anti-spy：一个卡巴斯基安全套装的模块名称，用于拦截相关的反间谍活动。这个组件在卡巴7中改名为：Privacy Control(隐私控制);卡巴6中为Anti-spy(反间谍),为了阐述方便，文章中所提到的anti-spy都特指卡巴7的Privacy Control或卡巴6的Anti-spy模块。

本文的目标读者:使用卡巴斯基安全套装的用户
漏洞的影响:导致无法解析dns
严重等级个人用户:低/服务器用户：高
建议:等待卡巴官方的解释和补丁

关闭卡巴斯基自带的anti-spy组件,警告:此方法仅适用于临时对策,这将导致您丧失对于反间谍的相关功能.

卡巴斯基 6 工作站版
卡巴斯基 7 安全套装截至2007年06月30日前发布的所有版本.

卡巴斯基 1-5版本
卡巴斯基 6 安全套装
卡巴斯基 6 个人版
卡巴斯基 7 个人版
以及,没有选择anti-spy组件安装的卡巴斯基安全套装版本
以及其他未在受影响的程序列表中存在的卡巴斯基产品的kis/kav版本

卡巴斯基在6工作站版和7版本中使用了新的网络拦截技术,称之为Kaspersky Anti-Virus NDIS Filter,由于anti-spy的某些错误的设计,导致dns服务器被屏蔽,出现无法连接DNS的现象,从而导致断网.

这个漏洞是否让我永远无法上网?
不是的,这个漏洞是偶然性的,并非每次都发生.可能很久,也可能经常性.这个与本地环境有关.从我i个人的测试的结果看2000的系统出问题的几率低于xp系统。

有时候打开网页会显示无法连接，但刷新1次或几次就可以了，不知道是否是因为这个BUG
从技术上看,不属于这个bug的影响,当然,卡巴斯基在防火墙模块的确有临时中断网页浏览的情况发生.(主要是卡巴的资源机制作的不好,导致中断,这个在本文的详细的技术细节中会提到.)当然也不是全都是卡巴的关系,其他的原因也会如此(例如对方服务器繁忙等.)

曾经偶然遇到无法登陆网络，但是重新启动路由器后正常，这个属于此bug的影响范围么？
如果您确信您的路由器没有故障，那么属于此bug的影响范围内。
路由器的复位可以导致网卡重置，由于Kaspersky Anti-Virus NDIS Filter属于驱动，所以，网卡的重置可以复位Kaspersky Anti-Virus NDIS Filter。也就可以恢复网络,所以，是这个bug的原因。

如何知道我受了这个漏洞的影响?
你可以把qq打开,当漏洞出现的时候,您的qq会显示离线状态,并不断的尝试登陆.但是却无法连接服务器.
于此同时,您的ie将打不开新的页面.
另外,在命令提示符下,您无法通过ping xxx.xxx.xxx.xxx的方式ping通您所在的dns地址.

对于这个漏洞,卡巴官方有解释么?
目前没有.但已经向卡巴斯基中国部反映。

这个漏洞会导致我的资料丢失或被外界攻击么？
从目前的情况分析，不会。

如果我不想关闭anti-spy，又被这个漏洞困扰怎么办？
您可以打开卡巴斯基的主界面，在右侧找到anti-spy（反间谍）模块，关闭这个模块，注意不是暂停。然后在弹出来的对话框中选择 是（yes）
之后，再启用anti-spy（反间谍）模块

我是服务器的用户，是否对此有损失？
卡巴斯基对于服务器用户有专用的服务器版本，卡巴斯基服务器版本不在此漏洞涉及范围内。
通过修改msi安装包安装kis的用户可能会产生影响，但是这是违反软件的反破解条约在先，造成的损失不受法律保护。

你说的Kaspersky Anti-Virus NDIS Filter到底是什么？
Kaspersky Anti-Virus NDIS Filter从名字上看就可以知道是一个Filter（筛子），就好像一条河流中的大坝，由他挑选那些河水中的鱼可以过去，那些鱼不能过去。

Kaspersky Anti-Virus NDIS Filter属于双向拦截。他的位置抽象的说是这样的。

外部流量<------>Kaspersky Anti-Virus NDIS Filter<---->本机。

当Kaspersky Anti-Virus NDIS Filter工作的时候，所有的流量都将经过他的筛选（不论进出）。

但是，如果Kaspersky Anti-Virus NDIS Filter出了问题（例如卡住了/程序死掉了），那么和断网是一个概念。

这也是导致了个别用户觉得卡巴7比较卡网的原因，

当然，如果您的电脑配置比较好，那就会觉得快与卡巴6，因为这种基于中间件拦截的技术处理比较快，而且拦截比较完美。

官方对于此组件的解释为：http://support.kaspersky.com/faq/?qid=208279317

出错的模块：
anti-spy模块

概述：anti-spy模块的某些设计上的失误导致了错误的把DNS服务器当成了有害的地址而屏蔽。但是，anti-spy的日志中却并没有记录此次的拦截，导致了问题变得难以察觉。

这次的漏洞属于设计上的漏洞，不涉及安全问题，但是暴露了anti-spy和新的拦截方式：Kaspersky Anti-Virus NDIS Filter之间的兼容性问题。

在关闭了anti-spy的同时，会导致Kaspersky Anti-Virus NDIS Filter的复位，从而出现短时间的断网并在1秒后恢复，这也是设计上需要修正的问题。

同时影响到的还有Kaspersky Anti-Virus NDIS Filter的流量问题，由于Kaspersky Anti-Virus NDIS Filter的实现原理的约束，如果Kaspersky Anti-Virus NDIS Filter的执行效率出现问题，可能导致所有的网络资源无法得到有效利用，成为效率瓶颈。

但是Kaspersky Anti-Virus NDIS Filter的效率是取决于位于ring3的kav模块来完成的，最突出的现象就是当cpu100%的时候持续3秒，就会出现断网，直到cpu<90%.
这种设计在提高了拦截的可靠性的同时，对于用户的gui程序的运行效率提出了很高的要求，至少现在还不适合中国大陆的现有计算机民情。

此公告只是为了表示其漏洞的存在性质,alexblair不作任何明示或暗示保证，包括对适销性和针对特定目的的适用性的保证。

alexblair不对任何损害（包括直接的、间接的、偶然的、必然的损害，商业利润损失，或特殊损害）承担任何责任，即使使用者事先已被告知有可能发生此类损害。

开发商有权对此漏洞进行进一步的审核和发布相关的预警/修补措施,但是,此措施不应由alexblair本人完成.

如果内容与开发商的官方公告有出入,开发商之后的预警公告将覆盖本公告的内容,但是,开发商未提到的内容依旧有效.

开发商在得到这个信息的同时,将挽回一定的损失(设计上的/经济上的),但是无需对alexblair支付费用.其他个人或实体也不得对开发商索取相关费用,开发商也应该主动拒绝相关的要求.

对于转载的内容,alexblair个人不能保障其完整性和正确性质,一切以本文的原文为依据.任何因为转载不全而导致的(直接的/间接的)理解偏差和相关损失,alexblair和卡饭论坛不承担任何责任。

转载时，请原文转载，并注明出处！对于转载不全而导致的理解偏差和相关损失，本人和卡饭论坛不承担任何责任。

具体内容看这个，俄文和英文我都不行，希望通过卡巴斯基中国反映这个bug。
有什么对于这个测试的疑惑可以通过我的邮箱交流。
最近期末考试，如有回答延时敬请谅解。

http://bbs.kafan.cn/viewthread.php?tid=102950&extra=page%3D1
希望卡巴7能够做的更好。

另：这个bug不定期出现，并非每次都有，而且没有日志内容，希望各位工程师耐心测试，不同环境下测试的结果会有不同。
我在2000上测试的结果好于xp
======================测试环境=======================
Os+drivers+kis only
Windows xp sp2 (all hot-fix)
Windows 2000 sp4 (all hot-fix)
Ie 6 (all hot-fix)

------alexblair(卡饭论坛安全区斑竹)