| << Discussione precedente | Discussione successiva >> |
 Symantec NIS intercetta e blocca winpenpack menù |
| Autore | Messaggio |
| EmaCinelli |
| ||
   Utente registrato #14218 Registrato il: dom 12 ott 2008 - 12:35Provenienza: Prevalle (BS) Messaggi: 6 | L'avvio dalla cartella sul computer non crea problemi, mentre l'avvio da pendrive viene rilevato dalla funzione Sonar di Norton Internet Security che ne blocca l'esecuzione e cancella l'eseguibile. Ho notato che lanciando da pendrive si nota attività su tutte le altre pendrive inserite, mentre la cosa non si rileva lanciando da computer, forse le due cose sono collegate tra loro. Allego immagine della finestra di NIS dei dettagli relativi all'intercettazione. WPP 2.5.48.2232 (ma invero avevo scaricato l'ultima 2.5.49). Windows 7 Ultimate  [ Modificato lun 03 gen 2011 - 12:47 ] | ||
| Torna ad inizio pagina |
| LordJim60 |
| ||
   Utente registrato #33962 Registrato il: sab 18 lug 2009 - 08:45Provenienza: Roma Messaggi: 1147  | In effetti è strano, ti posso assicurare che non c'è molta differenza tra eseguire il menu da pendrive o da HD. L'unica cosa che mi viene in mente è la gestione del file "autorun.inf" Domanda: hai abilitata l'opzione "Crea in automatico autorun.inf" ? se si prova a disattivarla. altrimenti potrebbe essere che NIS vede che nel programma è contenuta la parola "autorun.inf" e pensa che sia una potenziale minaccia. Che intendi quando dici: "si nota attività su tutte le altre pendrive inserite" ? | ||
| Torna ad inizio pagina |
| EmaCinelli |
| ||
Utente registrato #14218 Registrato il: dom 12 ott 2008 - 12:35Provenienza: Prevalle (BS) Messaggi: 6 | Provato a disattivare "Crea in automatico autorun.inf" e non cambia niente, almeno se, come ho pensato, disattivandolo sul computer e copiando in seguito il tutto sulla pendrive la funzione rimane disattivata. Ehm, avviato senza antibvirus noto che la stessa è invece attiva. Provato a distattivarla così e riattivato l'antivirus succede che NIS blocca e rimuove ancora l'eseguibile. "Si nota attività su tutte le altre pendrive inserite" vuol dire che se tendo inserite nella porte USB anche altre pendrive, quando lancio WPP si nota lampeggiare la spia di tutte le pendrive; pensandoci potrebbe essere l'azione di NIS che nel lancare WPP da pendrive va ad eseguire la scansione su tutte le pendrive. Infatti ... ho disattivato l'Antivirus e tale attività non si nota, ovviamente parte anche il menù WPP. Ho fatto altre prove e risulta essere solo ed esclusivamente il modulo SONAR (NIS 2011) ad intercettare l'esecuzione di WPP, infatti basta disattivare questo per non avere più il blocco e la cancellazione dell'eseguibile. Però le opzioni di configurazione di SONAR non sortiscono nessun effetto e il bello è che anche se imposto la non rimozione automatica il file viene comunque cancellato (ma questo potrebbe essere un baco di NIS). Faccio altri test e riporto i risultati. Ok, la rimozione è automatica perchè WPP è rilevato come un rischio ad alto livello, solo quelli a basso livello possono essere vincolati a conferma dell'utente. L'unico modo per evitare l'intercettazione è quello di inserire l'eseguibile nella lista delle esclusioni di SONAR. La scansione virale normale passa regolarmente, indi il problema risiede in qualche azione fatta dall'avvio del menù che se fatta su pendrive viene intesa come azione virale, qualcosa di diverso dalla creazione dell'autorun.inf che per tutti i test era disattivata (verificato). Ah, ma è corretto che ci sia solo il menù e nessuna applicazione? Trattandosi di una beta ho pensato di si, ma tanto per essere sicuri meglio segnalare. Facendo scorrere il post relativo alla pubblicazione della nuova versione (non avevo notato che c'erano più pagine) ho trovato il link all'utlima versione (2.5.49.2233) e questa sembra funzionare senza problemi. [ Modificato lun 03 gen 2011 - 16:30 ] | ||
| Torna ad inizio pagina |
| LordJim60 |
| ||
Utente registrato #33962 Registrato il: sab 18 lug 2009 - 08:45Provenienza: Roma Messaggi: 1147 | EmaCinelli ha scritto ... Ok, la rimozione è automatica perchè WPP è rilevato come un rischio ad alto livello, solo quelli a basso livello possono essere vincolati a conferma dell'utente. L'unico modo per evitare l'intercettazione è quello di inserire l'eseguibile nella lista delle esclusioni di SONAR. Sarebbe interessante sapere perché è considerato rischio ad alto livello, nello screenshot che hai postato ci sono dei link con scritto "More", puoi indagare se ci fornisce ulteriori informazioni sul tipo di minaccia? EmaCinelli ha scritto ... Ah, ma è corretto che ci sia solo il menù e nessuna applicazione? Trattandosi di una beta ho pensato di si, ma tanto per essere sicuri meglio segnalare. Si, se vuoi provarlo con la tua suite ( o una sua copia ) devi mettere l'eseguibile winPenPackNet.exe nella stessa cartella dove risiede l'eseguibile originale (tanto hanno nomi diversi) e nella cartella:
winpenpack\User\winpenpack_launcher\Lang
EmaCinelli ha scritto ... Facendo scorrere il post relativo alla pubblicazione della nuova versione (non avevo notato che c'erano più pagine) ho trovato il link all'utlima versione (2.5.49.2233) e questa sembra funzionare senza problemi. moolto strano... la modifica fatta non giustifica il cambiamento, a parte due righe di codice nell'import di un software ( peraltro azione che non si verifica all'avvio ) la vera differenza è che questa volta ho compilato con SharpDevelop...  | ||
| Torna ad inizio pagina |
| EmaCinelli |
| ||
Utente registrato #14218 Registrato il: dom 12 ott 2008 - 12:35Provenienza: Prevalle (BS) Messaggi: 6 | Ok, appena posso (domani) provo a fare ulteriori indagini. Grazie! | ||
| Torna ad inizio pagina |
| EmaCinelli |
| ||
Utente registrato #14218 Registrato il: dom 12 ott 2008 - 12:35Provenienza: Prevalle (BS) Messaggi: 6 | Allora, quelle due finestre (More) le avevo già esaminate e non contengono nulla di rilevante (solo il nome del file intercettato), comunque le ho catturate e le allego insieme ad altre immagini che ho catturato. Le prime 4 immagini si riferiscono all'intercettazione sulla versione 2.5.48.2232 di wpp (che purtroppo ho cancelllato dal sistema e non sonoriuscito a recuperarla nemmeno con undelete, volevo farci dei controlli specifici con FileAlyzer per vedere se rilevavo differenze tra i due file che potessero giustificare l'intercettazione), le ultime tre all'analisi sul file versione 2.5.49.2233 di wpp, l'ultima riguarda il tentatvio di effettuare il trust su quest'ultimo file (cliccando su Trust Now nella finestra File Insight visibile nella sesta immagine). Se mi dai un modo per recuperare la 2.5.48 provo a fare i controlli che dicevo.  wpp-nis.zip[ Modificato mar 04 gen 2011 - 08:52 ] | ||
| Torna ad inizio pagina |
| zandet2 |
| ||
   Utente registrato #3184 Registrato il: mar 06 mar 2007 - 11:52Provenienza: Busto Arsizio Messaggi: 3301 | EmaCinelli ha scritto ... Se mi dai un modo per recuperare la 2.5.48 provo a fare i controlli che dicevo. Ciao EmaCinelli, qui puoi trovare la versione 2.5.48. Ciao! [ Modificato mar 04 gen 2011 - 09:16 ] | ||
| Torna ad inizio pagina |
| EmaCinelli |
| ||
Utente registrato #14218 Registrato il: dom 12 ott 2008 - 12:35Provenienza: Prevalle (BS) Messaggi: 6 | Boh, non so cosa dire, con la versione scaricata attraverso il link di zandet2 (grazie!) non si rilevano problemi. Ora l'unica cosa di diverso tra il primo file scaricato (quello che mi dava problemi) e gli altri è che questi ultimi sono scaricati direttamente mentre il primo l'avevo scaricato passando attraverso la pagina di sourceforge e che avevo dovuto rilanciare la pagina un paio di volte prima di riuscire a far partire il download. Le analisi tra i due file non mi fanno vedere differenze rilevanti allego due immagini (delle principali difefrenze, quelle che forse possono avere un legame) e due report di testo (che a voi magari qualcosa possono dire). Resta il fatto che oggi l'intercettazione non avviene, ho verificato che non ci fosse qualche settaggio particolare di NIS che ora facesse passare il file, ma niente, l'unica cosa il LiveUpdate: magari, visto che alla intercettazione seguiva la messa in quarantena e l'invio della segnalazione a Symantec, hanno aggiornato loro qualcosa. | ||
| Torna ad inizio pagina |
| EmaCinelli |
| ||
Utente registrato #14218 Registrato il: dom 12 ott 2008 - 12:35Provenienza: Prevalle (BS) Messaggi: 6 | OOps, il file analisi-wpp.zip | ||
| Torna ad inizio pagina |
| LordJim60 |
| ||
Utente registrato #33962 Registrato il: sab 18 lug 2009 - 08:45Provenienza: Roma Messaggi: 1147 | Boh! aspettiamo ulteriori sviluppi. | ||
| Torna ad inizio pagina |
| Moderatori: Danix, Taf, Rcs, Energy, zandet2, ZioZione, Admin, LordJim60 |
Powered by e107 Forum System
Copyright © winPenPack 2005-2023 - All rights reserved
Powered by e107 website system | winPenPack License Agreement
Terms of Use | Privacy Policy
Powered by e107 website system | winPenPack License Agreement
Terms of Use | Privacy Policy