Перейти к содержанию
Che

Уязвимость в Aнтивирусе Касперского

Recommended Posts

Che

SecuriTeam сообщила об обнаружении новой уязвимости в антивирусе Касперского

http://www.derkeiler.com/Mailing-Lists/Sec...7/msg00070.html

Уязвимость вызвана защитой лицензии, так что при переводе системного времени назад на машине (пользователем или вирусом), антивирусная защита отключается.

*************************************

Kaspersky Antivirus license protection can be used to disable the antivirus's functionality if the date of the machine is set to that of an eariler date than that of the license. Malicious software can use this method to disable the antivirus by simply changing the date a year back (for example).

*************************************

Насколько я понял, это затрагивает все персональные версии 6.0 и 7.0.

Посмотрим, что скажут разработчики ЛК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

замечательно, об этой уязвимости с начало 6 версии говорят=)))

SecuriTeam получаються мягко говоря тормоза=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MiStr

Ответ от разработчиков ЛК уже давно последовал: читать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
замечательно, об этой уязвимости с начало 6 версии говорят=)))

А чего говорить и ждать, пока пресса напишет? Дождались, это сделали SecuriTeam, я бы им спасибо за это сказал, а то бы "говорили" и дальше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
А чего говорить и ждать, пока пресса напишет? Дождались, это сделали SecuriTeam, я бы им спасибо за это сказал, а то бы "говорили" и дальше.

об этой уязвимости можно было просто не сообщать, о ней все и давно уже знали.. видимо кроме SecuriTeam..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Уязвимость вызвана защитой лицензии, так что при переводе системного времени назад на машине (пользователем или вирусом), антивирусная защита отключается.

Мне кстати даже малвары попадались такие - они на 4 года назад системное время переводят. Вроде бы по KL Hoax.Win32.Renos.dk так называется :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Правильно о ней все знали, включая вирусописателей, vaber подтвердил это примером. Если в ЛК об уязвимости знали давно, то почему не приняли меры до сих пор? Мне не понятно, какой-то системный кризис налицо :?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Вот гении. Ну какая это уязвимость? Это функция. Она есть у всех. Если так говорить, то во всех антивирусах уязвимость, а не только в Касперском.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Артём
Это функция. Она есть у всех. Если так говорить, то во всех антивирусах уязвимость, а не только в Касперском.

А вот и не правда! :wink: Сейчас попробовал перевести системную дату на 2003 год и мой лицензионный Нод32 никак на это не отреагировал!

:roll:

P.S. Не имею цели снова начинать дискуссию ESET vs LK, но пройти мимо не смог! :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Надо же, как лоялен продукт к попыткам его обмануть... :) Не ожидал... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

На самом деле я у других антивирусов такое поведение, как у КАВа тоже не видел, очевидно, что там срок лицензии контролируется как-то иначе, и такой уязвимости там нет.

Надо же, как лоялен продукт к попыткам его обмануть... Smile Не ожидал... Smile

Обмануть выйдет врят ли, но при этом уязвимости нет.

Поэтому, NickGolovko, это не проблема всего антивирусного сообщества.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей

Скорее всего, в других продуктах отслеживается пересечение только верхнего срока лицензии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Артём
Скорее всего, в других продуктах отслеживается пересечение только верхнего срока лицензии.

Нет, Ноду вообще наплевать на дату! Поставьте хоть 1500 год, хоть 3000 г. ему пофигу! Он перед обновление скачивает список просроченых ключей и вычисляет можно обновляться или нет! На работу самого антивируса ключь влияния не имеет!

NickGolovko

Кстати вопрос! А зачем КАВ-у отключаться по дате, если он тоже скачивает файл с перечнем ключей в чёрном списке!??? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Кстати вопрос! А зачем КАВ-у отключаться по дате, если он тоже скачивает файл с перечнем ключей в чёрном списке!??? Very Happy

КАВ привязан к системному времени, от него все отсчитывается. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Артём
Кстати вопрос! А зачем КАВ-у отключаться по дате, если он тоже скачивает файл с перечнем ключей в чёрном списке!??? Very Happy

КАВ привязан к системному времени, от него все отсчитывается. :(

Ну так это я знаю! Вот и спрашиваю, зачем так сделано, если всё равно у него есть список забаненых ключей! ИМХО можно спокойно убрать привязку к системной дате! Будет проверять ключи по "чёрному списку" :roll:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко
NickGolovko

Кстати вопрос! А зачем КАВ-у отключаться по дате, если он тоже скачивает файл с перечнем ключей в чёрном списке!??? :D

Это разные вещи. Список пиратских ключей не полон - это раз; не каждый ключ можно забанить - это два; ключ из черного списка нельзя использовать, а при переводе даты функционал восстанавливается - это три.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Вот и спрашиваю, зачем так сделано, если всё равно у него есть список забаненых ключей!

Это действительно разные вещи, при переводе времени антивирусный функционал деактивируется при валидном ключе, черный список тут не при чем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Хочу с сожалением констатировать, что наши самые негативные предсказания сбываются - в закрытом форуме выложены ссылки на первых троянов использующих эту уязвимость в КАВе для обхода PDM и своей установки в системе. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NickXists

Грустно, конечно.

Хотя, на рабочих машинах, и решаемо отбиранием у PowerUsers прав на изменение системного времени:

50148337f5c104a9488d12c5df08576d.jpg

В дополнение, в частности, к отнятым правам на модификацию шар:

http://support.microsoft.com/kb/823288

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit

Как я понимаю, проблема с переводом времени, наконец, решена.

10.01.2008 г. официально стартовали KAV и КИС версии 7.0.1.321 (он же MP1) с устранением этой и других проблем.

Об этом радостном событии ЛК сообщило аж дважды:

http://www.kaspersky.ru/technews?id=203178920

http://www.kaspersky.ru/technews?id=203178921

Молодцы! Так держать!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Да, решена.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
4rward
NickGolovko писал(а):

Это функция. Она есть у всех. Если так говорить, то во всех антивирусах уязвимость, а не только в Касперском.

А вот и не правда! Сейчас попробовал перевести системную дату на 2003 год и мой лицензионный Нод32 никак на это не отреагировал!

Это не совсем правда,т.к. триал нода также чувствителен к этому способу.Ещё на заре распространения нода многие юзеры при установке нода специально переводили системную дату на пару лет вперед ( да кто как хотел :D ),затем после установки - назад ,тем самым прибавляя добавленное время к сроку триала.

Многие антивирусные продукты чувствительны к переводу даты ,но немногие чувствительны к переводу в течении активного сеанса .

Вот после ребута( если вирус доживёт) - другое дело

:D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ice-berg

В продукте отвечающего за безопасность машины, нивкоем случае нельзя оставлять такую уязвимость.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

В продукте, отвечающем за безопасность, вообще нельзя уязвимости оставлять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ezhikkk

Мне показалось, что KIS 7.0.1.321 притормаживает при загрузке компа и в первые несколько минут работы. В версии KIS 7.0.0.125 такого не наблюдал. Может, что-то поменяли в KIS ? Или это только у меня так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×