Перейти к содержанию

Recommended Posts

Ummitium

Для того чтобы не влиять на скорость загрузки системы и приложений в автозагрузке, многие антивирусы запускают защиту в последнюю очередь и не ведут контроль за работой приложений во время загрузки рабочего стола и программ из списка автозапуска.

Исследуя поведение антивирусной защиты нескольких популярных антивирусов при старте системы, обнаружил возможность беспрепятственного запуска даже уже детектируемого вируса, минуя антивирусные сканеры, проактивку и прочие навороты.

Так к примеру NAV/NIS 2012, DrWeb 6.0, KAV/KIS2012 не смогут пресечь запуск детектируемого образца MBR патчера, если он был запакован/зашифрован неизвестным методом, а безобидная утилита прописала в автозагрузку процедуру его распаковки/расшифровки и запуска, не забыв при этом форсированно перезапустить систему.

Естественно, те, кто не работают под админом, не отключают UAC и используют оптимально настроенный HIPS менее подвержены такому виду заражения.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Пожалуйста, опишите технические моменты более четко и подробно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium
Пожалуйста, опишите технические моменты более четко и подробно...
Если иметь возможность беспрепятственно прописывать файлы в автозагрузку и низкоуровневый доступ к жесткому диску, можно заражать систему уже детектируемым MBR локером.

Образец упаковывается или зашифровывается для сокрытия от АВ сканера, затем процедура извлечения и запуска прописывается в автозапуск и система перезагружается.

Суть в том, что если бы мы извлекали и запускали вредонос после полной загрузки АВ, то он был бы блокирован и удален антивирусом.

Но немного изменив способ запуска, мы обходим антивирусную защиту продуктов Лаборатории Касперского, DrWeb, Symantec и возможно других (я остальные не проверил, хватило этих трех)

У меня есть уже готовый сценарий, могу кинуть в ЛС компетентным пользователям.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Соколов

С Comodo такой номер не пройдёт.

А по Нортону могу сказать не проводя никаких тестов, что 2012 весия загружается очень долго.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

думаю это что-то вроде батника в автозагрузку, где virus.rar это архив с паролем PASS

winrar e virus.rar -pPASS

start virus.exe

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
У меня есть уже готовый сценарий, могу кинуть в ЛС компетентным пользователям.

Скиньте, пожалуйста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

По мотивам 100500 тем на форуме ЛК, теперь и на АМ

"Скорость в угоду защите, большинство антивирусов не защитят от заражения детектируемым вирусом".

Хит сезона, не пропустите!!!1

С Comodo такой номер не пройдёт.
Да нет, пишут, что тоже в пролете :P

Экзекуции подверглись: NIS 2012, DrWeb 6.0, KIS2012, AVG, Comodo, Nod.

Ummitium, кто следующий?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Соколов

В Нортоне можно перевести защиту во время загрузки в агрессивный режим, а вот что с другими АВ делать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Пожалуйста, опишите технические моменты более четко и подробно...

1) берете любую заразу (для эффектности можно взять детектируемый образец)

2) устанавливаете антивирус

3) обновляете антивирус

4) перезагружаете систему

5) со скоростью 100 кликов в секунду клацаете по заразе, пока антивирус не загрузится: не появится иконка в области уведомлений/не применится нужная политика

6) сильно удивляетесь, почему антивирус (или модули, входящие в состав комплекса) не защитил систему

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Соколов
5) со скоростью 100 кликов в секунду клацаете по заразе, пока антивирус не загрузится: не появится иконка в области уведомлений/не применится нужная политика

Зачем так убиватся, проблема надуманная :)

Очередной "epic fail" :facepalm::lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
В Нортоне можно перевести защиту во время загрузки в агрессивный режим, а вот что с другими АВ делать...

У Авиры есть безопасный старт. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer

@Да нет, пишут, что тоже в пролете@

Кто пишет? Где? Линк?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Nafigator

А можно мне таковую штуку в личку?DefenseWall + G Data AV выдержит али нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium
думаю это что-то вроде батника в автозагрузку, где virus.rar это архив с паролем PASS

winrar e virus.rar -pPASS

start virus.exe

Винрар есть не у каждого, но такая идея самая оптимальная - в автозагрузку расшифровку + запуск.

У меня получилось несколько примитивно, MBR патчер сделан на основе одного мбр локера, известного по базам ЛК, как Trojan-Ransom.Win32.Mbro.rv, остальные АВ его тоже детектируют. Cаму тушку поместил в sfx архив, которые ав сканеры не умеют распаковывать.

1) берете любую заразу (для эффектности можно взять детектируемый образец)

2) устанавливаете антивирус

3) обновляете антивирус

4) перезагружаете систему

5) со скоростью 100 кликов в секунду клацаете по заразе, пока антивирус не загрузится: не появится иконка в области уведомлений/не применится нужная политика

6) сильно удивляетесь, почему антивирус (или модули, входящие в состав комплекса) не защитил систему

Да да, именно так, только "клацанье по заразе" делается автоматически при старте системы и действия пользователя больше не нужны - он случайно что-то запустил, перезагрузка, потом запуск патчера и еще одна перезагрузка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Chekm
... такая идея самая оптимальная - в автозагрузку расшифровку + запуск. ...

Каким образом произойдет добавление в автозагрузку?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium
По мотивам 100500 тем на форуме ЛК, теперь и на АМ

"Скорость в угоду защите, большинство антивирусов не защитят от заражения детектируемым вирусом".

Да, изначально обратил внимание только на продукты ЛК, поэтому начал сначала на форуме, но оказалось что у некоторых ав тоже так.
Да нет, пишут, что тоже в пролете :P

Экзекуции подверглись: NIS 2012, DrWeb 6.0, KIS2012, AVG, Comodo, Nod.

Ummitium, кто следующий?

АВ от Eset не опробовал еще, да и нет необходимости, кому надо, сами могут проверить на любом другом антивирусе.

Кстати, AVG 2012 Free пока что единственный не допускает запуска детектируемого файла в автозагрузке.

CIS по умолчанию не дает прописываться в автозагрузку.

KIS выдает алерт о целесообразности запрета опасной активности инсталлятора, но неопытный пользователь, как правило все разрешает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
он случайно что-то запустил

Это при отключенных антивирусных сканерах, проактивке и прочих наворотах? ^_^

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium

Это при отключенных антивирусных сканерах, проактивке и прочих наворотах? ^_^
Ничего не отключал, все настройки были по умолчанию. Если антивирус позволил прописаться в автозагрузку и есть права администратора, то больше ничего не надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium
Made by MBRLock Builder v0.2 :lol:
У меня получилось несколько примитивно, MBR патчер сделан на основе одного мбр локера, известного по базам ЛК, как Trojan-Ransom.Win32.Mbro.rv, остальные АВ его тоже детектируют. Cаму тушку поместил в sfx архив, которые ав сканеры не умеют распаковывать.

Что еще улыбает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Что еще улыбает?
Ага
Cаму тушку поместил в sfx архив, которые ав сканеры не умеют распаковывать.
Ссылку на проверку от вирустотала покажете? :)
Тема древняя, аки мамонтъ.
Всё новое — это хорошо забытое старое ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
KIS выдает алерт о целесообразности запрета опасной активности инсталлятора, но неопытный пользователь, как правило все разрешает.

Ну а кто в этом виноват? Антивирус? Так можно и другим зловредом заразить, без всяких перезагрузок и так далее. А еще неопытные пользователи отключают антивирус - и тоже, кто тут виноват?

Касаемо этого кейса, то он не корректен, так как опять же тот же KIS выдает аллерт при запуске, описывал все тут:

http://forum.kaspersky.com/index.php?showt...t&p=1733431

Также в случае с KIS достаточно поставить пароль на учетку и тогда даже после перезагрузки KIS выдаст новый аллерт. Касаемо других вендоров - предполагаю, что NIS выловит SONAR-ом запуск данного файла.

А вообще проблема надуманна и раздута.

Но касаемо наших продуктов (ЛК), подумаем, что можно сделать.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium
Ссылку на проверку от вирустотала покажете? :)
Вот.
Ну а кто в этом виноват? Антивирус? Так можно и другим зловредом заразить, без всяких перезагрузок и так далее. А еще неопытные пользователи отключают антивирус - и тоже, кто тут виноват?
Ну представь, геймер скачал "супер чит" на CS, запустил... как думаешь, разрешит или нет?
Касаемо этого кейса, то он не корректен, так как опять же тот же KIS выдает аллерт при запуске, описывал все тут:
А Антивирусом Касперского пользователи разве не пользуются? Антивирусный сканер во время автостарта приложений - отдыхает.

Я четко не предсталяю, по какому критерию оценивается опасность приложения у контроля программ KIS, но возможно только моя поделка вызывает алерт, а однотипные утилиты других попадут в Слабые ограничения и алертов не будет.

И к тому же, эта проблема не только продуктов Лаборатории Касперского.

ЗЫ Также не исключаю особенность работы антивирусов в виртуальной среде MS Virtual PC :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      такое бывает когда проблемы с BITS, но оно не вешается, а минут через 5-10 выдает ошибку и продолжает работу, лечится удалением базы bits
    • PR55.RP55
      После запуска: на: uVS v4.11.7 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] Программа просто зависла. ( Анализ Автозапуска... ) После перезагрузки системы - программа запустилась нормально...      
    • demkd
      Дополнение:
      В Vista dns лог не работает и работать не будет,
      Win7, Win8 не работает, но возможно получится прикрутить в урезанном виде без фильтрации левых адресов и ответа сервера.
      Работает начиная с Win 8.1.
      Адреса можно вносить в базу проверенных.
    • demkd
      ---------------------------------------------------------
       4.11.7
      ---------------------------------------------------------
       o Твики 39 и 40 обновлены и теперь включают ведение DNS лога.
         В uVS добавлен раздел "DNS лог", в нем находятся адреса, которые запрашивали процессы с момента загрузки системы,
         в окне информации для каждого адреса указан процесс, его pid, дата обращения к DNS и результат, если он был, промежуточные адреса
         в список не включены. Например при запросе IP адреса CXCS.MICROSOFT.NET будет получен адрес CXCS.MICROSOFT.NET.EDGEKEY.NET,
         который в свою очередь будет ссылаться например на E3230.B.AKAMAIEDGE.NET, в итоге в список попадет лишь исходный адрес CXCS.MICROSOFT.NET,
         промежуточные адреса будут отфильтрованы.
         Этот раздел поможет в выявлении зловредов/майнеров и руткитов подключающихся к определенным адресам.
         (!) После включения функции требуется перезагрузить систему,
         (!) только в этом случае вы получите полную информацию с момента загрузки системы.
         (!) Только для активных и удаленных систем начиная с Vista (NT6.0).
         (!) Включение ведения DNS лога требует дополнительно 512mb на системном диске, этого объема хватает на 30-50 минут,
         (!) поэтому рекомендуется проводить анализ или создание образа сразу после перезагрузки.
    • santy
      да, уж. пишут с ошибками, а туда же - про обслуживание на высшем уровне
×