ВАЖНО Исходник антивируса Куранина, или как сделать фейковую программу

Тема в разделе "Фейки и программы-шутки", создана пользователем X-Shar, 30 май 2017.

↑ ↓
  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.420
    Симпатии:
    49
    Пол:
    Мужской
    Репа:
    +673 / 162 / -34
    Telegram:
    [​IMG]

    Эта тема была создана как принципиальная позиция на действия здешнего форумчанина @Feger , а именно спам его на других ресурсах схожей тематики, но повлекло создание этого топика "жалоба" на нас, я этого не люблю, в итоге в данной теме выложу все исходники данной "поделки", а также суть работы таких программ...

    Для начала разберёмся, что такое фейки и программы - фейки:

    Фейк это подделка, в самом широком смысле. Английское слово Fake произносится как «фэйк» и переводится «поддельный, фальшивый».

    Если говорить про сайты, то "Мастера меча и кинжала", делают поддельные сайты популярных сервисов, таких-как "вконтакте", "одноклассники" и т.д., для воровства аккаунтов.

    Что такое "программы-фейки" ?

    Это программы, которые имитируют свою деятельность, сейчас не так много но раньше хватало, фейковых оптимизаторов и т.д.

    Но в данном случае идет речь об "антивирусе", который-лишь делает иллюзию защиты, причём в данном случае мы говорим о сознательном обмане людей.

    Обратимся к истории:

    Очень хорошо обмануть людей получилось так-называемому Алексею Бабушкину, который будуче
    студентом из АлтГТУ, продал более 1000 лицензий своей фейковой программы.

    Не трудно посчитать, что "Алексей продал более одной тысячи лицензий" и "годовое обслуживание антивируса стоит около 450 рублей" превращается в первые 450К.

    Также 400 тысяч рублей Бабушкин получил от государства, так-сказать на доработку своей "антивирусной программы", но если вы следите за новостями и помните, что в итоге антивирус Бабушкина, это не что иное как фейк или иммитация защиты (Вообще подробнее если интересно можите глянуть тут Новый игрок на цыгантивирусном рынке - 850К с полпинка).

    Хрен с ним с бабушкиным, вернёмся к его последователю, а именно к Илье Куранину (Он-же @Feger здесь):

    Для начала рассмотрим алгоритм его программы:

    1)При запуске антивирус создает кучу процессов, которые порождают кучу cmd.exe выполняющих такую же кучу bat-файлов.

    Суть этих действий такова:

    С некоей задержкой (которая создана способом ping lokalhost) производятся действия по редактированию некоторых мест реестра, которые любит коцать малварь (например, параметра Shell и Userinit) - производится их перезапись на дефолтное значение.

    Также производится проверка на всех дисках до буквы J наличие файла autorun.inf для попытки его удаления как мегаопасного вируса. Также производится перезапись файла hosts на относительный дефолт (без МС-овских комментов).

    Также производится мониторинг (также проверка в цикле через определенный таймаут) новых файлов в некоторых системных и не очень папках, на что затем выдается алерт об обнаружении и выбор что же с ним делать.

    Всё это было и Бабушкина, как видите ничего особо автор и не поменял, какая-же особенность конкретно его антивируса:

    1)Все модули (Exe-файлы), спрятаны под dll, например что-бы запустить антивирус, достаточно переименовать Core.dll в Core.exe.

    2)Еще интересный модуль Find.dll, позволяет делать анализ файла, по сути это вот-что:

    upload_2017-5-30_19-46-46.

    3)Многие модули, такие как Drive.dll и т.д., создают и исполняют батники, по ссылки ниже вы можите скачать эти батники и посмотреть что там.

    Интересен батник файервола, этот код рандомно генерит IP адрес и порт и выдает сообщение о том, что подключение заблокировано, это к слову об иммитации деятельности.

    4)Модуль антивируса, тут тоже имитация, начиная от неиспользуемых баз и заканчивая проверкой по именам файлов.

    Какой-же итог:

    Многим хочется срубить бабла по лёгкому, но обидно что человек в столь юном возрасте встал на такой путь, хотя удивляться не приходится.

    У меня всё ! :)

    А ну-да, ловите исходники, там можите делать что хотите:https://ru-sfera.org/Downloads/KuraninAV.rar

    Пароль 123123
     
    • Мне нравится Мне нравится x 5
    • Не нравится, фууу Не нравится, фууу x 1
  2. Feger Гость
    Feger
    Ответить в чате

    Репа:
    +0 / 0 / -0
    Да, не думал, что буду "воевать" с Ру-Сферой, однако во всяком случае останусь при своем.
    Насчет неправильного пути - антивирус Куранина совершенно бесплатен, как и всегда... А защита есть везде.

    Хотя больше ничего доказывать здесь я уже не буду.
     
    Последнее редактирование модератором: 30 май 2017
    • Не нравится, фууу Не нравится, фууу x 1
  3. Fill Житель форума
    Fill
    Ответить в чате

    Форумчанин

    Регистрация:
    25.02.2016
    Сообщения:
    5
    Симпатии:
    3
    Пол:
    Мужской
    Репа:
    +5 / 0 / -0
    Лавры бабушкина не дают покоя :-D
     
  4. virt Уважаемый пользователь
    virt
    Ответить в чате

    Форумчанин

    Регистрация:
    24.11.2016
    Сообщения:
    289
    Симпатии:
    73
    Пол:
    Мужской
    Репа:
    +125 / 4 / -2
    Автор этого фейка даже имена файлов не поменял от бабушкина, по сути модификация того фейка.

    Понравилось фейковая блокировка портов на рандоме:

    for /f "delims== tokens=2* skip=2" %%i in ('ping mail.ru -n 1 -w 1000') do (
    set inetx=%%i
    set inetx=!inetx:~1,1!
    )

    echo Антивирус Куранина предотвратил сетевое вторжение>>ERR
    set xo=%random:~0,1%
    if "!xo!"=="1" set prot=UDP
    if "!xo!"=="2" set prot=TCP
    if "!xo!"=="3" set prot=STP
    if "!xo!"=="4" set prot=NetBIOS
    if "!xo!"=="5" set prot=FTP
    if "!xo!"=="6" set prot=IGRP
    if "!xo!"=="7" set prot=ARCNET
    if "!xo!"=="8" set prot=PPTP
    if "!xo!"=="9" set prot=MPLS
    echo %date% %time:~0,8%: Сетевая атака извне >>log.log
    echo IP адрес атакующего: %num1%.%num2%.%num3%.%num4% >>log.log
    echo Попытка подсоединения: %prot%>>log.log

    Этот код рандомно генерит IP адрес и порт и выдает сообщение о том, что подключение заблокировано. Тут уж 100% имитация и дуриловка.
     
    • Мне нравится Мне нравится x 1
  5. Feger Гость
    Feger
    Ответить в чате

    Репа:
    +0 / 0 / -0
    Да, с вами всеми хоть говори, хоть нет.

    Еще раз повторяю, что это не фейк, а работающий антивирус с достаточно высокими показателями.

    И я это доказывал своими сообщениями неоднократно, но меня никто не хочет слушать.



    А эксперты просто хотят затоптать меня в землю, как это в свое время сделали с другими небольшими компаниями.

    Однако на мою деятельность это никак не повлияет. Критика была всегда - и раньше, и сейчас, но многие из моего окружения с удовольствием используют мой антивирус - это и отраднинские родственники (скоро поеду отдыхать к ним), и просто незнакомые люди. И все они отмечают высокую скорость работы и стабильное состояние ОС.



    В свое время Indy с Ру-Сферы, который делал "разбор" моего продукта, так же, как и Andybond, ругал (мягко сказано) Лабораторию Касперского - KIS - фейковый авер. - Беседка - Форум фан-клуба Лаборатории Касперского [​IMG]



    Потом вспомним Kerish Antivirus 2005 (старожилы наверняка помнят). Его также не принимали, но сейчас он имеет 5 звезд по обеим категориям на Comss.ru! Поверьте, рано или поздно, то же самое случится и с антивирусом Куранина.



    Поэтому у меня цель есть, а говорить все могут сколько угодно и что угодно.
     
    • Не пиши хуйню ! Не пиши хуйню ! x 2
  6. DikiySan Уважаемый пользователь
    DikiySan
    Ответить в чате

    Форумчанин

    Регистрация:
    22.02.2014
    Сообщения:
    692
    Симпатии:
    1.351
    Пол:
    Мужской
    Репа:
    +1.366 / 6 / -17
    > Потом вспомним Kerish Antivirus 2005 (старожилы наверняка помнят). Его также не принимали, но сейчас он имеет 5 звезд по обеим категориям на Comss.ru!

    комсс , какая мерзость . а что там не имеет пять звёзд звёзды то турецкие хахаха
     
  7. Indy Уважаемый пользователь
    Indy
    Ответить в чате

    Форумчанин

    Регистрация:
    21.01.2015
    Сообщения:
    273
    Симпатии:
    161
    Пол:
    Мужской
    Репа:
    +206 / 7 / -34
    Feger,

    > В свое время Indy с Ру-Сферы, который делал "разбор" моего продукта, так же, как и Andybond, ругал (мягко сказано) Лабораторию Касперского

    У инде скул овер какой, а ты же ребёнок есчо хитрожопый. Я твою любую поделку за пять минут разобрать могу. Десятилетие сис коденга и изучения матчасти, виксы а ты как думал fear
    - ты вот всякой хуитой пакуешь модуля, не понимая что после пару десятков нажатий кнопки оно в памяти депакается. Ахуенно ты криптанул, долбоёб малолетний.

    > Еще раз повторяю, что это не фейк, а работающий антивирус с достаточно высокими показателями.

    Покажи справку от психиатра!
     
    • Согласен(а) Согласен(а) x 2
    • Не пиши хуйню ! Не пиши хуйню ! x 1
  8. Feger Гость
    Feger
    Ответить в чате

    Репа:
    +0 / 0 / -0
    Я уже все доказывал на anti-malware, но Вам, видимо, надо это копировать сюда...

    ----------------------------------------------------------------------------------------------------------------------------

    1) Я заметил, что практически у всех специалистов ИБ пошла интересная тенденция: когда появляется новый вендор, он, само собой, привлекает внимание публики. Если это крупная компания (примеры - Zillya, Nano), то это хорошо. Найдут ошибки, пообсуждают и добавят в каталоги. Но не дай Бог это будет небольшая группка людей (или, что еще хуже, один человек) - тут же, ни в чем не разобравшись, его затопчут на месте.

    2) Теперь перейдем к антивирусу. Ну то, что никто еще не заразился, я повторять не буду. А как насчет защиты от уже упомянутых "темных" источников файлов? Из них-то как раз не менее 20% вредоносов в систему и попадает. + Свежие данные из баз malc0d'a и phishtank'a = полноценная веб-защита.

    [​IMG]

    3) Запрет изменения домашней страницы браузера. Ведь никому не нравится, когда какая-то бяка наподобие Вулкана "внедряется" в Ваше рабочее место. Итак, я изменил страницу на некий Yamdex. Последовала моментальная сработка:

    [​IMG]


    4) Совершенно разносторонний анализ: согласитесь, что на съемных накопителях не должно быть ярлыков, скриптов различного рода, скрытых объектов и прочего нежелательного мусора! А Антивирус Куранина прекрасно с этим справляется, да еще вакцинирует устройство!

    [​IMG]

    5) В конце концов, про межсетевой экран. Это никакой не фейк, а действительно работающий модуль. Вот результаты сканирования портов с учетом того, что у нас функционирует исключительно антивирус Куранина (брандмауэр Windows отключен полностью):

    [​IMG]
    [​IMG]


    А потом мне заявляют, что антивирус не работает... Я доказал то, что хотел, а выводы делает каждый сам.
     
    • Не пиши хуйню ! Не пиши хуйню ! x 1
  9. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.420
    Симпатии:
    49
    Пол:
    Мужской
    Репа:
    +673 / 162 / -34
    Telegram:
    Ну и зачем вы скопипастили это сюда, по мойму на антималваре этого-было достаточно.

    По делу, этот "антивирус", просто крутящийся батник, который в цикле мониторит файлы и проверяет их по названию, такой подход в принципе не может защитить, тут даже на запуск нет проверки.

    Файервол - Это фейк, там на рандоме блокировка портов, код приведён здесь ! :)

    Также "антивирус" умно заблокировал в файле хостс файлообменники, в т.ч. и mega.nz ! :)

    НЕБОЛЬШОЙ ИТОГ:

    1. Данный фейковый антивирус - по сути это небольшая модификация фейкового антивируса бабушкина, по крайне-мере я кроме изменения интерфейса, ничего и не нашёл в нём.

    2. Эти "антивирусы" на самом деле фейки, т.е. реально создают иллюзию защиты, но на самом деле только вредят, а-это те-же изменения файла хостс, пинги того-же маил ру (нагрузка на сеть).

    3. Сама по себе такая программа создает уязвимости в безопасности, например взлом баз и протроянивание пользователей, я уже не говорю что постоянная дербание реестра и попытки удаления/замены системных файлов этого гм. продукта, черевата нехорошими последствиями ! :)

    Короче если вы экстримал - то антивирус Куранина, это ваш выбор ! :)
     
    • Согласен(а) Согласен(а) x 1
    • Информативный пост Информативный пост x 1
  10. Feger Гость
    Feger
    Ответить в чате

    Репа:
    +0 / 0 / -0
    Здесь я спорить не буду. Но все же это не копия Бабушкина
     
  11. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.420
    Симпатии:
    49
    Пол:
    Мужской
    Репа:
    +673 / 162 / -34
    Telegram:
    Ну а что конкретно ваше ?