Форум АНТИЧАТ - Автозагрузку by Каспер

How to kick Kasper out, set a program for startup and make it unremovable

Sound's like something very useful, simultaneously trivial easily. :)

Ones I’ve installed a Kasper(Kaspersky Antivirus) for experiments, began experimenting with API hooks and found out, that Kasper hook them in the ring0, then I stopped experiments with ring0 and began experiments with something else(doesn’t metter what), but Kasper was continue annoying me by its annoying alerts, so I open task-manager and “Delete”, but it shows my “Access denied”. And I got an idea that if I’d name my program “avp.exe”, it’d become unkillable, it didn’t work. Then I decided to rename Kasper and put my program instead, but it again screaming “denied”, I couldn’t even just copy my file into its folder. So I did it a little different, code snip bellow.

After reboot, notepad sowed up instead of Kasper but its folder was still protected, and user’s methods couldn’t delete/rename it. :)
It’s possible by the end of your dirty job run Kasper and it’ll work like nothing happened, you can even build your own loader, that will execute Kasper suspended, inject into it, and then lat it protect itself with your code inside, It’d by not only unkillable, but unremovable and had access to the Internet ;)

The vulnerability is, because filter file-system access in ring0 by long names to its folded, but doesn’t give a shit about FORMAT 8.3, that every windows system support :)

When they close the hole, I’ll give another method, (2 lines longer :D ) if it’d still be working. ;)

Sorry, English version was a little late, but not they said that not so many people using it, so I think that English version would help a little :D

Good luck with trojanization…

Как снести каспера, добавив свою прогу в автозагрузку, при этом сделав её не удаляемой

Звучит очень полезно, приэтом тривиально просто. :)

Поставил я себе каспера(для экспериментов :) ) ну и начал экспериментировать с перехватом АПИ, оказалось он их в нулевом кольце перехватывает, тогда я отложил эксперименты с нулевым кольцом и начал экспериментировать с кое-чем другим(не важно с чем), но каспер продолжал мешать, своими назойливыми окнами, ну я зашел в список процессов и делет, а он мне Эксес Денайд, я подумал почему бы не переименовать свою прогу в avp.exe, может она тоже станет не убиваемая. Не прокатило. Тогда я решил переименовать каспера и записать её на его место, а он мне опять кричит Эксес Денайд. Даже просто файл скопировать в свою папку не дал. Тогда я сделал так:

Код:

rem Sploit by hidden for kasper 6.0



set kasper=%ProgramFiles%\KASPER~1\KASPER~1.0

move "%kasper%\avp.exe" "%kasper%\avpx.exe"

copy "%windir%\system32\notepad.exe" "%kasper%\avp.exe"

При загрузке, вместо каспера стал появляться блокнот, при этом сама папка, в которой он лежит, осталась защищённая, и его из неё юзерскими методами не удалить. :)
Можно также из своей программы по окончанию своих грязных дел запустить каспера и он заработает в своём нормальном режиме, а при большом желании можно ещё и лоадер сделать, который бы его запускал остановленым, инжектился внутрь, ресюмил бы его тред. Тогда бы он был бы не только не удалаемым, но и не убиваемым, причём с разрешением доступа в интернет ;) так что жерзайте, пока они дырачку не прикрыли :)

Косяк весь в том, что его драйвер сидя у себя в нулевом кольце и фильтруя АПИ, на совпадение с именем своей директории, считает себя богом винды и даже не утруждает себя проверять пути в формате 8.3 :)

Когда закроют дырачку, поделюсь другим способом(длинее на 2 строки :D ), если он всё ещё будет работать. ;)

Удачной троянизации...