Скорость в угоду защите

[Ummitium 40]

Для того чтобы не влиять на скорость загрузки системы и приложений в автозагрузке, многие антивирусы запускают защиту в последнюю очередь и не ведут контроль за работой приложений во время загрузки рабочего стола и программ из списка автозапуска.

Исследуя поведение антивирусной защиты нескольких популярных антивирусов при старте системы, обнаружил возможность беспрепятственного запуска даже уже детектируемого вируса, минуя антивирусные сканеры, проактивку и прочие навороты.

Так к примеру NAV/NIS 2012, DrWeb 6.0, KAV/KIS2012 не смогут пресечь запуск детектируемого образца MBR патчера, если он был запакован/зашифрован неизвестным методом, а безобидная утилита прописала в автозагрузку процедуру его распаковки/расшифровки и запуска, не забыв при этом форсированно перезапустить систему.

Естественно, те, кто не работают под админом, не отключают UAC и используют оптимально настроенный HIPS менее подвержены такому виду заражения.

[priv8v 960]

Пожалуйста, опишите технические моменты более четко и подробно...

[Ummitium 40]

  priv8v сказал:

Пожалуйста, опишите технические моменты более четко и подробно...

Если иметь возможность беспрепятственно прописывать файлы в автозагрузку и низкоуровневый доступ к жесткому диску, можно заражать систему уже детектируемым MBR локером.

Образец упаковывается или зашифровывается для сокрытия от АВ сканера, затем процедура извлечения и запуска прописывается в автозапуск и система перезагружается.

Суть в том, что если бы мы извлекали и запускали вредонос после полной загрузки АВ, то он был бы блокирован и удален антивирусом.

Но немного изменив способ запуска, мы обходим антивирусную защиту продуктов Лаборатории Касперского, DrWeb, Symantec и возможно других (я остальные не проверил, хватило этих трех)

У меня есть уже готовый сценарий, могу кинуть в ЛС компетентным пользователям.

[Александр Соколов 35]

С Comodo такой номер не пройдёт.

А по Нортону могу сказать не проводя никаких тестов, что 2012 весия загружается очень долго.

[strat 275]

думаю это что-то вроде батника в автозагрузку, где virus.rar это архив с паролем PASS

winrar e virus.rar -pPASS

start virus.exe

[Rustock.C 110]

  Ummitium сказал:

У меня есть уже готовый сценарий, могу кинуть в ЛС компетентным пользователям.

Скиньте, пожалуйста.

[Dmitriy K 603]

По мотивам 100500 тем на форуме ЛК, теперь и на АМ

"Скорость в угоду защите, большинство антивирусов не защитят от заражения детектируемым вирусом".

Хит сезона, не пропустите!!!1

  Цитата

С Comodo такой номер не пройдёт.

Да нет, пишут, что тоже в пролете

Экзекуции подверглись: NIS 2012, DrWeb 6.0, KIS2012, AVG, Comodo, Nod.

Ummitium, кто следующий?

[Александр Соколов 35]

В Нортоне можно перевести защиту во время загрузки в агрессивный режим, а вот что с другими АВ делать...

[Dmitriy K 603]

  priv8v сказал:

Пожалуйста, опишите технические моменты более четко и подробно...

1) берете любую заразу (для эффектности можно взять детектируемый образец)

2) устанавливаете антивирус

3) обновляете антивирус

4) перезагружаете систему

5) со скоростью 100 кликов в секунду клацаете по заразе, пока антивирус не загрузится: не появится иконка в области уведомлений/не применится нужная политика

6) сильно удивляетесь, почему антивирус (или модули, входящие в состав комплекса) не защитил систему

[Александр Соколов 35]

  Dmitriy K сказал:

5) со скоростью 100 кликов в секунду клацаете по заразе, пока антивирус не загрузится: не появится иконка в области уведомлений/не применится нужная политика

Зачем так убиватся, проблема надуманная

Очередной "epic fail"

[Rustock.C 110]

  Александр Соколов сказал:

В Нортоне можно перевести защиту во время загрузки в агрессивный режим, а вот что с другими АВ делать...

У Авиры есть безопасный старт.

[Killer 55]

@Да нет, пишут, что тоже в пролете@

Кто пишет? Где? Линк?

[Nafigator 0]

А можно мне таковую штуку в личку?DefenseWall + G Data AV выдержит али нет?

[Ummitium 40]

  strat сказал:

думаю это что-то вроде батника в автозагрузку, где virus.rar это архив с паролем PASS

winrar e virus.rar -pPASS

start virus.exe

Винрар есть не у каждого, но такая идея самая оптимальная - в автозагрузку расшифровку + запуск.

У меня получилось несколько примитивно, MBR патчер сделан на основе одного мбр локера, известного по базам ЛК, как Trojan-Ransom.Win32.Mbro.rv, остальные АВ его тоже детектируют. Cаму тушку поместил в sfx архив, которые ав сканеры не умеют распаковывать.

  Dmitriy K сказал:

1) берете любую заразу (для эффектности можно взять детектируемый образец)

2) устанавливаете антивирус

3) обновляете антивирус

4) перезагружаете систему

5) со скоростью 100 кликов в секунду клацаете по заразе, пока антивирус не загрузится: не появится иконка в области уведомлений/не применится нужная политика

6) сильно удивляетесь, почему антивирус (или модули, входящие в состав комплекса) не защитил систему

Да да, именно так, только "клацанье по заразе" делается автоматически при старте системы и действия пользователя больше не нужны - он случайно что-то запустил, перезагрузка, потом запуск патчера и еще одна перезагрузка.

[Chekm 100]

  Ummitium сказал:

... такая идея самая оптимальная - в автозагрузку расшифровку + запуск. ...

Каким образом произойдет добавление в автозагрузку?

[Ummitium 40]

  Dmitriy K сказал:

По мотивам 100500 тем на форуме ЛК, теперь и на АМ

"Скорость в угоду защите, большинство антивирусов не защитят от заражения детектируемым вирусом".

Да, изначально обратил внимание только на продукты ЛК, поэтому начал сначала на форуме, но оказалось что у некоторых ав тоже так.

  Dmitriy K сказал:

Да нет, пишут, что тоже в пролете

Экзекуции подверглись: NIS 2012, DrWeb 6.0, KIS2012, AVG, Comodo, Nod.

Ummitium, кто следующий?

АВ от Eset не опробовал еще, да и нет необходимости, кому надо, сами могут проверить на любом другом антивирусе.

Кстати, AVG 2012 Free пока что единственный не допускает запуска детектируемого файла в автозагрузке.

CIS по умолчанию не дает прописываться в автозагрузку.

KIS выдает алерт о целесообразности запрета опасной активности инсталлятора, но неопытный пользователь, как правило все разрешает.

[Dmitriy K 603]

  Цитата

он случайно что-то запустил

Это при отключенных антивирусных сканерах, проактивке и прочих наворотах?

[Ummitium 40]

  Dmitriy K сказал:

Это при отключенных антивирусных сканерах, проактивке и прочих наворотах?

Ничего не отключал, все настройки были по умолчанию. Если антивирус позволил прописаться в автозагрузку и есть права администратора, то больше ничего не надо.

[Ummitium 40]

Запускаемый в автозагрузке файл детектируется так:

https://www.virustotal.com/file-scan/report...b3aa-1317563291

[Dmitriy K 603]

  Ummitium сказал:

Запускаемый в автозагрузке файл детектируется так:

https://www.virustotal.com/file-scan/report...b3aa-1317563291

Made by MBRLock Builder v0.2

[Ummitium 40]

  Dmitriy K сказал:

Made by MBRLock Builder v0.2

  Цитата

У меня получилось несколько примитивно, MBR патчер сделан на основе одного мбр локера, известного по базам ЛК, как Trojan-Ransom.Win32.Mbro.rv, остальные АВ его тоже детектируют. Cаму тушку поместил в sfx архив, которые ав сканеры не умеют распаковывать.

Что еще улыбает?

[treme 41]

Тема древняя, аки мамонтъ.

http://forum.kaspersky.com/index.php?showt...mp;#entry958329

[Dmitriy K 603]

  Ummitium сказал:

Что еще улыбает?

Ага

  Цитата

Cаму тушку поместил в sfx архив, которые ав сканеры не умеют распаковывать.

Ссылку на проверку от вирустотала покажете?

  treme сказал:

Тема древняя, аки мамонтъ.

Всё новое — это хорошо забытое старое

[Danilka 678]

  Ummitium сказал:

KIS выдает алерт о целесообразности запрета опасной активности инсталлятора, но неопытный пользователь, как правило все разрешает.

Ну а кто в этом виноват? Антивирус? Так можно и другим зловредом заразить, без всяких перезагрузок и так далее. А еще неопытные пользователи отключают антивирус - и тоже, кто тут виноват?

Касаемо этого кейса, то он не корректен, так как опять же тот же KIS выдает аллерт при запуске, описывал все тут:

http://forum.kaspersky.com/index.php?showt...t&p=1733431

Также в случае с KIS достаточно поставить пароль на учетку и тогда даже после перезагрузки KIS выдаст новый аллерт. Касаемо других вендоров - предполагаю, что NIS выловит SONAR-ом запуск данного файла.

А вообще проблема надуманна и раздута.

Но касаемо наших продуктов (ЛК), подумаем, что можно сделать.

[Ummitium 40]

  Dmitriy K сказал:

Ссылку на проверку от вирустотала покажете?

Вот.

  Danilka сказал:

Ну а кто в этом виноват? Антивирус? Так можно и другим зловредом заразить, без всяких перезагрузок и так далее. А еще неопытные пользователи отключают антивирус - и тоже, кто тут виноват?

Ну представь, геймер скачал "супер чит" на CS, запустил... как думаешь, разрешит или нет?

  Danilka сказал:

Касаемо этого кейса, то он не корректен, так как опять же тот же KIS выдает аллерт при запуске, описывал все тут:

А Антивирусом Касперского пользователи разве не пользуются? Антивирусный сканер во время автостарта приложений - отдыхает.

Я четко не предсталяю, по какому критерию оценивается опасность приложения у контроля программ KIS, но возможно только моя поделка вызывает алерт, а однотипные утилиты других попадут в Слабые ограничения и алертов не будет.

И к тому же, эта проблема не только продуктов Лаборатории Касперского.

ЗЫ Также не исключаю особенность работы антивирусов в виртуальной среде MS Virtual PC