Kaspersky

Почему антивирус можно закрыть через диспетчер задач?



Show first post

38 replies

Userlevel 4
Badge +1

Да, при остановке двух процессов - avp.exe и avpui.exe они не восстанавливаются.

Вечером проверю на KIS. Если воспроизводится, напишу запрос  ТП.

Userlevel 5
Badge +2

Зачем запрос?

Любое ПО установившее драйвера ring-0 может действовать на компьютере как угодно. Может выгружать любые программы из памяти. Останавливать серсисы и прочее. Это логика работы системы и никуда от неё не деться.

Точно также можно взять AVZ составить скрипт и с её помощью удалить антивирус. Именно удалить а не просто выгрузить.

Userlevel 7
Badge +6

@Yury N.@Andrey Kirzhemanov поможете с проблемой? 
Ранее вроде драйвер Process Hacker, который мог выгрузить продукт,  удалялся по умолчанию.

Ну как бы если в антивирусе есть самозащита то он по идее не должен разрешать устанавливать такие драйвера в систему или хотя бы предупреждать что программа может использоваться злоумышленниками для нанесения вреда компьютеру (достаточно 10 строк кода чтобы запустить эту программу выделить процесс антивируса и нажать клавишу delete , enter)

 

Ссылка на этот альтернативный диспетчер задач https://wj32.org/processhacker/nightly.php он никак не определяется антивирусом. 

Userlevel 7
Badge +3

предупреждать что программа может использоваться злоумышленниками для нанесения вреда компьютеру 

 

Как включить обнаружение программ, которые могут быть использованы злоумышленниками

предупреждать что программа может использоваться злоумышленниками для нанесения вреда компьютеру 

 

Как включить обнаружение программ, которые могут быть использованы злоумышленниками

Включено но никак не обнаруживает эту программу.

Userlevel 7
Badge +3

@Kasperono ,  если не обнаруживает, то создавайте запрос к специалистам ТП

Userlevel 7
Badge +6

Интересный сценарий получается:
1. Подключаешься удаленно к компьютеру на котором стоит антивирус.
2. Запускаешь Process Hacker с правами администратора. Антивирус его детектирует, но не удаляет. - not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen.
3. Через Process Hacker завершаешь все процессы антивируса.
4. Запускаешь вирус (шифровальщик) и ждешь выкупа :thinking:

Userlevel 4
Badge +1

@Friend, ну только надо иметь на этом компьютере права администратора. Иначе эти процессы не убьешь.

Но Process Hacker детектируется как not-a-virus только в его релизной версии. А ТС ведет речь о night builds-ах, которые регулярно выходят. Так вот они вообще никак не детектируются. То есть детект чисто сигнатурный.

@kmscom, у ТС Free версия Security Cloud

Userlevel 5
Badge +2

Имея права администратора можно много всего плохого наделать. Если антивирус без пароля, можно его просто отключить. Документы можно скопировать себе, а потом безвозвратно удалить и просить выкуп. А там как фантазия подскажет.

Userlevel 7
Badge +6

@Denis-NN при удаленном подключение антивирус не дает возможности взаимодействовать с интерфейсом продукта, если соответствующее приложение не было добавлено в исключения или в настройках самозащиты установлена галочка Разрешить управление настройками Kaspersky Internet Security через программы удаленного управления

@andrew75 у большинства людей один пользователь с правами администратора, для удаленного подключения можно использовать какую-нибудь уязвимость, даже детектируя релизную версию  Process Hacker, он не удаляет ее, а предлагает выбор, хотя в настройках стоит удалить.

Не знаю о чем вы но у меня стоит 3 версия (из “nightbuilds”) и в Касперском включено обнаружение таких программ, и ничего, молчит. Может самозащита невероятно слабая раз возможно написать драйвер который с легкостью убьет Касперского?

Userlevel 5
Badge +2

@Friend хорошо. Отключить нельзя. Но удалить можно. Только что специально проверил на обычной десятке и KSC. Спокойно удалил с использованием тимвьевера.

Reply / Ответить