Перейти к содержанию

Recommended Posts

Ummitium

Для того чтобы не влиять на скорость загрузки системы и приложений в автозагрузке, многие антивирусы запускают защиту в последнюю очередь и не ведут контроль за работой приложений во время загрузки рабочего стола и программ из списка автозапуска.

Исследуя поведение антивирусной защиты нескольких популярных антивирусов при старте системы, обнаружил возможность беспрепятственного запуска даже уже детектируемого вируса, минуя антивирусные сканеры, проактивку и прочие навороты.

Так к примеру NAV/NIS 2012, DrWeb 6.0, KAV/KIS2012 не смогут пресечь запуск детектируемого образца MBR патчера, если он был запакован/зашифрован неизвестным методом, а безобидная утилита прописала в автозагрузку процедуру его распаковки/расшифровки и запуска, не забыв при этом форсированно перезапустить систему.

Естественно, те, кто не работают под админом, не отключают UAC и используют оптимально настроенный HIPS менее подвержены такому виду заражения.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Пожалуйста, опишите технические моменты более четко и подробно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium
Пожалуйста, опишите технические моменты более четко и подробно...
Если иметь возможность беспрепятственно прописывать файлы в автозагрузку и низкоуровневый доступ к жесткому диску, можно заражать систему уже детектируемым MBR локером.

Образец упаковывается или зашифровывается для сокрытия от АВ сканера, затем процедура извлечения и запуска прописывается в автозапуск и система перезагружается.

Суть в том, что если бы мы извлекали и запускали вредонос после полной загрузки АВ, то он был бы блокирован и удален антивирусом.

Но немного изменив способ запуска, мы обходим антивирусную защиту продуктов Лаборатории Касперского, DrWeb, Symantec и возможно других (я остальные не проверил, хватило этих трех)

У меня есть уже готовый сценарий, могу кинуть в ЛС компетентным пользователям.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Соколов

С Comodo такой номер не пройдёт.

А по Нортону могу сказать не проводя никаких тестов, что 2012 весия загружается очень долго.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

думаю это что-то вроде батника в автозагрузку, где virus.rar это архив с паролем PASS

winrar e virus.rar -pPASS

start virus.exe

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
У меня есть уже готовый сценарий, могу кинуть в ЛС компетентным пользователям.

Скиньте, пожалуйста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

По мотивам 100500 тем на форуме ЛК, теперь и на АМ

"Скорость в угоду защите, большинство антивирусов не защитят от заражения детектируемым вирусом".

Хит сезона, не пропустите!!!1

С Comodo такой номер не пройдёт.
Да нет, пишут, что тоже в пролете :P

Экзекуции подверглись: NIS 2012, DrWeb 6.0, KIS2012, AVG, Comodo, Nod.

Ummitium, кто следующий?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Соколов

В Нортоне можно перевести защиту во время загрузки в агрессивный режим, а вот что с другими АВ делать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Пожалуйста, опишите технические моменты более четко и подробно...

1) берете любую заразу (для эффектности можно взять детектируемый образец)

2) устанавливаете антивирус

3) обновляете антивирус

4) перезагружаете систему

5) со скоростью 100 кликов в секунду клацаете по заразе, пока антивирус не загрузится: не появится иконка в области уведомлений/не применится нужная политика

6) сильно удивляетесь, почему антивирус (или модули, входящие в состав комплекса) не защитил систему

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Соколов
5) со скоростью 100 кликов в секунду клацаете по заразе, пока антивирус не загрузится: не появится иконка в области уведомлений/не применится нужная политика

Зачем так убиватся, проблема надуманная :)

Очередной "epic fail" :facepalm::lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
В Нортоне можно перевести защиту во время загрузки в агрессивный режим, а вот что с другими АВ делать...

У Авиры есть безопасный старт. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer

@Да нет, пишут, что тоже в пролете@

Кто пишет? Где? Линк?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Nafigator

А можно мне таковую штуку в личку?DefenseWall + G Data AV выдержит али нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium
думаю это что-то вроде батника в автозагрузку, где virus.rar это архив с паролем PASS

winrar e virus.rar -pPASS

start virus.exe

Винрар есть не у каждого, но такая идея самая оптимальная - в автозагрузку расшифровку + запуск.

У меня получилось несколько примитивно, MBR патчер сделан на основе одного мбр локера, известного по базам ЛК, как Trojan-Ransom.Win32.Mbro.rv, остальные АВ его тоже детектируют. Cаму тушку поместил в sfx архив, которые ав сканеры не умеют распаковывать.

1) берете любую заразу (для эффектности можно взять детектируемый образец)

2) устанавливаете антивирус

3) обновляете антивирус

4) перезагружаете систему

5) со скоростью 100 кликов в секунду клацаете по заразе, пока антивирус не загрузится: не появится иконка в области уведомлений/не применится нужная политика

6) сильно удивляетесь, почему антивирус (или модули, входящие в состав комплекса) не защитил систему

Да да, именно так, только "клацанье по заразе" делается автоматически при старте системы и действия пользователя больше не нужны - он случайно что-то запустил, перезагрузка, потом запуск патчера и еще одна перезагрузка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Chekm
... такая идея самая оптимальная - в автозагрузку расшифровку + запуск. ...

Каким образом произойдет добавление в автозагрузку?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium
По мотивам 100500 тем на форуме ЛК, теперь и на АМ

"Скорость в угоду защите, большинство антивирусов не защитят от заражения детектируемым вирусом".

Да, изначально обратил внимание только на продукты ЛК, поэтому начал сначала на форуме, но оказалось что у некоторых ав тоже так.
Да нет, пишут, что тоже в пролете :P

Экзекуции подверглись: NIS 2012, DrWeb 6.0, KIS2012, AVG, Comodo, Nod.

Ummitium, кто следующий?

АВ от Eset не опробовал еще, да и нет необходимости, кому надо, сами могут проверить на любом другом антивирусе.

Кстати, AVG 2012 Free пока что единственный не допускает запуска детектируемого файла в автозагрузке.

CIS по умолчанию не дает прописываться в автозагрузку.

KIS выдает алерт о целесообразности запрета опасной активности инсталлятора, но неопытный пользователь, как правило все разрешает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
он случайно что-то запустил

Это при отключенных антивирусных сканерах, проактивке и прочих наворотах? ^_^

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium

Это при отключенных антивирусных сканерах, проактивке и прочих наворотах? ^_^
Ничего не отключал, все настройки были по умолчанию. Если антивирус позволил прописаться в автозагрузку и есть права администратора, то больше ничего не надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium
Made by MBRLock Builder v0.2 :lol:
У меня получилось несколько примитивно, MBR патчер сделан на основе одного мбр локера, известного по базам ЛК, как Trojan-Ransom.Win32.Mbro.rv, остальные АВ его тоже детектируют. Cаму тушку поместил в sfx архив, которые ав сканеры не умеют распаковывать.

Что еще улыбает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Что еще улыбает?
Ага
Cаму тушку поместил в sfx архив, которые ав сканеры не умеют распаковывать.
Ссылку на проверку от вирустотала покажете? :)
Тема древняя, аки мамонтъ.
Всё новое — это хорошо забытое старое ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
KIS выдает алерт о целесообразности запрета опасной активности инсталлятора, но неопытный пользователь, как правило все разрешает.

Ну а кто в этом виноват? Антивирус? Так можно и другим зловредом заразить, без всяких перезагрузок и так далее. А еще неопытные пользователи отключают антивирус - и тоже, кто тут виноват?

Касаемо этого кейса, то он не корректен, так как опять же тот же KIS выдает аллерт при запуске, описывал все тут:

http://forum.kaspersky.com/index.php?showt...t&p=1733431

Также в случае с KIS достаточно поставить пароль на учетку и тогда даже после перезагрузки KIS выдаст новый аллерт. Касаемо других вендоров - предполагаю, что NIS выловит SONAR-ом запуск данного файла.

А вообще проблема надуманна и раздута.

Но касаемо наших продуктов (ЛК), подумаем, что можно сделать.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium
Ссылку на проверку от вирустотала покажете? :)
Вот.
Ну а кто в этом виноват? Антивирус? Так можно и другим зловредом заразить, без всяких перезагрузок и так далее. А еще неопытные пользователи отключают антивирус - и тоже, кто тут виноват?
Ну представь, геймер скачал "супер чит" на CS, запустил... как думаешь, разрешит или нет?
Касаемо этого кейса, то он не корректен, так как опять же тот же KIS выдает аллерт при запуске, описывал все тут:
А Антивирусом Касперского пользователи разве не пользуются? Антивирусный сканер во время автостарта приложений - отдыхает.

Я четко не предсталяю, по какому критерию оценивается опасность приложения у контроля программ KIS, но возможно только моя поделка вызывает алерт, а однотипные утилиты других попадут в Слабые ограничения и алертов не будет.

И к тому же, эта проблема не только продуктов Лаборатории Касперского.

ЗЫ Также не исключаю особенность работы антивирусов в виртуальной среде MS Virtual PC :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Отслеживание активности любого расширения в браузере на примере хрома: Chrome https://xakep.ru/2014/06/16/62643/ Таким образом можно выявить левое расширение. т.е.  хорошо бы отслеживать активность расширений и прописывать данные в Инфо.
    • SemenovaI
      Отзывы читать надо путешественников и уже согласно их мнению ехать отдыхать. Мы так с мужем в Болгарию летом съездили, сначала я изучила впечатления туристов об отелях, кафе и уже тогда выбрала маршрут и забронировала гостиницу. На Букинг зайдите там много всего интересного почитать можно. Кстати, бронировала отель используя кэшбэк https://letyshops.com/shops/bookingcom мне понравилось. Недорого так заплатила за номер, который сняли на пару недель. 
    • Зотов Тимур
      Ой, понимаю, банька это сила. Тоже на даче хочу построить, а то так понравилось отдыхать с мужиками, с пивком и девочками http://prostitutkichelyabinskaxxx.com/ , после горячего отдыха еще и в бассейн прыгнуть... Красота.
    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
    • PR55.RP55
      В теме к сожалению работали с устаревшими версиями uVS .4.0 В uVS  запись: C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE C:\WINDOWS\SYSTEM32\TASKS\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} ------------ В FRST запись: Task: {0EA205A7-5227-418F-A262-BBF8FD9349B0} - System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://nbsallastar.com/cl/?guid=y92wjhgqs5boj6xi0hl7thkb6nfjreyg&prid=1&pid=4_1106_0 {0EA205A7-5227-418F-A262-BBF8FD9349B0}  - нет {B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}  - есть Да, актуальная версия должна бы это увидеть. Из Fixlog "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      C:\Windows\System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => moved successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}" => removed successfully
×