Kaspersky

Почему антивирус можно закрыть через диспетчер задач?

  • 9 February 2020
  • 45 replies
  • 1180 views

Userlevel 1

Почему я могу через Process Hacker нажать DELETE и антивирус отключится?

 

Теперь просто жмем DELETE 

И все, антивируса нет. 

Что это за антивирус который не защищает сам себя от закрытия сторонними программами???? Любой вирус может просто закрыть касперский и спокойно делать что захочет!


45 replies

Userlevel 6
Badge +6

Ответ ТП:

Обсуждаемое на форуме поведение программы Process Hacker нам известно. Оно связано с тем, что программа работает через драйвер режима ядра. На текущий момент воспользоваться утилитой без прав администратора невозможно и поэтому поведение является ожидаемым.
На будущее создано пожелание поддержать сценарий в котором продукт не сможет быть выгружен данной программой.

Userlevel 6
Badge +6

@Anton Mefodys, да, и в теме отмечается, что для удаления процессов анитивируса программа запрашивает права администратора.

Я не уверен, что эта ситуация опасна. Создав запрос я хотел прежде всего получить официальный ответ разработчиков, считают ли они ее опасной.

Userlevel 6
Badge +5

Да. Поэтому и не вижу ошибки в таком поведении антивируса. Если злоумышленник получил на атакуемом компьютере права администратора, то не зачем использовать такие сложные действия как работа с процесхакером.

Userlevel 5
Badge +2

Ремарка: если вы пользователь без прав Администратора, то вы не сможете запустить Process Hacker.

Если злоумышленник получил права Администратора, то система считается скомпрометированной. В этом случае, например, можно запустить систему в Безопасном режиме, и также удалить любую программу в системе, включая антивирусное ПО.

Userlevel 6
Badge +2

Создал запрос в ТП  - INC000011478006

@andrew75 Спасибо, сообщите, пожалуйста, чем закончится разбирательство в инциденте. 

Userlevel 6
Badge +6

Создал запрос в ТП  - INC000011478006

Userlevel 6
Badge +6

@Danila T., видимо нет.

Сейчас проверил, в 21-й версии ничего в этом отношении не изменилось.

Userlevel 3
Badge

Добрый день!

В Поддержку, в итоге, кто либо написал? :) 

Userlevel 6
Badge +5

@Friend хорошо. Отключить нельзя. Но удалить можно. Только что специально проверил на обычной десятке и KSC. Спокойно удалил с использованием тимвьевера.

Userlevel 1

Не знаю о чем вы но у меня стоит 3 версия (из “nightbuilds”) и в Касперском включено обнаружение таких программ, и ничего, молчит. Может самозащита невероятно слабая раз возможно написать драйвер который с легкостью убьет Касперского?

Userlevel 7
Badge +8

@Denis-NN при удаленном подключение антивирус не дает возможности взаимодействовать с интерфейсом продукта, если соответствующее приложение не было добавлено в исключения или в настройках самозащиты установлена галочка Разрешить управление настройками Kaspersky Internet Security через программы удаленного управления

@andrew75 у большинства людей один пользователь с правами администратора, для удаленного подключения можно использовать какую-нибудь уязвимость, даже детектируя релизную версию  Process Hacker, он не удаляет ее, а предлагает выбор, хотя в настройках стоит удалить.

Userlevel 6
Badge +5

Имея права администратора можно много всего плохого наделать. Если антивирус без пароля, можно его просто отключить. Документы можно скопировать себе, а потом безвозвратно удалить и просить выкуп. А там как фантазия подскажет.

Userlevel 6
Badge +6

@Friend, ну только надо иметь на этом компьютере права администратора. Иначе эти процессы не убьешь.

Но Process Hacker детектируется как not-a-virus только в его релизной версии. А ТС ведет речь о night builds-ах, которые регулярно выходят. Так вот они вообще никак не детектируются. То есть детект чисто сигнатурный.

@kmscom, у ТС Free версия Security Cloud

Userlevel 7
Badge +6

@Kasperono ,  если не обнаруживает, то создавайте запрос к специалистам ТП

Userlevel 1

предупреждать что программа может использоваться злоумышленниками для нанесения вреда компьютеру 

 

Как включить обнаружение программ, которые могут быть использованы злоумышленниками

Включено но никак не обнаруживает эту программу.

Userlevel 7
Badge +6

предупреждать что программа может использоваться злоумышленниками для нанесения вреда компьютеру 

 

Как включить обнаружение программ, которые могут быть использованы злоумышленниками

Userlevel 1

Ну как бы если в антивирусе есть самозащита то он по идее не должен разрешать устанавливать такие драйвера в систему или хотя бы предупреждать что программа может использоваться злоумышленниками для нанесения вреда компьютеру (достаточно 10 строк кода чтобы запустить эту программу выделить процесс антивируса и нажать клавишу delete , enter)

 

Ссылка на этот альтернативный диспетчер задач https://wj32.org/processhacker/nightly.php он никак не определяется антивирусом. 

Userlevel 7
Badge +8

@Yury N.@Andrey Kirzhemanov поможете с проблемой? 
Ранее вроде драйвер Process Hacker, который мог выгрузить продукт,  удалялся по умолчанию.

Userlevel 6
Badge +5

Зачем запрос?

Любое ПО установившее драйвера ring-0 может действовать на компьютере как угодно. Может выгружать любые программы из памяти. Останавливать серсисы и прочее. Это логика работы системы и никуда от неё не деться.

Точно также можно взять AVZ составить скрипт и с её помощью удалить антивирус. Именно удалить а не просто выгрузить.

Userlevel 6
Badge +6

Да, при остановке двух процессов - avp.exe и avpui.exe они не восстанавливаются.

Вечером проверю на KIS. Если воспроизводится, напишу запрос  ТП.

Userlevel 1

https://i.imgur.com/D6mXDVh.png

https://i.imgur.com/ElegkTm.png

https://i.imgur.com/puUHFcC.png

 

Kaspersky Security Cloud (вместо Kaspersky Free Antivirus поставил) 

Userlevel 1

В моем случае после убийства Касперских (2 процесса) через Process Hacker 3 (именно 3 версии) . Не восстанавливается сам никогда.

 

Userlevel 6
Badge +6

@Kasperono, да вы можете с помощью Process Hacker убить процесс avp.exe.

Но он тут же самовосстановится.

Видео - https://drive.google.com/file/d/1qkQfmhzmGRczbM5-7PY0w6vJdNNZ7Rs_/view?usp=sharing

Windows 7 x64, KFA 20.0.14.1085(g), Process Hacker 3.0.2904 

 

Userlevel 7
Badge +6

 я сделал простую программу 

:rofl: умора. что еще сказать. вы вирусописатель всех времен и народов

 

Userlevel 6
Badge +5

Детектирует. Но с настройками по умолчанию не удаляет а ждёт решения пользователя..

Reply / Ответить