Рейтинг файлов в COMODO Internet Security 10-12. Учет происхождения

Рейтинг файлов в COMODO Internet Security: доверенные, неопознанные и вредоносные. Управление списком файлов и поставщиков. Приложения-установщики. Облачная проверка. Учет происхождения.

Понятие рейтинга файлов

Comodo Internet Security делит все запускаемые файлы по их рейтингу на доверенные, неопознанные и вредоносные.

Рейтинг (репутация, в другом переводе) файла определяет, как будут обращаться с ним различные компоненты CIS. Например, когда HIPS и фаервол включены в Безопасном режиме, они по умолчанию разрешают доверенным программам почти любую деятельность, а активность неопознанных пресекают оповещениями. Также доверенные файлы исключаются из антивирусной проверки.

Важный момент: рейтинг закрепляется не за расположением файла, а за его контрольной суммой. Таким образом, если сделать файл доверенным, то и все идентичные ему файлы станут доверенными (и останутся таковыми, даже если стереть исходный файл с диска). А если внести в файл изменения, то и его рейтинг изменится.

Статус доверенного файл получает разными путями:

  • автоматически:
    • если он входит в список безопасных файлов, который обновляется вместе с антивирусной базой;
    • если файл имеет цифровую подпись, причем поставщик файла входит в список доверенных;
    • если файл признан безопасным по результатам облачной проверки;
    • если он был создан приложением, имеющим привилегии установщика;
  • может быть занесен в доверенные вручную:
    • через окно настройки CIS:
      • непосредственным добавлением файла в список с указанием рейтинга Доверенный,
      • изменением рейтинга файла, находящегося в списке, на Доверенный,
      • добавлением поставщика этого файла в список доверенных, если файл подписан;
    • через список активных процессов в окне CIS, если этот файл выполняется;
    • через менеджер процессов KillSwitch;
    • через оповещения Auto-Containment и функцию «Разблокировки приложений» (крайне не рекомендуется).

Файл получает статус вредоносного, если он является известной вредоносной программой.

В остальных случаях файл считается неопознанным.

Пользователь может изменить рейтинг любого файла по своему усмотрению.

Учет и отображение рейтинга файлов

Просматривать и изменять рейтинг файлов можно в окне настройки CIS на вкладке Рейтинг файлов → Список файлов. В Список файлов автоматически попадают все приложения, которые пытались запуститься, даже если запуск был заблокирован проактивной защитой (в отличие от прежних версий CIS).

Список файлов

Данные о рейтинге представлены таблицей, ее записи можно сортировать и фильтровать по расположению файлов, их поставщику, дате обнаружения файла и рейтингу. Имя поставщика берется из подписи файла. В некоторых случаях, несмотря на наличие подписи, поставщик не указывается: по-видимому, когда его репутация неизвестна. Начиная с версии CIS 10.0.1.6223, есть опция, фильтрующая таблицу по исполняемым файлам.

Таблица не может содержать двух файлов, идентичных по содержимому: в нее попадет только первый обнаруженный. Если вручную добавить в таблицу файл, идентичный имеющемуся, то обновятся лишь данные о рейтинге в старой записи.

В то же время таблица может иметь несколько записей с одинаковым расположением файла, если содержимое этого файла менялось.

Если добавить в таблицу каталог, то в нее занесутся все содержащиеся в нем файлы, включая неисполняемые.

Со временем, когда на ПК сменится ряд программ и их версий, в «Cписке файлов» накопится много старых недействительных записей. От них можно избавиться кнопкой Обновить: будет предложено удалить все записи, которые не соответствуют контрольной сумме или расположению файлов. Однако с такой очисткой связана пара нюансов. Во-первых, если какой-либо файл был добавлен в доверенные (пользователем или облаком) по одному расположению, а продолжает использоваться по другому — после очистки он станет снова неопознанным. Во-вторых, несмотря на удаление записей из списка, база CIS будет хранить некоторые данные о старых файлах. Например, если появится файл, идентичный ранее удаленному из списка, то он вернется в список под прежней датой обнаружения.

Контекстное меню «Списка файлов» содержит пункт Параметры файла, он открывает дополнительные данные:

  • контрольная сумма файла Sha1;
  • программа, создавшая файл;
  • источник, т.е. зона, из которой получен файл: Интернет, съемный носитель или локальная сеть;
  • по отдельности указанный «Рейтинг Comodo» и «Рейтинг пользователя».

Рейтингом Comodo называется рейтинг, полученный файлом автоматически (в т.ч. в результате работы приложения-установщика), а Рейтингом пользователя — назначенный вручную. Рейтинг пользователя имеет наивысший приоритет.

При определении программы, создавшей файл, учитывается именно создание или изменение, а не копирование. Например, если файловый менеджер выполнит копирование, то создателем копии будет считаться та же программа, что создала оригинал (исключение: если создатель исходной программы неизвестен, то создателем копии будет считаться файловый менеджер).

Источник (Интернет, Интранет или Съемный носитель), по моим наблюдениям, определяется некорректно.

Доверие подписанным приложениям

По умолчанию CIS считает доверенными файлы, подписанные определенными поставщиками. Это поведение определяется соответствующей опцией на вкладке Рейтинг файлов → Настройка, рекомендую оставить включенной.

Список производителей ПО, которые известны CIS'у, находится на вкладке Рейтинг файлов → Список поставщиков; имена производителей указаны так же, как в их цифровых подписях.

Если CIS считает неопознанной подписанную программу надежного производителя, то имеет смысл добавить производителя в доверенные: чтобы доверенными стали компоненты программы и ее дальнейшие версии. Для этого на этой вкладке необходимо импортировать данные из программы.

Список доверенных поставщиков

Также, выполнив поиск, можно отменить доверие определенному поставщику.

До версии CIS 12 для этого требовалось удалить поставщика из списка. Однако при удалении поставщика, который считался доверенным по умолчанию (а не был добавлен пользователем), он возвращался в список после облачной проверки. Поэтому удалять таких поставщиков из доверенных имело смысл, только отключив опцию Использовать облачную проверку на вкладке Рейтинг файлов → Настройка.

После удаления поставщика из доверенных пропало доверие программам с его подписью: в списке файлов их рейтинг изменялся на неопознанный (но оставался доверенным, если на то были другие причины, помимо подписи).

В версии CIS 12 для отказа от доверия поставщику нужно не удалить его, а присвоить ему пользовательский рейтинг неопознанного или вредоносного. Отключать облачную проверку в этом случае не требуется.

Назначение пользовательского рейтинга поставщику в COMODO Internet Security

Просмотр и изменение рейтинга активных программ

Когда файл запущен, его рейтинг можно увидеть или изменить в Списке активных процессов (Главное окно → Задачи → Задачи Containment → Активные процессы). Через контекстное меню можно сменить режим отображения: показывать пути или имена файлов, все программы или только изолированные. Также через контекстное меню можно добавить выполняющуюся программу в доверенные.

Добавление программы в доверенные через Список активных процессов

Аналогичное можно проделать с помощью менеджера процессов KillSwitch (Главное окно → Задачи → Задачи Containment → Просмотреть активность). Преимущество этого варианта в возможности отсортировать или отфильтровать процессы по репутации и быстро найти нужный. Другое достоинство KillSwitch — отображение программ, которые еще не получили разрешение на запуск в оповещении HIPS.

Добавление программы в доверенные через KillSwitch

И KillSwitch, и «Список активных процессов» показывают и позволяют добавлять в доверенные не только исполняемые (в смысле Portable Executable) файлы, но и скрипты. Чтобы увидеть скрипты в KillSwitch, следует включить колонку Путь к объекту (но скрипты отображаются лишь после разрешения на запуск).

Отображение выполняющихся скриптов в KillSwitch

KillSwitch позволяет просматривать рейтинг не только самих процессов, но и их библиотек: для этого нужно в контекстном меню процесса выбрать Свойства и перейти на вкладку Модули.

Отмечу, что добавлять программы в доверенные через «Список активных процессов» или KillSwitch предпочтительнее, чем через окно настройки CIS, так как при закрытии этого окна могут разрываться интернет-соединения.

Приложения-установщики

Некоторые приложения выполняются с особыми привилегиями, которые мы будем называть привилегиями установщика. Такие программы слабо контролируются проактивной защитой, а создаваемые ими исполняемые файлы автоматически становятся доверенными; дочерние процессы этих программ также временно выполняются с привилегями установщика. Любую программу можно наделить такими привилегиями, назначив ей в HIPS набор правил «Установка или обновление».

Однако ряд приложений получает эти привилегии автоматически, без каких-либо дополнительных правил: это доверенные программы, которые считаются «установщиками». Чтобы выяснить, считается ли программа установщиком, следует запустить ее и открыть «Список активных процессов» или KillSwitch: в столбце «Рейтинг» появится соответствующая метка.

Программы-установщики

Из экспериментов можно сделать вывод, что в CIS 10 установщиками считаются программы, у которых в имени файла либо в File Version Info (в поле FileDescription, ProductName, InternalName или OriginalFilename) содержится слово install, setup или update; а также msi-файлы.

По умолчанию CIS доверяет исполняемым файлам, которые создаются программами с привилегиями установщика. Это поведение определяется опцией Доверять приложениям, установленным с помощью доверенных установщиков на вкладке Рейтинг файлов → Настройка. Доверенными становятся лишь некоторые виды файлов: *.exe (вообще Portable Executable), *.bat, *.cmd, *.vbs, *.hta (но не *.js, *.chm).

Исполняемые файлы, которые создает доверенный установщик, не попадают сразу же в список доверенных. Вместо этого в базу данных заносится информация, что определенные файлы созданы доверенным установщиком. Когда в дальнейшем такой файл будет запущен, он добавится в «Список файлов» как доверенный.

Важный момент: CIS запоминает информацию о создании файлов доверенными установщиками, даже если опция ДПУПДУ отключена. Поэтому после ее включения CIS будет доверять файлам, которые когда-либо создавались доверенными установщиками и запускались.

Верно и обратное: если отключить опцию ДПУПДУ, то CIS прекратит доверять файлам, которые создали установщики: в списке файлов их рейтинг сменится на неопознанный (если только не будет другой причины считать их доверенными, например, подписи).

Как видим, CIS постоянно пополняет локальную базу информацией о файлах, созданных доверенными установщиками. Есть определенная неприятность или даже угроза в том, что эти данные размещаются скрыто, без возможности проверить наличие в них нежелательных записей. Но если известно, какой именно нежелательный файл стал доверенным, то решение проблемы — добавить его в список файлов с пользовательским рейтингом «Неопознанный». Радикальное решение — вообще отказаться от опции ДПУПДУ.

С другой стороны, в CIS 10, по сравнению с прежними версиями, существенно снижен риск ошибочного наделения программ привилегиями установщика (в частности, признаком установщика перестал быть запрос прав администратора или большой размер файла). Поэтому, возможно, не стоит преувеличивать опасность этой опции.

Если вы какое-то время держали опцию ДПУПДУ включенной, а затем решите отключить ее, то пропадет доверие к некоторым файлам. Чтобы этого избежать, перед отключением опции ДПУПДУ откройте Список файлов, установите в столбце Рейтинг фильтр Доверенный, отметьте все файлы и выберите в контекстном меню пункт Изменить рейтинг на: Доверенный.

Рейтинговое сканирование

Рейтинговое сканирование — это проверка репутации программ, в т.ч. модулей, которые выполняются в настоящий момент или запускаются при включении ПК (наподобие обнаруживаемых утилитой Autoruns). Результат этой проверки представляется в виде списка файлов с указанием их рейтинга, возраста и наличия автозапуска. Список можно сортировать по именам и фильтровать по репутации, по наличию автозапуска. Есть возможность изменить рейтинг на доверенный у отдельных файлов или у всех сразу.

Рейтинговое сканирование

Таким образом, в случае заражения рейтинговое сканирование помогает найти расположение вредоносного ПО. Предупрежу, что нельзя полагаться на оторбажаемый в окне результатов возраст файла: он основывается на атрибуте Дата создания, который может быть изменен вредоносной программой.

Другое применение рейтингового сканирования — ознакомление с системой, чтобы CIS не мешал работе программ. Если система гарантированно чиста от вредоносного ПО, все найденные файлы понадобится добавить в доверенные. Обращаю внимание, что рейтинговое сканирование проверяет только часть установленного ПО и для полного устранения конфликтов понадобится дополнительно добавлять программы в доверенные.

Существенный недостаток рейтингового сканирования — оно не обнаруживает скрипты.

Дополнительно при рейтинговом сканировании проверяется хранилище корневых сертификатов.

Проверка корневых серитфикатов

CIS может выявлять в хранилище корневых сертификатов записи, внесенные вредоносным ПО для проведения MitM-атаки. Проверка корневых сертификатов выполняется при рейтинговом сканировании.

Другой способ выполнить эту проверку — создать профиль антивирусного сканирования (Антивирус → Виды сканирования) и на вкладке Объекты добавить область Хранилище доверенных корневых центров сертификации. Однако запускать это сканирование придется все равно вручную: по графику корневые сертификаты не проверяются.

При обнаружении подозрительного корневого сертификата будет предложено удалить его, оставить до следующей проверки или доверять ему в дальнейшем (добавить в исключения). Список корневых сертификатов, добавленных пользователем в исключения, располагается на вкладке Усиленная защита → Исключения сканирования → Исключенные центры сертификации (он привязан к конфигурации, не к базе данных CIS).

Исключенные центры сертификации

Рейтинговое обнаружение вредоносных файлов

Если файл является известной вредоносной программой, он получает рейтинг «Вредоносный». Это может происходить на основании облачной проверки или на основании данных антивирусной базы (когда облачная проверка отключена).

Рейтинг назначается файлу при попытке его запуска, поэтому обычно антивирус опережает рейтинговое обнаружение, однако бывают исключения. Кроме того, антивирус может быть отключен или не установлен.

Если антивирус по той или иной причине пропускает попытку запуска программы, она попадает под действие нескольких компонентов проактивной защиты.

Первым обычно срабатывает Auto-Containment. Этот компонент в разных конфигурациях по умолчанию настроен на удаление программ с рейтингом вредоносных в карантин, причем без предупреждения. Поскольку есть риск ложного срабатывания, рекомендую отключить удаление. Для этого на вкладке Containment → Auto-Containment следует изменить правило для программ с репутацией вредоносных: отключить опцию Переместить программу в карантин.

Как отключить автоматическое удаление вредоносных программ

Если Auto-Containment отключен или не настроен на блокировку вредоносных программ, запуск программы может быть задержан оповещением HIPS и/или рейтингового обнаружения, в зависимости от правил и настройки оповещений. Если на вкладке Рейтинг файлов → Настройка отключена опция Не показывать оповещения, то появится оповещение со следующими вариантами:

  • Обезвредить: программа удалится в карантин;
  • Игнорировать в этот раз: программа временно выполнится как обычная неопознанная;
  • Добавить в исключения (недоступно в варианте COMODO Firewall): путь к программе добавится в исключения антивируса;
  • Сообщить о ложном срабатывании: программа станет доверенной (это рекомендуемый выбор, если она безопасна);

Оповещение рейтингового обнаружения

Иногда оповещения рейтингового обнаружения ведут себя некорректно: повторяются снова и снова, независимо от выбранного варианта. Поэтому, возможно, предпочтительнее включать опцию Не показывать оповещения. Тогда программа завершится после первого оповещения HIPS о ее активности, а если HIPS отключен или отключены его оповещения, то программа выполнится как обычная неопознанная.

Если расположение вредоносной программы добавлено на вкладку Усиленная защита → Исключения сканирования → Исключенные пути, то все компоненты CIS будут обращаться с этой программой как с обычной неопознанной, хотя в списке файлов у нее будет отображаться репутация вредоносной.

Когда включена опция Выявлять потенциально нежелательные приложения, программы определенной категории получают рейтинг вредоносных, как то программы для скрытого сбора данных о пользователе, средства удаленного доступа, средства обхода лицензионной защиты и т.д., а также leak-тесты. Если эта опция отключена, то CIS обращается с данными программами как с обычными неопознанными (хотя в списке файлов они могут выглядеть «вредоносными»).

Облачная проверка файлов

Если включена опция Использовать облачную проверку (Рейтинг файлов → Настройка), то контрольные суммы запускаемых файлов сверяются с облачной базой COMODO. В результате проверки новый файл может автоматически стать доверенным, а также его поставщик может добавиться в список доверенных поставщиков.

С другой стороны, облачная проверка занимается выявлением и вредоносных файлов, назначая им соответствующий рейтинг.

Отмечу, что случались инциденты, когда вредоносные или потенциально нежелательные программы признавались доверенными, причем обычно это происходило по результатам облачной проверки. Поэтому на мой взгляд, для повышения безопасности предпочтительнее отключать опцию Использовать облачную проверку.

Просмотр технической информации. Учет альтернативных потоков данных NTFS

В версии CIS 10 база данных существенно переработана, ее формат отличается от прежнего, основанного на SQLite, и больше нельзя взаимодействовать с базой напрямую. Однако для тестирования оставлена возможность увидеть некоторую полезную техническую информацию. Опытные пользователи могут включить ее отображение, создав в разделе реестра HKLM\SOFTWARE\COMODO\CIS\Data DWORD-параметр ExplorerIsComodoPageVisible со значением 1. В результате в окне свойств различных файлов появится вкладка Comodo. На этой вкладке в JSON-виде предоставляется информация о файле.

Полнота информации зависит от того, насколько исследован файл. Обычно для неисполняемых файлов отображается только контрольная сумма Sha1; для исполняемых файлов, которые еще не запускались, приводятся только данные о происхождении; для запускавшихся — данные по разным составляющим рейтинга и другие характеристики файла.

Техническая информация Comodo в свойствах файла

Как видно, в информации о файле присутствует объект streams, он состоит из сведений по отдельным альтернативным потокам данных NTFS. Основной поток, т.е. обычная «видимая» часть файла представлена под именем $DATA, прочие потоки — под своими именами. Как известно, в альтернативные потоки можно помещать программы и запускать их оттуда. Прежние версии CIS всегда квалифицировали такие программы неопознанными, а CIS 10 рассматривает альтернативные потоки наравне с основным и может им доверять. Учитываются именно потоки, хранящие исполняемые файлы, а не служебные, наподобие Zone.Identifier.

В свойствах файла %ALLUSERSPROFILE%\Comodo\Cis\lmdb\cmddata можно просмотреть статистику базы данных.

Через контекстное меню можно экспортировать данные о любом файле или даже всю базу в JSON.

Расшифровка некоторых значений

fileKey — серийный номера тома и файловый идентификатор NTFS.

source — тип носителя, откуда скопирован файл.

sfi — окончательный расчет рейтинга целого файла.

zone — происхождение файла (Internet, Intranet), определяемое системой, которое она записывает в альтернативные потоки данных. CIS переписывает эту информацию в свою базу.

creatorApp — данные о программе, создавшей или изменившей файл/поток: расположение и хеш Sha1.

creatorUsr — пользователь, от имени которого создан файл, и группы, в которые он входит.

isPE — является ли файл/поток Portable Executable.

contentKey — хеш Sha1 файла/потока.

isInstalledTI — создан ли файл/поток доверенным установщиком.

cavseInstaller — является ли файл/поток установщиком, с точки зрения антивируса; при этом определение производится независимо от наличия антивируса. Значение isInstaller зачастую определяется совершенно некорректно: указывается false, тогда как запущенный файл отображается установщиком в списке активных процессов и имеет соответствующие привилегии. avdbver — версия антивирусной базы на момент определения.

cavse — данные антивируса. Значение white дает файлу рейтинг доверенного.

fls — результат облачного анализа файла или его поставщика. Значение Safe или Trusted поля verdict означает, что файл или поставщик признан доверенным; Unknown — что неопознанным; Not exists — что файл отсутствует в облачной базе; Failed — что не удалось получить результат.

user — пользовательский рейтинг, назначенный файлу или поставщику.

Комментарии и отзывы

Нашли ошибку?

Новое на сайте