VVN phát hiện lỗi của BKAV

[buivietdung]

Mô tả lỗi

Hiện tượng :
- Khi Bkav tiến hành scan, nếu gặp file có cấu trúc nhất định sẽ bị crash và tự thoát khỏi chương trình.
- Mọi thao tác scan liên quan tới file này đều gây hiện tượng crash Bkav (Scan trực tiếp 1 file hay scan thư mục chứa file đó)

Cấu trúc file gây ra lỗi :
- Lỗi xảy ra khi tại vị trí Entry Point của file có giá trị dạng sau : ?? 9C 60 E8 0D 70 00 00

Trong đó, những byte 0D 70 00 00 là có thể thay đổi một cách nhất định.



Nguyên nhân :
1. Scanner của Bkav kiểm tra xem entry point có những byte có trùng lặp trong bảng mã nhận dạng hay không, ở đây các byte 9C 60 là trùng lặp với mã nhận dạng virus, mà cụ thể ở đây là W32.KrizedA.PE.
2. Do các byte đầu tiên là giống nhau, scanner tiếp tục so sánh, tới khi gặp lệnh call đầu tiên (E8) thì cố gắng nhảy con trỏ xét chuỗi tới vị trí sẽ được virus gọi. Ở đây là : 0D 70 00 00

3. Bkav sẽ dựa vào giá trị trên để tính ra một giá trị mới và đọc dữ liệu từ ví trị mới đó. Tuy nhiên, do không kiểm soát giá trị nên vùng nhớ được trỏ đến bởi kết quả tính toán bên trên là không hợp lệ.



4. Ở đây, thay vì bắt được lỗi thì Bkav bị crash và tự thoát ra.

Khai thác :
- Bằng cách tận dụng lỗi này, chúng ta không khó để vô hiệu hóa hoàn toàn Bkav bằng 2 cách sau :
o Tạo mỗi file có cấu trúc như vậy ở đầu mỗi thư mục, đưa mã độc thực ở phía sau (Theo API liệt kê file). Như vậy mỗi khi scan thư mục đó thì sẽ bị vô hiệu hóa và không thể scan tới mã độc thực.
o Tạo một mã độc chạy độc lập mà mỗi khi Bkav scan nó thì tự bị crash, trong khi mã độc vẫn hoạt động bình thường


Xác nhận lỗi từ Bkav : Hiện lỗi đã được fix
http://releasenotes.bkav.com.vn/?p=40
Quote:
2. Lỗi gây crash khi quét file có header dị dạng
Clip mô tả lỗi :
Mô tả : Demo được thực hiện trên Windows XP với phiên bản Bkav Pro 2009
1. Scan thư mục chứa 1 file thực thi thường, và một file chứa gói dữ liệu gây lỗi Bkav -> Bkav bị crash.
2. Scan file thường -> Bkav hoàn toàn bình thường
3. Scan file chứa dữ liệu gây lỗi -> Bkav crash
4. Chạy thử file chứa dữ liệu gây lỗi -> Chạy hoàn toàn bình thường
-> Chứng minh được, hoàn toàn có thể tạo ra 1 mã độc chạy bình thường và vô hiệu hóa hoàn toàn khả năng scan của Bkav.


để xem bạn có thể down ở đây : http://virusvn.com/download/video-tu...nerability.swf
Đính kèm :
- Toàn văn tài liệu công bố lỗi
- File mẫu gây ra lỗi trong demo.
thành viên phát hiện lỗi:
- galaxyz2k4 (Thành viên forum của Bkav).
- Fire Dragon (VirusVN.com)
- Khanhduy301 (VirusVN.com)
- T4mqu0c (VirusVN.com)
nguồn VVN

[quanghaith2]

Mô tả lỗi



Khai thác :
- Bằng cách tận dụng lỗi này, chúng ta không khó để vô hiệu hóa hoàn toàn Bkav bằng 2 cách sau :
o Tạo mỗi file có cấu trúc như vậy ở đầu mỗi thư mục, đưa mã độc thực ở phía sau (Theo API liệt kê file). Như vậy mỗi khi scan thư mục đó thì sẽ bị vô hiệu hóa và không thể scan tới mã độc thực.
o Tạo một mã độc chạy độc lập mà mỗi khi Bkav scan nó thì tự bị crash, trong khi mã độc vẫn hoạt động bình thường

nguồn VVN

ặc, sao ác thía, vô hiệu hóa nó để làm gì thía, để cho mã độc mình chạy à. bắt bỏ tù.

[Mr Kaspersky]

ặc, sao ác thía, vô hiệu hóa nó để làm gì thía, để cho mã độc mình chạy à. bắt bỏ tù.

Người ta chỉ ra yếu điểm của BKAV để mọi người biết mà xài AV khác cho khỏi mất thời gian, tiền bạc, bồ lại đe dọa là sao nhểy?

[myShinichi]

Có ai xài nó đâu mà phải tìm cách loại bỏ nó thế

[greenbirdnest]

Có ai xài nó đâu mà phải tìm cách loại bỏ nó thế

Chết cười với bạn này .







Mình đồng ý 2 tay 2 châ....n!

[1n1]

BKAV giờ này còn ai dùng không?

[cutoi]

Xác nhận là không có ai quen mình dùng cái này

[buivietdung]

chính sác là không ai pro dùng....nhưng nhưng người không pro vẫn dùng...nhât là các máy cổ....và các ông bà già.....vì vậy vẫn phải cảnh báo cho người dùng chứ...các anh không biết chứ hôm trước có người định rủ em mua BKAV PRO 2009 khuyến mại đấy...mua 2 tặng một mà.... hixx

[tinhocvui]

bkav pro là phần mềm chuối vãi ? tôi thấy nó còn kém thằng symantec free

[buivietdung]

chuẩn khỏi phải chỉnh...BKIS chiến thê nào được với cả symantaac chứ....không phải đối thủ........ =))