Testējot NAV 2002 uz vīrusu filtrēšanas spējām ienākošajā pastā tika atklātas 4 šīs programmas nepilnības, kas pieļāva iespēju apiet antivīrusu skaneri un tikt lietotāja email klientā. Lai to izdarītu ir jāpielieto neliela viltība par to var sīkāk palasīt ievietotajā informatīvajā paziņojumā (angliski).
Various Vulnerabilities in Norton Anti-Virus 2002
++++++++++++++++++++++++++++++++++++
Scope
———-
Edvice recently tested NAV 2002’s ability to detect viruses in incoming e-mail messages. NAV 2002 includes an Email protection feature that scans incoming and outgoing e-mails for viruses.
The Findings
—————–
We encountered 4 vulnerabilities in NAV 2002 email protection feature.
One of the vulnerabilities affects the Auto-Protect mechanism as well.
The vulnerabilities allow bypassing NAV 2002 email protection.
Details:
———-
1) It is possible to bypass NAV 2002 Incoming Email Protection by injecting a NULL character into the MIME message. If the NULL character appears before the virus part, then NAV 2002 fails to detect the virus.
2) Embedding virus or malicious code in certain non-RFC compliant MIME formats in some instances causes Norton AntiVirus 2002 to prematurely terminate scanning, allowing infected e-mails to go undetected in the initial incoming scanning process.
3) Two file types, .nch and .dbx, are excluded by default from Norton AntiVirus 2002 scanning. An attacker can take a Word macro virus, rename it with an .nch or a .dbx extension, and send it to a victim. If the victim runs Norton AntiVirus 2002, these files would be excluded from
being scanned. Because Windows automatically recognizes Microsoft Office files, double-clicking the file executes the infected document.
4) By providing Different file names in the Content-Type and
Content-Disposition fields it is possible to deceive Norton AntiVirus 2002 to exclude the file from being scanned. Oulook will determine the file’s name using the Content-Disposition filename field while Norton Anti-Virus 2002 will look at the Content-Type name field and exclude the
file from being scanned. E.g.
Content-Type: application/msword;
name=”Virus.nch”
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename=”Virus.exe”
Vendor Status
———————
Symantec’s response can be found at:
http://securityresponse.symantec.com/
Edvice Security Services
support@edvicesecurity.com
http://www.edvicesecurity.com
Nu ko-taa tas vareetu buut.Man arii kaadu laiku atpakalj staveeja shii antiviirusu progra-naacaas dzilji vilties vinjaa kad atraavos viirusus.Ieklausiijos viena laba pazinjas vaardos un uzliku Kaspersky .Kopsh taa briizza dziivoju cepuri kuldams!Kaspersky rullez!
Vispaar viss rulez liidz pirmajai reizei, kad iznaak norauties. Arii vienreiz Kaspersky tevi piekaasiis un tad vareesi teikt ka shamais SUX!
Var jau buut.Aizmirsu piebilst ka man ir kopumaa divas antivirus progras.Otraa bija NOD ir arii taada.
njaa, te jau neviens negulj pa naktiim…
nu cik esmu paarbaudiijis Kasperskis breec tur kur Nortons nesaskata nekaa – par Kasperski, kungi.
Nu jaa. Man piemeeram Kaspersky sako uz WinXP. Vispaar noskaneet nav iespeejams ja klaat neseedi. Vispaar briinums, ka vinju uzliku. Ir bijushi gadiijumi, kad AVP neuzskata viirusu par viirusu. Pie tam vinjam ir sameeraa slikta failu aarsteeshanas iespeeja. Nu tas taa. Gribeeju tikai pateikt, ka jebkuraa programmaa var atrast sliktas iipashiibas. Un shis pazinjojums par NAV2002 mani nemaz nesatrauc, jo maajaas uz WinXP man tieshi shis arii staav. Bet kaadeelj tad nesatrauc. Gluzhi vienkaarshi es esmu atsleedzis e-maila filtreeshanu (jau pashaa saakumaa), jo man taa iespeeja kaut kaada stulba likaas un nekam nevajadziiga. Man galvenais, lai datoru paaraak nenoslogotu un skaneetu pret viirusiem tad kad man vajadzeetu. Pie tam visi viirusi smuki ienaak manaa The Bat. Es vinjus paskatos, vai nav kaut kas interesants un tad izdzeeshu, taadeelj uztraukties laikam vajadzeetu tiem, kam viirusi izpildaas tajaa stulbajaa outlookaa. Galvenais izsuutiit plaint textaa ljauj, bet sanjemt ne. Un vispaar NAV2002 uz XP pagaidaam man liekas ir rulleejoshaakais antiviiruss. Visaadus izmeegjinaajos, bet katram bija taadi truukumi, kas bija lielaaki par NAV2002 truukumiem. Neesmu tikai NOD laikam veel patesteejis ;-).
Kasperskis ir taadus laidis garaam… Turklaat vish neatpaziist kaudzi veco viirusu… ja par efektivitaati, paskatieties: http://www.virusbtn.com/100/vb100sum.html
vai te ir kads, kurs lieto 2002 sysworkus 5.0? gribeju paintereseties, vai izdodas ieapdeitot visu ka pienakas? man zem winxp nem preti tikai nav jaunas virusu definicijas, bet parejais nezinamu iemeslu del netiek uzinstalets…
dreef tu jociigs?
kas tev nestraadaa zem xp avp? man viss konkreeti ierullee! Un Nortonu es uzskatu par “smagu” un tizlu suudu…
He – luuk, man reizes 10, dazhaadaas vietaas un situaacijaas naacies paarliecinaaties tieshi par Kasperska lietussarga tizlumu. Diemzheel…
jaa tasiniiba – avp uz xp straadaa normaali. vismaz man.
Kāda jums AVP versija? 4-taa? To es neliku, jo ir tā pati 4-tā beta. Bet 3.1.6 vai kā viņu tur, NEIET normāli! Pamēģiniet viņam uzlikt schedule, lai noskanē vienreiz dienā compi, bet tā ka paši klšt nesēžat. Ā, varbūt jums ir kaut kāds 1Ghz compis. Tad varbūt arii līdz galam neuzkarās. Man ir 300Celerons, tā ka palaižoties AVP man procesi aiziet uz 100% noslogojuma (CPU) un praktiski vari teikt, ka viņš varēs tā skanēt ilgi, jo viņš vienkārši uzkarās. Un NAV2002 ir vienkaarshi pūciņa salīdizinot ar visiem pārējiem (par Mac’Afee 6 nemaz nerunājot). Pie tam nav jāliek vecās NAV versijas, kas tiešām bija sliktas. Protams katrs lieto to, kas katram tuvāks un ērtāks ;-).
mhm, un nokaut vinju vareeja tikai no FAR process lista. Citaadi tikai restarts, jo mashiinai piekljuut/aptureet/nokaut vairs nebija iespeejams..
Vispaar, vienmeer vajag pieiet veesu praatu, neseedeet vislaik pie savas gudraas atzinjas par pareizo softu. Driiz vien atkal situaacija mainiisies, (softa /OS … viirusu :+)) versija),un tad atkal ruupiigi jaaskataas, kas labaaks!
P.S. Cik atceros, a.g. coolynxam bij AVP, varbuut kas bilstams no konkreetas pieredzes?
nee man vecaa platinium 3.5.1 , bet kompis man tieshaam P4 1.7 ar 512RDRAM taakaa tad kad man 19:00 noskannee atminju un dalju HDD man nekaadu probzu nav….
AVP r0x..mazs budams palsiju lielo cilveku raxtus par anti-virusiem. Jamie ieteica vaj nu AVP vai McAfee+Dr.Web! jau tad lietoju AVP, un zinu – jams rule labak par kaukadu Nortonu…
laikam cik lietotaju tik ari viedoklu. taisniba lai paliek katram sava, bet butiba ir viena: ja pats sevi nesargasi, tad ari nekads antiviruss tevi nenosargas 😉
ps veiksmigu visiem 1dienu!
Doctor Web rules forever!
man tads virud kas restarte kompi ko lai lieto pret to 🙁 plz pasakat