информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Все любят медSpanning Tree Protocol: недокументированное применениеСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Простое пробивание рабочего/провайдерского... 
 400 уязвимостей в процессорах Snapdragon 
 Яндекс неуклюже оправдался за установку... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / RSN / архив / 2006 / январь
2006
главная
январь
февраль
март
апрель
май
июнь
июль
август
сентябрь
октябрь
ноябрь
декабрь
предложить новость




The Bat!

Руссинович добрался и до Симантека с Касперским
dl // 13.01.06 01:56
Марк Руссинович, вокруг обнаружения которым закладок в сониевском софте в прошлом году поднялось столько шума, обнаружил использование аналогичной техники в продуктах Symantec и Kaspersky Lab.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2006/01/07.html]
Обе компании признали, что их программы прячут часть своих файлов с данными от системных функций (Norton SystemWorks прячет каталог с бэкапами файлов, пятая версия KAV контрольные суммы сканированных файлов), но решительно не согласны с тем, что этот подход представляет какую-то угрозу для пользователей. Впрочем, Symantec предпочла подстраховаться и выпустила патч, исправляющий данное поведение.

Источник: InfoWorld      
теги: symantec  |  предложить новость  |  обсудить  |  все отзывы (12) [10471]
назад «  » вперед

аналогичные материалы
Множественные уязвимости в продуктах Symantec // 30.06.16 17:16
Нортон поломал IE // 21.02.15 23:33
Symantec обнаружила банкоматную малварь // 26.03.14 16:16
Symantec обнаружила полиморфного андроидного трояна из России // 03.02.12 19:36
Взлом VeriSign // 02.02.12 20:31
Symantec погорячилась насчет 5 миллионов андроидных жертв // 02.02.12 13:40
Symantec дает отмашку на использование pcAnywhere // 01.02.12 12:58
 
последние новости
Простое пробивание рабочего/провайдерского NAT с помощью Tailscale // 20.08.20 03:02
400 уязвимостей в процессорах Snapdragon // 08.08.20 08:08
Яндекс неуклюже оправдался за установку Теледиска // 29.07.20 17:09
Infosec-сообщество не поддержало отказ от термина black hat // 04.07.20 18:50
Расово верная чистка IT-терминологии // 16.06.20 18:03
ГПБ vs TV // 06.06.20 21:47
Число обнародованных уязвимостей упало на 20% // 30.05.20 02:21

Комментарии:

Ну это уже перебор 13.01.06 12:31  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
Насколько я помню, проблема с сони была в том, что используя соневский драйвер кто угодно мог скрыть себя. Сам факт сокрытия чего то от пользователя не вызывает у меня такого уж резкого возмущения. В дефолтовой поставке (в которой живут процентов 80 юзеров) от пользователя можно скрыть любой файл стандартной утилитой attrib - и не нужно никаких драйверов и перехвата системных сервисов.
+1 13.01.06 15:16  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
Дык, по-моему, они не очень-то и скрывались. Каспер точно не прятался. 13.01.06 12:27  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
При инсталяции можно выбрать (не выбрать) опцию "Использовать технологию iStream(tm)" и пояснение там есть. Правда это видно если снять птичку "Использовать ракомендуемые настройки" (или шось такое).
Единственное, что я до сих пор не понимаю, так это название "Технология iStream(tm)". Потоки - неотъемлемая часть NTFS и сохранять что-нибудь при необходимости в потоках - дело довольно очевидное. Хотя... Касперы всегда любили щеки раздувать.
А почему на http://www.sysinternals.com/Blog про это ничего... 13.01.06 11:39  
Автор: dil Статус: Незарегистрированный пользователь
<"чистая" ссылка>
А почему на http://www.sysinternals.com/Blog про это ничего не написано?
Потому что Руссинович написал это в своей статье в... 14.01.06 16:52  
Автор: A. Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> А почему на http://www.sysinternals.com/Blog про это ничего
> не написано?

Потому что Руссинович написал это в своей статье в декабрьском Virus Bulletin. Причем довольно корректно, без паники и обвинений. Но журналистам же хочецца кушать всегда, а начало января - мертвый сезон.
Попробуй запустить программу поиска руткитов, которую на... 13.01.06 14:40  
Автор: Torus Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> А почему на http://www.sysinternals.com/Blog про это ничего
> не написано?
Попробуй запустить программу поиска руткитов, которую на sysinternals можно найти: она сразу заматериться на спрятанные касперскими продуктами данные. Так что все там написано))))
Это не показатель. Rootkit Revealer вообще все... 13.01.06 20:23  
Автор: push <Dmitry> Статус: Member
<"чистая" ссылка>
Это не показатель. Rootkit Revealer вообще все дополнительные потоки руткитами считает.
Ответ Касперского. 14.01.06 14:08  
Автор: Sile Статус: Незарегистрированный пользователь
<"чистая" ссылка>


http://www.viruslist.com/ru/weblog?weblogid=177713438
100% правильно. При желании в потоки можно писать даже без... 16.01.06 15:41  
Автор: BNN Статус: Незарегистрированный пользователь
<"чистая" ссылка>
100% правильно. При желании в потоки можно писать даже без спец. утилит из командной строки. То что КАВ пишет данные туда куда может писать любой другой не делает их опасными для пользователя даже если пользователь не может их увидеть. Так можно договорится и до того, что NTFS содержит рут-киты...
Кстати, streams.exe Руссиновича не удаляет потоки КАВ-а даже... 16.01.06 20:05  
Автор: push <Dmitry> Статус: Member
<"чистая" ссылка>
Кстати, streams.exe Руссиновича не удаляет потоки КАВ-а даже при выгруженном мониторе. Заинтересовался, когда перелезал на pro- версию. Если кому интересно, есть утилитка от Касперского для очистки потоков.

ftp://ftp.kaspersky.ru/utils/klstreamremover/klstreamremover.zip

Статья
вообще там речь шла о том что кав прячет такие потоки 16.01.06 18:22  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
те ты даже если захочешь не увидишь их. Но все равно перебор конечно.
Кстати да. В NTFS куча невидимых файлов 16.01.06 16:23  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> увидеть. Так можно договорится и до того, что NTFS содержит
> рут-киты...

Первые 16 позиций MFT - все как одна невидимы и неоткрываемы стандартными средствами. Это руткит наверное :-)
<добавить комментарий>


анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



  Copyright © 2001-2020 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach