邮件服务器-邮件系统-邮件技术论坛(BBS)

标题: Security Plus 4.02 "后门" 修复方法 [打印本页]

作者: Hokings 时间: 2009-5-6 13:20
标题: Security Plus 4.02 "后门" 修复方法
关于Security Plus 4.02的“后门”问题，最先由yon发现，但没有引起大家的重视。
原帖链接：SecurityPlus v4.02 http://bbs.5dmail.net/thread-181740-1-1.html

后来由wxhsh再次提出，才引起大家的注意。
原帖链接：Security Plus4.X慎升，有后门！http://bbs.5dmail.net/thread-182192-1-5.html

wxhsh提出的解决方法如下，但在我这里测试无效。
原帖链接：security plus 4后门修复讨论 http://bbs.5dmail.net/thread-182543-1-2.html

昨晚刚好有点空，研究了一下，经过对注册表和硬盘文件变动的监视，发现是C:\Documents and Settings\All Users\Application Data\Kaspersky\SDK 目录下storage.dat在搞鬼！（注：此目录为隐藏目录，需在文件夹查看中开启“显示所有文件和文件夹”选项）把此文件删除后，重启Mdaemon服务，Security Plus 就可以正常升级了。

附：重现Security Plus“后门”的方法
把系统时间往前调4年，变更Security Plus注册码，再把系统时间调回来。。。反复几次，会出现CFEngine.exe出错信息，此时升级界面下就会提示

此时无论你卸载/重装Security Plus/变更注册码，都会提示“无效的密匙文件”，无法升级。

请大家测试，并告知结果。

[ 本帖最后由 Hokings 于 2009-5-6 14:46 编辑 ]

作者: wxhsh 时间: 2009-5-6 13:24
标题: 回复 1楼 Hokings 的帖子
佩服LZ的钻研精神，也证实了我和yon的观点，谢谢。

作者: plan 时间: 2009-5-6 13:41
LZ的精神的确可嘉。。。

作者: Kyan 时间: 2009-5-6 14:13
說得真像一回事，Documents and Settings\All Users\Application Data\Kaspersky\SDK\storage.dat 請懂 C++ 的網友去看看，是它為 MDaemon 留的後門嗎？再說，Documents and Settings\All Users\Application Data 為隱藏目錄又不是 Kaspersky 隱藏的，其他沒有安裝 MDaemon 和 SecurityPlus 的電腦裡它也都是為隱藏目錄，而且在同一個目錄裡除了 Kaspersky 以外還有 Microsoft 和其他軟件如 MySQL、Skype 等等，難道他們都是在開後門？再說，我不刪除它我也能升級，且沒有出現任何錯誤信息。希望你們不要再胡扯了，真是一批蠢蛋。

如果，你們真認定 SecurityPlus 有後門，那你們就不要安裝。在沒有提出確切證據之前，不要一再誤導別人。

作者: wxhsh 时间: 2009-5-6 15:01
我让测试者更省力点吧，附问题storage.dat文件，不用调年份了，覆盖重启MD更新SP病毒库马上重现此后门。事实胜于雄辩。
感觉K越发象宋祖德了。
[attach]7720[/attach]

[ 本帖最后由 wxhsh 于 2009-5-6 15:18 编辑 ]

作者: Hokings 时间: 2009-5-6 16:41
wxhsh真是个勤快的好同学。

另外，请查看附图，这个地方估计也有猫腻。在AV Updater - Configure updater - Update URLS 里只有3条Kaspersky的升级网址，但打开SP安装目录下的AntiVirus.ini文件，里面却有11条网址。请注意第11条，建议把此URL删除。

作者: wxhsh 时间: 2009-5-6 16:48
标题: 回复 6楼 Hokings 的帖子
这个倒不必过分紧张，旧版SP取这里的值，新版更新服务器地址之类的存储在avupdater.xml里了。

作者: Hokings 时间: 2009-5-6 17:25

原帖由 wxhsh 于 2009-5-6 16:48 发表
这个倒不必过分紧张，旧版SP取这里的值，新版更新服务器地址之类的存储在avupdater.xml里了。

你把avupdater.xml里面的3个URL都删除，SP照样可以升级。

作者: yon 时间: 2009-5-6 20:53

原帖由 Hokings 于 2009-5-6 13:20 发表
关于Security Plus 4.02的“后门”问题，最先由yon发现，但没有引起大家的重视。
原帖链接：SecurityPlus v4.02 http://bbs.5dmail.net/thread-181740-1-1.html

后来由wxhsh再次提出，才引起大家的注意。
原帖链 ...

安装4.02 中文版本， CFEngine.exe出错信息.

4.01 中文版没有CFEngine.exe出错信息.

删除你说的文件后，仍然显示升级KEY文件无效失败. 还是不能升级.

作者: Hokings 时间: 2009-5-6 22:08
删除storage.dat后，是否重启Mdaemon服务之后再进行升级？
（运行services.msc，找到MDaemon服务，重启）

[ 本帖最后由 Hokings 于 2009-5-7 10:19 编辑 ]

作者: yon 时间: 2009-5-15 13:18
我都是关闭后才装的. 你是说删除后再安装AV？

作者: yon 时间: 2009-5-15 17:07
按照你的方法今天再尝试仍然是注册KEY文件失败.

只有3.06版本的认注册KEY. 但是无法成功升级，不断的重复下载病毒定义.

作者: Hokings 时间: 2009-5-15 17:52
我没有测试较低版本的SP，你装SP 4.02试试看，装好后把storage.dat删除，然后重启MD服务，然后联网升级。。。只要SP LOG里面没有提示“无效的密匙文件”，就算成功。

作者: yon 时间: 2009-5-15 18:28
我把3.06版本的AVUpdate.exe 复制到4.01目录下就可以升级. 正在测试. 看看是否重复下载定义.

4.02 我用不成. 安装后提示一个CFEngine.exe出错信息.

作者: Hokings 时间: 2009-5-15 19:29
先把storage.dat删除后，再安装SP 4.02，应该就不会有CFEngine.exe出错信息了。

作者: yon 时间: 2009-5-15 21:01
删除过后，再安装很多次都没你说的文件了.

我用3.06版本代替成功.

作者: yon 时间: 2009-5-18 18:06
用3.06替换更新成功了，可是更新时间不变，还是安装时候的病毒定义时间.

作者: solond 时间: 2009-9-25 22:31
都别争来争去的，下载卡巴司机的离线升级包，用卡巴的离线升级方式进行升级绝对OK！！离线升级包就在他们提供的升级地址里找就行了。要7。0的升级包才行。测试OK。
不过该邮件系统我没有选用，一些功能不能满足需要！

作者: wykk2002 时间: 2009-10-10 09:13
关于这个问题，谈下我这次升级成功的过程。
我成功安装了sp4.0.0，并也成功升级了，后来改了一次系统时间，把时间调后一年，之后也没注意，两天后发现cfengine.exe无法启动，后来就发现发生了像楼主一样的情况。
按HOKINGS大侠的操作：把storage.dat删除，然后重启MD服务，然后联网升级，成了。
自从上5dmail，嗨！腰不酸了腿不痛了，泡mm更有招了，今天你上了吗？

作者: yon 时间: 2012-4-23 06:33
windows 2008 下已经不能进入这个目录 C:\Documents and Settings\All Users\Application Data\Kaspersky\SDK

作者: Alan.huang 时间: 2012-5-22 13:15
看了这个贴后,发现UMAIL的病毒库更新跟这个一模一样!!!!

欢迎光临邮件服务器-邮件系统-邮件技术论坛(BBS) (http://5dmail.net/bbs/)