|
Отключение защиты антивируса Касперского
dl // 24.07.07 23:00
Стремление защитить свои продукты от наивного продления лицензии путем откручивания системной даты привело к тому, что вся защита KAV легко и непринужденно отключается простым переводом даты на год назад (неплохой подарок для атакующих):
c:\> date 24.07.2006
Производитель поставлен в известность более года назад.
[Не забывайте при копировании материала указывать полный адрес источника: http://bugtraq.ru/rsn/archive/2007/07/05.html]
Vendor contact timeline:
2006-06-15: vendor notified via Russian forum
2006-06-15: vendor replied via forum (private message)
2007-07-09: vendor asked via forum and VIP-Support
2007-07-09: vendor replied "Issue - 26328"
Комментарии:
 |
c:\> date 24.07.2006 27.07.07 09:27
Автор: kva Статус: Незарегистрированный пользователь
|
> Стремление защитить свои продукты от наивного продления
> лицензии путем откручивания системной даты привело к тому,
> что вся защита KAV легко и непринужденно отключается
> простым переводом даты на год назад (неплохой подарок для
> атакующих):
c:\> date 24.07.2006
> Производитель поставлен в известность более года назад.
Про подобный "нюанс" касперского я был в курсе года 4 минимум. И если в 4й версии (ЕМНИП) можно было легко обмануть регистрацию откруткой даты, то в 5й (ЕМНИП) это дело "исправили", так что даже БАНАЛЬНЫОЕ УМИРАНИЕ БАТАРЕЙКИ на материнке приводит к отключению каспера и невозможность его последующей переустановки. Конечно, можно почистить реестр, но антивирус так глубоко "прописывается" в системе, что вручную лучше и не пробовать. Правда, в последнее время появились разные анинсталлеры, фиксирующие состояние системы до и после установки, но достоин ли каспер таких извращений?
А вы говорите - атаки, безопасность 8-)
|
| |
Не надо жути... 29.07.07 10:50
Автор: HandleX <Александр Майборода> Статус: Elderman
|
> c:\> date 24.07.2006
И что?
> > Производитель поставлен в известность более года назад.
Это да, плохо конечно, что Каксперыч и Ко в погоне за баблом могут жертвовать безопасностью пользователя.
> Про подобный "нюанс" касперского я был в курсе года 4
> минимум. И если в 4й версии (ЕМНИП) можно было легко
> обмануть регистрацию откруткой даты, то в 5й (ЕМНИП) это
> дело "исправили", так что даже БАНАЛЬНЫОЕ УМИРАНИЕ
> БАТАРЕЙКИ на материнке приводит к отключению каспера и
> невозможность его последующей переустановки.
Оно для Вас банальное, для компутера это катастрофа, радуйтесь что загрузились вааще, а не то, что время уплыло -)
> Конечно, можно почистить реестр, но антивирус так глубоко прописывается"
> в системе, что вручную лучше и не пробовать. Правда, в
> последнее время появились разные анинсталлеры, фиксирующие
> состояние системы до и после установки, но достоин ли
> каспер таких извращений?
Не было на моём опыте извращений с Каспером, если время корректное, и лицензия валидна до сих пор, нет проблемы инсталлировать её снова.
|
|
Имея административные привилегии (для открутки времени), Каспера можно и по другому сломать... 25.07.07 10:22
Автор: HandleX <Александр Майборода> Статус: Elderman
|
|
|
| |
необязательно 25.07.07 11:57
Автор: dl <Dmitry Leonov>
|
|
Можно придумать другой сценарий атаки, когда время откручивается в результате синхронизации с левым сервером.
|
| | |
С такой квалификацией можно и попроще найти методы обойти Каспера -)) 25.07.07 12:16
Автор: HandleX <Александр Майборода> Статус: Elderman
|
|
|
| | | |
Поднимаем левый NTP, объясняем винде куда нтпиться - всё работает! 28.07.07 11:05
Автор: Ustin <Ustin> Статус: Senior Member
Отредактировано 28.07.07 11:10 Количество правок: 1
|
А обяснить можно записью в параметр ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime\Servers\, манипуляцией с файлом hosts (так как большинство нтплений идут c time.pindows.com, можно более централизовано, есл есть возможность влиять на DNS-запросы-ответы) или как-то ещё.
Засаду дядя Женя сделал ;)
|
| | | | |
Только вот, чтобы писать в эту ветку и файл, надо локального... 28.07.07 11:37
Автор: Winer <Виктор С.> Статус: Member
|
> А обяснить можно записью в параметр ветки
> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio
> n\DateTime\Servers\, манипуляцией с файлом hosts (так как
> большинство нтплений идут c time.pindows.com, можно более
> централизовано, есл есть возможность влиять на
> DNS-запросы-ответы) или как-то ещё.
> Засаду дядя Женя сделал ;)
Только вот, чтобы писать в эту ветку и файл, надо локального админа, а тогда я думаю таких хитростей не надо. Если только осуществить атаку на DNS-сервер юзерской машины :)
|
| | | | | |
+1. Вообще необязательно сильно извращаться, так как большинство юзеров сидит под локальным админом 28.07.07 13:08
Автор: Ustin <Ustin> Статус: Senior Member
Отредактировано 28.07.07 13:21 Количество правок: 2
|
Охват будет порядка 95% аудитории индивидуальных пользователей (личное мнение). Собсно большинство вирей на это и ориентируется как я понимаю
А так как лицензия у касперыча не мб дольше чем на 1 год, то делаем time:=time-1Year и касперыч отваливается с вероятностью 100%.
В предположении, что есть право писать в HKEY_CLASSES_ROOT, делаем ещё одну га-адкую гадость: при первом удобном случае убиваем HKEY_CLASSES_ROOT\LK.Auto и после перезагрузки имеем касперыча вообще без ключа ;). Работает для KAV 5.x, 6x. Можно ж было б сделать, чтобы эта ветка скрывалась от Windows API также, как касперячьи потоки? Можно. Вот теперь и ещё одна засада.
|
| |
Одно дело-ломать, и совсем другое-когда оно само лапки кверху =) 25.07.07 10:28
Автор: !mm <Ivan Ch.> Статус: Senior Member
|
|
|
| | |
И всё-таки открутка времени это из разряда вандализма, никогда не знаешь, на что это может повлиять... -)) 25.07.07 11:20
Автор: HandleX <Александр Майборода> Статус: Elderman
|
|
|
| | | |
А любые трояны не особо заботятся о благосостоянии атакуемого. 25.07.07 12:35
Автор: amirul <Serge> Статус: Elderman
|
|
|
| | <добавить комментарий> |
|
|
подробно о проекте
Знакомьтесь: проект Namecoin, будущий...
