информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Атака на InternetSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
необязательно 25.07.07 11:57  Число просмотров: 2919
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
Можно придумать другой сценарий атаки, когда время откручивается в результате синхронизации с левым сервером.
<site updates>
Отключение защиты антивируса Касперского 24.07.07 23:00  
Publisher: dl <Dmitry Leonov>
<"чистая" ссылка>
Отключение защиты антивируса Касперского
Kaspersky Lab Forum via BORODA(C) http://forum.kaspersky.com/index.php?showtopic=42889

Стремление защитить свои продукты от наивного продления лицензии путем откручивания системной даты привело к тому, что вся защита KAV легко и непринужденно отключается простым переводом даты на год назад (неплохой подарок для атакующих): c:\> date 24.07.2006
Производитель поставлен в известность более года назад.
Vendor contact timeline:
2006-06-15: vendor notified via Russian forum
2006-06-15: vendor replied via forum (private message)
2007-07-09: vendor asked via forum and VIP-Support
2007-07-09: vendor replied "Issue - 26328"


Полный текст
c:\> date 24.07.2006 27.07.07 09:27  
Автор: kva Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Стремление защитить свои продукты от наивного продления
> лицензии путем откручивания системной даты привело к тому,
> что вся защита KAV легко и непринужденно отключается
> простым переводом даты на год назад (неплохой подарок для
> атакующих):

c:\> date 24.07.2006

> Производитель поставлен в известность более года назад.

Про подобный "нюанс" касперского я был в курсе года 4 минимум. И если в 4й версии (ЕМНИП) можно было легко обмануть регистрацию откруткой даты, то в 5й (ЕМНИП) это дело "исправили", так что даже БАНАЛЬНЫОЕ УМИРАНИЕ БАТАРЕЙКИ на материнке приводит к отключению каспера и невозможность его последующей переустановки. Конечно, можно почистить реестр, но антивирус так глубоко "прописывается" в системе, что вручную лучше и не пробовать. Правда, в последнее время появились разные анинсталлеры, фиксирующие состояние системы до и после установки, но достоин ли каспер таких извращений?
А вы говорите - атаки, безопасность 8-)
Не надо жути... 29.07.07 10:50  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
> c:\> date 24.07.2006
И что?

> > Производитель поставлен в известность более года назад.
Это да, плохо конечно, что Каксперыч и Ко в погоне за баблом могут жертвовать безопасностью пользователя.

> Про подобный "нюанс" касперского я был в курсе года 4
> минимум. И если в 4й версии (ЕМНИП) можно было легко
> обмануть регистрацию откруткой даты, то в 5й (ЕМНИП) это
> дело "исправили", так что даже БАНАЛЬНЫОЕ УМИРАНИЕ
> БАТАРЕЙКИ на материнке приводит к отключению каспера и
> невозможность его последующей переустановки.
Оно для Вас банальное, для компутера это катастрофа, радуйтесь что загрузились вааще, а не то, что время уплыло -)


> Конечно, можно почистить реестр, но антивирус так глубоко прописывается"
> в системе, что вручную лучше и не пробовать. Правда, в
> последнее время появились разные анинсталлеры, фиксирующие
> состояние системы до и после установки, но достоин ли
> каспер таких извращений?
Не было на моём опыте извращений с Каспером, если время корректное, и лицензия валидна до сих пор, нет проблемы инсталлировать её снова.
Имея административные привилегии (для открутки времени), Каспера можно и по другому сломать... 25.07.07 10:22  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
необязательно 25.07.07 11:57  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
Можно придумать другой сценарий атаки, когда время откручивается в результате синхронизации с левым сервером.
С такой квалификацией можно и попроще найти методы обойти Каспера -)) 25.07.07 12:16  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
Поднимаем левый NTP, объясняем винде куда нтпиться - всё работает! 28.07.07 11:05  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 28.07.07 11:10  Количество правок: 1
<"чистая" ссылка>
А обяснить можно записью в параметр ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime\Servers\, манипуляцией с файлом hosts (так как большинство нтплений идут c time.pindows.com, можно более централизовано, есл есть возможность влиять на DNS-запросы-ответы) или как-то ещё.
Засаду дядя Женя сделал ;)
Только вот, чтобы писать в эту ветку и файл, надо локального... 28.07.07 11:37  
Автор: Winer <Виктор С.> Статус: Member
<"чистая" ссылка>
> А обяснить можно записью в параметр ветки
> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio
> n\DateTime\Servers\, манипуляцией с файлом hosts (так как
> большинство нтплений идут c time.pindows.com, можно более
> централизовано, есл есть возможность влиять на
> DNS-запросы-ответы) или как-то ещё.
> Засаду дядя Женя сделал ;)
Только вот, чтобы писать в эту ветку и файл, надо локального админа, а тогда я думаю таких хитростей не надо. Если только осуществить атаку на DNS-сервер юзерской машины :)
+1. Вообще необязательно сильно извращаться, так как большинство юзеров сидит под локальным админом 28.07.07 13:08  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 28.07.07 13:21  Количество правок: 2
<"чистая" ссылка>
Охват будет порядка 95% аудитории индивидуальных пользователей (личное мнение). Собсно большинство вирей на это и ориентируется как я понимаю
А так как лицензия у касперыча не мб дольше чем на 1 год, то делаем time:=time-1Year и касперыч отваливается с вероятностью 100%.
В предположении, что есть право писать в HKEY_CLASSES_ROOT, делаем ещё одну га-адкую гадость: при первом удобном случае убиваем HKEY_CLASSES_ROOT\LK.Auto и после перезагрузки имеем касперыча вообще без ключа ;). Работает для KAV 5.x, 6x. Можно ж было б сделать, чтобы эта ветка скрывалась от Windows API также, как касперячьи потоки? Можно. Вот теперь и ещё одна засада.
Одно дело-ломать, и совсем другое-когда оно само лапки кверху =) 25.07.07 10:28  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
И всё-таки открутка времени это из разряда вандализма, никогда не знаешь, на что это может повлиять... -)) 25.07.07 11:20  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
А любые трояны не особо заботятся о благосостоянии атакуемого. 25.07.07 12:35  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach