KAV/KIS Build 9.0.0.463 CF1 (Beta) Options

[harlan4096]

hola a todos!!!!

tengo una duda!!!

por ahí estuve leyendo de un fallo que decia que el analizador eurístico podia ser atravesado sin ningun problema por medio de un archivo pdf bien preparado con codigo malicioso.

Esto estaria resuelto en el KAV 2010 build 9.0.0.463???

KLab ya fue avisado de ese asunto cuando surgió en junio, y creo que ya estará corregido.

Saludos.

This post has been edited by harlan4096: 8.07.2009 11:03

[Caos]

Hola,

Posteo la respuesta de Kaspersky a este tema (en Inglés):

Kaspersky Lab responds to issues related to PDF file processing by the company’s products

The following is a response from Kaspersky Lab to information published on several Internet resources and linked to research by Thierry Zoller on
detection bypass of Kaspersky Lab products when processing PDF files (the article is known as [TZO-30-2009] Kaspersky PDF evasion).

Kaspersky Lab experts have analyzed the published material and concluded that in this case it cannot be described as a vulnerability in the conventional
sense of the word. The issue discovered by Mr. Zoller relates to a bypass of antivirus solutions and does not cause our products to crash or allow code
infection into our engine.

The researcher’s proof-of-concept (PoC) makes use of specific characteristics used by Kaspersky Lab products during PDF format processing.

Bypassing antivirus detection is the top priority for the creators of malware; every day the antivirus industry detects dozens of new malicious programs
using various bypass methods.
An industry partner sent the PoC sample to us for analysis. It was added to our antivirus databases and detection for it was released in the next update.
This is the standard response to such developments.
Contrary to some false reports this procedure was not a 'silent patch', but just a regular signature update. Please note that we usually inform the
public when patches are released, and there are no plans to release 'silent patches' at any time.

Kaspersky Lab states that no malware using this bypass method has been recorded. Moreover, malicious PDF files cannot by themselves affect users’
computers, because they can only be used as a “container” for other malicious programs, which can be detected and neutralized separately by a wide range of Kaspersky Lab technologies (e.g., Proactive Defense Module, HIPS, heuristic analysis, etc.). 'Kaspersky Lab will continue to implement appropriate measures to protect against threats to provide optimal protection for our customers.

We would like to thank Mr. Zoller for addressing this issue. In general we welcome any reports of vulnerabilities or security problems, which should be
send to vulnerability@kaspersky.com, rather than to the company’s local offices, where no product development is carried out.

Kaspersky Lab wants to reiterate that it embraces the principles of openness and collaboration with independent researchers in a wide range of areas, and
is always quick to provide comprehensive information about any vulnerabilities that are discovered.

Creo que han modificado las detecciones genéricas para cubrir estos casos.

Saludos

This post has been edited by Caos: 8.07.2009 11:17

[kikesan]

Aquí en español (con un poco de ayuda de Google y corregisdo por mí ):

Kaspersky Lab responde a las cuestiones relacionadas con el procesamiento de archivos PDF de los productos de la empresa

La siguiente es una respuesta de Kaspersky Lab a la información publicada en varios recursos de Internet y vinculados a la investigación de Thierry Zoller en evasión de detección de productos de Kaspersky Lab en el tratamiento de archivos PDF (el artículo es conocido como [TZO-30-2009] Kaspersky PDF evasión).

Los experts de Kaspersky Lab han analizado el material publicado y llegó a la conclusión de que, en este caso no puede ser descrita como una vulnerabilidad en el convencional sentido de la palabra. El problema descubierto por el Sr. Zoller se refiere a una evasión de soluciones antivirus y no causa que nuestros productos o se bloquee o permite la inyección de código a nuestro motor.

La prueba de concepto (PoC) del investigador hace uso de características específicas utilizadas por los productos Kaspersky Lab en el procesamiento de archivos en formato PDF.

Eludir la detección antivirus es la máxima prioridad para los creadores de malware, cada día, la industria del antivirus detecta decenas de nuevos programas maliciosos utilizando diversos métodos evasión.

Un asociado de la industria envió la Prueba de Concepto que nos muestra para el análisis. Se añadió a nuestra bases de datos y la detección de antivirus para que se dio a conocer en la próxima actualización.
Esta es la respuesta a tales acontecimientos.
Contrariamente a algunos informes falsos de este procedimiento no es un «parche silencioso», sino una actualización regular de la firma. Tenga en cuenta que suele informar al público cuando se liberan los parches, y no hay planes para la liberación 'silenciosa de parches' en cualquier momento.

Kaspersky Lab dice que ningún malware utilizando el método se ha registrado. Además, los archivos PDF malicioso por sí mismos no pueden afectar a los usuarios o computadoras, ya que sólo se puede utilizar como un "contenedor" para otros programas maliciosos, que puede ser detectado y neutralizado por separado por una amplia gama de tecnologías de Kaspersky Lab (por ejemplo, el módulo de defensa proactiva, HIPS, análisis heurístico, etc.) "Kaspersky Lab seguirá aplicando las medidas apropiadas para proteger contra las amenazas a proporcionar una protección óptima para nuestros clientes.

Nos gustaría dar las gracias al Sr. Zoller para abordar esta cuestión. En general acogemos con beneplácito los informes de vulnerabilidades o problemas de seguridad, que debe ser enviado a vulnerability@kaspersky.com, en lugar de a las oficinas locales de la empresa, donde el desarrollo de productos no se lleva a cabo.

Kaspersky Lab quiere reiterar que abraza los principios de apertura y colaboración con investigadores independientes en una amplia gama de áreas, y
es siempre rápido para proporcionar una información completa acerca de cualquier vulnerabilidad que se descubrió.

[F4RR3LL19]

ok, gracias.

que bien que ya esta solucinado....!!!!

[devasteitor]

instale ahora el 9.0.0.463 me parece va mejor que la 9.0.0.459 .. pero tengo esta duda al instalarle un skins me aparece dos opciones mas de rootkits, y sin el skins esas opciones no estan por defecto.. por que eso?

[kikesan]

Hola,

Porque el skin activa algunas opciones que están más escondidas de Kaspersky.
Lo que no sabría decirte es si esos escaneos son los mismos que aparecen en las opciones como "Búsqueda de procesos ocultos" y "Escaneo avanzado" o se refieren a las ubicaciones donde se realiza la búsqueda.

Saludos.

[Caos]

Hola,

Son modificaciones del skin, para mostrar opciones de manera mas visible, siguen siendo las opciones que tiene Kaspersky pero mostradas mas directamente a gusto del creador del skin.

Me imagino que es el Friday 2.

Saludos

[devasteitor]

Hola,

Porque el skin activa algunas opciones que están más escondidas de Kaspersky.
Lo que no sabría decirte es si esos escaneos son los mismos que aparecen en las opciones como "Búsqueda de procesos ocultos" y "Escaneo avanzado" o se refieren a las ubicaciones donde se realiza la búsqueda.

Saludos.

ok entiendo.. gracias.

Hola,

Son modificaciones del skin, para mostrar opciones de manera mas visible, siguen siendo las opciones que tiene Kaspersky pero mostradas mas directamente a gusto del creador del skin.

Me imagino que es el Friday 2.

Saludos

si muy bueno estan los skins.. si ese era el Friday 2, pero ahora le puse el de space muy bueno tambien..

gracias por la explicacion.

[rydem_mail]

ok entiendo.. gracias.
si muy bueno estan los skins.. si ese era el Friday 2, pero ahora le puse el de space muy bueno tambien..

gracias por la explicacion.

Destacar de la versión 463, que no me ha provocado ningún Blue Screen , ni el error que me borraba los textos de todas las ventanas, que me pasó con la 459.

Tengo una duda sobre estas nuevas versiones, he notado, que de forma automática se ejecutan algunas tareas de escaneos de Quick Rootkits Scan, me refiero a que se ejecutan solas, sin mi consentimiento, es normal eso, se puede cambiar este modo automático que tiene de hacerlo???

Logs, destacar que nunca he ejecutado las tareas referentes a Rootkit Scan, ni Quick ni Full, adjunto fotos:
 Quick_Rootkits_Scan.JPG ( 118.76K ) Number of downloads: 8


Configuración de Quick Rootkits Scan:
 Quick_Rootkits_Scan_Setting.JPG ( 69.09K ) Number of downloads: 13


This post has been edited by rydem_mail: 10.07.2009 19:53

[kikesan]

Destacar que en la versión 459 no veo el apartado para Quick Rootkit Scan en la versión en español, alguien más me lo puede confirmar?

Saludos.

[rydem_mail]

Destacar que en la versión 459 no veo el apartado para Quick Rootkit Scan en la versión en español, alguien más me lo puede confirmar?

Saludos.

No sale en el skin por defecto, tienes que instalar el skin friday 2.

[kikesan]

Gracias rydem_mail por la aclaración.

Saludos.