информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Страшный баг в WindowsПортрет посетителяГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Имя компании как средство XSS-атаки 
 Утекший код XP и Windows Server... 
 Дела виртуальные 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / RSN / архив / 2007 / июль
2007
главная
январь
февраль
март
апрель
май
июнь
июль
август
сентябрь
октябрь
ноябрь
декабрь
предложить новость





Отключение защиты антивируса Касперского
dl // 24.07.07 23:00
Стремление защитить свои продукты от наивного продления лицензии путем откручивания системной даты привело к тому, что вся защита KAV легко и непринужденно отключается простым переводом даты на год назад (неплохой подарок для атакующих): c:\> date 24.07.2006

Производитель поставлен в известность более года назад.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2007/07/05.html]

Vendor contact timeline:
2006-06-15: vendor notified via Russian forum
2006-06-15: vendor replied via forum (private message)
2007-07-09: vendor asked via forum and VIP-Support
2007-07-09: vendor replied "Issue - 26328"

Источник: Kaspersky Lab Forum via BORODA(C)      
предложить новость  |  обсудить  |  все отзывы (11) [11076]
назад «  » вперед

последние новости
Имя компании как средство XSS-атаки // 30.10.20 17:01
Утекший код XP и Windows Server удалось собрать // 01.10.20 01:40
Дела виртуальные // 30.09.20 22:36
Простое пробивание рабочего/провайдерского NAT с помощью Tailscale // 20.08.20 03:02
400 уязвимостей в процессорах Snapdragon // 08.08.20 08:08
Яндекс неуклюже оправдался за установку Теледиска // 29.07.20 17:09
Infosec-сообщество не поддержало отказ от термина black hat // 04.07.20 18:50

Комментарии:

c:\> date 24.07.2006 27.07.07 09:27  
Автор: kva Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Стремление защитить свои продукты от наивного продления
> лицензии путем откручивания системной даты привело к тому,
> что вся защита KAV легко и непринужденно отключается
> простым переводом даты на год назад (неплохой подарок для
> атакующих):

c:\> date 24.07.2006

> Производитель поставлен в известность более года назад.

Про подобный "нюанс" касперского я был в курсе года 4 минимум. И если в 4й версии (ЕМНИП) можно было легко обмануть регистрацию откруткой даты, то в 5й (ЕМНИП) это дело "исправили", так что даже БАНАЛЬНЫОЕ УМИРАНИЕ БАТАРЕЙКИ на материнке приводит к отключению каспера и невозможность его последующей переустановки. Конечно, можно почистить реестр, но антивирус так глубоко "прописывается" в системе, что вручную лучше и не пробовать. Правда, в последнее время появились разные анинсталлеры, фиксирующие состояние системы до и после установки, но достоин ли каспер таких извращений?
А вы говорите - атаки, безопасность 8-)
Не надо жути... 29.07.07 10:50  
Автор: HandleX <Александр Майборода> Статус: The Elderman
<"чистая" ссылка>
> c:\> date 24.07.2006
И что?

> > Производитель поставлен в известность более года назад.
Это да, плохо конечно, что Каксперыч и Ко в погоне за баблом могут жертвовать безопасностью пользователя.

> Про подобный "нюанс" касперского я был в курсе года 4
> минимум. И если в 4й версии (ЕМНИП) можно было легко
> обмануть регистрацию откруткой даты, то в 5й (ЕМНИП) это
> дело "исправили", так что даже БАНАЛЬНЫОЕ УМИРАНИЕ
> БАТАРЕЙКИ на материнке приводит к отключению каспера и
> невозможность его последующей переустановки.
Оно для Вас банальное, для компутера это катастрофа, радуйтесь что загрузились вааще, а не то, что время уплыло -)


> Конечно, можно почистить реестр, но антивирус так глубоко прописывается"
> в системе, что вручную лучше и не пробовать. Правда, в
> последнее время появились разные анинсталлеры, фиксирующие
> состояние системы до и после установки, но достоин ли
> каспер таких извращений?
Не было на моём опыте извращений с Каспером, если время корректное, и лицензия валидна до сих пор, нет проблемы инсталлировать её снова.
Имея административные привилегии (для открутки времени), Каспера можно и по другому сломать... 25.07.07 10:22  
Автор: HandleX <Александр Майборода> Статус: The Elderman
<"чистая" ссылка>
необязательно 25.07.07 11:57  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
Можно придумать другой сценарий атаки, когда время откручивается в результате синхронизации с левым сервером.
С такой квалификацией можно и попроще найти методы обойти Каспера -)) 25.07.07 12:16  
Автор: HandleX <Александр Майборода> Статус: The Elderman
<"чистая" ссылка>
Поднимаем левый NTP, объясняем винде куда нтпиться - всё работает! 28.07.07 11:05  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 28.07.07 11:10  Количество правок: 1
<"чистая" ссылка>
А обяснить можно записью в параметр ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime\Servers\, манипуляцией с файлом hosts (так как большинство нтплений идут c time.pindows.com, можно более централизовано, есл есть возможность влиять на DNS-запросы-ответы) или как-то ещё.
Засаду дядя Женя сделал ;)
Только вот, чтобы писать в эту ветку и файл, надо локального... 28.07.07 11:37  
Автор: Winer <Виктор С.> Статус: Member
<"чистая" ссылка>
> А обяснить можно записью в параметр ветки
> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio
> n\DateTime\Servers\, манипуляцией с файлом hosts (так как
> большинство нтплений идут c time.pindows.com, можно более
> централизовано, есл есть возможность влиять на
> DNS-запросы-ответы) или как-то ещё.
> Засаду дядя Женя сделал ;)
Только вот, чтобы писать в эту ветку и файл, надо локального админа, а тогда я думаю таких хитростей не надо. Если только осуществить атаку на DNS-сервер юзерской машины :)
+1. Вообще необязательно сильно извращаться, так как большинство юзеров сидит под локальным админом 28.07.07 13:08  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 28.07.07 13:21  Количество правок: 2
<"чистая" ссылка>
Охват будет порядка 95% аудитории индивидуальных пользователей (личное мнение). Собсно большинство вирей на это и ориентируется как я понимаю
А так как лицензия у касперыча не мб дольше чем на 1 год, то делаем time:=time-1Year и касперыч отваливается с вероятностью 100%.
В предположении, что есть право писать в HKEY_CLASSES_ROOT, делаем ещё одну га-адкую гадость: при первом удобном случае убиваем HKEY_CLASSES_ROOT\LK.Auto и после перезагрузки имеем касперыча вообще без ключа ;). Работает для KAV 5.x, 6x. Можно ж было б сделать, чтобы эта ветка скрывалась от Windows API также, как касперячьи потоки? Можно. Вот теперь и ещё одна засада.
Одно дело-ломать, и совсем другое-когда оно само лапки кверху =) 25.07.07 10:28  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
И всё-таки открутка времени это из разряда вандализма, никогда не знаешь, на что это может повлиять... -)) 25.07.07 11:20  
Автор: HandleX <Александр Майборода> Статус: The Elderman
<"чистая" ссылка>
А любые трояны не особо заботятся о благосостоянии атакуемого. 25.07.07 12:35  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
<добавить комментарий>


анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



  Copyright © 2001-2020 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach