瑞星避NTFS权限漏洞(0DAY)

烽火ㄨ飞狐

瑞星等杀软在处理NTFS分区有特殊权限的文件时会避开检查，或者直接跳过，导致任何病毒都可以躲避杀毒软件的检查。目前已知卡巴斯基的内存查杀不存在这种漏洞，但其文件扫描会直接跳过文件。瑞星的内存查杀和文件扫描则全部失效，其余大多数杀软亦未能幸免。

漏洞利用：在NTFS格式的磁盘上任意目录放置文件，（以IRC木马yulihubotserver.exe为例，该木马被瑞星查杀），在命令行中执行命令cacls yulihubotserver.exe /P SYSTEM:F,或在图形界面下查看并更改属性为仅对系统帐户有权限，即可避开杀软检查。文件扫描信息为：已检查0文件。被设置此权限的文件若未被改回权限则无法直接手动删除。

文件被设置特殊权限以后，只有SYSTEM权限可以访问，可使用计划任务(AT命令，用户界面下默认权限为当前用户)或者注册系统服务的方法达到系统帐户权限使之启动（默认为后台启动），可躲过多数杀软的内存检查。

解决方法：暂无。