Найдена уязвимость в KAV6/KIS6

[Ego1st 95]

Случайно наткнулся, нехорошо получилось

http://www.securitylab.ru/forum/read.php?F...6&TID=34073

[Николай Головко 70]

Весело

Смысла далее удерживать информацию в таком случае не вижу, тем более что уязвимость закрыта. Сообщение восстановлено.

[SuperBrat 6]

Смысла далее удерживать информацию в таком случае не вижу, тем более что уязвимость закрыта. Сообщение восстановлено.

Теперь бы хорошо выложить ссылку на хотфикс. Многим пригодится.

[Sergey Dindikov 10]

SuperBrat

А ссылка уже была тут см. выше.

[SuperBrat 6]

http://forum.kaspersky.com/index.php?act=A...st&id=17287

Sergey Dindikov, спс. А "Attach" я не приметил.

[Сергей Ильин 1538]

Trend Micro конечно под админом ещё проще вырубается

может быть имеет смысл выделить это в отдельную тему? :?

[Sergey Dindikov 10]

Сергей Ильин

А смысл? думаешь вендора волнует это? или они незнают про это?

Добавлено спустя 8 минут 40 секунд:

сейчас посмотрел процесс ватчдога был сейчас наследником ntrtscan.exe, а не tmlisten.exe т.е. чтобы наверняка снять лучше сделать:

pskill.exe -t ntrtscan.exe

pskill.exe -t tmlisten.exe

pskill.exe -t OfcPfwSvc.exe

pskill.exe -t PccNTUpd.exe

pskill.exe -t PccNTMon.exe

pskill.exe -t XPUpg.exe

[Ego1st 95]

Nod32 имеет этуже уязвимость, точно также мрёт, как и касперский..

[Sergey Dindikov 10]

Ego1st

А по подробнее какая версия проверялась? 2.7?

есть ли защита от убиения процессов?

[Ego1st 95]

nod32krn при попытки через диспетчер задач убить, возникает вновь..

pskill неубил его..

а заморозить получилось..

[Sergey Dindikov 10]

Ego1st

А у нода только один процесс есть?

[Ego1st 95]

нет два, один насколько я понял за gui отвечает второй за всё остальное..

[Dmitry Perets 30]

nod32krn при попытки через диспетчер задач убить, возникает вновь..

nod32krn убивается двумя строчками в консоли (убийство процесса - это только одна из них =)). Результат: сервис НОДа тихо умирает, вирусы не ловятся, но на вид - всё ОК, иконка на месте и т.п. Видимо, не стоит публиковать эти строчки открыто, хотя они довольно логичны... Можно НОДовцам сообщить, хотя сомневаюсь, что они не знают =)

[Пит 15]

Nod32 имеет этуже уязвимость, точно также мрёт, как и касперский..

Ах, какой получается интересный .....

Плохо одно, что врятли разработчики NODa этот форум читают.

И модераторов тут у них нет.

[Dmitry Perets 30]

Плохо одно, что врятли разработчики NODa этот форум читают.

И модераторов тут у них нет.

Так вон есть EYE, его зоркий глаз всё читает =) Пусть бы сообщил в Eset что-ли...

Добавлено спустя 2 минуты 33 секунды:

Хотя имхо это глупо. К чему заделывать хитрые уязвимости, когда есть простейшие? Т.е. Eset своей самозащитой и не хвастается, видимо считает эту фичу не достаточно важной.

P.S. К слову, если кто сомневался... ЕСТЬ в сети реальные зловреды, юзающие упомянутую мной дыру. Я уже дважды видел убитый НОД именно с такими симптомами...

[Ego1st 95]

Я уже дважды видел убитый НОД

я уже не один десяток видел убитый нод, даже пусть и не таким способом..

Dmitry Perets а можно узнать поточнее про две строчки, можно и в личку..

Буду благодарен..

[Николай Головко 70]

Так что, господа, опять закрыть инфу?

[Sergeyko 0]

Так что, господа, опять закрыть инфу?

Зачем?! Не о ЛК же речь!

[Ego1st 95]

НОВАЯ ВЕРСИЯ 6.0.1.411 ReBuild 4

------------------------------

Вносим только несколько указанные ниже change list'ы и пересобираем инсталляторы.

1) слово FAQ в GUI заменена на (cl 162947): (enums.loc service.loc)

Русский - База знаний

Английский - Knowledge base

Немецкий - Wissendatenbank

Французский - Base de connaissance

2) ссылка support@kaspersky.com в алертах о неправильном ключе, падении и сетевой атаке (вроде бы) заменена на переход на страницу GUI Service>Support (cl 162880)

3)

trafficmonitor2.ppl KIS, KAV 6.0.1.412 падение при проверке SSL-соединений cl 162026

MailDisp.ppl KIS, KAV 6.0.1.412 MD работает только для первого почтового аккаунта cl 512568

fssync.dll KIS, KAV 6.0.1.412 уязвимость: psuspend.exe Avp cl 162553

4) klop.sys включён по умолчанию (cl 162967)

5) Фраза про ошибку при введении неверного кода активации или активации, если дата на машине более, чем на 2-е суток отличается от даты на сервера активации заменена (cl 162986).

----------------------------------------------------

[Storm 0]

pskill неубил его..

Его восстанавливает services.exe. Достаточно удалить запись о сервисе и нод тихо помрет

[Dmitry Perets 30]

Dmitry Perets а можно узнать поточнее про две строчки, можно и в личку..

Буду благодарен..

Можно, шлю в личку... =)

[Ego1st 95]

Дмитрий благодарю как всё просто оказывается=))