652e9bab608abf67d154619f1fa7350542c1


Change Log：

IMPROVED! Memory scanner now includes more advanced techniques to detect viruses in memory
FIXED! AV consumes huge memory while scanning some compressed files
FIXED! AV reports incorrent archive names under some circumstances
FIXED! AV causes freezes in 64 bit operating systems under certain conditions
FIXED! AV crashes while scanning certain packed files
FIXED! Some windows updates can not be installed while CIS is installed

這次新版並沒有增加或增強任何HIPS功能
僅僅是修正與提升防毒部份的能力
吸引力沒以往的版本來的高！
對於從來不用CIS AV的人來說
是體驗不出任和差別的！ (繼續閱讀...)

樣本分析 － 農民幣誘拐

玩Facebook一段時間了，它裡面有個Flash Game叫做開心農場
初期給你六塊田去耕種，如果要繼續擴張，那你必須花錢購買農民幣
如果不想花錢，有的時候會有一些免費送農民幣的活動
這些活動通常都是真的，但有的時候也有假的
可能是要求你安裝一些有的沒有的東西
有的可能騙說送你農民幣，但其實是利益交換
騙人花招很多，就是看準了人的"貪念"



進入這個頁面，我們找Free類別的
然後可以看到如圖中的畫面，我照著說明
下載了那個所謂通訊軟體的客戶端
如果你沒有Facebook帳號那點我進入




因為這個東西看起來就覺得非常可疑
而且它還要求你一直開啟它
跟你的其它通訊軟體
基於常理判斷，應該不是什麼好東西




在它的安裝過程中就有不少惡意行為
還不隱避，才一開始就出現了惡意行為



直接修改IE記憶體



開始一連串的Downloader行為









這行為或許合法，但重點是接下來



又繼續下載了



對系統做了不少修改



生成*.tmp檔，並在windir下生成






開始生成ocx檔









繼續修改註冊表





















繼續修改explorer.exe記憶體內容






IE居然開始自動要求聯網



行回實在太可疑了，這回D+也報啟發了




安裝完後，發現了一個叫做Power Cleaner的東西
我沒有執行它，它自己就莫名其妙的出現在我的眼前




看起來它找到了一大堆需要修復或清理的對象



可是當你要進行清理時，它就要你花錢了



IE由svchost.exe開啟，再明顯不過的怪異行為




IE的連線，IE沒有視窗，除非打開工作管理員
否則你不會發現IE在背後偷偷工作



該樣本從它被執行的那一刻開始，就一直不停的聯網
下載了很多東西，其中不少還是合法的軟體
像是Yahoo toobar之類的工具，我沒有檢查這些工具是否被加料
但是數位簽章相當完好，或許是用合法掩護非法的手段

過程中CIS大約有100次左右的彈框，我僅擷取部分
大部分的聯網提示我都捨棄，只保留能夠解釋部份行為的提示
其中svchost.exe因為規則的關係，還有我放行explorer.exe被修改
所以CIS被沒有提示將要被執行IE

除了這個樣本外，FaceBook上還有更多類似的東西
所以玩Facebook想要免費取得農民幣
應該找不需要下載或安裝的
對你的隱私或個人財產才會比較有保障！ (繼續閱讀...)

我發現了一個CIS 3.10的弱點

今天原本是想寫點關於漏洞攻擊的文章
想比較一下沒有Anti BO的KIS 2010跟CIS 3.10
在同一個樣本上的表現，但測試的過程中
我無意間發現一個可以過CIS 3.10的方法
雖然目前沒有樣本，但此方法經過試驗確實可行



我之前曾經寫過一篇關於不要用Adobe Reader的文章
主要原因在於Reader太不安全了，經常被安全研究人員發現高危漏洞
很多針對Reader而生的特製PDF就此大規模攻擊Adobe用戶

因為Adobe實在太不安全的緣故，所以F-Secure才跳出來
向大家呼籲請不要再用Adobe Reader的PDF的客戶端
改用其它PDF客戶端，以確保自己機器的安全！


我手上有一個PDF樣本，測試對象為Adobe Reader 8.0
使用CIS 3.10與KIS 2010(Ver.9.0.0.463)


首先我要說明，這個樣本CIS可以藉由Memory Firewall攔截




但是，CIS跟這世上所有的防毒軟體一樣
無法100%攔截，或多或少總還是會有一些落網之魚
我們從CIS的Release Note中就可以看出來
CIS一直在增加Anti BO能夠阻擋的類型

首先我先假設CIS無法攔截這個樣本的BO行為
也就是跳過CIS所攔截的這個畫面
然後我們先來看一下KIS 2010的攔截情形


提示聯網




允許後就下載了這個叫做update.exe的程式




在system32下創建servises.exe






行為實在太可疑了，KIS 2010發出高危警告





KIS 2010沒有Anti BO，但是它的HIPS還不錯
最後依然成功攔截，再來我們來看CIS 3.10的情況









看到這裡或許有人覺得奇怪
CIS 3.10不是攔截了嗎？
確實CIS 3.10在這個樣本上是攔截了
這裡應該有人發現到什麼了吧？

沒錯CIS在這裡居然沒有彈出聯網要求
我一開始的測試是在Custon policy mode與Safe mode下
在這兩個模式下CIS用起來很正常，你認為應該提示的它都會提示
CIS 3.10這裡的問題其實是出在廠商白名單裡




COMODO為了讓CIS能夠更易用
他們傚法其他廠商一樣也引入了大批白名單
不過這份白名單並沒有像KIS這般包含行為黑白名單
我依據直覺，把Adobe從白名單裡面刪除
再執行樣本一遍，就出現了前面那些CIS的彈框

如果沒將廠商名單刪除，那CIS只會出現FD的攔截提示
然後我將自己的CIS設定退回COMODO官方所推薦的
Safe mode與Clean PC mode這兩兼顧安全與易用的防護層級
再恢復原本已經刪除的Adobe廠商白名單

來模擬看看一般人遇到這個樣本後會發生的情形
這個樣本比較不好的地方是它會在%windir%下生成
所以CIS 3.10會提示，但是在聯網的部分完全沒有彈框
打開CIS 3.10檢查正在連線中的程式，樣本一直保持在聯網的狀態




如果未來有人寫出不牴觸CIS預設規則的樣本
然後利用廠商白名單，在某種程度上應該是可以在不誘發彈框
的情況下，成功對機器造成一些破壞

很可惜CIS 3.10在這個樣本上表現讓人失望
只要程式的製造商是CIS內的廠商白名單
那它就可以得到CIS為它開的"特殊執行權限"

我們再回頭來看KIS 2010
同樣的情形在KIS 2010上就好的多了
雖然KIS在聯網的時候同樣會被過(前面截圖是在手動模式下)
但KIS複雜的智能模式，把這類型樣本對系統的傷害降到了最小
在KIS 2010上，因為承襲聊好的智能判斷方式
就算你把樣本丟到"信任群組"內，KIS照樣會彈出警告框
而不會像CIS 3.10這樣門戶大開


雖然這個弱點的利用率應該不高
如果落到有心人士手上，或許真的可以過CIS也不一定！ (繼續閱讀...)