Полтора года назад получил серт от Комоды на физ лицо. Подписывал им бинарь, защищаемый VMProtect'ом.
При этом на virustotal этот бинарь стабильно детектился парой антивирей типа Kav, Qiho, 360.
То есть 2-3 детекта было. Без подписывания, детектов, кстати, было больше, порядка 10.
Ну так вот, неделю назад сертификат у меня отобрали. Отозван поставщиком. В 10й винде все стало прямо страшно красное, установить ничего нельзя. Убрал подпись — стало можно.
Ну ладно, спросил почему у посредника у которых брал. Их ответ
Отозван исходя из политики компании, т.к. есть информации о распространении малвэрей при помощи него. Более подробно не дают, предлагают вам напрямую связаться с Комодо для установления всех обстоятельств.
Уот так уот. Имейте ввиду — если подписанный бинарь детектится на вирустотале, то лучше не подписывайте совсем, отберут сертификат.
Теперь вот думаю как быть — менять защиту видимо надо, чтобы не было детектов.
Здравствуйте, Qt-Coder, Вы писали:
QC>Уот так уот. Имейте ввиду — если подписанный бинарь детектится на вирустотале, то лучше не подписывайте совсем, отберут сертификат.
Я подзреваю, что virustotal тут совсем ни при чем. Просто где-то кто-то приспособил твой софт таки для распространения малвари. То есть пипл скачивает что-то, показывается твоя подпись, а потом как-то запускается их код. Если в подписанном бинарнике есть поддержка скриптов, то скорее всего через это.
QC>Отозван исходя из политики компании, т.к. есть информации о распространении малвэрей при помощи него. Более подробно не дают, предлагают вам напрямую связаться с Комодо для установления всех обстоятельств.
QC>Уот так уот. Имейте ввиду — если подписанный бинарь детектится на вирустотале, то лучше не подписывайте совсем, отберут сертификат.
Почему не рассматриваете возможность реальной кражи сертификата?
Может все же стоит обратиться Comodo, хотя бы хэши детектируемых бинарей запросить и сверить.
Здравствуйте, EreTIk, Вы писали:
ETI>Почему не рассматриваете возможность реальной кражи сертификата?
Рассматриваю. Но при подписи надо вводить пароль, просто файла сертификата недостаточно. Если пароль узнали тогда ой.
ETI>Может все же стоит обратиться Comodo, хотя бы хэши детектируемых бинарей запросить и сверить.
Обращусь, но они крайне вяло реагируют.
Здравствуйте, wantus, Вы писали:
W>Я подзреваю, что virustotal тут совсем ни при чем. Просто где-то кто-то приспособил твой софт таки для распространения малвари. То есть пипл скачивает что-то, показывается твоя подпись, а потом как-то запускается их код. Если в подписанном бинарнике есть поддержка скриптов, то скорее всего через это.
Это выглядит как то фантастично. Как тогда комодо узнает об этом?
Здравствуйте, Qt-Coder, Вы писали:
QC>При этом на virustotal этот бинарь стабильно детектился парой антивирей типа Kav, Qiho, 360.
все-таки офигенный бизнес у антивирусов — можно любую программу назвать вирусом и тебе за это ничего не будет
ловить вирусы тоже не обязательно — ты же никому ничего не должен
Здравствуйте, Denwer, Вы писали:
D>Все просто, сертификат СОМОДО продается на черном рынке уже несколько лет. Причем продают его их же сотрудники из украинского офиса.
Покупатель качает сертификат с сервера «Комоды» своим браузером, причем именно тем, в котором он размещал запрос на покупку. Посредник серта не видит вообще. Они могут продавать серты кому-то по левым данным без проверки, но тогда и отзывать будут те «левые» серты.
Здравствуйте, Qt-Coder, Вы писали:
W>>Я подзреваю, что virustotal тут совсем ни при чем. Просто где-то кто-то приспособил твой софт таки для распространения малвари. То есть пипл скачивает что-то, показывается твоя подпись, а потом как-то запускается их код. Если в подписанном бинарнике есть поддержка скриптов, то скорее всего через это.
QC>Это выглядит как то фантастично. Как тогда комодо узнает об этом?
Тут еще надо, чтобы сама программа сделала что-то похожее на действия вируса — типа записи файла autorun.inf в корень флэшки. Не каждый скриптовый движок такое умеет.
Здравствуйте, salnicoff, Вы писали:
S>Тут еще надо, чтобы сама программа сделала что-то похожее на действия вируса — типа записи файла autorun.inf в корень флэшки. Не каждый скриптовый движок такое умеет.
К сожалению, антивирусы в наши дни трактуют "что-то похожее на действия вируса" очень широко.
Здравствуйте, Qt-Coder, Вы писали:
QC>Здравствуйте, wantus, Вы писали:
W>>Я подзреваю, что virustotal тут совсем ни при чем. Просто где-то кто-то приспособил твой софт таки для распространения малвари. То есть пипл скачивает что-то, показывается твоя подпись, а потом как-то запускается их код. Если в подписанном бинарнике есть поддержка скриптов, то скорее всего через это.
QC>Это выглядит как то фантастично. Как тогда комодо узнает об этом?
Так же как и все остальные — через behavioral analysis. Запускают икебану в sandbox и смотрят чего она делает. Делов то.
Здравствуйте, icezone, Вы писали:
I>ловить вирусы тоже не обязательно — ты же никому ничего не должен
Кстати да, а были ли legal кейсы против ативирусов и сетрификатщиков?
Здравствуйте, icezone, Вы писали:
I>это не совсем то, там малварщики судились с антивирусниками I>я же пишу про ложные срабатывания, которых с каждым годом все больше
Были и «нормальные». Помню, кто-то из Австралии судился. Они выпускали программу, которую провайдеры раздавали клиентам под своими названиями, и их всех заблокировал «МакАфи» — программа не работает, клиенты не получают доступ к какому-то сервису, провайдеры в убытках. Если ничего не путаю, истцов послали в известном направлении.
Здравствуйте, salnicoff, Вы писали:
S>Здравствуйте, Denwer, Вы писали:
D>>Все просто, сертификат СОМОДО продается на черном рынке уже несколько лет. Причем продают его их же сотрудники из украинского офиса.
S>Покупатель качает сертификат с сервера «Комоды» своим браузером,
Здравствуйте, salnicoff, Вы писали:
S>Получается, они мониторят использование серта?
Подумал тут, у Comodo же есть свой антивирус и свой онлайн чекер, в котором написано что подозрительные файлы отправляются на анализ.
Что им тогда мешает отозвать выданный ими же сертификат по результатам проверки их антивирусом.
Если бы серт был выдан другой компанией возможно отозвать серт было бы не так просто.