Почему антивирус можно закрыть через диспетчер задач?

[Kasperono]

https://i.imgur.com/D6mXDVh.png

https://i.imgur.com/ElegkTm.png

https://i.imgur.com/puUHFcC.png

 

Kaspersky Security Cloud (вместо Kaspersky Free Antivirus поставил) 

[andrew75]

Да, при остановке двух процессов - avp.exe и avpui.exe они не восстанавливаются.

Вечером проверю на KIS. Если воспроизводится, напишу запрос  ТП.

[Denis-NN]

Зачем запрос?

Любое ПО установившее драйвера ring-0 может действовать на компьютере как угодно. Может выгружать любые программы из памяти. Останавливать серсисы и прочее. Это логика работы системы и никуда от неё не деться.

Точно также можно взять AVZ составить скрипт и с её помощью удалить антивирус. Именно удалить а не просто выгрузить.

[Friend]

@Yury N.@Andrey Kirzhemanov поможете с проблемой? 
Ранее вроде драйвер Process Hacker, который мог выгрузить продукт,  удалялся по умолчанию.

[Kasperono]

Ну как бы если в антивирусе есть самозащита то он по идее не должен разрешать устанавливать такие драйвера в систему или хотя бы предупреждать что программа может использоваться злоумышленниками для нанесения вреда компьютеру (достаточно 10 строк кода чтобы запустить эту программу выделить процесс антивируса и нажать клавишу delete , enter)

 

Ссылка на этот альтернативный диспетчер задач https://wj32.org/processhacker/nightly.php он никак не определяется антивирусом. 

[kmscom]

предупреждать что программа может использоваться злоумышленниками для нанесения вреда компьютеру 

 

Как включить обнаружение программ, которые могут быть использованы злоумышленниками

[Kasperono]

предупреждать что программа может использоваться злоумышленниками для нанесения вреда компьютеру 

 

Как включить обнаружение программ, которые могут быть использованы злоумышленниками

Включено но никак не обнаруживает эту программу.

[kmscom]

@Kasperono ,  если не обнаруживает, то создавайте запрос к специалистам ТП

[Friend]

Интересный сценарий получается:
1. Подключаешься удаленно к компьютеру на котором стоит антивирус.
2. Запускаешь Process Hacker с правами администратора. Антивирус его детектирует, но не удаляет. - not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen.
3. Через Process Hacker завершаешь все процессы антивируса.
4. Запускаешь вирус (шифровальщик) и ждешь выкупа 🤔

[andrew75]

@Friend, ну только надо иметь на этом компьютере права администратора. Иначе эти процессы не убьешь.

Но Process Hacker детектируется как not-a-virus только в его релизной версии. А ТС ведет речь о night builds-ах, которые регулярно выходят. Так вот они вообще никак не детектируются. То есть детект чисто сигнатурный.

@kmscom, у ТС Free версия Security Cloud

[Denis-NN]

Имея права администратора можно много всего плохого наделать. Если антивирус без пароля, можно его просто отключить. Документы можно скопировать себе, а потом безвозвратно удалить и просить выкуп. А там как фантазия подскажет.

[Friend]

@Denis-NN при удаленном подключение антивирус не дает возможности взаимодействовать с интерфейсом продукта, если соответствующее приложение не было добавлено в исключения или в настройках самозащиты установлена галочка Разрешить управление настройками Kaspersky Internet Security через программы удаленного управления

@andrew75 у большинства людей один пользователь с правами администратора, для удаленного подключения можно использовать какую-нибудь уязвимость, даже детектируя релизную версию  Process Hacker, он не удаляет ее, а предлагает выбор, хотя в настройках стоит удалить.

[Kasperono]

Не знаю о чем вы но у меня стоит 3 версия (из “nightbuilds”) и в Касперском включено обнаружение таких программ, и ничего, молчит. Может самозащита невероятно слабая раз возможно написать драйвер который с легкостью убьет Касперского?

[Denis-NN]

@Friend хорошо. Отключить нельзя. Но удалить можно. Только что специально проверил на обычной десятке и KSC. Спокойно удалил с использованием тимвьевера.

[Danila T.]

Добрый день!

В Поддержку, в итоге, кто либо написал? :) 

[andrew75]

@Danila T., видимо нет.

Сейчас проверил, в 21-й версии ничего в этом отношении не изменилось.

[andrew75]

Создал запрос в ТП  - INC000011478006

[Igor Kurzin]

Создал запрос в ТП  - INC000011478006

@andrew75 Спасибо, сообщите, пожалуйста, чем закончится разбирательство в инциденте. 

[Guest]

Ремарка: если вы пользователь без прав Администратора, то вы не сможете запустить Process Hacker.

Если злоумышленник получил права Администратора, то система считается скомпрометированной. В этом случае, например, можно запустить систему в Безопасном режиме, и также удалить любую программу в системе, включая антивирусное ПО.

[Denis-NN]

Да. Поэтому и не вижу ошибки в таком поведении антивируса. Если злоумышленник получил на атакуемом компьютере права администратора, то не зачем использовать такие сложные действия как работа с процесхакером.

[andrew75]

@Anton Mefodys, да, и в теме отмечается, что для удаления процессов анитивируса программа запрашивает права администратора.

Я не уверен, что эта ситуация опасна. Создав запрос я хотел прежде всего получить официальный ответ разработчиков, считают ли они ее опасной.

[Friend]

@Anton Mefodys   тут еще проблема, что антивирус не детектирует некоторые модификации Process Hacker и перезагрузка Windows в Безопасный режим займет больше времени, чем сразу же запустить Process Hacker в системе и завершить процессы антивируса.

[andrew75]

Ответ ТП:

Обсуждаемое на форуме поведение программы Process Hacker нам известно. Оно связано с тем, что программа работает через драйвер режима ядра. На текущий момент воспользоваться утилитой без прав администратора невозможно и поэтому поведение является ожидаемым.
На будущее создано пожелание поддержать сценарий в котором продукт не сможет быть выгружен данной программой.