Вынос антивирей популярных производителей

[6AM6yK]

Мне хочеться спросить насчёт следующего: Хочу купить Каспера или НОД32. Уже решено покупать лицензии. Весь коллектив сказал что Каспер лучше, т.к для учебных заведений там есть скидки, а если брать типа "оптом" то ещё больше мона сэкономить, а у НОДа таких фенек нету, но компы слабые и т.д. Однако руководство хочет купить НОД32 из-за его простоты, но мы то сис админы наем что лучше покопаться день, другой с настройками, и жить без вирей, чем иметь "всё включено" и каждые 2 дня чистить систему от вирей. Так вот увидал в инете вот эти видюшки, и хочу попросить/спросить, те, кто шарят в этом антивирном деле, это фейк или реал выносят как щенков? Если не фейк, то я руководству покажу это, а оно в компах шарит, и оно решит покупать Каспера, и если это реальный вынос, то НОДа мы никупим никогда. В связи с этим, может кто поможет определить "истинность" этих выносов? В двух словах скажу что на всех видюхах: Чел создаёт *bat файл с кодом, запускает, тот останавливает СЛУЖБУ анивируса (нод, бит дефендер, др веб и т.д) и убивает ПРОЦЕСС без возможности автостарта. Так вот, фейк или не фейк, вот в чём вопрос... Везде разные антивири сравнивают с каспером, и его кстати немогут вынести с помощью этого батника, то биш самозащита у него лучше чем у остальных...

1) Bitdefender vs Kasper 7.0 - http://rapidshare.com/files/33914070/1.rar.html

2) BullGuard 7.0 vs Kasper 7.0 - http://rapidshare.com/files/35383082/Bull_vs_KIS.rar.html

3) NOD32 vs Kasper 7.0 - http://rapidshare.com/files/35581219/NOD_vs_KIS.rar.html

4) Avira vs Kasper 7.0 - http://rapidshare.com/files/37540641/Avira_vs_KIS.rar.html

5) Panda vs Kasper 7.0 - http://rapidshare.com/files/37585384/Panda_vs_KIS.rar.html

6) Dr. Web vs kasper 7.0 - http://rapidshare.com/files/37748490/DrWeb_vs_KIS.rar.html

7) Avira&Comodo Firewall vs Kasper 7.0 - http://rapidshare.com/files/40028500/Avira___Comodo.rar.html

[Sp0Raw]

Мне хочеться спросить насчёт следующего: Хочу купить Каспера или НОД32. Уже решено покупать лицензии. Весь коллектив сказал что Каспер лучше, т.к для учебных заведений там есть скидки, а если брать типа "оптом" то ещё больше мона сэкономить, а у НОДа таких фенек нету, но компы слабые и т.д. Однако руководство хочет купить НОД32 из-за его простоты, но мы то сис админы наем что лучше покопаться день, другой с настройками, и жить без вирей, чем иметь "всё включено" и каждые 2 дня чистить систему от вирей. Так вот увидал в инете вот эти видюшки, и хочу попросить/спросить, те, кто шарят в этом антивирном деле, это фейк или реал выносят как щенков? Если не фейк, то я руководству покажу это, а оно в компах шарит, и оно решит покупать Каспера, и если это реальный вынос, то НОДа мы никупим никогда. В связи с этим, может кто поможет определить "истинность" этих выносов? В двух словах скажу что на всех видюхах: Чел создаёт *bat файл с кодом, запускает, тот останавливает СЛУЖБУ анивируса (нод, бит дефендер, др веб и т.д) и убивает ПРОЦЕСС без возможности автостарта. Так вот, фейк или не фейк, вот в чём вопрос... Везде разные антивири сравнивают с каспером, и его кстати немогут вынести с помощью этого батника, то биш самозащита у него лучше чем у остальных...

1) Bitdefender vs Kasper 7.0 - http://rapidshare.com/files/33914070/1.rar.html

Первого же ролика достаточно, чтобы понять, что это наглая реклама Касперского с обманом "зрителей", неразбирающихся в технических подробностях.

Смотрим первую часть. "Вынос BitDefender". В .bat-файле есть строчка: "start net stop amon". И в случае с BitDefender - это, конечно, хорошо, ибо "amon" - это его часть. Смотрим вторую часть первого ролика. И что же мы видим?! .bat-файл первой строчкой которого идет... "вынос" того самого "amon". Но, простите, какое отношение amon (service или driver) имеет к Касперскому?! У него драйвера klif.sys, k1.sys и еще один какой-то. А так же сервис AVP.EXE. Не удивительно, что если не пытаться выгрузить ядро Касперского, оно и не будет выгружено. :) (Получится выгрузить или не получится - это уже другой вопрос; важно то, что в видео снят полный бред). С тем же успехом можно было бы написать какой-нибудь бред вроде "start net stop super_yadro_kasperskogo". И оно тоже не было бы выгружено. :)

Дальше можно не смотреть.

[ser208]

Видео на скачивал, траф не позволяет. Всегда думал, что amon.sys драйвер NODa.

Вообще каспер не дает свои процессы убить из Диспетчера, пишет "отказано в доступе".

Я не утверждаю, что это невозможно, но этой командой "start net stop ..." его не свалить.

Изменено 6 августа, 2007 пользователем ser208

[Saule]

Везде разные антивири сравнивают с каспером, и его кстати немогут вынести с помощью этого батника, то биш самозащита у него лучше чем у остальных...

На, держи. В том же стиле (только не батник, а 'bruteforce message posting').

KAV_01.rar альтернативный линк: http://www.rapidshare.ru/364778

P.S. Повторюсь: любой антивирус можно не только легко отключить, но и деинсталлировать. Пользователь с соответствующими правами делает это несколькими кликами мыши. Это стандартная возможность любого ав, которую несложно повторить программным путем.

KAV_01.rar

Изменено 7 августа, 2007 пользователем Saule

[Sp0Raw]

Видео на скачивал, траф не позволяет. Всегда думал, что amon.sys драйвер NODa.

Тем более! Если так, то это видео - вообще полнейший fake. (Я не особо интересовался происхождением "amon", знаю лишь, что к Касперскому никакого отношения не имеет точно).

[Loader]

P.S. Повторюсь: любой антивирус можно не только легко отключить, но и деинсталлировать. Пользователь с соответствующими правами делает это несколькими кликами мыши. Это стандартная возможность любого ав, которую несложно повторить программным путем.

Если на антивирусе стоит пароль для его запуска - это спасет положение?

[Saule]

Если на антивирусе стоит пароль для его запуска - это спасет положение?

Небольшая поправка: пароль устанавливается не для запуска, а от выгрузки. И безопасней всё-таки работать без прав администратора.

Так как при желании убедить антивирус в том, что пароль совпадает - программным путем тоже можно (если в двух словах, то там работают такие же обычные команды и конечный модуль всего лишь получает от другого модуля подтверждение на то, что с паролем всё ок - если это обойти и просто послать подтверждение конечному модулю, то знать пароль даже не нужно). Хотя в ряде случаев (особенно, в случае с Касперским) + в качестве защиты от самого пользователя - да, действительно спасает. Единственное, нужно иметь в виду то, что в некоторых антивирусах парольная защита представляет собой лишь защиту на изменение пользовательских настроек, и на выгрузку программы (тем более "агрессивными" методами) пароль никак не повлияет.

[NickGolovko]

Я понял эти материалы как шутку.

[Iomhar Dealgach]

ИМХО: SpORaw ближе к истине - это все-же достаточно агрессивная реклама Каспера!

[Saule]

Отключение защиты антивируса Касперского (protection bypass)

Вредоносное приложение может отключить антивирусную защиту путем установки даты на год назад.

Затронутые продукты: KIS/KAV v5/6/7

...Стремление защитить свои продукты от наивного продления лицензии путем откручивания системной даты привело к тому, что

вся

защита KAV легко и непринужденно отключается простым переводом даты на год назад (неплохой подарок для атакующих): c:\> date 24.07.2006

Производитель поставлен в известность более года назад...

[engineer garin]

Отключение защиты антивируса Касперского (protection bypass)

Вредоносное приложение может отключить антивирусную защиту путем установки даты на год назад.

Затронутые продукты: KIS/KAV v5/6/7

...Стремление защитить свои продукты от наивного продления лицензии путем откручивания системной даты привело к тому, что

вся

защита KAV легко и непринужденно отключается простым переводом даты на год назад (неплохой подарок для атакующих): c:\> date 24.07.2006

Производитель поставлен в известность более года назад...

Действительно , простая , изящ.ная мысль.Но перед этим Касперский должен пропустить вирус.

[Saule]

Действительно , простая , изящ.ная мысль.Но перед этим Касперский должен пропустить вирус.

Вы так говорите, как будто бы это нечто совсем невозможное.

Ведь любой(!) вирус прежде чем попасть в антивирусные базы какое-то время гуляет по сети "безнаказанно" (т.е. сначала он кого-нибудь заражает и лишь только потом попадает антивирусным аналитикам. Это логичная закономерность и было бы странно, если бы это было наоборот).

К тому же, если речь идёт о целенаправленной атаке, то атакующий может сначала просто перевести время (не делая при этом никаких других действий, на которые антивирус обратил бы внимание). Затем убедиться в том, что защита на самом деле отключена. И только потом уже совершать что-нибудь нехорошее (в том числе и осуществлять запуск вирусов).

P.S. Речь в этой теме шла о выгрузке и самозащите антивирусов популярных производителей.

KAV_02.rarальтернативный линк: http://www.rapidshare.ru/368311

KAV_02.rar

[Форматцевт]

Saule: попробовал - не прошло или я перезащитился или у меня хорошо комп защищён :) (тавтология) :)

[Saule]

Saule: попробовал - не прошло или я перезащитился или у меня хорошо комп защищён :) (тавтология) :)

Что именно ты попробовал и что именно не прошло?

[Форматцевт]

Saule: поменять дату ..... руками, а что надо было что то запустить? Просто я в выходные усиленно торможу :)

[Saule]

Saule: поменять дату ..... руками, а что надо было что то запустить?

Да без разницы как именно переводить (руками или командой date). У тебя лицензия на сколько лет была куплена? Суть в том, что время нужно перевести на такую дату, когда она точно была еще недействительна. Переведи на несколько лет назад (только вперед не переводи, так как возможности включить Касперского назад, скорее всего, не будет).

[engineer garin]

Вы так говорите, как будто бы это нечто совсем невозможное.

Ведь любой(!) вирус прежде чем попасть в антивирусные базы какое-то время гуляет по сети "безнаказанно" (т.е. сначала он кого-нибудь заражает и лишь только потом попадает антивирусным аналитикам. Это логичная закономерность и было бы странно, если бы это было наоборот).

К тому же, если речь идёт о целенаправленной атаке, то атакующий может сначала просто перевести время (не делая при этом никаких других действий, на которые антивирус обратил бы внимание). Затем убедиться в том, что защита на самом деле отключена. И только потом уже совершать что-нибудь нехорошее (в том числе и осуществлять запуск вирусов).

P.S. Речь в этой теме шла о выгрузке и самозащите антивирусов популярных производителей.

KAV_02.rarальтернативный линк: http://www.rapidshare.ru/368311

Вобще-то слишком грубо, выгрузка АВ заметна, в большинстве случаев.Есть вирусы не блокирующие АВ а использующие АВ. Впрочем ЛК надеюсь, думала об этом.

[Форматцевт]

Saule:

Переведи на несколько лет назад (только вперед не переводи, так как возможности включить Касперского назад, скорее всего, не будет).

будет :) ... уже проверил. У меня CV - может по этому :)

[Saule]

Saule: будет ;) ... уже проверил. У меня CV - может по этому

Я не знаю, что такое CV. А бага на самом деле известная. В том числе и разработчикам Kaspersky Lab.

[Saule]

Старый ролик, имеющий весьма посредственное отношение к самозащите, но тем не менее для "коллекции":

KAV6 PDM vs very_bad_rootkit

http://www.gmer.net/kav6.wmv' rel="external nofollow">

(1,4MB Windows Media Video 9 codec)

модуль проактивной защиты KAV6 и очень плохой руткит

[engineer garin]

Я не знаю, что такое CV. А бага на самом деле известная. В том числе и разработчикам Kaspersky Lab.

Ваше предположение оправдалось.Недавно на форуме Касперского появилось сообщение о выгрузке КАВ, даже не чихнул.