Антиантивирус

Абанов Георгий aka Zero Ice

Спецвыпуск: Хакер, номер #048, стр. 048-044-2

Подлости

К счастью, не всегда троянам приходится бороться за выживание на чужой территории. Бывают случаи, когда злоумышленнику лучше и надежней открыть доступ к компьютеру с помощью какой-нибудь маленькой, собственноручно сделанной троянской бомбы. Вся идея этой программки сводится к временной нейтрализации систем защиты для получения более безопасного канала связи с исследуемой системой. Поскольку зверек не внесен в антивирусные базы, резких действий (вроде моментального отключения антивируса/фаервола) применять не стоит. Достаточно прицепиться к какому-нибудь процессу и сделать пару-тройку обезоруживающих действий. Можно ограничиться правкой реестра. При желании можно создать небольшой список ключей известных средств защиты. Посмотрим внимательно на ветки HKCU\Software\Microsoft\Windows\CurrentVersion\Run и HKLM\Software\Microsoft\Windows\CurrentVersion\Run. Тут находятся все автораны для современных антивирусов и фаерволов. Для примера можем попробовать отключить одну из версий KAV:

var hTemp:HKEY;

begin

if RegOpenKeyEx(HKEY_LOCAL_MACHINE, 'Software\Microsoft\Windows\CurrentVersion\Run', 0, KEY_WRITE, hTemp) = ERROR_SUCCESS then

begin

RegDeleteValue(hTemp,'KAVPersonal50');

RegCloseKey(hTemp);

end;

Для настоящего борца за чистоту оперативной памяти от лишних антивирусов не составит труда проинсталлировать себе море лечебно-охранительного софта и начать охоту за ключиками ;). Кстати, в реестре есть еще одно интересное место: HKLM\SYSTEM\CurrentControlSet\Services – там хранится информация о сервисах. Можно немного поправить реестр и ждать перезагрузки. За информацию о сервисе KAV отвечает HKLM\SYSTEM\CurrentControlSet\kavsvc. Сотрем ветку реестра на API:

// Эту функцию надо объявить самим

function SHDeleteKeyA(hKey: HKEY; lpSubKey: PAnsiChar): Longint; stdcall;external 'shlwapi.dll';

…

begin

SHDeleteKeyA(HKEY_LOCAL_MACHINE, 'SYSTEM\CurrentControlSet\Services\kavsvc');

end;

…

Бывают, разумеется, случаи, когда ждать нельзя или не хочется, да еще и аверы себя защищают – не дают процесс убить. В этом случае нам поможет старая, как Винда, “уязвимость”. Я говорю об управлении программами через мессаги. Не будем рассматривать серии сообщений и “долгое” управление программами. На мой взгляд, это слишком нестабильно и может быть заметно для пользователя. Зато посылка одного нужного сообщения может принести очень хороший эффект.

Как-то раз, рассматривая полученное по почте “послание”, я заметил, что гость питает особые чувства к Panda. Пришлось поставить этот антивирус и посмотреть, что же будет дальше. Зверек сделал очень веселую гадость – провел что-то вроде Shatter-атаки :)! Он произвел замену заголовка на shell-код вида: