查看: 2094|回复: 2
收起左侧

[已解决] 卡巴主动防御的漏洞!!!

 关闭 [复制链接]
bluenice
头像被屏蔽
发表于 2007-3-20 16:48:39 | 显示全部楼层 |阅读模式
现在有些病毒,在卡巴不报的情况下,运行后自动模拟点击卡巴主动防御的窗口的“跳过”和“允许”按钮,达到被拦截的目的。其实这个病毒是找到卡巴的主动防御的句柄,一个函数FindWindowA(00403148: "AVP.AlertDialog", 00000000) returns: 00000000  zh  
这句的意思是找到卡巴主动防御的窗口句柄,返回0代表跳过或者允许。
如果哪天真的碰到这样的卡巴暂时不能识别的病毒的话,卡巴的主动防御就相当于是费了。可怕啊~~

那位英语好的向官方反应下这个问题

以下是样本区里的一个昨天卡巴不认识的病毒运行后对卡巴的操作:(此病毒现在卡巴能杀了,一个盗取密码的病毒)

cmdbcs.exe生成windows\cmdbcs.exe
cmdbcs.exe   | 004012EC | FindWindowA(00403148: "AVP.AlertDialog", 00000000) returns: 00000000 # P.FTA5H
cmdbcs.exe   | 004013A1 | FindWindowA(004030F0: "AVP.Product_Notification", 00000000) returns: 00000000 }BvA!B%%|
cmdbcs.exe   | 004013B8 | FindWindowA(00000000, 00403128) returns: 00000000 hDcIC`1zoy
cmdbcs.exe   | 004012E0 | Sleep(00000001) returns: 00000000 kcm+|<uR
cmdbcs.exe   | 004012EC | FindWindowA(00403148: "AVP.AlertDialog", 00000000) returns: 00000000 +AG4S3F]`
cmdbcs.exe   | 004013A1 | FindWindowA(004030F0: "AVP.Product_Notification", 00000000) returns: 00000000 ~s[~{,7
cmdbcs.exe   | 004013B8 | FindWindowA(00000000, 00403128) returns: 00000000 're?T A
cmdbcs.exe   | 004012E0 | Sleep(00000001) returns: 00000000 u /bbpz/`
cmdbcs.exe   | 004012EC | FindWindowA(00403148: "AVP.AlertDialog", 00000000) returns: 00000000 >:.[^(&]
cmdbcs.exe   | 004013A1 | FindWindowA(004030F0: "AVP.Product_Notification", 00000000) returns: 00000000 ytFtb/q#
cmdbcs.exe   | 004013B8 | FindWindowA(00000000, 00403128) returns: 00000000 0P>@T2/tjv
cmdbcs.exe   | 004012E0 | Sleep(00000001) returns: 00000000 |tvb H&
cmdbcs.exe   | 004012EC | FindWindowA(00403148: "AVP.AlertDialog", 00000000) returns: 00000000 B8"j P F
cmdbcs.exe   | 004013A1 | FindWindowA(004030F0: "AVP.Product_Notification", 00000000) returns: 00000000 j:-+j.SR2
cmdbcs.exe   | 004013B8 | FindWindowA(00000000, 00403128) returns: 00000000 zQszg*j
cmdbcs.exe   | 004012E0 | Sleep(00000001) returns: 00000000  30ftb}<
cmdbcs.exe   | 004012EC | FindWindowA(00403148: "AVP.AlertDialog", 00000000) returns: 00000000 ,-qdvC O1
cmdbcs.exe   | 004013A1 | FindWindowA(004030F0: "AVP.Product_Notification", 00000000) returns: 00000000 BdRO*%F6
cmdbcs.exe   | 004013B8 | FindWindowA(00000000, 00403128) returns: 00000000 ]$29c~#a
cmdbcs.exe   | 004012E0 | Sleep(00000001) returns: 00000000 p] qEI-
cmdbcs.exe   | 004012EC | FindWindowA(00403148: "AVP.AlertDialog", 00000000) returns: 00000000 L48K^(Ya
cmdbcs.exe   | 004013A1 | FindWindowA(004030F0: "AVP.Product_Notification ", 00000000) returns: 00000000 cN~W R ?^
cmdbcs.exe   | 004013B8 | FindWindowA(00000000, 00403128) returns: 00000000 ]
mds
发表于 2007-3-20 16:53:06 | 显示全部楼层
很正常!再好的杀软都有漏洞!
bluenice
头像被屏蔽
 楼主| 发表于 2007-3-20 17:03:19 | 显示全部楼层
原帖由 mds 于 2007-3-20 16:53 发表
很正常!再好的杀软都有漏洞!


其实这个又不是不能解决!起码用随机的窗口ID标识可以解决。病毒跟踪起来就没有那么容易!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 22:16 , Processed in 0.126274 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表