BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/rsn/archive/2007/07/05.html

Отключение защиты антивируса Касперского
dl // 24.07.07 23:00
Стремление защитить свои продукты от наивного продления лицензии путем откручивания системной даты привело к тому, что вся защита KAV легко и непринужденно отключается простым переводом даты на год назад (неплохой подарок для атакующих): c:\> date 24.07.2006

Производитель поставлен в известность более года назад.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2007/07/05.html]

Vendor contact timeline:
2006-06-15: vendor notified via Russian forum
2006-06-15: vendor replied via forum (private message)
2007-07-09: vendor asked via forum and VIP-Support
2007-07-09: vendor replied "Issue - 26328"

Источник: Kaspersky Lab Forum via BORODA(C)    
предложить новость  |  обсудить  |  все отзывы (11) [11744]
назад «  » вперед

последние новости
Microsoft обещает радикально усилить безопасность Windows в следующем году // 19.11.24 17:09
Ядро Linux избавляется от российских мейнтейнеров // 23.10.24 23:10
20 лет Ubuntu // 20.10.24 19:11
Tailscale окончательно забанила российские адреса // 02.10.24 18:54
Прекращение работы антивируса Касперского в США // 30.09.24 17:30
Microsoft Authenticator теряет пользовательские аккаунты // 05.08.24 22:21
Облачнолазурное // 31.07.24 17:34

Комментарии:

c:\> date 24.07.2006 27.07.07 09:27  
Автор: kva Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Стремление защитить свои продукты от наивного продления
> лицензии путем откручивания системной даты привело к тому,
> что вся защита KAV легко и непринужденно отключается
> простым переводом даты на год назад (неплохой подарок для
> атакующих):

c:\> date 24.07.2006

> Производитель поставлен в известность более года назад.

Про подобный "нюанс" касперского я был в курсе года 4 минимум. И если в 4й версии (ЕМНИП) можно было легко обмануть регистрацию откруткой даты, то в 5й (ЕМНИП) это дело "исправили", так что даже БАНАЛЬНЫОЕ УМИРАНИЕ БАТАРЕЙКИ на материнке приводит к отключению каспера и невозможность его последующей переустановки. Конечно, можно почистить реестр, но антивирус так глубоко "прописывается" в системе, что вручную лучше и не пробовать. Правда, в последнее время появились разные анинсталлеры, фиксирующие состояние системы до и после установки, но достоин ли каспер таких извращений?
А вы говорите - атаки, безопасность 8-)
Не надо жути... 29.07.07 10:50  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
> c:\> date 24.07.2006
И что?

> > Производитель поставлен в известность более года назад.
Это да, плохо конечно, что Каксперыч и Ко в погоне за баблом могут жертвовать безопасностью пользователя.

> Про подобный "нюанс" касперского я был в курсе года 4
> минимум. И если в 4й версии (ЕМНИП) можно было легко
> обмануть регистрацию откруткой даты, то в 5й (ЕМНИП) это
> дело "исправили", так что даже БАНАЛЬНЫОЕ УМИРАНИЕ
> БАТАРЕЙКИ на материнке приводит к отключению каспера и
> невозможность его последующей переустановки.
Оно для Вас банальное, для компутера это катастрофа, радуйтесь что загрузились вааще, а не то, что время уплыло -)


> Конечно, можно почистить реестр, но антивирус так глубоко прописывается"
> в системе, что вручную лучше и не пробовать. Правда, в
> последнее время появились разные анинсталлеры, фиксирующие
> состояние системы до и после установки, но достоин ли
> каспер таких извращений?
Не было на моём опыте извращений с Каспером, если время корректное, и лицензия валидна до сих пор, нет проблемы инсталлировать её снова.
Имея административные привилегии (для открутки времени), Каспера можно и по другому сломать... 25.07.07 10:22  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
необязательно 25.07.07 11:57  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
Можно придумать другой сценарий атаки, когда время откручивается в результате синхронизации с левым сервером.
С такой квалификацией можно и попроще найти методы обойти Каспера -)) 25.07.07 12:16  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
Поднимаем левый NTP, объясняем винде куда нтпиться - всё работает! 28.07.07 11:05  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 28.07.07 11:10  Количество правок: 1
<"чистая" ссылка>
А обяснить можно записью в параметр ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime\Servers\, манипуляцией с файлом hosts (так как большинство нтплений идут c time.pindows.com, можно более централизовано, есл есть возможность влиять на DNS-запросы-ответы) или как-то ещё.
Засаду дядя Женя сделал ;)
Только вот, чтобы писать в эту ветку и файл, надо локального... 28.07.07 11:37  
Автор: Winer <Виктор С.> Статус: Member
<"чистая" ссылка>
> А обяснить можно записью в параметр ветки
> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio
> n\DateTime\Servers\, манипуляцией с файлом hosts (так как
> большинство нтплений идут c time.pindows.com, можно более
> централизовано, есл есть возможность влиять на
> DNS-запросы-ответы) или как-то ещё.
> Засаду дядя Женя сделал ;)
Только вот, чтобы писать в эту ветку и файл, надо локального админа, а тогда я думаю таких хитростей не надо. Если только осуществить атаку на DNS-сервер юзерской машины :)
+1. Вообще необязательно сильно извращаться, так как большинство юзеров сидит под локальным админом 28.07.07 13:08  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 28.07.07 13:21  Количество правок: 2
<"чистая" ссылка>
Охват будет порядка 95% аудитории индивидуальных пользователей (личное мнение). Собсно большинство вирей на это и ориентируется как я понимаю
А так как лицензия у касперыча не мб дольше чем на 1 год, то делаем time:=time-1Year и касперыч отваливается с вероятностью 100%.
В предположении, что есть право писать в HKEY_CLASSES_ROOT, делаем ещё одну га-адкую гадость: при первом удобном случае убиваем HKEY_CLASSES_ROOT\LK.Auto и после перезагрузки имеем касперыча вообще без ключа ;). Работает для KAV 5.x, 6x. Можно ж было б сделать, чтобы эта ветка скрывалась от Windows API также, как касперячьи потоки? Можно. Вот теперь и ещё одна засада.
Одно дело-ломать, и совсем другое-когда оно само лапки кверху =) 25.07.07 10:28  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
И всё-таки открутка времени это из разряда вандализма, никогда не знаешь, на что это может повлиять... -)) 25.07.07 11:20  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
А любые трояны не особо заботятся о благосостоянии атакуемого. 25.07.07 12:35  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
<добавить комментарий>





  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach