Security Plus 4.02 "后门" 修复方法

Hokings

关于Security Plus 4.02的“后门”问题，最先由yon发现，但没有引起大家的重视。
原帖链接：SecurityPlus v4.02 http://bbs.5dmail.net/thread-181740-1-1.html

后来由wxhsh再次提出，才引起大家的注意。
原帖链接：Security Plus4.X慎升，有后门！http://bbs.5dmail.net/thread-182192-1-5.html

wxhsh提出的解决方法如下，但在我这里测试无效。
原帖链接：security plus 4后门修复讨论 http://bbs.5dmail.net/thread-182543-1-2.html

昨晚刚好有点空，研究了一下，经过对注册表和硬盘文件变动的监视，发现是C:\Documents and Settings\All Users\Application Data\Kaspersky\SDK 目录下storage.dat在搞鬼！（注：此目录为隐藏目录，需在文件夹查看中开启“显示所有文件和文件夹”选项）把此文件删除后，重启Mdaemon服务，Security Plus 就可以正常升级了。

附：重现Security Plus“后门”的方法
把系统时间往前调4年，变更Security Plus注册码，再把系统时间调回来。。。反复几次，会出现CFEngine.exe出错信息，此时升级界面下就会提示
此时无论你卸载/重装Security Plus/变更注册码，都会提示“无效的密匙文件”，无法升级。

请大家测试，并告知结果。

[ 本帖最后由 Hokings 于 2009-5-6 14:46 编辑 ]

Hokings

wxhsh真是个勤快的好同学。

另外，请查看附图，这个地方估计也有猫腻。在AV Updater - Configure updater - Update URLS 里只有3条Kaspersky的升级网址，但打开SP安装目录下的AntiVirus.ini文件，里面却有11条网址。请注意第11条，建议把此URL删除。

Hokings

原帖由 wxhsh 于 2009-5-6 16:48 发表
这个倒不必过分紧张，旧版SP取这里的值，新版更新服务器地址之类的存储在avupdater.xml里了。

你把avupdater.xml里面的3个URL都删除，SP照样可以升级。

Hokings

删除storage.dat后，是否重启Mdaemon服务之后再进行升级？
（运行services.msc，找到MDaemon服务，重启）

[ 本帖最后由 Hokings 于 2009-5-7 10:19 编辑 ]

Hokings

我没有测试较低版本的SP，你装SP 4.02试试看，装好后把storage.dat删除，然后重启MD服务，然后联网升级。。。只要SP LOG里面没有提示“无效的密匙文件”，就算成功。

Hokings

先把storage.dat删除后，再安装SP 4.02，应该就不会有CFEngine.exe出错信息了。