Skocz do zawartości
Forum komputerowe PC Centre
wojtzuch

NOD32 a konta użytkowników. Bug potwierdzony na 2 instalkach

Rekomendowane odpowiedzi

update: nowa wersja (2.5) wydaje się być wolna od tego błędu.

 

 

 

Konfiguracja

 

System nr 1: Windows XP SP2

System nr 2: Windows XP bez żadnego SP

 

NOD32 2.X zainstalowany z poziomu konta użytkownika z grupy Administratorzy. Niecrackowany*. Wersja testowa sprzed kilku tygodni jak również pobrana dzisiaj.

 

Błąd występuje na koncie z ograniczeniami, niezależnie od tego, czy włączone jest jednocześnie konto z grupy Admistratorzy, czy nie.

 

Opis problemu

 

AV NOD32 jest przystosowany do pracy na wielu kontach. Interfejs uruchamia się na każdym koncie, a jedynie opcje w przypadku konta z ograniczeniami pozostają nieaktywne.

 

Monitor czasu rzeczywistego składa się z trzech modułów: to IMON, AMON i DMON. IMON to monitor internetowy o podwójnej funkcji: kontroli protokołu POP3 (e-mail) i kontroli protokołu HTTP. AMON to normalna, klasyczna autoochrona plus heurystyka. DMON to kontrola plików pakietu Office.

 

W przypadku, gdy użytkownik pracuje na koncie z ograniczeniami (na co dzień z oczywistych względów jak najbardziej wskazane), jedynie IMON pracuje prawidłowo (skanuje pliki, rozpoznaje zagrożenie, podnosi alarm - stąd wcześniej nie zauważyłem problemu). Niestety, nie da się tego powiedzieć o AMON. Ten bowiem skanuje pliki, rozpoznaje zagrożenie, jednak ogranicza się do zapisania w logu rozpoznanego zagrożenia (i pokazania w liczniku plików zarażonych). Niestety, alarm nie zostaje podniesiony.

 

Krótko mówiąc, o ile za ochronę sieci dba IMON (zakładając, że zarejestrowaliśmy podczas instalacji nie tylko ochronę pop3, ale też HTTP), zapisanie/ otwarcie pliku z innego źródła niż sieć nie podnosi alarmu (poza Office, o ile DMON jest aktywny).

 

Podobnie skanowanie ręczne: po zakończeniu program pokazuje liczbę zarażonych plików, ale dopiero wybranie Clean powoduje jakiekolwiek działania aplikacji - na koncie z grupy Administrators alerty pojawiają się w trakcie skanowania.

 

DMON pracuje prawidłowo.

 

 

Próby (nieskuteczne) rozwiązania problemu

 

Poza powiadomieniem producenta (problem nie był wyszczególniony w FAQ w sekcji Known issues; dostałem odpowiedź jakieś dwa tygodnie temu, że sprawa zostanie zbadana i przekazana zespołowi developerów), próbowałem kilku rozwiązań.

 

1. Restartowanie nod32kui.exe z prawami administratora. Niestety, okazało się to niewystarczające. Sam proces NOD32krn.exe działa jako SYSTEM i nic się nie da więcej zrobić. Widać konieczne jest uruchamianie interfejsu z poziomu konta z grupy Administrators, nie tylko z odpowiednimi prawami.

 

2. Automatyczne uruchamianie interfejsu NOD32 (nod32kui.exe) z prawami administratora. Albo za pomocą odpowiedniego skrótu w autostarcie, albo poprzez Scheduled tasks. Bezcelowe ze względu na punkt 1.

 

3. Praca na koncie użytkownika z uprawnieniami Administratora i uruchamianie wybranych programów z uprawnieniami konta z ograniczeniami (możliwe po ręcznym wpisaniu w RunAs; system sam tej nazwy nie proponuje w postaci listy). Niestety, nawet to okazało się nieskuteczne, niezależnie od tego, czy zapis testowego pliku miał miejsce w folderze prywatnym użytkownika z ograniczeniami, czy na jego pulpicie, czy w folderze udostępnionym.

 

4. Przyznanie praw do zapisu i modyfikacji w katalogu programu antywirusowego użytkownikom z ograniczeniami. Pomaga w przypadku niemożności utworzenia logu (w efekcie również jakichkolwiek list połączeń itp) w firewallu czy kliencie BT (choćby g3torrent, który zapisuje nie w Documents&settings, ale w Program files). Niestety, nie tym razem.

 

 

Poziom ochrony sieciowej nie zmniejsza się o tyle, że IMON funkcjonuje bez zarzutu (choć z opcji pozostaje tylko kwarantanna i późniejsze usunięcie pliku). Trzeba jednak uważać przy kopiowaniu i otwieraniu plików z lokalnych źródeł - lepiej te źródła skanować i patrzeć na podsumowanie skanowania. Albo zmienić póki co AV i czekać na naprawę NODa.

 

Testów uruchamiania ze względów bezpieczeństwa jeszcze nie przeprowadziłem. Stay tuned.

 

 

Oczywiście zachęcam do potwierdzenia własnoręcznie, zwłaszcza jak ktoś ma inny system (może też wersja pełna działa inaczej). Na przykład za pomocą pliku tekstowego EICAR (http://www.eicar.org/anti_virus_test_file.htm), choć ja użyłem także rzeczywistego trojana.

 

 

* Jak pewnie starzy bywalcy forum pamiętają, pisałem już o skutkach crackowania NODa dla skuteczności rozpoznawania zagrożeń. W zależności od buildu (najwyraźniej) może ulec wyłączeniu nie tylko powiadamianie, ale także skuteczne skanowanie plików (czyli testowy plik nie zostaje rozpoznany jako zarażony, choć jest skanowany i wersja testowa chwilę wcześniej przynajmniej logowała go jako zarażony), z kolei skanowanie ze strony monitora IMON może zostać w ogóle wyłączone, mimo niewyłączenia samego IMONa (nowe pliki nie pojawiają się na liczniku, choć przy każdym wejściu na dowolną witrynę ich liczba powinna przyrastać o kilkanaście - kilkadziesiąt).

 

Podkreślam - różnie u różnych użytkowników (dotąd trzy potwierdzone przypadki, plus dwa moje).

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Gość
Dodaj odpowiedź do tematu...

×   Wklejono zawartość z formatowaniem.   Usuń formatowanie

  Dozwolonych jest tylko 75 emoji.

×   Odnośnik został automatycznie osadzony.   Przywróć wyświetlanie jako odnośnik

×   Przywrócono poprzednią zawartość.   Wyczyść edytor

×   Nie możesz bezpośrednio wkleić grafiki. Dodaj lub załącz grafiki z adresu URL.

Ładowanie

×
×
  • Dodaj nową pozycję...