[全球首发!]卡巴斯基存在anti-spy组件可能导致偶然性的dns服务器地址被屏蔽的bug
[color=#ff0000][bug]卡巴斯基anti-spy组件存在可能偶然性的dns服务器地址被屏蔽.[/color][b]发布者:alexblair[/b]
[color=#0000ff][b]此文用到的名词解释[/b][/color]
[quote]
[b]anti-spy:[/b]一个卡巴斯基安全套装的模块名称,用于拦截相关的反间谍活动。这个组件在卡巴7中改名为:Privacy Control(隐私控制);卡巴6中为Anti-spy(反间谍),为了阐述方便,文章中所提到的anti-spy都特指卡巴7的Privacy Control或卡巴6的Anti-spy模块。
[/quote]
[color=#0000ff][b]载要[/b][/color]
[quote]
[b]本文的目标读者:[/b]使用卡巴斯基安全套装的用户
[b]漏洞的影响:[/b]导致无法解析dns
[b]严重等级[/b]个人用户:低/服务器用户:高
[b]建议:[/b]等待卡巴官方的解释和补丁
[/quote]
[b]临时解决方案:[/b]
[quote]
关闭卡巴斯基自带的anti-spy组件,[b]警告:此方法仅适用于临时对策,这将导致您丧失对于反间谍的相关功能.[/b]
[/quote]
[b]受影响的程序:[/b]
[quote]
卡巴斯基 6 工作站版
卡巴斯基 7 安全套装截至2007年06月30日前发布的所有版本.
[/quote]
[b]不受影响的程序:[/b]
[quote]
卡巴斯基 1-5版本
卡巴斯基 6 安全套装
卡巴斯基 6 个人版
卡巴斯基 7 个人版
以及,没有选择anti-spy组件安装的卡巴斯基安全套装版本
以及其他未在受影响的程序列表中存在的卡巴斯基产品的kis/kav版本
[/quote]
[color=#0000ff][b]漏洞的相关技术细节:[/b]
[/color]
[b]发生问题的原因:[/b]
[quote]
卡巴斯基在6工作站版和7版本中使用了新的网络拦截技术,称之为Kaspersky Anti-Virus NDIS Filter,由于anti-spy的某些错误的设计,导致dns服务器被屏蔽,出现无法连接DNS的现象,从而导致断网.
[/quote]
[b]于此漏洞的相关问题:(FAQ)[/b]
[quote]
[b]这个漏洞是否让我永远无法上网?[/b]
不是的,这个漏洞是偶然性的,并非每次都发生.可能很久,也可能经常性.这个与本地环境有关.从我i个人的测试的结果看2000的系统出问题的几率低于xp系统。
[b]有时候打开网页会显示无法连接,但刷新1次或几次就可以了,不知道是否是因为这个BUG[/b]
从技术上看,不属于这个bug的影响,当然,卡巴斯基在防火墙模块的确有临时中断网页浏览的情况发生.(主要是卡巴的资源机制作的不好,导致中断,这个在本文的详细的技术细节中会提到.)当然也不是全都是卡巴的关系,其他的原因也会如此(例如对方服务器繁忙等.)
[b]曾经偶然遇到无法登陆网络,但是重新启动路由器后正常,这个属于此bug的影响范围么?[/b]
如果您确信您的路由器没有故障,那么属于此bug的影响范围内。
路由器的复位可以导致网卡重置,由于Kaspersky Anti-Virus NDIS Filter属于驱动,所以,网卡的重置可以复位Kaspersky Anti-Virus NDIS Filter。也就可以恢复网络,所以,是这个bug的原因。
[b]如何知道我受了这个漏洞的影响?[/b]
你可以把qq打开,当漏洞出现的时候,您的qq会显示离线状态,并不断的尝试登陆.但是却无法连接服务器.
于此同时,您的ie将打不开新的页面.
另外,在命令提示符下,您无法通过ping xxx.xxx.xxx.xxx的方式ping通您所在的dns地址.
[b]对于这个漏洞,卡巴官方有解释么?[/b]
目前没有.但已经向卡巴斯基中国部反映。
[b]这个漏洞会导致我的资料丢失或被外界攻击么?[/b]
从目前的情况分析,不会。
[b]如果我不想关闭anti-spy,又被这个漏洞困扰怎么办?[/b]
您可以打开卡巴斯基的主界面,在右侧找到anti-spy(反间谍)模块,关闭这个模块,注意不是暂停。然后在弹出来的对话框中选择 是(yes)
之后,再启用anti-spy(反间谍)模块
[b]我是服务器的用户,是否对此有损失?[/b]
卡巴斯基对于服务器用户有专用的服务器版本,卡巴斯基服务器版本不在此漏洞涉及范围内。
通过修改msi安装包安装kis的用户可能会产生影响,但是这是违反软件的反破解条约在先,造成的损失不受法律保护。
[b]你说的Kaspersky Anti-Virus NDIS Filter到底是什么?[/b]
Kaspersky Anti-Virus NDIS Filter从名字上看就可以知道是一个Filter(筛子),就好像一条河流中的大坝,由他挑选那些河水中的鱼可以过去,那些鱼不能过去。
Kaspersky Anti-Virus NDIS Filter属于双向拦截。他的位置抽象的说是这样的。
外部流量<------>Kaspersky Anti-Virus NDIS Filter<---->本机。
当Kaspersky Anti-Virus NDIS Filter工作的时候,所有的流量都将经过他的筛选(不论进出)。
但是,如果Kaspersky Anti-Virus NDIS Filter出了问题(例如卡住了/程序死掉了),那么和断网是一个概念。
这也是导致了个别用户觉得卡巴7比较卡网的原因,
当然,如果您的电脑配置比较好,那就会觉得快与卡巴6,因为这种基于中间件拦截的技术处理比较快,而且拦截比较完美。
[color=#0000ff]官方对于此组件的解释为:[url=http://support.kaspersky.com/faq/?qid=208279317]http://support.kaspersky.com/faq/?qid=208279317[/url][/color]
[b]这个bug为什么不第一时间上报给俄罗斯的卡巴斯基总部,而选择中国部?[/b]
恩,这个我也考虑过,首先是由于我的英语实在不是很ok ,所以,到官方那里语言不通说不清楚。
再则,卡巴斯基中国部的定位主要是产品的销售,但是也有病毒库和bug建议上报的次要义务。所以,我觉得还是上报给懂中文的中国部比较好。 顺道也可以当作一次卡巴斯基成立十周年之际的客服反馈调查,看看到底卡巴斯基的本地化做的如何。
为此我在帖子中故意留下了日程进度表,让大家看看到底卡巴斯基是否对用户负责。相信卡巴斯基中国部不会让大家失望的。[:17:]
[/quote]
[b][color=#0000ff]详细的技术细节:[/color][/b]
[quote]
[b]出错的模块:[/b]
anti-spy模块
概述:anti-spy模块的某些设计上的失误导致了错误的把DNS服务器当成了有害的地址而屏蔽。但是,anti-spy的日志中却并没有记录此次的拦截,导致了问题变得难以察觉。
这次的漏洞属于设计上的漏洞,不涉及安全问题,但是暴露了anti-spy和新的拦截方式:Kaspersky Anti-Virus NDIS Filter之间的兼容性问题。
在关闭了anti-spy的同时,会导致Kaspersky Anti-Virus NDIS Filter的复位,从而出现短时间的断网并在1秒后恢复,这也是设计上需要修正的问题。
同时影响到的还有Kaspersky Anti-Virus NDIS Filter的流量问题,由于Kaspersky Anti-Virus NDIS Filter的实现原理的约束,如果Kaspersky Anti-Virus NDIS Filter的执行效率出现问题,可能导致所有的网络资源无法得到有效利用,成为效率瓶颈。
但是Kaspersky Anti-Virus NDIS Filter的效率是取决于位于ring3的kav模块来完成的,最突出的现象就是当cpu100%的时候持续3秒,就会出现断网,直到cpu<90%.
这种设计在提高了拦截的可靠性的同时,对于用户的gui程序的运行效率提出了很高的要求,至少现在还不适合中国大陆的现有计算机民情。
[/quote]
[b][color=#0000ff]免责声明:[/color][/b]
[quote]
此公告只是为了表示其漏洞的存在性质,alexblair不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。
alexblair不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使使用者事先已被告知有可能发生此类损害。
开发商有权对此漏洞进行进一步的审核和发布相关的预警/修补措施,但是,此措施不应由alexblair本人完成.
如果内容与开发商的官方公告有出入,开发商之后的预警公告将覆盖本公告的内容,但是,开发商未提到的内容依旧有效.
开发商在得到这个信息的同时,将挽回一定的损失(设计上的/经济上的),但是无需对alexblair支付费用.其他个人或实体也不得对开发商索取相关费用,开发商也应该主动拒绝相关的要求.
对于转载的内容,alexblair个人不能保障其完整性和正确性质,一切以本文的原文为依据.任何因为转载不全而导致的(直接的/间接的)理解偏差和相关损失,alexblair和卡饭论坛不承担任何责任。
[/quote]
[quote]转载时,请原文转载,并注明出处!对于转载不全而导致的理解偏差和相关损失,本人和卡饭论坛不承担任何责任。[/quote]
[color=#ff0000]此bug已经反映到卡巴斯基中国技术部([email=support@kaspersky.com.cn]support@kaspersky.com.cn[/email])
全文如下:时间(2007-07-01 19:06)[/color]
============================================
[quote]
具体内容看这个,俄文和英文我都不行,希望通过卡巴斯基中国反映这个bug。
有什么对于这个测试的疑惑可以通过我的邮箱交流。
最近期末考试,如有回答延时敬请谅解。
[url=http://bbs.kafan.cn/viewthread.php?tid=102950&extra=page%3D1]http://bbs.kafan.cn/viewthread.php?tid=102950&extra=page%3D1[/url]
希望卡巴7能够做的更好。
另:这个bug不定期出现,并非每次都有,而且没有日志内容,希望各位工程师耐心测试,不同环境下测试的结果会有不同。
我在2000上测试的结果好于xp
======================测试环境=======================
Os+drivers+kis only
Windows xp sp2 (all hot-fix)
Windows 2000 sp4 (all hot-fix)
Ie 6 (all hot-fix)
------alexblair(卡饭论坛安全区斑竹)
[/quote]
[align=center][color=#0000ff]===================漏洞动态====================[/color]
[/align]2007-06-30漏洞测试完毕
2007-07-01发布于卡饭论坛
2007-07-01将漏洞提交卡巴斯基中国部
[color=#ff0000]2007-07-01经网友反映,除了anti-spy组件外,依然存在此故障,故障波及的程序衍生为卡巴斯基6-7全系列。(见24楼)[/color]
[[i] 本帖最后由 ALEXBLAIR 于 2007-7-2 10:14 编辑 [/i]] 额``还在用6.0版``期待卡巴早日解决问题`` 这个。。想知道是怎么发现的?
有时候打开网页会显示无法连接,但刷新1次或几次就可以了,不知道是否是因为这个BUG。。
回复 #3 kesong163 的帖子
这个一开始是偶然的,后来我在2000/xp
的虚拟机里都测试到了这个情况,通过一个个排除模块的办法找到的.[:01:]
前后测试了1个月.
昨天终于测试完125,就发了这个公告. 好像卡巴7反病毒软件也有Kaspersky Anti-Virus NDIS Filter!为什么没有影响? 太强了!版主有点小气哈,一个样本都能加10点经验,这么辛苦发现的bug,应该多加一点才是!![:14:] [quote]原帖由 [i]feyqw[/i] 于 2007-7-1 15:31 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=1292420&ptid=102950][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
好像卡巴7反病毒软件也有Kaspersky Anti-Virus NDIS Filter!为什么没有影响? [/quote]
但是卡巴个人版没有anti-spy组件,所以不再次此bug的影响范围内。 用KIS 7.0后,偶而出现过几次不明原因的短暂断网,或许就是这个原因? 我的是一切微软的组件都联不了网(IE Outlook WMP...),可QQ以及Firefox正常,
卸载卡巴后问题解决,重装卡巴至今没再发生问题 我用KIS7.0.0.119,好像只出现过一次不能上网的情况,但我不确定是卡巴的原因还是路由器的原因,因为重起好几次都不能上网,最后重起了一下路由就可以了[:08:] 。 [:08:] 为什么每次卡巴出问题我都没遇到.... [:13:]
强~
我还以为是猫的问题~ [quote]原帖由 [i]rcbblgy[/i] 于 2007-7-1 18:56 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=1293645&ptid=102950][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
我用KIS7.0.0.119,好像只出现过一次不能上网的情况,但我不确定是卡巴的原因还是路由器的原因,因为重起好几次都不能上网,最后重起了一下路由就可以了[:08:] 。 [/quote]
[:27:] 系统怎么提示的?MS我的也这样 QQ那种情况没遇到过,
但以前访问卡巴中国的网站会出现第一次不能访问要刷新一下才可以,现在访问卡巴中国的网站没有这个问题 不错,新东东。
回复 #10 rcbblgy 的帖子
路由器的复位可以导致网卡的重新启动,也就可以导致Kaspersky Anti-Virus NDIS Filter的激活,所以,是这个bug的原因。楼主的个人签名的图片很不错哦,卡瓦伊![:03:]
你的么?呵呵,收藏拉。不要追杀我哦![:18:] 我的也出现过,但是我是个人版用的是KAV307+OP4.0,用的是tw浏览器
有时候第一次打开网页显示一直在读,如果不同时开其他网页的话,这个网页肯定打不开
如果同时开其他的网页,就打的开
还有,有时候我不开卡巴,开网页的时候,就出现网页跳转到其他网页去了,这个很奇怪~~,说明DNS出错了~~~
但跳转的网页没的毒,也不是浏览器挟持
我机子没的中毒,这点可以放心,一直用AVG和卡巴,还有OP挡在那儿~~~
补充一句,我是校园网 一直用的TreeWalk本机DNS服务器...暂时没有发现这个问题.
PS:推送广告的电信服务器全部被我拉进hosts黑名单了... [quote]原帖由 [i]82768[/i] 于 2007-7-1 19:41 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=1293971&ptid=102950][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
我的也出现过,但是我是个人版用的是KAV307+OP4.0,用的是tw浏览器
有时候第一次打开网页显示一直在读,如果不同时开其他网页的话,这个网页肯定打不开
如果同时开其他的网页,就打的开
还有,有时候我不开卡巴,开 ... [/quote]
=====================
这个问题比较诡异,暂且这样考虑。
kav307 包涵的组件为fav(杀毒中间件)+网络监控(web-anti)
op包括(hook+network)
tw(ie内核+cpu时间分片脚本)
我的测试环境中,为了证明是卡巴的问题,除了驱动和系统外就没有安装任何除卡巴以外的程序。
这个环境我没有实际测验过,建议您做以下测试:
首先,使用ie开网站一段时间,看看是否能够出现所遇到的问题。
如果遇到,那就把卡巴关掉一段时间,可以先用op防火墙的系统监控挡着。
如果问题解决就属于卡巴的问题,否则就是op的。
由于卡巴的源代码不公开(其实,作为安全软件,也不指望他公开)。所以不排除kav也存在这个问题的可能性。
====================
第二个问题。
校园网是依靠内网的dns来解析的。一般不通过网通或电信等isp的主服务器解析。所以可能存在被匿名替换的可能性。
建议在网卡中绑定dns的ip地址。
====================
当然,电信一直有一个臭名昭著的推送服务,这个就需要ip黑名单机制了,建议用host文件屏蔽。 [quote]原帖由 [i]lxilikepal[/i] 于 2007-7-1 19:47 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=1294018&ptid=102950][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
一直用的TreeWalk本机DNS服务器...暂时没有发现这个问题.
PS:推送广告的电信服务器全部被我拉进hosts黑名单了... [/quote]
可否共享推送的ip地址?方便大家。[:17:]