Che

Уязвимость в Aнтивирусе Касперского

В этой теме 29 сообщений

SecuriTeam сообщила об обнаружении новой уязвимости в антивирусе Касперского

http://www.derkeiler.com/Mailing-Lists/Sec...7/msg00070.html

Уязвимость вызвана защитой лицензии, так что при переводе системного времени назад на машине (пользователем или вирусом), антивирусная защита отключается.

*************************************

Kaspersky Antivirus license protection can be used to disable the antivirus's functionality if the date of the machine is set to that of an eariler date than that of the license. Malicious software can use this method to disable the antivirus by simply changing the date a year back (for example).

*************************************

Насколько я понял, это затрагивает все персональные версии 6.0 и 7.0.

Посмотрим, что скажут разработчики ЛК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

замечательно, об этой уязвимости с начало 6 версии говорят=)))

SecuriTeam получаються мягко говоря тормоза=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
замечательно, об этой уязвимости с начало 6 версии говорят=)))

А чего говорить и ждать, пока пресса напишет? Дождались, это сделали SecuriTeam, я бы им спасибо за это сказал, а то бы "говорили" и дальше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А чего говорить и ждать, пока пресса напишет? Дождались, это сделали SecuriTeam, я бы им спасибо за это сказал, а то бы "говорили" и дальше.

об этой уязвимости можно было просто не сообщать, о ней все и давно уже знали.. видимо кроме SecuriTeam..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Уязвимость вызвана защитой лицензии, так что при переводе системного времени назад на машине (пользователем или вирусом), антивирусная защита отключается.

Мне кстати даже малвары попадались такие - они на 4 года назад системное время переводят. Вроде бы по KL Hoax.Win32.Renos.dk так называется :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Правильно о ней все знали, включая вирусописателей, vaber подтвердил это примером. Если в ЛК об уязвимости знали давно, то почему не приняли меры до сих пор? Мне не понятно, какой-то системный кризис налицо :?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот гении. Ну какая это уязвимость? Это функция. Она есть у всех. Если так говорить, то во всех антивирусах уязвимость, а не только в Касперском.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Это функция. Она есть у всех. Если так говорить, то во всех антивирусах уязвимость, а не только в Касперском.

А вот и не правда! :wink: Сейчас попробовал перевести системную дату на 2003 год и мой лицензионный Нод32 никак на это не отреагировал!

:roll:

P.S. Не имею цели снова начинать дискуссию ESET vs LK, но пройти мимо не смог! :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Надо же, как лоялен продукт к попыткам его обмануть... :) Не ожидал... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На самом деле я у других антивирусов такое поведение, как у КАВа тоже не видел, очевидно, что там срок лицензии контролируется как-то иначе, и такой уязвимости там нет.

Надо же, как лоялен продукт к попыткам его обмануть... Smile Не ожидал... Smile

Обмануть выйдет врят ли, но при этом уязвимости нет.

Поэтому, NickGolovko, это не проблема всего антивирусного сообщества.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Скорее всего, в других продуктах отслеживается пересечение только верхнего срока лицензии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Скорее всего, в других продуктах отслеживается пересечение только верхнего срока лицензии.

Нет, Ноду вообще наплевать на дату! Поставьте хоть 1500 год, хоть 3000 г. ему пофигу! Он перед обновление скачивает список просроченых ключей и вычисляет можно обновляться или нет! На работу самого антивируса ключь влияния не имеет!

NickGolovko

Кстати вопрос! А зачем КАВ-у отключаться по дате, если он тоже скачивает файл с перечнем ключей в чёрном списке!??? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кстати вопрос! А зачем КАВ-у отключаться по дате, если он тоже скачивает файл с перечнем ключей в чёрном списке!??? Very Happy

КАВ привязан к системному времени, от него все отсчитывается. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кстати вопрос! А зачем КАВ-у отключаться по дате, если он тоже скачивает файл с перечнем ключей в чёрном списке!??? Very Happy

КАВ привязан к системному времени, от него все отсчитывается. :(

Ну так это я знаю! Вот и спрашиваю, зачем так сделано, если всё равно у него есть список забаненых ключей! ИМХО можно спокойно убрать привязку к системной дате! Будет проверять ключи по "чёрному списку" :roll:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NickGolovko

Кстати вопрос! А зачем КАВ-у отключаться по дате, если он тоже скачивает файл с перечнем ключей в чёрном списке!??? :D

Это разные вещи. Список пиратских ключей не полон - это раз; не каждый ключ можно забанить - это два; ключ из черного списка нельзя использовать, а при переводе даты функционал восстанавливается - это три.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вот и спрашиваю, зачем так сделано, если всё равно у него есть список забаненых ключей!

Это действительно разные вещи, при переводе времени антивирусный функционал деактивируется при валидном ключе, черный список тут не при чем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хочу с сожалением констатировать, что наши самые негативные предсказания сбываются - в закрытом форуме выложены ссылки на первых троянов использующих эту уязвимость в КАВе для обхода PDM и своей установки в системе. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Грустно, конечно.

Хотя, на рабочих машинах, и решаемо отбиранием у PowerUsers прав на изменение системного времени:

50148337f5c104a9488d12c5df08576d.jpg

В дополнение, в частности, к отнятым правам на модификацию шар:

http://support.microsoft.com/kb/823288

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Как я понимаю, проблема с переводом времени, наконец, решена.

10.01.2008 г. официально стартовали KAV и КИС версии 7.0.1.321 (он же MP1) с устранением этой и других проблем.

Об этом радостном событии ЛК сообщило аж дважды:

http://www.kaspersky.ru/technews?id=203178920

http://www.kaspersky.ru/technews?id=203178921

Молодцы! Так держать!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NickGolovko писал(а):

Это функция. Она есть у всех. Если так говорить, то во всех антивирусах уязвимость, а не только в Касперском.

А вот и не правда! Сейчас попробовал перевести системную дату на 2003 год и мой лицензионный Нод32 никак на это не отреагировал!

Это не совсем правда,т.к. триал нода также чувствителен к этому способу.Ещё на заре распространения нода многие юзеры при установке нода специально переводили системную дату на пару лет вперед ( да кто как хотел :D ),затем после установки - назад ,тем самым прибавляя добавленное время к сроку триала.

Многие антивирусные продукты чувствительны к переводу даты ,но немногие чувствительны к переводу в течении активного сеанса .

Вот после ребута( если вирус доживёт) - другое дело

:D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В продукте отвечающего за безопасность машины, нивкоем случае нельзя оставлять такую уязвимость.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В продукте, отвечающем за безопасность, вообще нельзя уязвимости оставлять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мне показалось, что KIS 7.0.1.321 притормаживает при загрузке компа и в первые несколько минут работы. В версии KIS 7.0.0.125 такого не наблюдал. Может, что-то поменяли в KIS ? Или это только у меня так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Ольга_diplombest
      Высшее образование — сегодня это головная боль. Хотя каждый молодой человек стремиться его получить, как залог хорошей работы и высокой зарплаты в будущем. Но ВУЗы уже перестали быть бесплатными, поэтому получить образование можно только за деньги. Поэтому все чаще портрет современного студента — это работающий человек, который совмещает работу с учебой и еще имеющий семью. К тому же ссесия, написание рефератов. Курсовых работ или защита диплома — это настоящее испытание требующее много времени и сил.Необходимо время на поиск материала диплома,  написание работы, а еще семья и работа —и вот времени не хватает. При этом все успеть, порой физически бывает не возможно. И вот студент думает выхода нет и заваливает ссесию, бросает ВУЗ. Но выход есть, воспользоваться профессиональными преподавателями, аспирантами, докторами наук ... ка сделали уже многие студенты — https://diplombest.ru/сайт для тех, кто ценит время и бережет нервы. Компания работает без предоплаты, что гарантирует получение качественной работы в срок и без рисков для студента, политика скидок позволяет экономить до 50% от стоймости работы, что заслуживает доверия со стороны студентаТогда получение высшего образования будет в радость и через 5 лет ты уже заслуженный специалист.
    • Ольга_diplombest
      Я да не плохие деньги. Я то пользовалась https://diplombest.ru/. роде не плохо
    • santy
      demkd, за счет чего uVS здесь обнаружил руткитный драйвер, загружающий в систему майнер? https://www.virustotal.com/#/file/f5d95d2e62eba634fe2c2393b1da26aaad9ea0f4dade0fc40a113919411e9963/detection в этой теме https://forum.drweb.com/index.php?showtopic=329197 антисплайсинг? или просто драйвер не прикрыл свою запись в реестре, хотя и защитил себя частично от обнаружения?
    • Dastin
      В качестве бесплатного антивируса для слабых ПК посоветую Avast Free  – программа включает оптимальные настройки по умолчанию, содержит функцию хранения паролей и при этом относительно лояльна к ресурсам системы, особенно при активации специального игрового режима.
    • rodocop
      Когда вы наконец-то осилите русский интерфейс во Free-версии - это будет бомба! ;-)