杀毒软件真的可信吗?

admin管理员组

文章数量:1535352

2024年4月1日发(作者：)

维普资讯

●利用熊猫杀软漏洞提升系统权限　

杀毒软件真的可信吗？　■文／图冰河洗剑　

装了杀毒软件，系统真的就安全了吗　杀毒软件真的完全可信吗　一系列的杀毒软件误杀事件，让我们对杀　

毒软件开始有了或多或少的怀疑，但是事实并非仅此而已。许多杀毒软件开始不断的暴出各种漏洞，从。熊猫卫　

士　，到　卡巴斯基　，众多国外杀毒软件也漏洞不断，这给普通用户薄弱的安全意识一个惊醒，同时也给。崇　

洋媚外　者当头棒喝｝……　

ｏ“熊猫卫士＂，保护能力有多强？ｊ　

Ｐｒｏｇｒａｍ　Ｆｉｌｅｓ＼熊猫安全＼熊猫卫士防病毒２００８”．如　

果是安装英文版的话．路径为“％Ｐ　ｒｏｇ　ｒａｍＦｌｌｅ８％＼　

ＰａｎｄａＧｕａｒｄ　ＳｅｃｕｒｉｔｙｋＰａｎｄａＧｕａｒｄ　Ａｎｔｉｖｉｒｕｓ　２００８＼”。　

“ＰａｎｄａＧｕａｒｄ熊猫卫士”是一款来自西班牙的杀　

毒软件．支持对多种文件格式进行病毒分析。并提供了　

可以看到熊猫卫士２００８安装文件夹的权限被设置为了　

ｒｙｏｎｅ完全控制”（如图３），也就是说．包括　

实时监控、网络分析和防御、启发式扫描、未知病毒　

“Ｅｖｅ　

权限组的任意用户都可以完全修改、删除、或替　

监测等功能（如图１）。　“ＰａｎｄａＧｕａｒｄ熊猫卫士”在　

Ｇｕｅｓｔ

２０００年进入中国。距今已７个　

换操作此文件夹中的任何文件。

年头，在国内虽然没有卡巴斯　

基、诺顿之类的出名．但是却　

往往被一些“资深”杀毒软件　

评测人士视为领先技术的代　

表。一些比较信任国外杀软，　

或者想使用免费杀软的用户。　

可能会选择“ＰａｎｄａＧｕａｒｄ熊　

猫卫士”。作为一款安全软　

件。不仅应该为用户提供安全　

上面的试验，是在熊猫卫士２００８安装在ＮＴＦＳ分区　

保护．而且自身的安全性也要有保障。熊猫卫士的杀毒　

能力也确实不弱。但是偏偏熊猫卫士却给用户带来了一　

个大漏洞！黑客或恶意攻击者。很可能会因此杀毒软件　

的情况下进行的。如果熊猫卫士２００８安装在ＦＡＴ３２分区　

的漏洞。而入侵控制用户的电脑。玩弄　掌指中。　

中。其文件夹访问保护更差了。任意用户都可修改破坏　

熊猫卫士２００８程序文件。由此可见熊猫卫士２００８的安　

ｆｏ熊猫卫士漏洞简析　

装文件夹用户权限控制存在着严重的漏洞！　

———　～　　‘——’　—一一　

、

ＰａｎｄａＧｕａ　ｒｄ熊猫卫士爆出的这个漏洞。名为　

“不安全文件访问漏洞”。其原因是由于熊猫卫士以　

ｏ“熊猫＂是怎样被利用的　ｊ　

不安全访问权限安装系统文件，本地攻击者可能利用　

也许有的用户对此漏洞不以为然，不就是权限控　

此漏洞提升自己的权限。获取系统的完全控制权。笔　

者从ＰａｎｄａＧｕａｒｄ熊猫卫士官方网站上（ｈｔｔｐ：／／ｗｗｗ，　

制有问题吗？其实这个漏洞是非常严重的。因为熊猫卫　

ｐａｎｄａｓｅｃｕｒｉｔｙ．ｃｏｍ／）。下载了最新版本的“熊猫卫士　

士２００８在运行时。比如实时监控、网络拦截等许多服　

　Ｓｙｓｔｅｍ”权限启动运　

２００８　Ｖ３．００中文版”进行安装。安装完成后。发现此漏　

务，都是通过此文件夹以“Ｌｏｃａｌ

行的。由于权限控制不严，因此服务得不得任何保护。　

在资源管理器中。先随便选择某个文件夹。鼠标右　

任意非特权用户可以用自己的文件。替换掉熊猫卫士　

　Ｓｙｓｔｅｍ”的权限　

键点击此文件夹，在弹出菜单中选择“属性”命令．打　

２００８￣Ｅ务程序文件．从而获得“Ｌｏｃａｌ

　Ｓｙｓｔｅｍ”是本地最高权限．因此　

开文件夹属性对话框。选择“安全”选项页，查看一下　

运行程序。而“Ｌｏｃａｌ

文件夹访问安全属性。可以看到正常的文件夹，对自身　

可以通过替换程序文件，完全的控制系统。

洞依然存在。　

的用户访问权限作了严格的设置，　“Ｅｖｅｒｙｏｎｅ”用户是　

不准“修改”．只能“读取”或“运行”文件夹中的文　

件和程序（如图２）。只有Ａｄｍｉｎｉｓｔｒａｔｏｒｓ管理员组的用　

户才能完全控制此文件夹中的文件与程序。　

现在打开熊猫隔墙的默认安装路径文件夹“Ｃ：＼　

下面我们就为大家逐步讲解．重现攻击者是如何利　

用此漏洞的。　

步骤一：低权限登录　

首先，在公司、学校、宿舍、网吧等公用电脑上　

赛门铁克安全响应中心最近发现。在　暴风影音一中存在多个缓冲充溢漏洞．其中一些正在被主动攻击。漏洞与　Ｎｅｔ　ｆｒＴｅｎｄｓ　４９　

“暴风彰音　所使用的ＡｃｔｉｖｅＸ控制插件有关。用户只需要浏览一个隐藏攻击代码的网站就有可能受到攻击。　

维普资讯

责任姗：采嘏，投幡售箱　

往往都开放了多个登录帐号并设置了权限，一般公用帐　

号权限都很低，只能够浏览网页、运行程序等一般性操　

攻击者是以低权限帐户登录的，之所以可以成功添加管　

作，无法安装程序或者对系统设置进行修改。攻击者　

理员帐号，是由于”ｃｍｄ．ｅ￣ｅ”代替了”ｐａｖｓｒｖ５１　ｅ￣ｅ”，被　

会以公用帐号进行登录，然后打开命令提示符窗口，执　

。Ｐａｎｄａ　ａｎｔｉ—ｖｉｒｕｓ　ｓｅｒｖｉｃｅ”服务加载运行，从而继承了此　

行命令，试　

服务的“Ｌｏｃａｌ　Ｓｙｓｔｅｍ　权限，可以执行任何系统操作。此　

图添加管理　

外，除了此服务外，还有几个熊猫卫士２ｏｏ８ＢＥ务可能被攻击　

员用户帐号　

者所利用（如图７）：　

（如图４）。　

由于用户权　

限不足，因　

此出现“拒　

绝访问”的错误提示。同样的，在进行安装程序或执行　

木马程序时，由于无法对注册表进行修改，也致使木马　

程序无法正常执行。　

步骤：：替换服务　。　

由于权限不足，因此攻击者会试图提升自己的权　

限，将目标盯上了熊猫卫士２００８。攻击者尝试打开熊猫　

卫士２００８的安装目录，找到“ｐａｖｓｒｖ５１　ｅｘｅ”文件，将　

文件改名为“ｐａｖｓｒｖ５１．ｅｘ”。然后复制“Ｃ：＼Ｗｉｎｄｏｗｓ＼　

ｓｙｓｔｅｍ３２＼ｃｍｄ．ｅｘｅ”文件到此目录中，并将其改名为　

“ｐａｖｓｒｖ５１．ｅｘｅ”（如图５）。　

“Ｐａｎｄａ　ＩＭａｎａｇｅｒ　Ｓｅｒｖｉｃｅ”服务，对应程序文件　

为“Ｃ：＼Ｐｒｏｇｒａｍ　Ｆｉｌｅｓ＼熊猫安全＼熊猫卫士防病毒２００８＼　

ＰｓｌｍＳｖｃ．ｅｘｅ”；　

“Ｐａｎｄａ　Ｓｏｆｔｗａｒｅ　Ｃｏｎｔｒｏｌｌｅｒ”服务，对应程序文　

件为“Ｃ：ｋＰｒｏｇ　ｒａｍ　Ｆｉｌｅｓ＼熊猫安全＼熊猫卫士防病毒２００８￣　

ＰｓＣｔｒｌｓ．ｅｘｅ”　

这两个服务同样由于安装文件夹权限设置不当，很　

“Ｃ：＼Ｐｒｏｇｒａｍ　Ｆｉｌｅｓ＼熊猫安全＼熊猫卫士防病毒２００８＼　

容易被替换掉。　

ｐａｖｓｒｖ５１　ｅｘｅ　文件，是熊猫卫士２００８病毒文件监视服务　

“Ｐａｎｄａ　ａｎｔｉ—ｖｉｒｕｓ　ｓｅｔｒｉｃｅ”的对应程序文件。当病毒监视开　

启时，此文件正在使用中，因此无法删除掉，攻击者可通过　

ｏ危害不止这一点　

改名的办法进行替换。　‘　

从上面的例子可以看出，熊猫卫士所存在的这个漏　

步骤三：获取管理员权限　ｊ　鍪＾　

洞是十分的严重。本地攻击者不仅可以随意替换执行任　

替换完毕后，攻击者会重启系统，再次以低权限帐　

何程序，添加管理员帐号，对系统进行任意修改，而且　

户登录。此时熊猫卫士２００８杀毒软件也会再次重启病毒　

可以直接用木马替换掉服务程序文件，让木马在杀软的　

监视服务“Ｐａｎｄａ　ａｎｔｉ—ｖｉｒｕｓ　ｓｅｒｖｉｃｅ”，从而运行了替换　

眼皮低下“撒野”！当然这个漏洞。不止可以被本地攻　

程序“ｃｍｄ．　

击者所利用，而且也可以被来自Ｉｎｔｅｒｎｅｔ上的攻击者所　

ｅｘｅ”

。

因此，　

利用：攻击者在获得某个服务器的Ｗｅｂｓｈｅｌｌ后，可以直　

攻击者在登录　

接替换熊猫卫士杀软服务文件进行提权，控制整台服务　

系统后。桌面　

器：攻击者也可以制作特殊的病毒包，直接攻击熊猫卫　

上自动出现一　

士杀毒软件，感染用户的电脑系统……　

个命令提示符　

目前．熊猫卫士官方网站已经针对此漏洞发布了　

窗口．在其中　

相关的补丁程序，但是，就在完稿之时．笔者就获悉，　

执行命令（如图６）：　

熊猫卫士杀毒软件又被发现存在一个远程代码执行漏　

ｎｅｔ　ｕｓｅｒ：ｖｉａｏｙａｏ／ａｄｄ　

洞——熊猫卫士的文件解析引擎，在解析畸形．ＥＸＥ文件　

ｎｅｔ　ｉｏｃａｌｇｒｏｕｐ　ａｄｍｉｎｉｓｔｒａｔｏｒｓ　ｘｉａｏｙａｏ／ａｄｄ　

时整数负值过程中。存在缓冲区溢出。如果用户受骗打　

命令可以成功执行，执行后即可添加一个名为　

开了恶意的可执行文件的话。就可能触发这个溢出。导　

“ｘｉａｏｙａｏ”的空密码管理员帐号了。攻击者即可以此帐　

致在用户系统上执行任意代码……看来熊猫卫士的漏洞　

号登录，为所欲为了。　

可不止这么一点，用户的安全很成问题。ｅｅ　

５０　Ｎｅｔ　ｆｒｔｅｎｄｓ　旯　慧　薹　凳銎　簇　墓　

本文标签： 卫士用户权限文件漏洞