Kaspersky antivirus 6: HTTP monitor bypassing

[broker 30]

что имел ввиду ДЖОН..

А он имел ввиду вот что, на компьютере жертвы запускается зловредное ПО, которое начинает качать из интернета ВИРУСЫ..

По мнению Джона, КАВ должен был отследить это на этапе соединения с интернетом и закачкой.

На самом деле, при наличи аутпоста такая же ситуация.. как и с антихакером..

Добавлено спустя 5 минут 56 секунд:

Я подозреваю, что и в КАВ без антихакера эту уязвимость нельзя будет использовать, ибо сработает файловый монитор, когда eicar будет закачан на комп

абсолютно верно.

Добавлено спустя 39 минут 29 секунд:

http://inesp.ru/download/Interview.rar

статья про альтруиста

непонятно, зачем г. john доказывает, что каспер - это не антивирус..

[Сергей Ильин 1538]

Прояснится только то, что в моём длинном посте про Dr.Web больше правды, чем кажется на первый взгляд =) Держите линк:

Спасибо за ссылку, очень интересно почитать

Наверное даже мы его перепечатаем здесь.

[broker 30]

Dmitry Perets

[Mr. Justice 771]

HTTP monitor не имеет понятия о HTTP и не проверяет скаченное вообще. говоря коротко - нет никакого Веб-антивируса кроме как в рекламных агитках.

Чушь! Он работет как часы. Неплохо ловит вирусы. Убеждался лично. Не знаю почему у Вас не ловит. Найти уязвимость можно практически в любом продукте, в том числе и в будущем Spider Gate Dr. Web. Надо отметить, что пользователям KAV/KIS 6.0 указанная Вами дыра абсолютно не страшна.

Вы опять допускаете грубую логическую ошибку, делая подобные заявления.

Добавлено спустя 5 минут 56 секунд:

На самом деле, эта дыра в КАВ и КИС не критична, ведь файл передающийся через HTTP, будет все равно проверен монитором на винте, разве нет?

Я тоже так думаю.

Т.е. проверка HTTP трафика на лету это вообще мера избыточная по сути.

Когда я пользуюсь KAV 6.0 я вообще отключаю web-антивирус, за исключением некоторых случаев...

Добавлено спустя 11 минут 25 секунд:

непонятно, зачем г. john доказывает, что каспер - это не антивирус..

Это-то как раз и понятно broker. john - представитель конкурента, а поэтому он, как говорят юристы, "заинтересованное лицо" (это не утверждение - это всего лишь предположение).

[broker 30]

broker писал(а):

непонятно, зачем г. john доказывает, что каспер - это не антивирус..

Это-то как раз и понятно broker. john - представитель конкурента, а поэтому он, как говорят юристы, "заинтересованное лицо" (это не утверждение - это всего лишь предположение).

выдрано из контекста.. на самом деле если Вы прочитаете интервью .. то у Вас тоже возникнет вопрос.. а чего это он..

пусть идёт пишет технологию и не тратит время.

указанная Вами дыра абсолютно не страшна.

не надо это дырой называть.. это не дыра..и не уязвимость.. пока что

[Mr. Justice 771]

выдрано из контекста.. на самом деле если Вы прочитаете интервью .. то у Вас тоже возникнет вопрос.. а чего это он..

Не понял. Поясните, пожалуйста, свою мысль. Читал бегло, может что-то упустил важное.

не надо это дырой называть.. это не дыра..и не уязвимость.. пока что

Да, и это, тоже не совсем понятно.

[broker 30]

Не понял. Поясните, пожалуйста, свою мысль. Читал бегло, может что-то упустил важное.

в сегодняшней дискуссии г. john для пониманию его мыслей порекомендовал прочитать следующее:

читайте интерью Данилова - "поделия ученика 11 класса", ну и все отсюда вытекающее.

данное интервью было предоставлено

Держите линк: http://inesp.ru/download/Interview.rar

за, что Dmitry Perets

человеческое СПАСИБО..

После прочтения этого интервью я и задал свой ВОПРОС..

Да, и это, тоже не совсем понятно.

Уязвимость - это когда из-за ошибки в ПО можно получить привилегии или коренным образом нарушить работу ПО, или объекта, где ПО установлено.

обычно об уязвимостях заявляют открыто, и информация о них публикуется в специальных источниках или у вендора (хотя о целесообразности подобного, постоянно идут СПОРЫ)

В качестве открытого источника нам было предложено

http://www.securityfocus.com/archive/1/434827

но в разделе Уязвимости этой информации так и не появилось..

Так же её нет и на сайте Заразы

http://www.security.nnov.ru/

поэтому пока, именно, о дыре или об уязвимости - я рекомендую не говорить.

Продемострированна попытка обойти веб-антивирус.. в целом как показали исследования для системы это не критично.. тоже самое случиться .. если вражески код будет стучаться в интернет по портам отличным от указанных в настройках веб-антивируса.

Так же .. фактически.. допущена логическая ошибка .. показана угроза, для которой методом защиты служат другие средства.. а тестируемое средство имеет другое назначение.

[Mr. Justice 771]

в сегодняшней дискуссии г. john для пониманию его мыслей порекомендовал прочитать следующее:

читайте интерью Данилова - "поделия ученика 11 класса", ну и все отсюда вытекающее.

Так, понятно

После прочтения этого интервью я и задал свой ВОПРОС..

А вот тут не совсем ясно, что Вам непонятно...

[broker 30]

проехали

Добавлено спустя 18 секунд:

[Mr. Justice 771]

проехали

Добавлено спустя 18 секунд:

OK . Не будем это обсуждать

[XL 0]

Мельком слежу за происходящим со стороны и тихо удивляюсь... Я привык видеть подобное поливание грязью в иных сферах деятельности, но чтоб производители антивирусного ПО так себя вели. Я представляю, как все это читают вирмейкеры и громко ухахатываются. А теперь представьте - каково все это видеть конечному пользователю выпускаемых антивирусных решений. Очень жаль, что мнение автора, которое может не совпадать с мнением компании, накладывает свой отпечаток и на продукцию той самой компании с позиции рядового пользователя, да и просто с человеческой позиции.

2Джон: простой пользователь (он же недотепа, наслышанный о вирусах, но при деньгах), коих большинство в нашей стране, да и не только в ней, НИКОГДА не будет изголяться подобным образом над своими компьютерами. Да и проникший вирус призвана остановить проактивка и пр. компопненты защиты, как уже было сказано. И ничего критичного в том, что вирь сначала попал в систему и там уже был убит файловым монитором, я на взгляд рядового осведомленного пользователя(не специалиста по компьютерной безопасности) не вижу. В свете всего сказанного нет особого смысла перегружать скан ВЭБ трафа самым жестким образом и делать так, чтобы ни один троян не прошел незамеченным. В большинстве случаев - а это обычный ВЭБ серфинг и загрузка файлов из инета, HTTP монитор отрабатывает свои функции прекрасно. Было время проверить. Я даже советую КАВ 6.0 всем своим друзьям и знакомым, чего не могу сказать о том продукте, что выпускается в т.ч. при вашем участии. И дело тут не только в непроработанном интерфейсе, где для того, чтобы включить лечение в архивах, необходимо править ini файл (см. мифы) и далее в таком же духе. Дело в поддержке и общем уровне сервиса - частота обновлений(обратное доказывать не нужно, я уже читал комментарии на этот счет), сайт с описаниями вирусов и пр. Продукт ЛК реально лучше с позиции рядового пользователя ибо в нем все наглядно и открыто, а еще его разработчики не позволяют себе высказываний подобных Вашим. И, Джон, просто примите это как здоровую критику - не всупайте со смной в полемику, цепляясь за слова! Мы с вами на разных уровнях смотрим на вирусы и на угрозы, от них исходящие.

[nobody@nowhere 0]

открыто, а еще его разработчики не позволяют себе высказываний подобных Вашим. И, Джон, просто примите это как здоровую критику - не всупайте со смной в полемику, цепляясь за слова!

ага! ну не дочитали RFC, не смогли протестировать - бывает. но свои мысли они формулируют исключительно в терминах "напрочь безумные", "отмороженые чуваки" и "раздавим" а так все нормально - "ваш экаунт забанен" пацаны 11го класса, что с них взять

[XL 0]

Поступили по принципу "Иногда лучше жевать{прим. и банить}, чем говорить." Ну, пожалуй, про неадекватность это они уже из разряда личностей заявили и не стоило этого делать. Но, не было заявлений типа - "а вот тут у вас ****, и вот тут...". И в этом было их несомненное превосходство. Чисто психологическая победа.

Я все же верю, что и Вы сумеете выкатить вполне достойный продукт. Но вот такая вот война вас не красит, вместо оскорблений на форумах лучше сосредоточить усилия над разработкой продукта

[nobody@nowhere 0]

Поступили по принципу "Иногда лучше жевать{прим. и банить}, чем говорить." Ну, пожалуй, про неадекватность это они уже из разряда личностей заявили и не стоило этого делать. Но, не было заявлений типа - "а вот тут у вас ****, и вот тут...". И в этом было их несомненное превосходство. Чисто психологическая победа.

Я все же верю, что и Вы сумеете выкатить вполне достойный продукт. Но вот такая вот война вас не красит, вместо оскорблений на форумах лучше сосредоточить усилия над разработкой продукта

это стиль ЛК - забанить, удалить сообщения с критикой с форума. назвать всех "отможоженными" и "напрочь безумнымыми" - несомненно самое корректное поведение на технические-то претензии ответить нечего. в протоколе дыра, вирусы лечить не в состоянии. остается только ругаться и банить но дырки в софте от этого не исчезнут. и не прибиваться KAV6 от этого Graz'ом не будет

Добавлено спустя 2 минуты 35 секунд:

Так же .. фактически.. допущена логическая ошибка .. показана угроза, для которой методом защиты служат другие средства.. а тестируемое средство имеет другое назначение.

HTTP монитор не служит для фильтрации HTTP трафика. браво! это логика уже даже не 3го а сразу 7го порядка.

вот расскажите нам для чего служит HTTP монитор?

[XL 0]

Оно не только Graz'ом убивается(надеюсь, что вы это не просто так заявляете), я уже выше показывал смерть шестерки от прошлогоднего виря в теме про удаление последствий заражения. Но это не только проблема продуктов ЛК. Агнитум тоже попадает, да и всем вашим коллегам по цеху достается. Нет предела совершенству и есть к чему стремиться. Факт в том, что одно дело ставить антивирь на уже зараженную хитрым зловредом машину, а другое дело не допустить заражения. И вот здесь ЛК ушла вперед. Это все. Пока все. Ждем ответа И в случае его адекватности в этом(и не только в этом) плане я готов советовать продукт всем своим клиентам, когда те жалуются, что "у меня вместо адреса VPN сервера какая-то фигня типа 8,,10232547...."

[nobody@nowhere 0]

Оно не только Graz'ом убивается(надеюсь, что вы это не просто так заявляете), я уже выше показывал смерть шестерки от прошлогоднего виря в теме про удаление последствий заражения.

не читал к сожалению, но это печально как-то. неужели защита работает только от task manager?

Но это не только проблема продуктов ЛК. Агнитум тоже попадает, да и всем вашим коллегам по цеху достается. Нет предела совершенству и есть к чему стремиться. Факт в том, что одно дело ставить антивирь на уже зараженную хитрым зловредом машину, а другое дело не допустить заражения. И вот здесь ЛК ушла вперед. Это все. Пока все. Ждем ответа И в случае его адекватности в этом(и не только в этом) плане я готов советовать продукт всем своим клиентам, когда те жалуются, что "у меня вместо адреса VPN сервера какая-то фигня типа 8,,10232547...."

а что делать тем кто уже заразился? ведь оно как обычно в России, да и не тольков России. пока не болен - таблеток не принимаем. как человеку быть, простому, неискушенному пользователю? совет читать virusinfo вряд ли подойдет, он не поймет и 10й части вопросов, не то что на них ответить.

[XL 0]

что делать тем кто уже заразился?

Ничего лучше удаления и чистки в сэйф моде пока не придумали. Быстро и эффективно. Правда не со всеми прокатывает. Вот скажите(только честно) может ли DrWeb удалить nsag.a в интерпретации ЛК? (Oleloa.gen в интерпретации ESET) Просто удалить уже проинсталенный вирь без каких-либо ручных манипуляций.

[broker 30]

где тут написано про защиту HTTP трафика?

Добавлено спустя 16 минут 29 секунд:

кстати, для защиты (фильтрации HTTP трафика) есть другие продукты.. и как раз для проверки их работоспособности можно использовать ваше изобретение.

[Dmitry Perets 30]

HTTP монитор не служит для фильтрации HTTP трафика. браво! это логика уже даже не 3го а сразу 7го порядка.

вот расскажите нам для чего служит HTTP монитор?

Вы конечно же правы, HTTP-монитор служит именно для фильтрации HTTP-траффика. broker просто ошибся. На приведённом им скриншоте эта фича "скрывается" в пункте 3 - проверка "на лету" при использовании любого интернет-браузера.

Но вернёся к нашим баранам (это просто выражение такое =)).

Результаты обещанной проверки смотрите здесь: http://forum.kaspersky.com/index.php?showt...st&p=120860

И сразу же попытаюсь защититься от смешных коментариев. Я там пишу, что простой вывод на экран содержимого скачанного вируса (без попытки сохранить вирус на диске или запустить его) не представляет абсолютно никакой опасности. Надеюсь, john не опустится до такого, но на случай если ВДРУГ СЛУЧАЙНО он захочет возразить, что команда

syswrite STDOUT, 'document is <'.$doc.'> len='.length($doc)."n";

ужасно опасна (в переменной $doc хранится вирус, любой, по вашему вкусу), и поэтому "11-классникам из ЛК" нужно было на это ругаться, я заранее привожу тут скриншот, показывающий, что SpIDer Guard (Dr.Web 4.33) так же считает её абсолютно безопасной.

Остальные подробности читайте по линку. Имхо на этом тема себя исчерпала.

[headache 0]

статья про альтруиста Smile

Статья - шедевр (в некотором роде) слова вроде все такие "правильные", вот только слово с делом расходится. Где был "альтруист" Данилов года 2-3 назад, когда их unix решения для серверов в один миг подорожали на порядок (что-то около в 20 раз для unlimited лицензии)? При этом функционал практически не изменился.

непонятно, зачем г. john доказывает, что каспер - это не антивирус..

Я написал коммент john-у в теме про IMAP, но передумал и стер. А в PS коммента было: "Так дело и до публикации exploit-ов для конкурирующих продуктов дойдет". И вот

Хочется отметить один момент: по крайней мере за те лет 8 что я читаю securityfocus и прочие багтреки - это происходит впервые когда сотрудник одного АВ-вендора пишет exploit для конкурирующего АВ-продукта (по крайней мере в открытую). Причем, как мне кажется, john даже не соизволил уведомить ЛК и дать им время на устранение уязвимости, что считается профессиональной этикой среди аудиторов, которых он так любит упоминать.

Последствия: от никаких (ругани на форумах), до превращения Dr.Web в нежелательного члена сообщества АВ-вендоров (в случае эскалации скандала со стороны ЛК).

Никакие disclaimer про личное мнение в данных случаях не помогают и всё рассматривается через призму конкуренции. К сожалению, такое поведение разработчика дискредетирует и компанию.

PS: Что примечательно, john вроде хороший разработчик (если судить по Dr.Web ES), но вот ... не профессионально себя ведет. По-крайней мере общаться на форуме с ним нет никакого желания после треда "про технологии".

[Mr. Justice 771]

HTTP монитор не служит для фильтрации HTTP трафика. браво! это логика уже даже не 3го а сразу 7го порядка.

вот расскажите нам для чего служит HTTP монитор?

Вы конечно же правы, HTTP-монитор служит именно для фильтрации HTTP-траффика. broker просто ошибся. На приведённом им скриншоте эта фича "скрывается" в пункте 3 - проверка "на лету" при использовании любого интернет-браузера.

Но вернёся к нашим баранам (это просто выражение такое =)).

Результаты обещанной проверки смотрите здесь: http://forum.kaspersky.com/index.php?showt...st&p=120860

И сразу же попытаюсь защититься от смешных коментариев. Я там пишу, что простой вывод на экран содержимого скачанного вируса (без попытки сохранить вирус на диске или запустить его) не представляет абсолютно никакой опасности. Надеюсь, john не опустится до такого, но на случай если ВДРУГ СЛУЧАЙНО он захочет возразить, что команда

syswrite STDOUT, 'document is <'.$doc.'> len='.length($doc)."n";

ужасно опасна (в переменной $doc хранится вирус, любой, по вашему вкусу), и поэтому "11-классникам из ЛК" нужно было на это ругаться, я заранее привожу тут скриншот, показывающий, что SpIDer Guard (Dr.Web 4.33) так же считает её абсолютно безопасной.

Остальные подробности читайте по линку. Имхо на этом тема себя исчерпала.

Спасибо, Dmitry Perets.

[broker 30]

Вы конечно же правы, HTTP-монитор служит именно для фильтрации HTTP-траффика. broker просто ошибся. На приведённом им скриншоте эта фича "скрывается" в пункте 3 - проверка "на лету" при использовании любого интернет-браузера.

спасибо за коррекцию, но тут как раз есть один акцент "любого интернет-браузера". Как мне кажется это совсем не означает, что если вы будете просматривать html страницы telnetOM антивирус должен сработать.. Так же - это не означает, что вся экзотика будет защищена..

В данном случае.. У МЕНЯ ЕСТЬ ТАКОЕ ОЩУЩЕНИЕ, что веб-антивирус это не защита протокола HTTP, а защита ОС от вредоностности браузера... )))))

С этим мнением и связы все остальные посты..

В любом случае, если я не прав.. то у данного продукта есть один отличный бета-тестер - ДЖОН.

Добавлено спустя 11 минут 48 секунд:

Dmitry Perets

Код:

syswrite STDOUT, 'document is <'.$doc.'> len='.length($doc)."n";

тут орден....

:applause:

Добавлено спустя 4 минуты 46 секунд:

headache

Интересное мнение, а по поводу объявления о найденной "уязвимости"..

конечно бросаться исходниками не стоило.

[Сергей Ильин 1538]

Dmitry Perets , спасибо за интересный пост.

По результатам этой ветки, безусловно, будут награды :-)

[TiX 0]

Лень читать все.. поэтому отвечу.

1. Это не уязвимость а баг

2. Баг скоро будет исправлен.

Суть бага заключается в том что если запрос на сервер передается по протоколу тельнета - по 1 байту а не куском то парсер каспа обламывается.

Но это нарушение RFC, при таком способе если на пути будет прокси например squid то запрос не пройдет. ответ "Bad Request";

Если же данные посылаются в соответствии с RFC то мы получает вот что...

см аттачи.

Джону - если у самих руки настолько кривые что пользоватся SpiderGatom невозможно, то поливать грязью других - это выглядит очень смешно со стороны Ж)

[broker 30]

передается по протоколу тельнета

тут неточность.. протокол телнета работает по 23 порту..

Вы имели ввиду,

по 1 байту

а чем конкретно..не имеет значения.