Отключение защиты антивируса Касперского dl // 24.07.07 23:00
Стремление защитить свои продукты от наивного продления лицензии путем откручивания системной даты привело к тому, что вся защита KAV легко и непринужденно отключается простым переводом даты на год назад (неплохой подарок для атакующих):
c:\> date 24.07.2006
Производитель поставлен в известность более года назад.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2007/07/05.html]
Vendor contact timeline:
2006-06-15: vendor notified via Russian forum
2006-06-15: vendor replied via forum (private message)
2007-07-09: vendor asked via forum and VIP-Support
2007-07-09: vendor replied "Issue - 26328"
> Стремление защитить свои продукты от наивного продления > лицензии путем откручивания системной даты привело к тому, > что вся защита KAV легко и непринужденно отключается > простым переводом даты на год назад (неплохой подарок для > атакующих):
c:\> date 24.07.2006
> Производитель поставлен в известность более года назад.
Про подобный "нюанс" касперского я был в курсе года 4 минимум. И если в 4й версии (ЕМНИП) можно было легко обмануть регистрацию откруткой даты, то в 5й (ЕМНИП) это дело "исправили", так что даже БАНАЛЬНЫОЕ УМИРАНИЕ БАТАРЕЙКИ на материнке приводит к отключению каспера и невозможность его последующей переустановки. Конечно, можно почистить реестр, но антивирус так глубоко "прописывается" в системе, что вручную лучше и не пробовать. Правда, в последнее время появились разные анинсталлеры, фиксирующие состояние системы до и после установки, но достоин ли каспер таких извращений?
А вы говорите - атаки, безопасность 8-)
Не надо жути...29.07.07 10:50 Автор: HandleX <Александр М.> Статус: The Elderman
> > Производитель поставлен в известность более года назад. Это да, плохо конечно, что Каксперыч и Ко в погоне за баблом могут жертвовать безопасностью пользователя.
> Про подобный "нюанс" касперского я был в курсе года 4 > минимум. И если в 4й версии (ЕМНИП) можно было легко > обмануть регистрацию откруткой даты, то в 5й (ЕМНИП) это > дело "исправили", так что даже БАНАЛЬНЫОЕ УМИРАНИЕ > БАТАРЕЙКИ на материнке приводит к отключению каспера и > невозможность его последующей переустановки. Оно для Вас банальное, для компутера это катастрофа, радуйтесь что загрузились вааще, а не то, что время уплыло -)
> Конечно, можно почистить реестр, но антивирус так глубоко прописывается" > в системе, что вручную лучше и не пробовать. Правда, в > последнее время появились разные анинсталлеры, фиксирующие > состояние системы до и после установки, но достоин ли > каспер таких извращений? Не было на моём опыте извращений с Каспером, если время корректное, и лицензия валидна до сих пор, нет проблемы инсталлировать её снова.
Имея административные привилегии (для открутки времени), Каспера можно и по другому сломать...25.07.07 10:22 Автор: HandleX <Александр М.> Статус: The Elderman
А обяснить можно записью в параметр ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime\Servers\, манипуляцией с файлом hosts (так как большинство нтплений идут c time.pindows.com, можно более централизовано, есл есть возможность влиять на DNS-запросы-ответы) или как-то ещё.
Засаду дядя Женя сделал ;)
Только вот, чтобы писать в эту ветку и файл, надо локального...28.07.07 11:37 Автор: Winer <Виктор С.> Статус: Member
> А обяснить можно записью в параметр ветки > HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio > n\DateTime\Servers\, манипуляцией с файлом hosts (так как > большинство нтплений идут c time.pindows.com, можно более > централизовано, есл есть возможность влиять на > DNS-запросы-ответы) или как-то ещё. > Засаду дядя Женя сделал ;) Только вот, чтобы писать в эту ветку и файл, надо локального админа, а тогда я думаю таких хитростей не надо. Если только осуществить атаку на DNS-сервер юзерской машины :)
+1. Вообще необязательно сильно извращаться, так как большинство юзеров сидит под локальным админом28.07.07 13:08 Автор: Ustin <Ustin> Статус: Elderman Отредактировано 28.07.07 13:21 Количество правок: 2
Охват будет порядка 95% аудитории индивидуальных пользователей (личное мнение). Собсно большинство вирей на это и ориентируется как я понимаю
А так как лицензия у касперыча не мб дольше чем на 1 год, то делаем time:=time-1Year и касперыч отваливается с вероятностью 100%.
В предположении, что есть право писать в HKEY_CLASSES_ROOT, делаем ещё одну га-адкую гадость: при первом удобном случае убиваем HKEY_CLASSES_ROOT\LK.Auto и после перезагрузки имеем касперыча вообще без ключа ;). Работает для KAV 5.x, 6x. Можно ж было б сделать, чтобы эта ветка скрывалась от Windows API также, как касперячьи потоки? Можно. Вот теперь и ещё одна засада.
Одно дело-ломать, и совсем другое-когда оно само лапки кверху =)25.07.07 10:28 Автор: !mm <Ivan Ch.> Статус: Elderman
И всё-таки открутка времени это из разряда вандализма, никогда не знаешь, на что это может повлиять... -))25.07.07 11:20 Автор: HandleX <Александр М.> Статус: The Elderman
подробно о проекте
Анализ криптографических сетевых...
