Kaspersky antivirus 6: HTTP monitor bypassing

[TiX 0]

>Саня, писание троянов - Ваша прерогатива. все исходные данные есть - дерзайте.

Это не моя забота, во все тонкости "дырки" прониклись вы.. так что либо PoC либо обвинение вас в некомпитентности Ж)

Дерзайте...

Сразу предостеругу - Java-Script & Flash неможет работать напрямую с сокетами, а ява-апплет неможет создавать файлы из за ограниченый политики.

[Dmitry Perets 30]

методика показанная в скрипте осужествима пряма из Вашего любимого браузера - vbscript, java applet, flash - любой из них может проделать все тоже самое. в итоге - веб-монитор мы обошли

Так я ж уже сказал коллеге вашему! Продемонстрируйте эксплоит! Настоящий! Чтоб он eicar выкачал мне на комп. И запустил. Пусть это будет VBScript, JavaScript, Java-applet, flash, голый хтмл - не важно. Киньте мне линк, куда я зайду своим браузером и получу eicar в обход веб-антивируса. Так нет, вы вместо этого пишете троянокачалку и говорите, что его должен ловить http-монитор... Ну сколько можно одно и то же-то повторять? =)

в сообществе принято отсылать сообщение о уязвимости вендору и в секьюрити листы, не так ли? за деталями моего видения проблемы - в соседний тред на этом же форуме. проблема прочтения и адекватности восприятия вендора - это его личная проблема, не сообщества. они могут отмазываться тем что сообщения не получали, но листы - получали. а свою адекватность представители ЛК публично продемонстрировали, не в первый раз. отмазки... и все вместо того что бы исправить тривиальную ошибку и оградить пользователей от дыры диаметром с солнце

Принято сначала отсылать вендору, а уж потом в секьюрити листы. Дав вендору время на выпуск фикса. Вы это сделали? Сомневаюсь я однако. Впрочем, это не важно. Ибо фикс всё равно выйдет на следующей неделе. Проще выпустить фикс один раз, чем каждый раз заново доказывать народу, что никакой опасности нету... Вы вот лучше скажите, когда SpiderGate выйдет. Уж больно хочется посмотреть =)

[Бубермот 0]

отлично. тогда идем дальше. почему именно HTTP а не идиотское предложение писать свой протокол. неужели еще не понятно? потому что дыряв Веб-антивирус... методика показанная в скрипте осужествима пряма из Вашего любимого браузера - vbscript, java applet, flash - любой из них может проделать все тоже самое. в итоге - веб-монитор мы обошли, FW обходить нет нужды, он мило и любезно пропустит браузер скачать все что угодно по http. думаю что он при этом скачает говорить не нужно, не так ли? любой эксплоит IE. любую ерунду роняющую венду. не так ли? то что в ЛК так этого и не поняли - очень печально. еще более печально что азбучные истины нужно расказывать специалистам по безопастности. а подсказок было море, но видимо не судьба - нужно разжевать и в рот положить.

Знаете, для специалиста по безопасности у вас какая-то однобокая логика. Любите левой ногой за правым ухом чесать? Ну вот внедрилось в IE нечто, антивирусом не ловящееся. На кой, объясните мне, более мощная зараза станет скачивать менее мощную? Чтоб попасться самой? И зачем эксплуатировать мегадыру, если, как уже объяснялось, можно скачать то же самое по любому протоколу? И файрвол пропустит: в половине случаев браузеру разрешены исодящие TCP соединения по нескольким стандартным для HTTP портам, в другой половине или все исходящие или вообще любая активность. Коннекться себе на 80й порт и тащи что хочешь, по какому хочешь протоколу. Про вариант скачивания архива с паролем или с народной шифровкой XOR c 256битным числом я уж и не заикаюсь, не до того сейчас. Думаете вирусописатель станет пользоваться заведомо рискованым методом, когда ему доступно то, что не ловится даже в теории?

это не важно ситуация - часть с отрицательным смещением, сколько народа на этом погорело.

Знаете, я больше проверять не буду. Услышал про мультипарт - думал вы и вправду большой секрет знаете, а вы или просто все потенциально сложные или опасные моменты http перечисляете, или уже проверили, серьёзных дыр не нашли, показали глупый баг и сейчас просто туману нагоняете.

[nobody@nowhere 0]

методика показанная в скрипте осужествима пряма из Вашего любимого браузера - vbscript, java applet, flash - любой из них может проделать все тоже самое. в итоге - веб-монитор мы обошли

Так я ж уже сказал коллеге вашему! Продемонстрируйте эксплоит! Настоящий! Чтоб он eicar выкачал мне на комп. И запустил. Пусть это будет VBScript, JavaScript, Java-applet, flash, голый хтмл - не важно. Киньте мне линк, куда я зайду своим браузером и получу eicar в обход веб-антивируса. Так нет, вы вместо этого пишете троянокачалку и говорите, что его должен ловить http-монитор... Ну сколько можно одно и то же-то повторять? =)

с этим - к Сане.

в сообществе принято отсылать сообщение о уязвимости вендору и в секьюрити листы, не так ли? за деталями моего видения проблемы - в соседний тред на этом же форуме. проблема прочтения и адекватности восприятия вендора - это его личная проблема, не сообщества. они могут отмазываться тем что сообщения не получали, но листы - получали. а свою адекватность представители ЛК публично продемонстрировали, не в первый раз. отмазки... и все вместо того что бы исправить тривиальную ошибку и оградить пользователей от дыры диаметром с солнце

Принято сначала отсылать вендору, а уж потом в секьюрити листы. Дав вендору время на выпуск фикса. Вы это сделали? Сомневаюсь я однако. Впрочем, это не важно.

нет важно. только что Вы обвинили меня во вранье - мне воспользоваться предложение Mr.Justice? вендор это абсолютно невменяемый (в терминах ЛК) DVi, он не пожелал общаться.

вот я и думаю писать ли им как за пару минут обходится самозащита или ну нафиг - пусть дальше остается тайной пока еще кто не догадается и не напишет?

Знаете, я больше проверять не буду. Услышал про мультипарт - думал вы и вправду большой секрет знаете, а вы или просто все потенциально сложные или опасные моменты http перечисляете, или уже проверили, серьёзных дыр не нашли,

а оно нужно - делать бесплатный аудит?

показали глупый баг и сейчас просто туману нагоняете.

а ломают всегда через наиглупейшие баги. все еще живой и самый показательный пример - sendmail.

[Valery Ledovskoy 1082]

Здоровеньки булы!

Бубермот тут отличился - почему бы ему орден не дать за тестирование продуктов?

"PS: Зато при побайтовой передаче, после того как касперский поймает вируса в окне браузера показывают не стандартную "я только что тебе жизнь спас" страницу каспера, а начало тела вирусни. Т.е. хоть возможность себя похвалить у каспера обламывается. "

Вот это PS - ваще супер

Получается, можно теоретически в браузер передать любой код, в т.ч. вредоносный, и он выполнится?

Вот тебе бабушка, и юрьев день

А говорят - нельзя никак использовать дырку-то

Если дырка есть, то научиться её использовать - это дело времени и техники, к сожалению...

[Сергей Ильин 1538]

Бубермот тут отличился - почему бы ему орден не дать за тестирование продуктов? Smile

Согласен, орден в студию!

[Alex_R. 0]

Прочитал:

Код:

syswrite STDOUT, 'document is <'.$doc.'> len='.length($doc)."n";

ужасно опасна (в переменной $doc хранится вирус, любой, по вашему вкусу)

я как понял в файле с расширением .doc будет любой вирус? вот интересно просто,как это запускать...

[mais 10]

ответы разработчиков KAV:

Что должен перехватить файловый монитор, если файла нет?

Есть страница в памяти браузера и даже если она сохранится на диск, до этого выполнится её код.

Файловый антивирус работает _только_ с файлами на диске. На потоке работает Web-антивирус. Не ставить его - сознательное уменьшение уровня защищённости машины.

вобщем.. дали линк где страница заражена Trojan.Downloader.JS.Agent (ловит вэб антивирус у народа)

зашел туда Файрфоксом без веб антивируса - файлов. монитор не среагировал (хотя базы одни и теже вроде у них ???)

у меня связка NOD32 IMON (остальные службы его остановлены) + KAV 7

т.е. что нодовский интернет-монитор пропускает своими базами, каспер подхватывает....

вот и думаю есть ли смысл убрать нод интернет фильтр и прикрутить "родного" касперу ...

[Николай Головко 70]

ответы разработчиков KAV:

вобщем.. дали линк где страница заражена Trojan.Downloader.JS.Agent (ловит вэб антивирус у народа)

зашел туда Файрфоксом без веб антивируса - файлов. монитор не среагировал (хотя базы одни и теже вроде у них ???)

у меня связка NOD32 IMON (остальные службы его остановлены) + KAV 7

т.е. что нодовский интернет-монитор пропускает своими базами, каспер подхватывает....

вот и думаю есть ли смысл убрать нод интернет фильтр и прикрутить "родного" касперу ...

Файловый может поймать этот вирус только в кэше браузера.