Main menu

Search
Login
Signup
Links
<< Previous thread | Next thread >>   
Symantec NIS intercetta e blocca winpenpack menù

Author Post
EmaCinelli
Mon 03 Jan 2011 - 12:28

online
Registered Member #14218
Joined: Sun 12 Oct 2008 - 12:35
Location: Prevalle (BS)
Posts: 6

L'avvio dalla cartella sul computer non crea problemi, mentre l'avvio da pendrive viene rilevato dalla funzione Sonar di Norton Internet Security che ne blocca l'esecuzione e cancella l'eseguibile.

Ho notato che lanciando da pendrive si nota attività su tutte le altre pendrive inserite, mentre la cosa non si rileva lanciando da computer, forse le due cose sono collegate tra loro.

Allego immagine della finestra di NIS dei dettagli relativi all'intercettazione.

WPP 2.5.48.2232 (ma invero avevo scaricato l'ultima 2.5.49).

Windows 7 Ultimate





[ Edited Mon 03 Jan 2011 - 12:47 ]
Back to top
LordJim60
Mon 03 Jan 2011 - 13:08

online
Registered Member #33962
Joined: Sat 18 Jul 2009 - 08:45
Location: Roma
Posts: 1147
In effetti è strano, ti posso assicurare che non c'è molta differenza tra eseguire il menu da pendrive o da HD.
L'unica cosa che mi viene in mente è la gestione del file "autorun.inf"
Domanda: hai abilitata l'opzione "Crea in automatico autorun.inf" ? se si prova a disattivarla.
altrimenti potrebbe essere che NIS vede che nel programma è contenuta la parola "autorun.inf" e pensa che sia una potenziale minaccia.

Che intendi quando dici: "si nota attività su tutte le altre pendrive inserite" ?
Back to top
EmaCinelli
Mon 03 Jan 2011 - 15:44

online
Registered Member #14218
Joined: Sun 12 Oct 2008 - 12:35
Location: Prevalle (BS)
Posts: 6
Provato a disattivare "Crea in automatico autorun.inf" e non cambia niente, almeno se, come ho pensato, disattivandolo sul computer e copiando in seguito il tutto sulla pendrive la funzione rimane disattivata. Ehm, avviato senza antibvirus noto che la stessa è invece attiva. Provato a distattivarla così e riattivato l'antivirus succede che NIS blocca e rimuove ancora l'eseguibile.

"Si nota attività su tutte le altre pendrive inserite" vuol dire che se tendo inserite nella porte USB anche altre pendrive, quando lancio WPP si nota lampeggiare la spia di tutte le pendrive; pensandoci potrebbe essere l'azione di NIS che nel lancare WPP da pendrive va ad eseguire la scansione su tutte le pendrive. Infatti ... ho disattivato l'Antivirus e tale attività non si nota, ovviamente parte anche il menù WPP.

Ho fatto altre prove e risulta essere solo ed esclusivamente il modulo SONAR (NIS 2011) ad intercettare l'esecuzione di WPP, infatti basta disattivare questo per non avere più il blocco e la cancellazione dell'eseguibile. Però le opzioni di configurazione di SONAR non sortiscono nessun effetto e il bello è che anche se imposto la non rimozione automatica il file viene comunque cancellato (ma questo potrebbe essere un baco di NIS). Faccio altri test e riporto i risultati.

Ok, la rimozione è automatica perchè WPP è rilevato come un rischio ad alto livello, solo quelli a basso livello possono essere vincolati a conferma dell'utente. L'unico modo per evitare l'intercettazione è quello di inserire l'eseguibile nella lista delle esclusioni di SONAR.

La scansione virale normale passa regolarmente, indi il problema risiede in qualche azione fatta dall'avvio del menù che se fatta su pendrive viene intesa come azione virale, qualcosa di diverso dalla creazione dell'autorun.inf che per tutti i test era disattivata (verificato).

Ah, ma è corretto che ci sia solo il menù e nessuna applicazione? Trattandosi di una beta ho pensato di si, ma tanto per essere sicuri meglio segnalare.

Facendo scorrere il post relativo alla pubblicazione della nuova versione (non avevo notato che c'erano più pagine) ho trovato il link all'utlima versione (2.5.49.2233) e questa sembra funzionare senza problemi.

[ Edited Mon 03 Jan 2011 - 16:30 ]
Back to top
LordJim60
Mon 03 Jan 2011 - 18:41

online
Registered Member #33962
Joined: Sat 18 Jul 2009 - 08:45
Location: Roma
Posts: 1147
EmaCinelli wrote ...

Ok, la rimozione è automatica perchè WPP è rilevato come un rischio ad alto livello, solo quelli a basso livello possono essere vincolati a conferma dell'utente. L'unico modo per evitare l'intercettazione è quello di inserire l'eseguibile nella lista delle esclusioni di SONAR.

Sarebbe interessante sapere perché è considerato rischio ad alto livello, nello screenshot che hai postato ci sono dei link con scritto "More", puoi indagare se ci fornisce ulteriori informazioni sul tipo di minaccia?

EmaCinelli wrote ...

Ah, ma è corretto che ci sia solo il menù e nessuna applicazione? Trattandosi di una beta ho pensato di si, ma tanto per essere sicuri meglio segnalare.

Si, se vuoi provarlo con la tua suite ( o una sua copia ) devi mettere l'eseguibile winPenPackNet.exe nella stessa cartella dove risiede l'eseguibile originale (tanto hanno nomi diversi) e nella cartella:
winpenpack\User\winpenpack_launcher\Lang
i file winPenPack.??.ini

EmaCinelli wrote ...

Facendo scorrere il post relativo alla pubblicazione della nuova versione (non avevo notato che c'erano più pagine) ho trovato il link all'utlima versione (2.5.49.2233) e questa sembra funzionare senza problemi.

moolto strano... la modifica fatta non giustifica il cambiamento, a parte due righe di codice nell'import di un software ( peraltro azione che non si verifica all'avvio ) la vera differenza è che questa volta ho compilato con SharpDevelop...
Back to top
EmaCinelli
Mon 03 Jan 2011 - 18:49

online
Registered Member #14218
Joined: Sun 12 Oct 2008 - 12:35
Location: Prevalle (BS)
Posts: 6
Ok, appena posso (domani) provo a fare ulteriori indagini. Grazie!
Back to top
EmaCinelli
Tue 04 Jan 2011 - 08:52

online
Registered Member #14218
Joined: Sun 12 Oct 2008 - 12:35
Location: Prevalle (BS)
Posts: 6
Allora, quelle due finestre (More) le avevo già esaminate e non contengono nulla di rilevante (solo il nome del file intercettato), comunque le ho catturate e le allego insieme ad altre immagini che ho catturato.

Le prime 4 immagini si riferiscono all'intercettazione sulla versione 2.5.48.2232 di wpp (che purtroppo ho cancelllato dal sistema e non sonoriuscito a recuperarla nemmeno con undelete, volevo farci dei controlli specifici con FileAlyzer per vedere se rilevavo differenze tra i due file che potessero giustificare l'intercettazione), le ultime tre all'analisi sul file versione 2.5.49.2233 di wpp, l'ultima riguarda il tentatvio di effettuare il trust su quest'ultimo file (cliccando su Trust Now nella finestra File Insight visibile nella sesta immagine).

Se mi dai un modo per recuperare la 2.5.48 provo a fare i controlli che dicevo.


wpp-nis.zip

[ Edited Tue 04 Jan 2011 - 08:52 ]
Back to top
zandet2
Tue 04 Jan 2011 - 09:15

online

Registered Member #3184
Joined: Tue 06 Mar 2007 - 11:52
Location: Busto Arsizio
Posts: 3301
EmaCinelli wrote ...

Se mi dai un modo per recuperare la 2.5.48 provo a fare i controlli che dicevo.


Ciao EmaCinelli,
qui puoi trovare la versione 2.5.48.

Ciao!

[ Edited Tue 04 Jan 2011 - 09:16 ]
Back to top
EmaCinelli
Tue 04 Jan 2011 - 11:46

online
Registered Member #14218
Joined: Sun 12 Oct 2008 - 12:35
Location: Prevalle (BS)
Posts: 6
Boh, non so cosa dire, con la versione scaricata attraverso il link di zandet2 (grazie!) non si rilevano problemi. Ora l'unica cosa di diverso tra il primo file scaricato (quello che mi dava problemi) e gli altri è che questi ultimi sono scaricati direttamente mentre il primo l'avevo scaricato passando attraverso la pagina di sourceforge e che avevo dovuto rilanciare la pagina un paio di volte prima di riuscire a far partire il download.

Le analisi tra i due file non mi fanno vedere differenze rilevanti allego due immagini (delle principali difefrenze, quelle che forse possono avere un legame) e due report di testo (che a voi magari qualcosa possono dire). Resta il fatto che oggi l'intercettazione non avviene, ho verificato che non ci fosse qualche settaggio particolare di NIS che ora facesse passare il file, ma niente, l'unica cosa il LiveUpdate: magari, visto che alla intercettazione seguiva la messa in quarantena e l'invio della segnalazione a Symantec, hanno aggiornato loro qualcosa.
Back to top
EmaCinelli
Tue 04 Jan 2011 - 11:47

online
Registered Member #14218
Joined: Sun 12 Oct 2008 - 12:35
Location: Prevalle (BS)
Posts: 6
OOps, il file
analisi-wpp.zip
Back to top
LordJim60
Tue 04 Jan 2011 - 12:07

online
Registered Member #33962
Joined: Sat 18 Jul 2009 - 08:45
Location: Roma
Posts: 1147
Boh! aspettiamo ulteriori sviluppi.
Back to top

Moderators: Danix, Taf, Rcs, Energy, zandet2, ZioZione, Admin, LordJim60

Jump:     Back to top

Syndicate this thread: rss 0.92 Syndicate this thread: rss 2.0 Syndicate this thread: RDF
Powered by e107 Forum System