Virus 版 (精华区)

发信人: tcpip (偶的昵称改了), 信区: Virus
标  题: 诺顿反病毒软件后门洞开
发信站: 紫 丁 香 (Wed Dec 29 12:19:04 1999) WWW-POST

诺顿反病毒软件后门洞开

------------------------------------------------------------------------------
--

http://www.sina.com.cn 1999/12/29 01:19 ChinaByte

　　ChinaByte综合消息：在计算机病毒尤其是电子邮件病毒日益猖獗的今天，反病毒软
件已经成为我们所依赖的一道重要屏障。可是近日美国媒体纷纷报道，著名反病毒软件公
司赛门铁克研制的“诺顿反病毒2000"软件被发现存在严重的设计缺陷，不仅查不了病毒
，反而让它们长驱直入。这个消息实在是让众多诺顿反病毒软件的用户不寒而栗。

　　据介绍，“诺顿反病毒2000"软件（视窗版）为实现实时扫描电子邮件病毒的功能，
占用了一个TCP／IP端口，在此设置了一个虚拟的邮局协议（即POP协议）服务器。当电脑
用户下载电子邮件时，这个虚拟服务器将起到代理服务器的作用，在用户的电脑和网络服
务商的真实POP服务器之间充当屏障，使“诺顿反病毒2000"有时间来对下载过程中的电子
邮件进行扫描。

　　但不幸的是，这种开放TCP／IP端口的设计存在两个方面的问题。一是它让用户的电
脑在互联网上彻底暴露，实际上等于是向黑客发出攻击邀请。专家指出，黑客寻找攻击目
标就是从扫描IP地址开始的，一旦他们发现了POP服务器，就会试探着攻击。二是在这个
端口（110端口）上运行的应用软件可能被黑客用来作为攻击的入点。KeyLabs公司的研究
人员经过实验，发现“诺顿反病毒2000"设计的代理服务器存在许多与“缓存溢出”有关
的缺陷，这就是说，只要通过远程登录程序（telnet）的USER命令向服务器发送长度超过
256个字节的字符串，就可以成功突破反病毒程序的防线。更值得注意的是，研究人员有
一次在暂停“诺顿反病毒2000"的电子邮件扫描功能之后，向110端口的代理服务器发送一
连串远程登录缓存溢出命令便轻而易举地使一台运行视窗98第二版的主机陷于瘫痪。

　　专家建议使用赛门铁克公司这个软件的用户通过下述方法关闭其扫描电子邮件病毒的
功能：1）点击“开始”菜单，运行“诺顿反病毒2000"软件。2）点击“选项”，去掉“
启动电子邮件保护”选项前的对勾。3）点击“确定”关闭“ 诺顿反病毒2000"。经过上
述处理，代理服务器和110端口被关闭。如果要扫描收到的电子邮件，可将它们存储到一
个临时目录当中，再启动“诺顿反病毒2000"进行扫描。但是，这个方法对那些能够自动
发作的电子邮件病毒（如“泡沫男孩”）不起作用。

--
"这一千多年没写诗了?"
"写了, 不过只写了两句."
"千年得两句, 一定是万古丽句了. 念来听听."
"好吧, 我现丑了" 太白星清了清嗓子, 浑厚的男中音在天庭响起:
大海啊, 都是水;
骏马啊, 四条腿;

※ 来源:·紫 丁 香 bbs.hit.edu.cn·[FROM: 202.118.239.10]