Найдена уязвимость в KAV6/KIS6

[Alex_Goodwin 81]

Как всегда в духе школьников...

[Иван 290]

кстати зря дрвебовцы приняли решения уйти с форума

есть много разных тем, не касающихся войны, которые можно обсуждать

кроме того, как мы видим очень много последних тем связаны с проблемами касперского, так что дрвебовцам жаловаться грех

[Dexter 20]

Дивные песнопения я слышу на одном небезызвестном блоге:

Один из самых оголтелых вентиляторов подвизался чистить грязь за ЛК на якобы независимом ресурсе.

http://blogs.drweb.com/?q=node/100

В лицо сказать никак, я вижу.

Похоже, один из самых разумных ядо-изготовителей (вспомним, как "яд" по-латыни :wink: ) подвизался поливать грязью ЛК на одном аффилиированном ресурсе.

Прошу меня извинить за оффтопик. :oops:

Не принимайте близко к сердцу.

Мне, кажется, что Вы стали невольным участником в большой игре-войне, причём первый раз Вас "слили", попросив удалив сообщение.

Будьте аккуратней в выборе друзей и врагов. Ж)

[TiX 0]

бла бла бла

[Sergey Dindikov 10]

TiX

типа да

только тссс....

[TiX 0]

Дык тады странна что она в релизе есть.. Я вроде преверял как-то только ProcessExplorerom... получал access denied

[Sergey Dindikov 10]

TiX

конечно странно так такого рода защита появилась пару лет назад примерно (точнее надо смотреть переписку)

и можно такой тест на пробиваемость сделать на автомате........

[Dexter 20]

конечно странно так такого рода защита появилась пару лет назад примерно (точнее надо смотреть переписку)

Т.е. истории 2 года?

2Tix

бла бла бла

Хорошо, что я видел первоначальное сообщение.

[Sergey Dindikov 10]

я имею ввиду что разного вида защиты на предмет убиения процесса, запрет на останов сервиса, заморозки процесса, убиения тридов, защита от замены своих файлов, защиты от отключений загрузки драйвера и прочее... появилось не сразу, а постепенно начиная с версии 4.5 помоему.

про проблему вывода из строя путем заморозки процесса я сообщил наверное одним из самых первых разработчику из KAV LAB - A.S. (который такими защитами и занимается). Он её успешно реализовал в каком-то билде 4.5ки.

те что мешает написать авто-тесты и прогонять билды? насколько я знаю в тест билдах защита обычно отключается (-лась).

Добавлено спустя 4 минуты 11 секунд:

привожу первоначальное сообщение о проблеме, получается о проблеме сообщал почти 3.5 года назад )

From betatest@kaspersky.com Thu Apr 24 12:48:52 2003

Return-path: <betatest@kaspersky.com>

Received: from [212.5.80.3] (port=3882 helo=relay.avp.ru)

by mx6.mail.ru with esmtp

id 198cPT-000HIN-00

for sdindikov@mail.ru; Thu, 24 Apr 2003 12:48:51 +0400

Received: (from root@localhost)

by relay.avp.ru (8.9.3p2/8.9.3) id MAA29346

for sdindikov@mail.ru.KAV; Thu, 24 Apr 2003 12:58:47 +0700 (OMSST)

(envelope-from betatest@kaspersky.com)

Received: from KLSERVER2.avp.ru (klserver2.avp.ru [172.16.11.5])

by relay.avp.ru (8.9.3p2/8.9.3) with ESMTP id MAA29331

for <sdindikov@mail.ru>; Thu, 24 Apr 2003 12:58:46 +0700 (OMSST)

(envelope-from betatest@kaspersky.com)

content-class: urn:content-classes:message

Subject: RE: Re[2]: KAV Personal Pro 4.5beta TEST

MIME-Version: 1.0

Content-Type: text/plain;

charset="windows-1251"

Date: Thu, 24 Apr 2003 12:49:39 +0400

X-MimeOLE: Produced By Microsoft Exchange V6.0.6249.0

Message-ID: <ABEAB68309130846B70B6914CC3E4725051CEF@klserver2.avp.ru>

X-MS-Has-Attach:

X-MS-TNEF-Correlator:

Thread-Topic: Re[2]: KAV Personal Pro 4.5beta TEST

Thread-Index: AcMKPhvwiFEaAMrRTKC6PBbw9ZbYuQAAEXRQ

From: "Beta Test" <betatest@kaspersky.com>

To: "Sergey Dindikov" <sdindikov@mail.ru>

Content-Transfer-Encoding: 8bit

X-MIME-Autoconverted: from quoted-printable to 8bit by relay.avp.ru id MAA29331

Спасибо, сейчас передадим на рассмотрение тестерам и разработке.

-----Original Message-----

From: Sergey Dindikov [mailto:sdindikov@mail.ru]

Sent: Thursday, April 24, 2003 12:46 PM

To: Beta Test

Subject: Re[2]: KAV Personal Pro 4.5beta TEST

Hello Beta,

Thursday, April 24, 2003, 11:27:54 AM, you wrote:

BT> Добрый день, Сергей. Спасибо за подробный отчет.

BT> Уточните, о какой версии идет речь- о Personal или Personal Pro 4.5

ну в этом же письме в поле subj указано что KAV Personal Pro 4.5beta

TEST, хотя тут все тесты связаны с одним монитором, который как мне

кажется в Personal версии одинаков с Personal Pro (может я и

ршибаюсь...)

два пред письма моих (недавних) тоже для Personal Pro, там где 1)

отображение версий файлов в About 2) Про непоказывание имени процесса

который пытается снять процесс AVPM.exe.

BT> В тексте вижу KAV4.0.8.0eng. Не понял- идет речь именно о 4,0 версии?

я просто сравнивал... все проблемы обнаруженные мной ниже так или иначе

тянутся с 4.0.x.0 версий! я вам уже про них сообщал ранее... и

отдельно разработчику Andrew Sobko, но он мне сказал жди новую версию

4.5... (вот бету 4.5 Personal Pro я проверил).

Вот вам ещё пища для ума:

на www.sysinternals.com есть PsTools утилиты.

PsXXX.exe (заморозка процессов)

и

PsXXXl.exe (снятие процессов)

делаем под NT Based OS:

PsXXX.exe Avpm.exe

вирусный код уже может выполняться

(после этого замедляются файловые операции!!!)

делаем ещё

PsXXXl.exe Avpm.exe

2 процесса Avpm снимаются

(надо подождать около минуты...)

Добавлено спустя 1 минуту 22 секунды:

инфу спрятал как мог просто хотел донести что показано в точности таже самая ситуация!

Добавлено спустя 1 минуту 25 секунд:

если недостаточно спрятал, спрячьте больше.

Неужели это несчитается что я предупредил вендора заранее?

3.5 года?

[TiX 0]

А теперь все про морозильник удалите Ж) А то ведь поймут )

Дырка то скорее по недосмотру вылезла т.к изначально на 299 вроде ее небыло.

[aintrust 0]

Эх... бедный Андрей Собко! Все собаки валятся на него, а ведь на самом деле тут только вина тестеров, увы...

[Sergey Dindikov 10]

TiX

Дырка то скорее по недосмотру вылезла т.к изначально на 299 вроде ее небыло.

хе-хе если это действительно так то мне тогда непонятно зачем компании 2 недели для закрытия этой дыры? ))

наверное чтобы успели воспользоваться?

[TiX 0]

Стандартный ответ? может..

[EYE 59]

инфу спрятал как мог просто хотел донести что показано в точности таже самая ситуация!

Добавлено спустя 1 минуту 25 секунд:

если недостаточно спрятал, спрячьте больше.

Sergey Dindikov, не надо ничего прятать, надеюсь, что случаев

"модерастии" здесь больше не будет.

Неужели это несчитается что я предупредил вендора заранее?

3.5 года?

Ну, это как в известной басне: "Ты виноват уж тем..."

[Sergey Dindikov 10]

TiX

Стандартный ответ? может..

Q: У меня тут false alarm KAV убил svchost.exe

A: подождите 2 недели, разберемся и обязательно починим!

типа так чтоли?

[Николай Головко 70]

надеюсь, что случаев "модерастии" здесь больше не будет.

Следите за речью, будьте добры. Спасибо.

[EYE 59]

Следите за речью, будьте добры. Спасибо.

За речью всегда слежу. Пожалуйста.

[Николай Головко 70]

Благодарю вас.

[Alex_Goodwin 81]

TO Sergey Dindikov:

А на других антивирусах не пробовали? Мне кажется, еще кто-нибудь упадет.

[Sergey Dindikov 10]

Alex_Goodwin

Ну проверил сейчас Trend Micro корпоративный 7.3 процессы его замораживаются но реалтайм файл-защита не отваливается всё равно.

доступ к опасному фaйлу остаётся закрытым. Но защиты от убиения процессов нет.

справедливо под админскими правами естественно.

как я писал ранее KAV наиболее защищенный из всех. imho.

[Николай Головко 70]

Этот метод вообще коварен как таковой. В данном конкретном случае наиболее защищены антивирусы с драйверами.

[Ego1st 95]

В данном конкретном случае наиболее защищены антивирусы с драйверами.

Я бы вообще сказал так, что наиболее защищены антивирусы, те которые менее распрастранёные, против них редко кто пишет гадость=))

[Пит 15]

В данном конкретном случае наиболее защищены антивирусы с драйверами.

Я бы вообще сказал так, что наиболее защищены антивирусы, те которые менее распрастранёные, против них редко кто пишет гадость=))

И кто это такие....

Может назовёте парочку

[Sergey Dindikov 10]

NickGolovko

А у какого антивируса с реал-тайм защитой нет драйверов? :roll:

[Николай Головко 70]

Где-то слыхал, что есть товарищи, которые ловят вирье не драйвером.