• Обратная связь: [email protected]

    Наш канал в telegram: https://t.me/ru_sfera

    Группа VK: https://vk.com/rusfera

    Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации

ВАЖНО Исходник антивируса Куранина, или как сделать фейковую программу


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 199
Репутация
8 332
Disk-Antivirus-Professional.jpg


Эта тема была создана как принципиальная позиция на действия здешнего форумчанина @Feger , а именно спам его на других ресурсах схожей тематики, но повлекло создание этого топика "жалоба" на нас, я этого не люблю, в итоге в данной теме выложу все исходники данной "поделки", а также суть работы таких программ...

Для начала разберёмся, что такое фейки и программы - фейки:

Фейк это подделка, в самом широком смысле. Английское слово Fake произносится как «фэйк» и переводится «поддельный, фальшивый».

Если говорить про сайты, то "Мастера меча и кинжала", делают поддельные сайты популярных сервисов, таких-как "вконтакте", "одноклассники" и т.д., для воровства аккаунтов.

Что такое "программы-фейки" ?

Это программы, которые имитируют свою деятельность, сейчас не так много но раньше хватало, фейковых оптимизаторов и т.д.

Но в данном случае идет речь об "антивирусе", который-лишь делает иллюзию защиты, причём в данном случае мы говорим о сознательном обмане людей.

Обратимся к истории:

Очень хорошо обмануть людей получилось так-называемому Алексею Бабушкину, который будуче
студентом из АлтГТУ, продал более 1000 лицензий своей фейковой программы.

Не трудно посчитать, что "Алексей продал более одной тысячи лицензий" и "годовое обслуживание антивируса стоит около 450 рублей" превращается в первые 450К.

Также 400 тысяч рублей Бабушкин получил от государства, так-сказать на доработку своей "антивирусной программы", но если вы следите за новостями и помните, что в итоге антивирус Бабушкина, это не что иное как фейк или иммитация защиты (Вообще подробнее если интересно можите глянуть тут ).

Хрен с ним с бабушкиным, вернёмся к его последователю, а именно к Илье Куранину (Он-же @Feger здесь):

Для начала рассмотрим алгоритм его программы:

1)При запуске антивирус создает кучу процессов, которые порождают кучу cmd.exe выполняющих такую же кучу bat-файлов.

Суть этих действий такова:

С некоей задержкой (которая создана способом ping lokalhost) производятся действия по редактированию некоторых мест реестра, которые любит коцать малварь (например, параметра Shell и Userinit) - производится их перезапись на дефолтное значение.

Также производится проверка на всех дисках до буквы J наличие файла autorun.inf для попытки его удаления как мегаопасного вируса. Также производится перезапись файла hosts на относительный дефолт (без МС-овских комментов).

Также производится мониторинг (также проверка в цикле через определенный таймаут) новых файлов в некоторых системных и не очень папках, на что затем выдается алерт об обнаружении и выбор что же с ним делать.

Всё это было и Бабушкина, как видите ничего особо автор и не поменял, какая-же особенность конкретно его антивируса:

1)Все модули (Exe-файлы), спрятаны под dll, например что-бы запустить антивирус, достаточно переименовать Core.dll в Core.exe.

2)Еще интересный модуль Find.dll, позволяет делать анализ файла, по сути это вот-что:

upload_2017-5-30_19-46-46.png


3)Многие модули, такие как Drive.dll и т.д., создают и исполняют батники, по ссылки ниже вы можите скачать эти батники и посмотреть что там.

Интересен батник файервола, этот код рандомно генерит IP адрес и порт и выдает сообщение о том, что подключение заблокировано, это к слову об иммитации деятельности.

4)Модуль антивируса, тут тоже имитация, начиная от неиспользуемых баз и заканчивая проверкой по именам файлов.

Какой-же итог:

Многим хочется срубить бабла по лёгкому, но обидно что человек в столь юном возрасте встал на такой путь, хотя удивляться не приходится.

У меня всё ! :)

А ну-да, ловите исходники, там можите делать что хотите:https://ru-sfera.org/Downloads/KuraninAV.rar

Пароль 123123
 
F

Feger

Гость
Да, не думал, что буду "воевать" с Ру-Сферой, однако во всяком случае останусь при своем.
Насчет неправильного пути - антивирус Куранина совершенно бесплатен, как и всегда... А защита есть везде.

Хотя больше ничего доказывать здесь я уже не буду.
 
Последнее редактирование модератором:

Fill

Пользователь
Форумчанин
Регистрация
25.02.2016
Сообщения
4
Лавры бабушкина не дают покоя :-D
 

virt

Уважаемый пользователь
Форумчанин
Регистрация
24.11.2016
Сообщения
704
Репутация
228
Автор этого фейка даже имена файлов не поменял от бабушкина, по сути модификация того фейка.

Понравилось фейковая блокировка портов на рандоме:

for /f "delims== tokens=2* skip=2" %%i in ('ping mail.ru -n 1 -w 1000') do (
set inetx=%%i
set inetx=!inetx:~1,1!
)

echo Антивирус Куранина предотвратил сетевое вторжение>>ERR
set xo=%random:~0,1%
if "!xo!"=="1" set prot=UDP
if "!xo!"=="2" set prot=TCP
if "!xo!"=="3" set prot=STP
if "!xo!"=="4" set prot=NetBIOS
if "!xo!"=="5" set prot=FTP
if "!xo!"=="6" set prot=IGRP
if "!xo!"=="7" set prot=ARCNET
if "!xo!"=="8" set prot=PPTP
if "!xo!"=="9" set prot=MPLS
echo %date% %time:~0,8%: Сетевая атака извне >>log.log
echo IP адрес атакующего: %num1%.%num2%.%num3%.%num4% >>log.log
echo Попытка подсоединения: %prot%>>log.log

Этот код рандомно генерит IP адрес и порт и выдает сообщение о том, что подключение заблокировано. Тут уж 100% имитация и дуриловка.
 
F

Feger

Гость
Да, с вами всеми хоть говори, хоть нет.

Еще раз повторяю, что это не фейк, а работающий антивирус с достаточно высокими показателями.

И я это доказывал своими сообщениями неоднократно, но меня никто не хочет слушать.



А эксперты просто хотят затоптать меня в землю, как это в свое время сделали с другими небольшими компаниями.

Однако на мою деятельность это никак не повлияет. Критика была всегда - и раньше, и сейчас, но многие из моего окружения с удовольствием используют мой антивирус - это и отраднинские родственники (скоро поеду отдыхать к ним), и просто незнакомые люди. И все они отмечают высокую скорость работы и стабильное состояние ОС.



В свое время Indy с Ру-Сферы, который делал "разбор" моего продукта, так же, как и Andybond, ругал (мягко сказано) Лабораторию Касперского -
default_wacko.png




Потом вспомним Kerish Antivirus 2005 (старожилы наверняка помнят). Его также не принимали, но сейчас он имеет 5 звезд по обеим категориям на Comss.ru! Поверьте, рано или поздно, то же самое случится и с антивирусом Куранина.



Поэтому у меня цель есть, а говорить все могут сколько угодно и что угодно.
 

DikiySan

Уважаемый пользователь
Форумчанин
Регистрация
22.02.2014
Сообщения
672
Репутация
2 093
> Потом вспомним Kerish Antivirus 2005 (старожилы наверняка помнят). Его также не принимали, но сейчас он имеет 5 звезд по обеим категориям на Comss.ru!

комсс , какая мерзость . а что там не имеет пять звёзд звёзды то турецкие хахаха
 

Indy

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
277
Репутация
105
Feger,

> В свое время Indy с Ру-Сферы, который делал "разбор" моего продукта, так же, как и Andybond, ругал (мягко сказано) Лабораторию Касперского

У инде скул овер какой, а ты же ребёнок есчо хитрожопый. Я твою любую поделку за пять минут разобрать могу. Десятилетие сис коденга и изучения матчасти, виксы а ты как думал fear
- ты вот всякой хуитой пакуешь модуля, не понимая что после пару десятков нажатий кнопки оно в памяти депакается. Ахуенно ты криптанул, долбоёб малолетний.

> Еще раз повторяю, что это не фейк, а работающий антивирус с достаточно высокими показателями.

Покажи справку от психиатра!
 
F

Feger

Гость
Feger

> Еще раз повторяю, что это не фейк, а работающий антивирус с достаточно высокими показателями.

Покажи справку от психиатра!

Я уже все доказывал на anti-malware, но Вам, видимо, надо это копировать сюда...

----------------------------------------------------------------------------------------------------------------------------

1) Я заметил, что практически у всех специалистов ИБ пошла интересная тенденция: когда появляется новый вендор, он, само собой, привлекает внимание публики. Если это крупная компания (примеры - Zillya, Nano), то это хорошо. Найдут ошибки, пообсуждают и добавят в каталоги. Но не дай Бог это будет небольшая группка людей (или, что еще хуже, один человек) - тут же, ни в чем не разобравшись, его затопчут на месте.

2) Теперь перейдем к антивирусу. Ну то, что никто еще не заразился, я повторять не буду. А как насчет защиты от уже упомянутых "темных" источников файлов? Из них-то как раз не менее 20% вредоносов в систему и попадает. + Свежие данные из баз malc0d'a и phishtank'a = полноценная веб-защита.

10701836.jpg


3) Запрет изменения домашней страницы браузера. Ведь никому не нравится, когда какая-то бяка наподобие Вулкана "внедряется" в Ваше рабочее место. Итак, я изменил страницу на некий Yamdex. Последовала моментальная сработка:




4) Совершенно разносторонний анализ: согласитесь, что на съемных накопителях не должно быть ярлыков, скриптов различного рода, скрытых объектов и прочего нежелательного мусора! А Антивирус Куранина прекрасно с этим справляется, да еще вакцинирует устройство!

10701843.jpg


5) В конце концов, про межсетевой экран. Это никакой не фейк, а действительно работающий модуль. Вот результаты сканирования портов с учетом того, что у нас функционирует исключительно антивирус Куранина (брандмауэр Windows отключен полностью):

10701869.jpg

10701870.jpg



А потом мне заявляют, что антивирус не работает... Я доказал то, что хотел, а выводы делает каждый сам.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 199
Репутация
8 332
А потом мне заявляют, что антивирус не работает... Я доказал то, что хотел, а выводы делает каждый сам.
Ну и зачем вы скопипастили это сюда, по мойму на антималваре этого-было достаточно.

По делу, этот "антивирус", просто крутящийся батник, который в цикле мониторит файлы и проверяет их по названию, такой подход в принципе не может защитить, тут даже на запуск нет проверки.

Файервол - Это фейк, там на рандоме блокировка портов, код приведён здесь ! :)

Также "антивирус" умно заблокировал в файле хостс файлообменники, в т.ч. и mega.nz ! :)

НЕБОЛЬШОЙ ИТОГ:

1. Данный фейковый антивирус - по сути это небольшая модификация фейкового антивируса бабушкина, по крайне-мере я кроме изменения интерфейса, ничего и не нашёл в нём.

2. Эти "антивирусы" на самом деле фейки, т.е. реально создают иллюзию защиты, но на самом деле только вредят, а-это те-же изменения файла хостс, пинги того-же маил ру (нагрузка на сеть).

3. Сама по себе такая программа создает уязвимости в безопасности, например взлом баз и протроянивание пользователей, я уже не говорю что постоянная дербание реестра и попытки удаления/замены системных файлов этого гм. продукта, черевата нехорошими последствиями ! :)

Короче если вы экстримал - то антивирус Куранина, это ваш выбор ! :)
 
F

Feger

Гость
Ну и зачем вы скопипастили это сюда, по мойму на антималваре этого-было достаточно.

Короче если вы экстримал - то антивирус Куранина, это ваш выбор ! :)

Здесь я спорить не буду. Но все же это не копия Бабушкина
 
Автор темы Похожие темы Форум Ответы Дата
B Фейки и программы-шутки 2
Верх Низ