Vīrusi var piekāst Norton Anti-Virus 2002

Testējot NAV 2002 uz vīrusu filtrēšanas spējām ienākošajā pastā tika atklātas 4 šīs programmas nepilnības, kas pieļāva iespēju apiet antivīrusu skaneri un tikt lietotāja email klientā. Lai to izdarītu ir jāpielieto neliela viltība par to var sīkāk palasīt ievietotajā informatīvajā paziņojumā (angliski).

Various Vulnerabilities in Norton Anti-Virus 2002
++++++++++++++++++++++++++++++++++++

Scope
———-
Edvice recently tested NAV 2002’s ability to detect viruses in incoming e-mail messages. NAV 2002 includes an Email protection feature that scans incoming and outgoing e-mails for viruses.

The Findings
—————–
We encountered 4 vulnerabilities in NAV 2002 email protection feature.
One of the vulnerabilities affects the Auto-Protect mechanism as well.
The vulnerabilities allow bypassing NAV 2002 email protection.

Details:
———-
1) It is possible to bypass NAV 2002 Incoming Email Protection by injecting a NULL character into the MIME message. If the NULL character appears before the virus part, then NAV 2002 fails to detect the virus.

2) Embedding virus or malicious code in certain non-RFC compliant MIME formats in some instances causes Norton AntiVirus 2002 to prematurely terminate scanning, allowing infected e-mails to go undetected in the initial incoming scanning process.

3) Two file types, .nch and .dbx, are excluded by default from Norton AntiVirus 2002 scanning. An attacker can take a Word macro virus, rename it with an .nch or a .dbx extension, and send it to a victim. If the victim runs Norton AntiVirus 2002, these files would be excluded from
being scanned. Because Windows automatically recognizes Microsoft Office files, double-clicking the file executes the infected document.

4) By providing Different file names in the Content-Type and
Content-Disposition fields it is possible to deceive Norton AntiVirus 2002 to exclude the file from being scanned. Oulook will determine the file’s name using the Content-Disposition filename field while Norton Anti-Virus 2002 will look at the Content-Type name field and exclude the
file from being scanned. E.g.

Content-Type: application/msword;
name=”Virus.nch”
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename=”Virus.exe”

Vendor Status
———————
Symantec’s response can be found at:
http://securityresponse.symantec.com/

Edvice Security Services
[email protected]
http://www.edvicesecurity.com

18 komentāri par “Vīrusi var piekāst Norton Anti-Virus 2002

  1. kautkur

    Nu ko-taa tas vareetu buut.Man arii kaadu laiku atpakalj staveeja shii antiviirusu progra-naacaas dzilji vilties vinjaa kad atraavos viirusus.Ieklausiijos viena laba pazinjas vaardos un uzliku Kaspersky .Kopsh taa briizza dziivoju cepuri kuldams!Kaspersky rullez!

    Atbildēt
  2. Dreef

    Nu jaa. Man piemeeram Kaspersky sako uz WinXP. Vispaar noskaneet nav iespeejams ja klaat neseedi. Vispaar briinums, ka vinju uzliku. Ir bijushi gadiijumi, kad AVP neuzskata viirusu par viirusu. Pie tam vinjam ir sameeraa slikta failu aarsteeshanas iespeeja. Nu tas taa. Gribeeju tikai pateikt, ka jebkuraa programmaa var atrast sliktas iipashiibas. Un shis pazinjojums par NAV2002 mani nemaz nesatrauc, jo maajaas uz WinXP man tieshi shis arii staav. Bet kaadeelj tad nesatrauc. Gluzhi vienkaarshi es esmu atsleedzis e-maila filtreeshanu (jau pashaa saakumaa), jo man taa iespeeja kaut kaada stulba likaas un nekam nevajadziiga. Man galvenais, lai datoru paaraak nenoslogotu un skaneetu pret viirusiem tad kad man vajadzeetu. Pie tam visi viirusi smuki ienaak manaa The Bat. Es vinjus paskatos, vai nav kaut kas interesants un tad izdzeeshu, taadeelj uztraukties laikam vajadzeetu tiem, kam viirusi izpildaas tajaa stulbajaa outlookaa. Galvenais izsuutiit plaint textaa ljauj, bet sanjemt ne. Un vispaar NAV2002 uz XP pagaidaam man liekas ir rulleejoshaakais antiviiruss. Visaadus izmeegjinaajos, bet katram bija taadi truukumi, kas bija lielaaki par NAV2002 truukumiem. Neesmu tikai NOD laikam veel patesteejis ;-).

    Atbildēt
  3. jancis

    vai te ir kads, kurs lieto 2002 sysworkus 5.0? gribeju paintereseties, vai izdodas ieapdeitot visu ka pienakas? man zem winxp nem preti tikai nav jaunas virusu definicijas, bet parejais nezinamu iemeslu del netiek uzinstalets…

    Atbildēt
  4. JarX

    dreef tu jociigs?
    kas tev nestraadaa zem xp avp? man viss konkreeti ierullee! Un Nortonu es uzskatu par “smagu” un tizlu suudu…

    Atbildēt
  5. Sarky

    He – luuk, man reizes 10, dazhaadaas vietaas un situaacijaas naacies paarliecinaaties tieshi par Kasperska lietussarga tizlumu. Diemzheel…

    Atbildēt
  6. Dreef

    Kāda jums AVP versija? 4-taa? To es neliku, jo ir tā pati 4-tā beta. Bet 3.1.6 vai kā viņu tur, NEIET normāli! Pamēģiniet viņam uzlikt schedule, lai noskanē vienreiz dienā compi, bet tā ka paši klšt nesēžat. Ā, varbūt jums ir kaut kāds 1Ghz compis. Tad varbūt arii līdz galam neuzkarās. Man ir 300Celerons, tā ka palaižoties AVP man procesi aiziet uz 100% noslogojuma (CPU) un praktiski vari teikt, ka viņš varēs tā skanēt ilgi, jo viņš vienkārši uzkarās. Un NAV2002 ir vienkaarshi pūciņa salīdizinot ar visiem pārējiem (par Mac’Afee 6 nemaz nerunājot). Pie tam nav jāliek vecās NAV versijas, kas tiešām bija sliktas. Protams katrs lieto to, kas katram tuvāks un ērtāks ;-).

    Atbildēt
  7. Sarky

    mhm, un nokaut vinju vareeja tikai no FAR process lista. Citaadi tikai restarts, jo mashiinai piekljuut/aptureet/nokaut vairs nebija iespeejams..
    Vispaar, vienmeer vajag pieiet veesu praatu, neseedeet vislaik pie savas gudraas atzinjas par pareizo softu. Driiz vien atkal situaacija mainiisies, (softa /OS … viirusu :+)) versija),un tad atkal ruupiigi jaaskataas, kas labaaks!
    P.S. Cik atceros, a.g. coolynxam bij AVP, varbuut kas bilstams no konkreetas pieredzes?

    Atbildēt
  8. JarX

    nee man vecaa platinium 3.5.1 , bet kompis man tieshaam P4 1.7 ar 512RDRAM taakaa tad kad man 19:00 noskannee atminju un dalju HDD man nekaadu probzu nav….

    Atbildēt
  9. DxC

    AVP r0x..mazs budams palsiju lielo cilveku raxtus par anti-virusiem. Jamie ieteica vaj nu AVP vai McAfee+Dr.Web! jau tad lietoju AVP, un zinu – jams rule labak par kaukadu Nortonu…

    Atbildēt
  10. jancis

    laikam cik lietotaju tik ari viedoklu. taisniba lai paliek katram sava, bet butiba ir viena: ja pats sevi nesargasi, tad ari nekads antiviruss tevi nenosargas 😉
    ps veiksmigu visiem 1dienu!

    Atbildēt

Ieraksti komentāru

Tava e-pasta adrese netiks publicēta.