瑞星0day漏洞

瑞星杀毒软件曝出高危漏洞360紧急提供临时补丁
来源：360安全中心　 发布日期：2010-01-29已有1974条评论   我要评论
1月23日，波兰安全组织NT Internals曝光瑞星杀毒软件存在两个严重漏洞。有专家称黑客利用瑞星的漏洞可以获得系统控制权，把用户的电脑变成“批量抓鸡工具”。五天后，瑞星公司发声明称这两个漏洞均已在09年5月彻底修复。但是，南京大学计算机系软件小组发现这两个漏洞仍然存在，一旦被黑客利用，将导致巨大的安全风险。
360安全专家经过分析，发现瑞星的漏洞不仅危害瑞星用户，还可能被黑客用来攻击包括360在内的所有安全软件。考虑到瑞星未给用户提供修复工具，360安全中心为此紧急研发了临时补丁，供瑞星用户下载安装。
据NT Internals披露，此次曝光的是两个“本地提权”0day漏洞，漏洞信息早在08年9月和09年4月即已分别报告给瑞星，但至今第一个漏洞仍然仅仅是“部分修复”，第二个漏洞则完全没有修复，随时有被黑客利用的可能，因此不得不曝光予以警示。
南京大学软件小组在博客中表示：安全软件存在这样严重的安全漏洞非常罕见。瑞星的第二个漏洞不但完全没有修复，利用方式也非常简单，可以使黑客获得系统最高权限，让用户电脑以及政府机构和企业的内网完全丧失防御能力。而第一个漏洞尽管被部分修复，黑客仍可以将存在漏洞的瑞星驱动文件提取出来，用来“武装”自己制作的木马，以突破其它安全软件的防御（安全软件通常都会放行带瑞星数字签名的驱动文件），所以即便没有安装瑞星的电脑也有可能因为这个漏洞而遭殃。
360安全专家表示，360的验证结果与NT Internals和南京大学软件小组完全一致。360工程师测试后发现，这两个漏洞至少影响瑞星杀毒软件的2008、2009、2010三个主要版本，可以被用来突破、关闭所有安防系统。目前国外安全论坛上已出现针对瑞星漏洞的攻击代码，按以往规律，一旦攻击代码大面积扩散，针对瑞星用户的大规模攻击随时可能爆发。
360安全中心表示，360研发的临时补丁可以修复瑞星的漏洞，并可以为瑞星公司提供相应的技术支持。在瑞星彻底修复这两个漏洞并对所有用户进行升级之前，360安全专家建议瑞星用户尽快采取以下两种措施：
一、立即下载安装360公司提供的临时补丁。（到这里下载补丁）
二、或临时卸载瑞星杀毒软件，等瑞星公司提供官方补丁后，再重新安装。在此期间可先使用其它杀软，或者用永久免费的360杀毒。（点击下载360杀毒）
NT Internals披露瑞星杀毒漏洞1：
http://www.NTInternals.org/ntiadv0805/ntiadv0805.html
NT Internals披露瑞星杀毒漏洞2：
http://www.NTInternals.org/ntiadv0902/ntiadv0902.html
瑞星公司声明：《关于瑞星0day漏洞的说明》：
http://www.rising.com.cn/about/news/rising/2010-01-28/6530.html
瑞星针对奇虎360发布声明 称漏洞未被利用
发布时间：2010.01.29 17:05     来源：赛迪网    作者：Barry
【赛迪网-IT技术报道】1月29日，瑞星针对奇虎360声称的“瑞星产品存在重大漏洞”发布了紧急声明，并对相关的漏洞进行了解释，全文如下： 近日，奇虎360通过多种手段广为传播：“瑞星产品存在重大漏洞”，并欺骗用户卸载瑞星产品，同时推荐自身的360杀毒软件。其言论与事实严重不符，存在扭曲事实、无中生有、偷换概念、恶意诽谤等情况。给瑞星公司及其产品带来了恶劣的负面影响。 据瑞星安全专家分析，这两个漏洞都是所谓“本地提权”漏洞。“本地提权”漏洞必须是在用户电脑本地进行操作，无法通过网络实现，用户在上网时不会受到这种漏洞影响，在实际应用中极难被利用来进行远程攻击。而且根据多个漏洞组织的公报，很多国际知名厂商的产品均出现过数十个此类漏洞，并且未被黑客实际利用过。 实际上，奇虎360企图利用“漏洞”这一网民敏感的技术术语，将“本地提权”漏洞与通常所说的“漏洞”混为一谈，企图欺骗用户以为“本地提权”漏洞非常严重。事实上，所谓“本地提权”漏洞，只有在本地机器（或者具有本地权限）上操作才能利用。 (实习编辑：白瑞
http://tech.ccidnet.com/art/1101/20100129/1990855_1.html
瑞星就漏洞事件发表声明 各方说法不一
发布时间：2010.01.29 13:34     来源：赛迪网    作者：Barry
【赛迪网-IT技术报道】近日，有媒体报道说瑞星杀毒软件存在两大高危漏洞，随后瑞星迅速发表声明，就这一报道进行澄清。但不久，南京大学软件小组以及360工程师认为这两个漏洞仍然存在。至今，各方说法不一，很难从中作出判断。
瑞星就漏洞事件发表声明
1月27日，有媒体报道说，瑞星杀毒软件存在两个“本地提权”0day安全漏洞，使木马病毒能轻易获得瑞星用户的系统控制权，这两个漏洞影响瑞星杀毒软件2008、2009、2010三个版本。
瑞星公司对本事件高度重视，第一时间瑞星反病毒专家进行了沟通与确认。经证实，本文中所反映的内容与事实严重不符。此外，瑞星也联系了文章所提到的金山工程师李铁军，对方明确表示未接受过任何媒体和个人的采访。
真实情况是，波兰ntinternals.org组织分别于2008年10月、2009年4月分别向瑞星研发部门通报了以上两个漏洞，双方就相关问题进行了技术沟通。双方认为这两个漏洞只能在驱动文件单独存在的时候发生作用。由于瑞星软件本身有着完整的安全机制，驱动文件在瑞星软件中时，黑客无法利用漏洞做任何操作，除非第三方软件对其进行调用。并且，黑客只有在本地计算机上操作时才能进行利用，无法进行任何网络远程操作。因此媒体报道中提到的“抓鸡工具”纯属臆造。
此外，瑞星公司早在2009年5月就对以上两个漏洞进行了彻底修复。截至修复日止，瑞星公司未收到任何利用此漏洞的攻击报告。
源起波兰一家安全组织
波兰一家安全组织（www.ntinternals.org）公布：瑞星杀毒软件长期存在两个“本地提权”0day安全漏洞，使木马病毒能轻易获得瑞星用户的系统控制权。


波兰ntinternals.org组织发布的公告 NT Internals披露瑞星杀毒漏洞1：hxxp://www.ntinternals.org/ntiadv0805/ntiadv0805.html
NT Internals披露瑞星杀毒漏洞2：hxxp://www.ntinternals.org/ntiadv0902/ntiadv0902.html
【注：基于安全考虑，防止用户误点造成不必要的损失，以上网址已作特殊处理，所有网络链接“http”均已被替换为“hxxp”，特此说明。】
国内一些机构认为漏洞仍存在
南京大学计算机系软件小组发现这两个漏洞仍然存在。南京大学软件小组在博客中表示：“安全软件存在这样严重的安全漏洞非常罕见。瑞星的第二个漏洞不但完全没有修复，利用方式也非常简单，可以使黑客获得系统最高权限，让用户电脑以及政府机构和企业的内网完全丧失防御能力。而第一个漏洞尽管被部分修复，黑客仍可以将存在漏洞的瑞星驱动文件提取出来，用来‘武装’自己制作的木马，以突破其它安全软件的防御（安全软件通常都会放行带瑞星数字签名的驱动文件），所以即便没有安装瑞星的电脑也有可能因为这个漏洞而遭殃。”
360工程师测试后发现，这两个漏洞至少影响瑞星杀毒软件的2008、2009、2010三个主要版本，可以被用来突破、关闭所有安防系统。目前国外安全论坛上已出现针对瑞星漏洞的攻击代码。
相关文章：瑞星针对奇虎360发布声明 称漏洞未被利用
网友讨论：瑞星杀毒软件曝出高危漏洞 360紧急提供临时补丁
互动活动
你认为瑞星杀毒软件存在报道中所说的漏洞吗？
存在
不存在，我相信瑞星
不好说，继续观望

   你认为瑞星杀毒软件存在报道中所说的漏洞吗？    投票结果如下：
共有 104 人参加
选项
比例
票数
1
存在
51.92%
54
2
不好说，继续观望
31.73%
33
3
不存在，我相信瑞星
16.35%
17
请刷新页面看最新结果！
感谢您的参与！
http://security.ccidnet.com/art/1099/20100129/1990465_1.html
卸了瑞星用啥? 四大顶级杀软得一足以
 
2010年01月26日16:18  来源：泡泡网
【字号大中小】打印留言论坛网摘手机点评纠错 E-mail推荐:  
瑞星2010的表现令人失望已经成为不争的事实，很多朋友都在抱怨起老问题依然不变，占用系统资源该多的还是多，查杀病毒该慢的还是慢，甚至连最基本的病毒查杀率都依然走低，哪能让人所接受，既然这样干脆卸掉！连一些忠实的瑞星用户都在考虑更换自己的杀毒软件，新用户更不用多说了，在笔者看来这不是用户的错，而是瑞星产品的问题，当用户发现了产品本身并没有宣传那样好，那被抛弃也是理所应当，因为用户有权利选择！
纵观国内外杀毒软件市场竞争是越发激烈，随着黑客技术的提升，病毒开始呈现多样化、复杂化及难对抗化等趋势，而与此同时各大杀毒软件厂商也在不断改善其安全技术，多方面立体化保护用户信息安全，其实总体看来就是技术与技术的对抗，攻击与反攻击每一次正面交锋的背后毫无疑问胜利者只属于强者。对于整个杀毒软件来说，技术已经成为了决定最终胜利的关键因素，所以各大安全厂商也都不断推陈出新，应对瞬息万变的网络世界安全防护。才推开2010年的大门，IE安全漏洞引发的全球互联网预警就让所有安全专家和互联网用户绷紧了神经，IE 0day漏洞攻击代码的广泛流畅导致了不少电脑用户遭受了黑客猛烈的攻击，微软紧急推出2010年的首个更新补丁修正这一漏洞，各大知名的安全厂商也纷纷出手站在了对抗黑客的最前线。在过去的一年中网络安全威胁成倍的飙升，数量有多少从各大安全厂商发布的年终总结报告中可以看到，但是在接下来的2010年中我们还将面对多少次高风险？现在仍然是未知数。因此做好个人信息安全防御工作迫在眉睫，选择一款优秀高效的杀毒软件就显得至关重要了。
既然瑞星2010不好用，那么介绍几款近在身边的世界顶级杀毒软件给大家。笔者查看了一下2009年年终杀软排行榜，从众多权威媒体的结论来看，诺顿2010和卡巴斯基2010无疑是最大的赢家，各大榜单都频繁看到他们的身影。另外，从杀毒软件权威评测机构AV-Comparative的2009年终评奖结果来看，诺顿2010、卡巴斯基2010和ESET NOD32 4.0包揽了金银铜奖，实力自然毋庸置疑。虽说三甲都被国外“豪门”所摘取，但也无可厚非，他们代表了当今杀软行业的最高技术水平，获得行业的认可理所应当。值得称赞的是，金山毒霸2010代表国产杀软一枝独秀“杀入”了AV-Comparative评出的16强榜单，而且还获得了扫描速度最高认证奖项，开始在国际上崭露头角，这必然是与金山多年的技术积累密不可分。
占用系统资源烦劳用ESET NOD32代替
提到瑞星杀毒软件最令人头疼的事莫过于是占资源拖速度，这样一来用户基本上只能是在电脑空闲时才可以进行病毒查杀，否则电脑瞬间感觉像回到了386时代，边扫描边工作娱乐那只是传说。如果正是此问题影响了你的使用体验，那为何还要忍受？ESET NOD32 4.0的系统资源占用量是全球有口皆碑的，即使是在执行扫描任务时，依然不会影响用户正常使用电脑工作或娱乐。使用ESET NOD32杀毒软件的流畅体验可能是无可比拟的，使用过该软件的朋友都知道，安装之后几乎会让人忘记了该杀软的存在，根本无需手动设置，默默在后台保护用户，从来不会发出任何干扰用户的提示，从来不“滥杀无辜”但也不放过任何病毒木马。
笔者自己就是一直使用的这款杀毒软件，两年多以来从没有出现过任何问题，据ESET官方介绍其独有的智能ThreatSense技术获奖无数，通过应用多层威胁检测提供最为有效的攻击防护。ESET的安全产品是迄今为止获得VB100认证次数最多的杀毒软件，早就看过了太多关于VB100认证的介绍，其评测结果非常极端只有两种结果：通过或者不过。
这一点国内大多用户都了解，但有一点可能大家不是很清楚，虽然获得过VB100的认证但也并不代表其产品一直能拥有这项荣誉，一旦有新产品推出就需要经过重新检测认证，否则ESET一次次刷新通过纪录又何必？因此哪怕是09年获得VB100认证的杀软，2010年也得重新过关，不会因为该产品曾经获得过多少次认证，或是最近一次获得过认证而受到优待。所以，虽然很多杀毒软件都以VB100认证为荣，但大家可以留意观察一下其获得VB100认证的时间。
整体全面的防御性能诺顿2010无可挑剔
对于系统资源的占用问题，诺顿2010在这方面有了长足进步。之前笔者也使用过诺顿，其整体表现很好，但就是在资源占用这一块与其世界顶尖的名头不符，看过网上好多诺顿用户的评价几乎毫无例外都是对这点表示不满，因此诺顿这次肯定也是痛下决心非改不可，于是2010版中让大家看到其变化。有效降低了系统资源占用量，并提供了实时监控窗口，让用户能够直接从界面上就可以看到诺顿2010占用CPU高低变化情况，很有自信心！但提供全面的在线防护能力应该才是诺顿2010最大的优势所在。
笔者仔细研究了一番诺顿2010的介绍发现，从上网浏览、在线购物、在线注册到文件下载、网络监控、搜索结果实时检测等用户网上操作都提供了一整套完善的保护机制，让用户可以放心在线享受互联网带来的使用乐趣而不必一联入网络就提心吊胆，畏首畏尾。
诺顿2010的查杀功能已经获得了第三方权威机构的最新认证，获得的各项大奖也不少，该软件基于诺顿智能分析网络，对任何威胁都可以做到快速扫描、快速发现、快速清除等特点，并且该软件的扫描时间据称在同类产品中优势明显，看过多家知名媒体的评测结果，果然很不错。最让笔者喜欢的一个功能是，智能判断计算机处于闲置状态下自动开启检测功能扫描系统，这样即使在工作的时候，因某些事情突然离开办公室，不必理会计算机，等办事回来后可能诺顿2010已经完成整个系统的扫描查杀了，不再需要额外安排时间定期全面检查自己的电脑系统。既省时省电又十分环保，使用诺顿2010的朋友一定别忘记开启这个功能了。打算选择诺顿2010的用户所要关注的仅仅是操作习惯、使用简洁度以及系统需求等方面了，而其保护能力完全可以值得信赖。
有毒必杀卡巴斯基2010首当其冲
卡巴斯基近两年在国内的发展突飞猛进，虽说市场宣传攻势一波高过一波，连成龙大哥都被请来助阵了，但不可否认一点，卡巴斯基也拥有强大的技术实力作后盾。卡巴斯基实验室全球知名，不仅在其本土俄罗斯大名鼎鼎，就是在亚洲、欧洲和美洲等地区同样拥有极高的知名度。如果说瑞星对病毒查杀能力的低下令你不满，时不时还因中毒而无法开启保护功能让人郁闷，那么卡巴斯基的“铁血”手段是出了名的，发现的任何病毒都会它统统杀掉，一个不留。记得曾经去卖场买杀毒软件的时候，软件经销商就推荐说杀毒能力就数卡巴斯基强。
卡巴斯基2010版中新加入了一个安全免疫区功能更是能让用户将病毒玩弄于鼓掌之中。为何这样说呢？因为据介绍，卡巴斯基2010的安全免疫区中可以用来运行任何可疑程序或网站，甚至是病毒木马。而所有的威胁都将被隔离在这个安全免疫区中，不会对系统安全造成任何危害，仿佛只要关闭该免疫区一切清零回到原点。我们经常会遇见一些程序被部分杀毒软件报告有毒，而其他杀毒软件又没事的情况出现，这个时候可以应用卡巴斯基2010的这个功能先试试再说，再不用去论坛上到处询问其他网友该怎么办？
每当别人提到卡巴斯基，笔者总会与美国大片中的硬汉形象联系在一起，可能是卡巴斯基的强悍技术印象所致:)，难免有时候觉得“硬汉”是不拘小节的。但这次看到卡巴斯基2010中加入了免打扰的游戏模式后，突然有点硬汉也有柔情一面的感受（纯属个人感受），不过还是很想称赞一次。与此同时，卡巴斯基2010也采用了全新界面，几大功能模块一目了然，即使是新手用户也不会感到太多的使用困难，况且就算不更改任何设置全部使用默认状态照样可以很好的保护系统，这点看看国内日渐壮大的卡巴斯基用户群就是最好的证明了！
国产杀软金山毒霸开始后续发力
据笔者了解一些用户始终不变的支持着国产杀毒软件，而选择无非就是三大品牌瑞星、金山毒霸或江民杀毒软件。现在瑞星2010和江民KV2010已经正式发布了，而金山毒霸2010也在其官方论坛热火朝天的公测中，正式发布之日应该也不会太久了。瑞星2010虽然令人失望，但江民KV2010和金山毒霸2010却给支持国产杀毒软件的众多用户带来了希望，江民KV2010以全新的界面风格出现在大家面前，为了更好的配合windows7华丽的界面外观，江民KV2010颠覆一般杀毒软件的常规界面设计，以类似侧边工具栏的形式展现每一个功能，让不少用户眼前一亮。同时，KV2010推出了创新的“前置威胁预控”安全模式，能够在防杀病毒前预先对系统进行全方位安全检测和防护，检测三大类29项可能存在的安全潜在威胁，即使KV2010都做到如此，实力比它更胜一筹的金山毒霸更不甘落后。
姗姗来迟的金山毒霸2010据说是因为开发人员完全重新开发其杀毒引擎而延期发布的，杀毒引擎作为杀软中分量最重的核心部分也是各大安全厂商实力的真正的体现之处。消息称，金山毒霸2010新引擎在查杀能力、系统资源占用及扫描速度等方面都有了质的飞跃，已经进入国际一流杀软水平。虽然目前我们还没有使用到这款最新杀毒软件，但是从几天前网上泄露的界面图看到，金山毒霸2010从外至内进行了大改变，很令人期待！
如果说瑞星2010的最大卖点在于主动防御和网页挂马防护，那么这仅仅是金山毒霸2010所拥有的两个基本功能而已。现在很多网友都在使用免费小巧的金山网盾，而该软件防御网页挂马能力一流，这就作为了其中一项功能集成在毒霸2010中；金山强大的云安全防御能力已经获得了国际权威第三方杀软评测机构的认可，如果不出所料云安全防御能力将作为金山毒霸2010的卖点之一。同为国产杀软，不存在“水土不服”的问题，技术的强弱对于用户来说可以看得更加真切。
当大家想要选择一款杀毒软件时，往往从其整体效能、查杀率和外观设计等方面入手，针对自己的需求综合多种因素而决定。以上选出的几款目前国内较流行的杀软，虽各有特色但都有一个共同点，即都拥有强大的技术后盾。而这恰恰是瑞星所忽略的，误以为市场宣传的强大攻势就可以掩盖其欠缺之处。当今各行各业的竞争激烈，但往往拥有核心技术者就能傲视群雄，软件行业依然不会例外，特别是杀毒软件行业。区别于普通软件，由于杀毒软件每人只能选择一个，所以给任何品牌都只有一次机会，选对了用户也许会以不变应万变，但选错了也不要紧，卸载掉，别忘记我们随时可以有机会重选！■
人民网：
http://it.people.com.cn/GB/42892/42927/115727/10848714.html