360后门事件
瑞星诬告360安全卫士有“后门”2月2日,瑞星向媒体和用户通发新闻,造谣说360软件有后门,恶意诋毁中伤360品牌。对此,360安全中心发表严正声明:免费的360杀毒自去年10月20日推出以来,市场份额快速上升,短短几个月超越瑞星,成为市场第一,从而招致瑞星打击报复。对瑞星这种公然造谣的行径,360将坚决提起诉讼。
被瑞星造谣为后门的360程序,是一个执行Anti-Rootkit功能的驱动程序,它的作用是强力检测和清除木马、病毒,让使用内核技术的木马(Rootkit)无处隐藏。这是一种在国际上比较流行的杀毒技术,在卡巴斯基、Avast、趋势、Bitdefender等安全软件中都有相应的模块。瑞星公司造谣指认Anti-Rootkit功能的驱动程序为后门,是对网民的欺骗。瑞星公司不能正确使用这项技术,是瑞星杀毒软件查杀能力较弱的原因之一。
360旗下的360安全卫士、360杀毒等产品均已经过公安部严格检测,是国家许可发行的合法安全软件。而瑞星谣言中使用的所谓后门之说,在我国《刑法》中被定义为恶意的破坏性程序,任何制作、传播后门程序的行为都是违反法律的。而瑞星造谣360软件有后门,是毫无根据的、性质极为恶劣的诽谤诋毁。
根据艾瑞咨询公司的最新数据测算,360杀毒的总用户数已从3个月前的1000万跃升至目前的1.3亿,用户覆盖率从8%升至33%以上。而在此期间,瑞星杀毒的市场份额持续下降,已跌至目前的30%以下。与此同时,经第三方机构权威测评,360杀毒产品在病毒检出率、系统资源占用、查杀速度、误杀率等各项指标上均名列前茅,遥遥领选于瑞星杀毒。
360安全中心郑重承诺:360旗下系列安全软件的用户数已超过3亿,所有产品绝不会侵犯用户隐私,欢迎广大网民监督。对于瑞星公司这种丧失道德底线的恶性竞争,我们再次表示最强烈的谴责,并将坚决采取法律手段保护自己的合法权益。
瑞星所谓的技术细节360安全卫士后门程序涉及的主要文件是:在安装进入系统时自带的驱动文件bregdrv.sys、bfsdrv.sys,以及对这两个驱动文件调用的动态链接库
bregdll.dll、bfsdll.dll。
bregdrv.sys:360内核模式驱动,该驱动程序通过调用操作系统的未公开CmXxx系列函数来操作注册表,另外由于操作系统内部本身维护了很多同步数据、缓存数据,直接调用CmXxx系列函数操作注册表极有可能造成系统内部数据不同步,严重影响系统安全性,甚至可能导致用户正常数据丢失;
bregdll.dll:用户态动态库,该动态库封装了对bregdrv.sys的调用,为用户态程序提供注册表操作后门的接口;该动态库仿照Windows操作系统API接口(加B作为前缀)导出了如下注册表操作函数,但与WindowsAPI不同的是,bregdll.dll导出的函数在实现上绕过了操作系统的所有安全检查,直接调用极为低层的未公开CmXxx系列函数实现:
1.BRegCloseKey
2.BRegCreateKey
3.BRegCreateKeyEx4.BRegCreateKeyExW
5.BRegCreateKeyW 6.BRegDeleteKey7.BRegDeleteKeyW8.BRegDeleteValue
9.BRegDeleteValueW 10.BRegEnumKey11.BRegEnumKeyEx12.BRegEnumKeyExW
13.BRegEnumKeyW 14.BRegEnumValue15.BRegEnumValueW16.BRegOpenKey
17.BRegOpenKeyEx 18.BRegOpenKeyExW19.BRegOpenKeyW20.BRegQueryValueEx
21.BRegQueryValueExW22.BRegSetValueEx23.BRegSetValueExW
bfsdrv.sys,该驱动程序通过直接向文件系统发送I/O请求包(IRP)来实现文件操作,这种方式可以绕过基于过滤驱动的文件监控(包括卡巴斯基、诺顿等安全软件)。由于该程序没有对调用者进行检查,导致可以被任意程序(如各种木马程序等)利用达到修改、删除用户正常文件的目的。
bfsdll.dll:用户态动态库,该动态库封装了对bfsdrv.sys的调用,为用户态程序提供文件操作后门的接口;该动态库仿照Windows操作系统API接口(加FS或Bfs作为前缀)导出了如下文件操作函数,但与WindowsAPI不同的是,bfsdll.dll导出的函数在实现上绕过了所有文件系统上层的过滤驱动,直接向文件系统发送I/O请求包实现:
1.BfsMoveFileExW 2.FSCloseHandle3.FSCopyFile4.FSCopyFileW
5.FSCreateFile 6.FSCreateFileW7.FSDeleteFile8.FSDeleteFileW
9.FSFindClose10.FSFindFirstFile11.FSFindFirstFileW 12.FSFindNextFile
13.FSFindNextFileW14.FSGetFileAttributes15.FSGetFileAttributesEx
16.FSGetFileAttributesExW17.FSGetFileAttributesW18.FSGetFileSize
19.FSGetFileSizeEx20.FSGetLongPathName21.FSGetLongPathNameW
22.FSGetShortPathName23.FSGetShortPathNameW24.FSPathFileExists
25.FSPathFileExistsW26.FSPathIsDirectory27.FSPathIsDirectoryW
28.FSReadFile 29.FSSearchPath30.FSSearchPathW31.FSSetFileAttributes
32.FSSetFileAttributesW33.FSSetFilePointer34.FSSetFilePointerEx 35.FSWriteFile上述API均通过DeviceIoControl/NtDeviceIoControlFile来调用驱动提供的不同文件操作功能,这些操
作均会绕过基于过滤驱动的文件监控。
360安全卫士没有遵循正常的操作系统安全机制,却直接绕开了系统安全检查机制。其不仅具有“后门”功能,而且该程序存在重大安全隐患,利用此程序不需要任何身份认证,可轻易被黑客利用窥视用户隐私、读取、修改或删除用户电脑中的所有文件和注册表信息。
例如,任意普通用户可以在低权限的情况下实现删除系统安装的安全软件,隐藏自己的恶意程序。而通过bregdrv.sys对注册表的操作,可以利用其在系统底层任意操作注册表的权限,达到更多的目的,如:
通过修改注册表存储的用户信息,将guest用户激活并克隆成管理员,但是在系统表面看来,guest用户仍然是被禁用的。
通过修改注册表实现映像劫持,将sethc.exe(系统粘滞键功能)替换成cmd.exe,这样就可以实现在登录界面上按5下shift键直接呼出一个系统权限的cmdshell窗口,执行任意指令。
360发声明称将起诉瑞星简述2010年2月3日下午,瑞星公布了360安全卫士“后门”技术细节,请奇虎360尽快停止安装“后门”,停止侵害用户权益的行为。对此,360向媒体发送了“紧急提醒”,称瑞星公布后门技术已经涉嫌触犯刑法,将就此正式起诉瑞星。声明全文各位尊敬的媒体朋友:
瑞星这几天接连发布攻击360的文章,已远远超出正常口水战的分寸和尺度,不但公然捏造所谓360“后门”的技术细节,而且竟然公开发布针对360的攻击代码,这种做法已直接触犯刑法,别说安全厂商,连大多数黑客都不敢这么做。
在安全行业,公布攻击代码相当于传播病毒,刑法将这种行为定义为“提供专门用于侵入、非法控制计算机信息系统的程序”。在瑞星之前,即便是黑客和木马团伙,也很少有人敢在国内网站上以正式身份公布攻击代码。瑞星作为一家安全厂商,为了打击对手,竟然公然在自己官网和其它媒体上公布攻击代码,这种行为相当于号召黑客和木马犯罪团伙对360发动一场联合攻击,不但已触犯刑法,而且完全置近3亿网民(其中有几千万同时也是瑞星自己的用户)的安危于不顾!这在全世界范围内尚无先例,已完全超出正常人的理智。
我们对瑞星这种完全不计后果的做法感到十分震惊和错愕,为此将于今天正式向法院起诉,并向公安机关报案。目前此事已不再是简单的口水战,发展下去后果难测,希望媒体朋友们不要再发表瑞星的稿件,以免卷进不必要的麻烦,已经发布攻击代码和所谓“后门”细节等稿件的媒体,也请尽快撤除。
360告瑞星索赔100万,瑞星称不怕简介2010年2月9日,奇虎360称,360安全卫士通过了国家信息安全产品测评,测试中没有发现360安全卫士有“后门”,也没有发现360安全卫士有漏洞。
据奇虎方面介绍,奇虎360已就瑞星公司的恶意诽谤行为向北京西城区人民法院提起诉讼,并就瑞星散布攻击代码、诱发大批黑客攻击网民的行为向公安机关报案。而瑞星公司相关人员则表示,截至2月9日,瑞星尚未接到来自法院的任何文件,该人士表示,瑞星发现360安全卫士存在“后门”,并对相关证据进行了公证,瑞星不害怕打官司。
业内人士分析认为,瑞星与奇虎的口水仗不仅是杀毒软件市场免费与收费之争,更是软件用户之争。奇虎:瑞星是在诽谤昨日,360安全专家石晓虹介绍说,由中国信息安全测评中心出具的安全测评报告结果表明,360安全卫士通过了Anti-Rootkit及其他漏洞和用户隐私泄露的脆弱性评估测试,测试中没有发现有漏洞,也没有发现360安全卫士会泄露用户的隐私。
据了解,中国信息安全评测中心是我国专门从事信息技术安全测试和风险评估的权威职能机构,主要职能包括负责信息技术产品和系统的安全漏洞分析与信息通报等。
然而,这份检验结果却与这场口水仗的另一主角瑞星此前的说法大相径庭。
2010年2月2日,瑞星发布公告称,发现360安全卫士在安装进用户电脑时,会偷偷开设“后门”。
瑞星方面相关人士解释称,“后门”是软件编写人员故意放入的,正常软件不会编写放置“后门”,作为用户安全保护者的安全软件更不能有任何“后门”,只有黑客程序才会出于不正当的目的,为窃取用户信息加入“后门”。
对此,奇虎方面回应称,被瑞星称为“后门”的驱动程序Anti-Rootkit是国际上比较流行的杀毒技术,在国外多款著名杀毒软件上都有相应模块,它的作用是强力检测和清除木马、病毒,让使用内核技术的木马无处隐藏。瑞星:不害怕打官司据奇虎方面介绍,奇虎360已就瑞星公司的恶意诽谤行为向北京西城区人民法院提起诉讼,并就瑞星散布攻击代码、诱发大批黑客攻击网民的行为向公安机关报案。
2010年2月9日,瑞星公司相关人员对记者表示,截至2月9日,瑞星尚未接到来自法院的任何文件。
不过,据一位知情人士透露,奇虎已经将北京艺进娱辉科技投资公司(2008年6月,北京瑞星科技股份有限公司更名为北京艺进娱辉科技投资股份有限公司,法定代表人仍是瑞星董事长王莘)和北京瑞星信息技术公司诉至法院,要求对方赔礼道歉、赔偿经济损失100万元和精神损失1元。
针对奇虎的起诉,瑞星公司工作人员在接受媒体采访时表示,截至目前尚未收到相关文件。同时,他表示,瑞星公司作为信息安全厂商,有责任公布360安全卫士开设 “后门”一事,因为“后门”事件涉及社会网络安全问题。
面对媒体质疑,该人士表示,瑞星发现这款软件存在“后门”,并对相关证据进行了公证,瑞星不害怕打官司,并对所发布的技术报告承担所有法律责任。都是免费惹的祸实际上,瑞星与奇虎的“口水仗”从奇虎宣布软件免费时就开始上演。在业内人士看来,瑞星与奇虎的口水仗不仅是杀毒软件市场免费与收费之争,更是软件用户之争。
第三方数据显示,截至2009年底,360安全卫士的市场份额已超过72.8%,用户超过2.1亿。有消息人士称,360安全卫士已超越瑞星占据国内市场份额第一的宝座。
一位不愿意透露姓名的业内人士认为,瑞星与奇虎的竞争代表着传统收费与互联网免费两种理念的交锋,“免费模式无疑更容易博得用户眼球,同时也触动了收费者的蛋糕。”
此前,瑞星等多家传统杀毒软件厂商曾表示,由于软件安全产品投入巨大,每年投入的研发服务费用高达数亿,免费模式根本无法支撑这种投入。
对此,奇虎高层齐向东却认为,杀毒早已是互联网的基础服务之一,应该免费向使用者提供。在形成大规模的用户群体后,只要提供一点增值服务,即可实现盈利。
中国信息安全测评中心测评360针对最近网上流传的360安全卫士存在“后门”的传言,中国信息安全测评中心20
10年02月09日出具测评报告表明:经过严格的技术审查和安全性测试,“360安全卫士客户端 V6.1.5.1010”通过了国家信息安全产品测评,获得了国家信息安全测评EAL2级证书。测试过程没有发现“360安全卫士客户端 V6.1.5.1010”有“后门”,也没有发现“360安全卫士客户端 V6.1.5.1010”有漏洞。
中国信息安全测评中心是我国专门从事信息技术安全测试和风险评估的权威职能机构。依据中央授权,测评中心的主要职能包括:负责信息技术产品和系统的安全漏洞分析与信息通报;负责党政机关信息网络、重要信息系统的安全风险评估;开展信息技术产品、系统和工程建设的安全性测试与评估等。自1997年创立以来,测评中心依照国家法律法规,在信息安全领域为国家提供技术保障,向社会提供公共服务。
中国信息安全评测中心检测结果表明:“360安全卫士客户端 V6.1.5.1010”通过了Anti-rootkit及其他漏洞和用户隐私泄露的脆弱性评估测试,结果没有发现漏洞,也没有发现泄露用户隐私。该测试结果表明,“360安全卫士客户端 V6.1.5.1010”并没有发现有“后门”。
此前,著名反病毒专家、国家863计划“计算机实时防护技术”课题组组长刘旭,在分析了网上流传的截图和代码后也表示,所谓的360“后门”并不存在。 对于网上有人“捏造”所谓“360后门”的谣言,奇虎360公司总裁齐向东认为,这是一种以伤害网民为代价的不正当竞争行为。作为一种永久免费的互联网安全产品,360系列软件一经推出就得到了广大互联网用户的欢迎。“尊重用户的知情权、选择权,和保护用户的隐私权,这是360公司一直坚持的商业准则。”
360诉瑞星不正当竞争案开庭7月1日消息,今日奇虎360诉瑞星不正当竞争案开庭,奇虎360要求瑞星赔偿经济损失980万元。 据了解,今年2月瑞星指出360软件留有“后门”,奇虎360认为瑞星是恶意诽谤,并指出被瑞星造谣有“后门”的360程序,实际上是一种高端的反木马侦测、清除与修复技术(Anti-rootkit)。“漏洞”与“后门”是完全两个不同的概念,但瑞星故意将两者混淆。
奇虎360就瑞星指出360软件留有“后门”一事向北京西城区人民法院提起诉讼,要求瑞星赔偿经济损失880万元,并向北京市公安机关报案。
今日奇虎诉瑞星不正当竞争案在北京开庭。奇虎360要求瑞星与北京艺进娱辉科技投资股份有限公司停止对原告的不正当竞争行为;并在中央电视台、北京青年报、北京晚报等媒体上公开澄清事实、赔礼道歉;并共同赔偿原告经济损失980万元,精神损失1元。
对此,瑞星方面给予反驳,称奇虎360宣称旗下的360品牌和360安全卫士产品在界内享有较高的知名度和美誉度的内容缺乏事实证据,并指出现有证据无法证明原告就360安全卫士全部软件产品均合法取得过公安部核发的检测合格证书与销售许可证。
瑞星指出,针对奇虎品牌的上述版本360安全卫士软件给予“安全隐患”揭露,没有具体指向奇虎360。瑞星不存在《反不正当竞争法》规定的“捏造、散步虚伪事实”的行为和言论;
瑞星称,迄今为止奇虎360早已享有了较高的商誉,且其软件系免费下载,无任何客观、实际经济损失。
据悉,奇虎诉瑞星不正当竞争案正在当庭审理,奇虎与瑞星双方还在激烈辩论,案例暂未宣判。