公开攻击代码 黑客发现卡巴斯基后门
近日,Rootkit技术研究网站<A href="http://www.rootkit.com/"><FONT color=#0000ff>www.rootkit.com</FONT></A>上发表了俄罗斯黑客EP_X0FF的一篇文章:
<P> 《Haxdoors of the Kaspersky Antivirus 6/7》(卡巴斯基反病毒软件6/7中的黑客后门).</P>
<P> EP_X0FF是著名的俄罗斯黑客,曾开发过Rootkit Unhooker,Pro<A href="http://smb.zol.com.cn/topic/589883.html"><FONT color=#0000ff>CES</FONT></A>s walker等国际领先的反ROOTKIT软件,并担任微软SysInternals技术论坛的Malware(恶意软件)版版主.</P>
<P> 该文章中指出,卡巴斯基6.0-7.0中存在多个明显的可以引发黑客攻击的BUG,包括对SSDT挂钩不正确的处理,和开放了一个由Ring3(用户层)通向Ring0(核心层)的CallGate(调用门),及其自身的“自我保护”功能相当脆弱等.</P>
<P> 作者同时给出了发起这些攻击的源代码,以及卡巴斯基应该如何改进自己的虫灾泛滥的<A href="http://download.zol.com.cn/topic/driver/"><FONT color=#0000ff>驱动</FONT></A>(作者原话)的办法.</P>
<P> 文中作者谈到:If you installs this antivirus on your PC you are (what a irony) opening it for additional exploits / backdoors, created with help of this antivirus, LOL.(如果你在你的<A href="http://detail.zol.com.cn/desktop_pc_index/subcate27_list_1.html"><FONT color=#0000ff>电脑</FONT></A>上安装了这样一个反病毒软件(多么讽刺!),附加的漏洞和后门,将会通过这个反病毒软件的帮助创建到你的机器上).</P>
<P> 原文地址:<BR> <A href="http://www.rootkit.com/newsread.php?newsid=778"><FONT color=#0000ff>http://www.rootkit.com/newsread.php?newsid=778</FONT></A></P>
<P> 卡巴斯基的官方论坛上,卡巴斯基的核心开发人员,卡巴斯基6.0-8.0项目经理 "grnic " 回复了相关帖子,其中拒绝承认卡巴斯基中存在黑客后门,认为这几个漏洞 "show nothing" ,同时表示将修复“两个”漏洞.</P>
<P> 卡巴斯基官方论坛帖子地址:http://forum.kaspersky.com/index.php?showtopic=48096&view=getnewpost</P>
<P> 13日下午,EP_X0FF也在rootkit.com进行了回复,他指出,之前的文章指出的卡巴斯基的后门(包括自我保护漏洞,错误的R3-R0通讯通道、 错误的SSDT/IAT 挂钩等)绝不止两个,因此他认为卡巴斯基开发人员根本未认真阅读相关文章,同时提出要求卡巴斯基重新编写涉及的相关驱动代码,并修正或移除相关存在漏洞/后门的代码或方式.</P>
