Sergey Dindikov

Найдена уязвимость в KAV6/KIS6

В этой теме 122 сообщений

Найдена уязвимость в продуктах:

релиз kav/kis6.0.0.303e

последняя бета kav6.en v6.0.1.411

работа продуктов проверена на WinXPsp2,W2003 без sp1

Самозащита включена.

после выполнения команды с админскими правами

psuspend.exe Avp

psuspend.exe -r Avp

_файловый_ антивирусный монитор не реагирует на вирусы. визуально

неработоспобность монитора никак не видна. Конечно уже после суспенда процесса

avp файловый анализ перестаёт работать. Разморозка процессов avp.exe у меня

происходит примерно после 6 минут.

psuspend.exe можно взять отсюда

http://www.microsoft.com/technet/sysintern.../pssuspend.mspx

ps. после заморозки 2х процессов avp.exe будут тормоза при запуске новых процессов.

так что тест лучше всего разместить в батнике.

pps. Последние версии KAV 5 Personal/PRO неподвержены этой уязвимости.

чем грозит эта уязвимость думаю не надо рассказывать...

Уязвимость найдена мной лично. KL Team оповещена.

Trend Micro конечно под админом ещё проще вырубается

pskill.exe ntrtscan.exe

pskill.exe -t tmlisten.exe

pskill.exe OfcPfwSvc.exe

pskill.exe PccNTUpd.exe

pskill.exe PccNTMon.exe

pskill.exe XPUpg.exe

:/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну вот.

Только хотел почитать о уязвимости Каспера и на тебе...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
[bLOCKED] >>> Прошу извинить меня за использование полномочий, но так делать нельзя, мой друг. Такие вещи не сообщаются до решения проблемы. Я сохранил ваше сообщение и немедленно верну его на место, как только баг поправят. NickGolovko

NickGolovko, то что Вы сделали, противоречит самому духу

этого форума. Здесь любой человек может обсудить любую

тему относящуюся к anti-malicious индустрии.

Я уж не говорю о том, что автор данной темы, не использовал каких-либо нелегальных инструментов. А сам факт выявления и освещения какой-либо уязвимости в каком-либо антивирусном продукте, является более чем обычной практикой. Этот пример, показывает то, что Ваши юношеские инициативы, нуждаются в контроле со стороны SiteAdmin-ов.

Надеюсь, что администрация форума не оставит этот случай без внимания, исключит возможность повторения подобного в будущем и предоставит возможность возобновить обсуждение

в этой теме. Причем без всяких полумер, наподобие перенесения

этой темы в закрытый форум.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

EYE, позвольте вернуть вам ваше обвинение в юношеских амбициях. Публиковать на форумах третьей стороны сообщения о не закрытых уязвимостях неэтично, и вы это знаете. Мне поступила просьба задержать сообщение на определенное время, так как вендоры должны закрыть уязвимость. Дабы вы не волновались, напомню, что вендоры уже проинформированы о проблеме, и что после исправления сообщение будет восстановлено полностью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

NickGolovko

Ваше решение меня вполне устраивает.

спасибо что отнеслись доброжелательно ко мне :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

NickGolovko поддерживаю Вас по полной программе! :!: :!: :!:

Надо быть людьми в конце-то концов!!!!!!!!

EYE Вы хоть подумали прежде чем постить? :twisted:

Спасибо Sergey Dindikov! В любом случае, хоть пост и модерирован, теперь мы будем знать как действовать в таких ситуациях. И как не действовать :!:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Публиковать на форумах третьей стороны сообщения о не закрытых уязвимостях неэтично, и вы это знаете.

Да неужели. С каких это пор _открытая_ публикация о найденной

уязвимости стала считаться "неэтичной" ? С тех пор, как эту "гениальную" мысль высказал DVi ?

Публикация информации о найденной уязвимости, является обычной практикой на международных ресурсах.

Мне поступила просьба задержать сообщение на определенное время, так как вендоры должны закрыть уязвимость.

А вот это вообще интересный факт. Значит этот форум перестал быть

независимым ресурсом, и теперь является придатком форума ЛК, сотрудники которой, теперь обладают возможностью отдавать указания "модератору" форума Anti-malware о корректировке тех или иных сообщений, неугодных ЛК !

Да уж, однако, дивные вещи Вы сообщаете, юноша...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

просто я про неё сообщал разработчику лично когда этой защиты небыло вовсе в 4.5-5.0 версиях.

её сделалали в 5ке в одном из билдов и выше.

Как и сделали защиту о которой я тоже сообщал процесс KAV можно было вынести через убиение всех тридов процесса.

Почему не протестили 6ку на эту уязвимость мне не понятно. Наверное тестеры плохо работают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да! Давайте grnic оповещайте. Хотя 100% и без меня ясно.

Добавлено спустя 3 минуты 51 секунду:

Публиковать на форумах третьей стороны сообщения о не закрытых уязвимостях неэтично, и вы это знаете.

Да неужели. С каких это пор _открытая_ публикация о найденной

уязвимости стала считаться "неэтичной" ? С тех пор, как эту "гениальную" мысль высказал DVi ?

Публикация информации о найденной уязвимости, является обычной практикой на международных ресурсах.

Мне поступила просьба задержать сообщение на определенное время, так как вендоры должны закрыть уязвимость.

А вот это вообще интересный факт. Значит этот форум перестал быть

независимым ресурсом, и теперь является придатком форума ЛК, сотрудники которой, теперь обладают возможностью отдавать указания "модератору" форума Anti-malware о корректировке тех или иных сообщений, неугодных ЛК !

Да уж, однако, дивные вещи Вы сообщаете, юноша...

Успокойтесь. Пожалуйста. Позабавиться недали! От этого люди могут пострадать, и вы прекрасно это понимаете. Или вам на это наплевать?

Вся этика, все международные взаимодействия о которых вы говорите направлены на то чтобы этого не допустить!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
сотрудники которой, теперь обладают возможностью отдавать указания "модератору" форума Anti-malware

2EYE

Всё ОК. :)

См. вложение.

111.png

post-11-1163013030.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

EYE, да вы никак разнервничались.. ;) Вы разницу между просьбой и приказом чувствуете? :D Я это делаю не потому, что мне нравится этим заниматься. Я это делаю для того, чтобы завтра новый вариант Warezov не содержал этот эксплойт. Не знал, кстати, что вы не осведомлены о принятой в сообществе схеме уведомления вендора об уязвимости. ;) Да, и имейте в виду: проблема не только на Касперского распространяется. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если уязвимость реально опасна и свежа, т.е. не прошло хотя бы 2-х недель с момента уведомления вендора, то незачем её распространять раньше времени.

А если вендор за это время не пошевелился, то самое место уязвимости быть в заголовках.:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

NickGolovko

Да, и имейте в виду: проблема не только на Касперского распространяется.

О да! KAV помоему бесспорный лидер в защите себя.

Я вот в том сообщении показал как Trend Micro легко сносится под админом. Я думаю вендор и вкурсе и осознаёт это и считает что делать защиту от этого бессмыслено.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да неужели. С каких это пор _открытая_ публикация о найденной

уязвимости стала считаться "неэтичной" ? С тех пор, как эту "гениальную" мысль высказал DVi ?

вообще-то культурные люди так делают всегда.

примеров? их есть у меня:

http://security.nnov.ru/Odocument971.html

http://security.nnov.ru/Odocument921.html

это так наскидку пара потыканных линков

внимательно читать DISCLOSURE TIMELINE

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

К вопросу удаления сообщений.

Это бессмысленно, поскольку есть RSS и сообщения никуда не исчезают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну конечно,сейчас все бросятся писать вирусы,чтобы завалить Касперского.

По крайней мере то,что наличие дыры в "самом лучшем антивирусе всех времен и народов" признано уже хорошо.Подозреваю,что она не одна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

desdechado

там вирусы писать не надо, отключаешь защиту. выковыриваешь из запороленного архива страшный старый вирус и запускаешь его. всё.

Единственное что его может остановить это проактивная защита KAV'a.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2EYE

Всё ОК. Smile

См. вложение.

Ах вот оно что...Я это как-то упустил...

Успокойтесь. Пожалуйста. Позабавиться недали!
EYE, да вы никак разнервничались..

Разнервничался ? Да нет, я не "разнервничался"...

Жаль просто будет, если такой отличный ресурс, как Anti-Malware,

потеряет то, чем он обладает сейчас....

Комментарии администрации форума просто _необходимы_.

Хотелось бы, что бы были расставлены "все точки над i "

Вы разницу между просьбой и приказом чувствуете?

При Вашей-то исполнительности ? Разница ? Смешно...

Да и сути не меняет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

О эта невидимая могущественная рука разработчика почтовой подсистемы! Да, EYE? :D Ну-ну.. ;) Если бы я был эмиссаром разработчиков Касперского, ситуация была бы, мягко говоря, немного иной :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я вот в том сообщении показал как Trend Micro легко сносится под админом. Я думаю вендор и вкурсе и осознаёт это и считает что делать защиту от этого бессмыслено.

При сравнивании самозащиты антивирусов под ограниченным аккоунтом я как-то очень не знал,что подумать,стерев без всяких ухищерений всю базу КАВа 5-й линейки.Поэтому могут результаты при тестировании самозащиты под админом и под огранаккоунтом между продуктами далеко не совпадать.Меня интересует исключительно самозащита под огранаккоунтом.Админаккоунт запрограммирован именно для получения максимальных прав.Тут уж пользователь должен решать,за вирусы он,или за АВ и ОС.А против админа трудно что-либо сделать и чем больше окапываться,тем больше вероятность,что закопаешься.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Inkogn

не дать админа некоторым людям в корпоративной среде очень тяжело в тоже время где гарантия что неснесут антивирус? (у меня сносило пару человек) потому что он тормозит систему? (вычислял только по тому факту что базы давно не обновлялись, а ведь люди в отпуска ходят вот и проходит значительное время чтобы это можно было понять).

И при том опыт KAV'a показывает что защитить себя можно и под админом. За это я его уважаю.

а так как KAV6/KIS6 - это персональный продукт который обычно установлен дома, где 99% пользователей - работают под админом (вы с этим согласны?) поэтому для него это очень критично.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

EYE ну до такой степени пошлости я от вас неожидал.. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Обновляю: https://mega.nz/#!0FYBnRzT!Kh8GaRMVOzm99QJZX0NsDD51vDaFzPI-Vil02kw53rQ
    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...