卡巴的WEB反病毒保护:宁可错杀100
作者:perky 来源:绿盟 发布时间:2007-10-15 3:29:47
文章正文
用事实说话,以下是一些网上的资料
不只迅雷,腾讯,新浪等站给卡巴的WEB反病毒保护功能禁止访问,中华网,和其他大大小小的网站,大大小小的页面都有过类似的恶意误报。
卡巴到底什么时候能停止毁谤呢?
卡巴的WEB反病毒保护的原理,根据绿盟猜测,只要你用浏览器,浏览一个有病毒的页面,这个页面就会发送到卡巴的官方,并且记录下来,如果有多个人提交这个地址给卡巴官方,那达到一定的阀值,就会列入恶意对象,禁止访问。
这里明显有个漏洞,如果这个站比如迅雷的官方,my.xunlei.com 昨天晚上3点01秒,给路由劫持了--arp攻击,攻击的人,挂了木马,导致这几秒内有30个人访问my.xunlei.com ,10个装了卡巴,而且报告了有病毒。my.xunlei.com 将给列入卡巴的黑名单。10秒后,迅雷的系统发现了攻击,同时解决了,没有木马了。但是明天早上,访问这个地址的人,装卡巴的将不能访问迅雷,因为卡巴会提示恶意http对象,禁止访问。也许这样的情况要持续一个月,可以想是多么糟糕。
绿盟想说的是,arp攻击现在非常难防,只要和目标网站在同一个机房,都有可能通过arp欺骗,达到“黑”了目标网站而挂马的目的。绿盟的clinch曾经在群里对网易的一群朋友说,绿盟能黑了网易,因为都是同一个机房的,只通过arp欺骗,这让他们非常惊讶。后来网易包了那个机房,逼机房提高2倍价格,绿盟只好退出了....
arp欺骗时下是非常普遍的事情,很多站无辜的给“黑”了...其实只是那攻击的服务器,欺骗了路由,欺骗了大家而已。
但是卡巴绝不会知道中国这个国情,他们只知道赚钱。
更恐怖的事情发生了:你的浏览器本来就是中毒的,访问任何站卡巴都提示有木马,那么,被你访问的站就倒霉了。官方已经记录了它们,把他们当成凶手。大概另外10几个和你一样的倒霉鬼,访问了一些站,包括新浪等,你也访问了新浪,那么其他人在很长的一段时间内,访问新浪,卡巴都阻止掉,提示这个页面有病毒。
当然卡巴肯定有解除的算法,绿盟猜测是,针对黑名单的网站地址,他们采取数据采样,如果1万个访问发现6个以下就可以解开。这对于新浪来说,就是1个小时,或1分钟的事情,一下就解开了。但是对于一些访问小的页面就不公平了。比如人家访问的是 hahahaha.sina.com.cn 而让这个地址报告是病毒,虽然它是新浪的,但是,访问hahahaha.sina.com.cn 的人不多,访问的几个刚好发生报告病毒的情况...那么这个页面就惨了...一直列在黑名单里。
最怕的是,卡巴的期限放的很久或者是人工解开的...那就惨了...
这样一来,不排除有别有用心的人,利用编程手段,“告诉”卡巴,我访问某个地址中毒了...来达到陷害目标站的目的。这个可以实现的,只要你的ie中毒了,然后同时制造10几个ie中毒的电脑出来,发动它们一起去访问某个目标站的某个地址,那那个地址就毫无疑问地给卡巴列入黑名单。
进一步分析:卡巴的WEB反病毒禁止的网页是具体到详细的页面的
比如这个页面卡巴认为有病毒,列入黑名单了(假设而已):http://www.xdowns.com/article/247/Article_1029.html
但是你将会发现这个页面应该没有问题:
http://www.xdowns.com/article/247/Article_1029.html# (多了个"#",但是其实是原来的页面,可以对比上面的页面,是一样的。)
或者说不是给卡巴记录的页面就没有问题...比如 "http://www.xdowns.com/"或者
http://www.xdowns.com/article/247/Article_1030.html 就没有问题。
以上结论已经实践过了,证明是正确的(当然,不是绿盟的地址....这是举例而已)
同时我们还得到结论,如果将 "http://www.xdowns.com/article/247/Article_1029.html" 这个页面的内容清空(不放任何内容,是空白的,不可能有任何问题)的话,访问的时候卡巴也将继续报有问题。也就是说,卡巴将不核查这个页面是否有问题,而是直接"根据上头指示"封杀这个地址....
文章来自绿盟(xDowns.com)转载请注明来路。