Pull to refresh

Comments 58

> Опытным путем было установлено, что в капче используется всего 16 символов (откуда такая жадность дядя Женя?). Это отдельные цифры (0-9) и первые 6 букв латинского алфавита (A,B,C,D,E,F)

Наверное это шестнадцатеричная система счисления, в которой используются цифры от 0 до 9 и шесть первых латинских букв – A (10), B (11), C (12), D (13), E (14), F (15).
Да, я тоже так подумал
UFO just landed and posted this here
Спасибо, расширили кругозор.
Пора им делать нормальный Uninstall, a не это непонятно-что.
Троян разворачивающий утилиту на весь экран, чтобы считать 8 символов, это забавно… По мне лучше поковырять программку и исправить этот «баг» (капча, вопросы, окно). Так что практической пользы от Вашего взлома капчи на копейку. Да и явно удалять касперского из системы — еще одно палево.
Если «поковырять» программку, то убъется ЭЦП от Лаборатории, без нее вас драйвер и близко не подпустит чтобы его выгрузить.
а зачем ковырять исполняемый файл.

образ в памяти — не? один BEQ на BNE поменять и кнопку жмакнуть. или в винде нельзя залезть в память чужого процесса и проще капчку из скриншота ковырять?
А разве в этом случае еще работающий касперский не заблокирует процесс?
Вообще достоверно не известно как к этому делу отнесется самозащита драйвера Каспера… Подозреваю, что не все так просто.
>самозащита драйвера Каспера…

эммм… эта фиговина с капчей работает в режиме драйвера?

я не знаю, как там работает ваш касперческий, но наверное процедура должна быть такая:

* приложение запускается
* его патчат в памяти
* приложение лезет убивать касперческого
* касперческий лезет проверять подпись файла

по какому признаку самозащита антивируса будет мешать лезть в адресное пространство чужой для него софтины?
По-моему процедура будет не такой.
1. Приложение запускается
2. Его начинают патчить
3. Касперский убивает патчер

Хотя это целиком зависит от параноидальности касперского.
>Касперский убивает патчер

с какой радости? разве при установленном каспере не работают всякие пиратские лоадеры для варезного софта?
Работают, но только после разрешения пользователя.
Работают они по следующему принципу: замерли, дождались того что им скажет каспер, если тот разрешил — работают. Если они каким-то образом умудряются заблочить мышь/клаву, а каспер в интерактивном режиме — иногда случаются казусы типа смотрю на экран ничего не могу сделать.
черт побери, как же весело все в винде, так и хочется влиться в стройные ряды пользователей семерки, касперского и квипа!
Ремувер заносится в «Доверенные». Вирус полезет патчить его память, вылезет алерт Касперского.
а по мне это просто прекрасно :) на пример при простое компа больше 10 минут убить антивирь
Были же трояны, которые сами нажимали на кнопку «Пропустить» в вылетающем окне Каспера.
А, так это из-за них Касперским нельзя управлять по DameWare Mini Remote Control!
Мышку банально не сдвинуть с удалённого компьютера в пределы окна KAV.
Удаленно можно управлять корпоративными версиями и домашними 64-битными. Для домашней 32-битной версии надо отключать самозащиту.
Не только, кстати, в DameWare. Та же ерунда наблюдается с LogMeIn — и если что-то заблокировалось Каспером, то пока не пнешь вживую, не полетит…
зачем разворачивать? Можно сразу в дальний угол пихать, ну мелькнет что-то на экране, но пользователи-то невнимательные обычно. Можно еще картинку поверх ремувера красивую самим же трояном рисовать — типа «Вас приветствует центр безопасности Касперсокго»
Хорошая тема. Странно, что они так лоханулись. Видно, кто-то недоглядел и получит по шапке.

Успехов.
Теперь вы можете написать пост про то, как «лоханулись» Симантек и Макаффи — в их ремуверах каптчи нет вообще.
Ну может быть поэтому я и пользуюсь только вашими продуктами :)
Вообще коммент MAXH0, по-моему, заминусовали зря — для трояна в удалении антивируса смысла действительно мало, т.к. это сразу же демаскирует троян. Видимо, поэтому другие вендоры парятся на эту тему ещё меньше, т.к. не было прецедентов.
Ну не скажите… А как же, например, вин-блокеры???
Не знаю. На мой взгляд, если человеку нужен компьютер прямо сейчас и он готов послать смс, то ему и антивирус не поможет. Если же пользователь готов потратить время и силы на удаление зловреда, то он возьмёт live cd или т.п. (ведь штатным образом зайти в систему нельзя). Т.е. в обоих случаях наличие (или отсутствие) антивируса в системе ситуацию не меняет.
Речь, естественно, про новые угрозы, которые ещё не детектируются. Известные-то антивирь зарубит ещё до их запуска.
Не согласен. Вы что, сами не верите в свои супер-пупер проактивные технологии...??? Вообще-то тот же HIPS должен помогать как раз от новых угроз. Выгрузил HIPS и дорога свободна!
Да нет же. Чтобы выгрузить хипс, зловред уже должен запуститься. Если же он детектируется хипсом или проактивкой, KIS не даст ему стартовать и поместит в карантин. Либо (в зависимости от вердикта) ограничит функционал, так что тот не сможет управлять окном ремувера.

Факт остаётся фактом — найденная «уязвимость» так же присутствует и до сих пор не исправляется у 100% ведущих антивирусных вендоров. Значит, для этого есть свои причины, и дело совсем не в том что «кто-то недоглядел».
Мое демо попадает в «Слабые ограничения». Представьте: стартует моя прога, достает из своего тела ремувер, запускает его, удаляет каспера. Пока ничего криминального для HIPS, ведь так? Потом, достает из себя закриптованый трой, распаковывает и уже запускает его на чистом компе.
Не уверен, что прога с такой логикой работы по прежнему будет причисляться к «слабым ограничениям». Надо проверить.
Мол, «а посмотрите на них, у них ещё хуже»? Ну да, ещё хуже. И?
Из этого можно сделать вывод, что на это есть какая-то причина, а вовсе не «кто-то недоглядел».
Нехорошо врать. Капча из Norton Removal Tool
Почему же «врать»? Раньше не было, а что добавили, я просто не знал. Ну, значит пока только Макафи «лоханулся».
>Постараюсь рассказать о ней в следующий раз, если этот топик будет кому-то интересен.
Конечно интересен.
Сказал сотрудник Dr.Web :)
сам недавно был вынужден пользоваться Remover и так же промелькнули две мысли:
1) почему функционал Ремувера не встроен в uninstall и приходится проблему удаления каспера поручать отдельной утилите?
2) увидев капчу — понял что сломать её раз плюнуть и грохнуть каспера на компе — плёвое дело
В чистом виде — user help. Только не помощь пользователЮ, а помощь пользователЯ :-)

Спасибо за ваши старания.
Отлично, автору зачет! правильно мыслите. Точно так же регулярно нахожу подобные косяки в вебе, удивительно что такие оплошности оказались в Касперском. Удивительно как проблема обошла аналитиков. Наверное просто не было претендентов.
...4 — убрать утилиту из открытого доступа и отучить антивирь вообще что-либо добавлять в доверенные. «Кто не спрятался — я не виноват».
И прописать пункт «удаление невозможно», чтобы по судам не затаскали :-)

Или ещё круче: сделать службу по вызову: «приезжает квалифицированный чел с ремувером...» :-)

На самом деле тут два философских вопроса: дать пользователям возможность — значит это дело можно автоматизировать и написать бот. Для любой капчи. Не секрет ведь, что для распознавалки типа «индус» сложно что-то придумать в принципе.

Не дать — тоже не сахар: кому-то надо снести, а никак.

Оба способа сравнительно просто реализуются. Какой вариант выберете для себя вы?
У распознавалки типа «индус» слишком большая латентность, можно за ней проследить.
Старые версии каспера сносились еще проще и без ремувера. Зато сам каспер отлично ремувит чужие продукты. Тоже интересная тема, поскольку все более менее на виду.
Интересно, а эта утилита работает как «обнулятель» триала? :)
Присылаем «самораспаковывающийся архив со свежими фото берковой» который для своей распаковки попросит «ввести код с картинки» и можно зашивать в него ремувер с любой капчей ;)
UFO just landed and posted this here
Вообще-то такое у подавляющего большинства антивирусных вендоров есть.
Как представитель Лаборатории Касперского выражаю Вам громадный дизреспект за то, что сперва не сообщили нам. Обычно кулхакеры пытаются сообщить о лазейке в компанию-вендор, а затем, если уж компания забила на этот вопрос, то тогда уж сливать в открытую. К сожалению, такая «этика» не была соблюдена, хоть вы и хотите улучшить качество наших продуктов. Этим Вы подставили многих пользователей, которые теперь могут быть подвержены опасности.
Со своей же стороны мы будем решать вопрос по усилению защиты наших утилит.
О чем, что каптчу ремувера можно распознать?
Вам на форуме люди месяцами пишут про баги (настоящие) в зарелизиных продуктах…
А это вообще не баг, а слабость реализации защиты. Любой человек с глазами это видит. Кто-то из вашей команды на форуме писал мол «ну и что, и так давно было понятно, что капча плохая». Вот! Все давно видели это и ничего не сделали! И что так волноваться? Выше ваш коллега enkriptor вообще сказал что это все фигня и современным троям не надо отрубать антивирус… Вы уж придите к одному мнению.
Коллега прав в том смысле, что темы такого рода лучше отправлять в ЛК, а не в паблик. Но такая публикация не сделала бы репутации на хабре.
Спасибо за ответ.

Процесс багтрекинга и багфиксинга у нас работает не прекращаясь — и то, что продукт может выйти с определенными ошибками, каждый из нас понимает. Конечно, резонанс от сообщения на нашем офф.форуме и от сообщения здесь, существенен. Возможно, Вы просто не нашли способ нам сообщить о своей находке.
Надеюсь, в следующий раз (со следующей версией утилиты), если Вы найдете какие-то «особенности» работы утилиты, то сообщите, например, лично мне или другому представителю Лаборатории (я имею в в иду технарей).
Чем сложнее продукт, тем больше багов. У других проще, поэтому и багов меньше.
Кстати, мы исправили «удалятор» так, чтобы Вы были довольны. Можете проверить.
Sign up to leave a comment.

Articles