ВАЖНО Исходник антивируса Куранина, или как сделать фейковую программу

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 618
Репутация
185
Jabber
#1


Эта тема была создана как принципиальная позиция на действия здешнего форумчанина @Feger , а именно спам его на других ресурсах схожей тематики, но повлекло создание этого топика "жалоба" на нас, я этого не люблю, в итоге в данной теме выложу все исходники данной "поделки", а также суть работы таких программ...

Для начала разберёмся, что такое фейки и программы - фейки:

Фейк это подделка, в самом широком смысле. Английское слово Fake произносится как «фэйк» и переводится «поддельный, фальшивый».

Если говорить про сайты, то "Мастера меча и кинжала", делают поддельные сайты популярных сервисов, таких-как "вконтакте", "одноклассники" и т.д., для воровства аккаунтов.

Что такое "программы-фейки" ?

Это программы, которые имитируют свою деятельность, сейчас не так много но раньше хватало, фейковых оптимизаторов и т.д.

Но в данном случае идет речь об "антивирусе", который-лишь делает иллюзию защиты, причём в данном случае мы говорим о сознательном обмане людей.

Обратимся к истории:

Очень хорошо обмануть людей получилось так-называемому Алексею Бабушкину, который будуче
студентом из АлтГТУ, продал более 1000 лицензий своей фейковой программы.

Не трудно посчитать, что "Алексей продал более одной тысячи лицензий" и "годовое обслуживание антивируса стоит около 450 рублей" превращается в первые 450К.

Также 400 тысяч рублей Бабушкин получил от государства, так-сказать на доработку своей "антивирусной программы", но если вы следите за новостями и помните, что в итоге антивирус Бабушкина, это не что иное как фейк или иммитация защиты (Вообще подробнее если интересно можите глянуть тут Новый игрок на цыгантивирусном рынке - 850К с полпинка).

Хрен с ним с бабушкиным, вернёмся к его последователю, а именно к Илье Куранину (Он-же @Feger здесь):

Для начала рассмотрим алгоритм его программы:

1)При запуске антивирус создает кучу процессов, которые порождают кучу cmd.exe выполняющих такую же кучу bat-файлов.

Суть этих действий такова:

С некоей задержкой (которая создана способом ping lokalhost) производятся действия по редактированию некоторых мест реестра, которые любит коцать малварь (например, параметра Shell и Userinit) - производится их перезапись на дефолтное значение.

Также производится проверка на всех дисках до буквы J наличие файла autorun.inf для попытки его удаления как мегаопасного вируса. Также производится перезапись файла hosts на относительный дефолт (без МС-овских комментов).

Также производится мониторинг (также проверка в цикле через определенный таймаут) новых файлов в некоторых системных и не очень папках, на что затем выдается алерт об обнаружении и выбор что же с ним делать.

Всё это было и Бабушкина, как видите ничего особо автор и не поменял, какая-же особенность конкретно его антивируса:

1)Все модули (Exe-файлы), спрятаны под dll, например что-бы запустить антивирус, достаточно переименовать Core.dll в Core.exe.

2)Еще интересный модуль Find.dll, позволяет делать анализ файла, по сути это вот-что:

upload_2017-5-30_19-46-46.png

3)Многие модули, такие как Drive.dll и т.д., создают и исполняют батники, по ссылки ниже вы можите скачать эти батники и посмотреть что там.

Интересен батник файервола, этот код рандомно генерит IP адрес и порт и выдает сообщение о том, что подключение заблокировано, это к слову об иммитации деятельности.

4)Модуль антивируса, тут тоже имитация, начиная от неиспользуемых баз и заканчивая проверкой по именам файлов.

Какой-же итог:

Многим хочется срубить бабла по лёгкому, но обидно что человек в столь юном возрасте встал на такой путь, хотя удивляться не приходится.

У меня всё ! :)

А ну-да, ловите исходники, там можите делать что хотите:https://ru-sfera.org/Downloads/KuraninAV.rar

Пароль 123123
 
F

Feger

Гость
#1
Да, не думал, что буду "воевать" с Ру-Сферой, однако во всяком случае останусь при своем.
Насчет неправильного пути - антивирус Куранина совершенно бесплатен, как и всегда... А защита есть везде.

Хотя больше ничего доказывать здесь я уже не буду.
 
Последнее редактирование модератором:

Fill

Житель форума
Форумчанин
Регистрация
25.02.2016
Сообщения
5
Репутация
3
#2
Лавры бабушкина не дают покоя :-D
 

virt

Уважаемый пользователь
Форумчанин
Регистрация
24.11.2016
Сообщения
481
Репутация
164
Jabber
#3
Автор этого фейка даже имена файлов не поменял от бабушкина, по сути модификация того фейка.

Понравилось фейковая блокировка портов на рандоме:

for /f "delims== tokens=2* skip=2" %%i in ('ping mail.ru -n 1 -w 1000') do (
set inetx=%%i
set inetx=!inetx:~1,1!
)

echo Антивирус Куранина предотвратил сетевое вторжение>>ERR
set xo=%random:~0,1%
if "!xo!"=="1" set prot=UDP
if "!xo!"=="2" set prot=TCP
if "!xo!"=="3" set prot=STP
if "!xo!"=="4" set prot=NetBIOS
if "!xo!"=="5" set prot=FTP
if "!xo!"=="6" set prot=IGRP
if "!xo!"=="7" set prot=ARCNET
if "!xo!"=="8" set prot=PPTP
if "!xo!"=="9" set prot=MPLS
echo %date% %time:~0,8%: Сетевая атака извне >>log.log
echo IP адрес атакующего: %num1%.%num2%.%num3%.%num4% >>log.log
echo Попытка подсоединения: %prot%>>log.log

Этот код рандомно генерит IP адрес и порт и выдает сообщение о том, что подключение заблокировано. Тут уж 100% имитация и дуриловка.
 
F

Feger

Гость
#4
Да, с вами всеми хоть говори, хоть нет.

Еще раз повторяю, что это не фейк, а работающий антивирус с достаточно высокими показателями.

И я это доказывал своими сообщениями неоднократно, но меня никто не хочет слушать.



А эксперты просто хотят затоптать меня в землю, как это в свое время сделали с другими небольшими компаниями.

Однако на мою деятельность это никак не повлияет. Критика была всегда - и раньше, и сейчас, но многие из моего окружения с удовольствием используют мой антивирус - это и отраднинские родственники (скоро поеду отдыхать к ним), и просто незнакомые люди. И все они отмечают высокую скорость работы и стабильное состояние ОС.



В свое время Indy с Ру-Сферы, который делал "разбор" моего продукта, так же, как и Andybond, ругал (мягко сказано) Лабораторию Касперского - KIS - фейковый авер. - Беседка - Форум фан-клуба Лаборатории Касперского




Потом вспомним Kerish Antivirus 2005 (старожилы наверняка помнят). Его также не принимали, но сейчас он имеет 5 звезд по обеим категориям на Comss.ru! Поверьте, рано или поздно, то же самое случится и с антивирусом Куранина.



Поэтому у меня цель есть, а говорить все могут сколько угодно и что угодно.
 

DikiySan

Уважаемый пользователь
Форумчанин
Регистрация
22.02.2014
Сообщения
696
Репутация
1 351
#5
> Потом вспомним Kerish Antivirus 2005 (старожилы наверняка помнят). Его также не принимали, но сейчас он имеет 5 звезд по обеим категориям на Comss.ru!

комсс , какая мерзость . а что там не имеет пять звёзд звёзды то турецкие хахаха
 

Indy

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
300
Репутация
179
#6
Feger,

> В свое время Indy с Ру-Сферы, который делал "разбор" моего продукта, так же, как и Andybond, ругал (мягко сказано) Лабораторию Касперского

У инде скул овер какой, а ты же ребёнок есчо хитрожопый. Я твою любую поделку за пять минут разобрать могу. Десятилетие сис коденга и изучения матчасти, виксы а ты как думал fear
- ты вот всякой хуитой пакуешь модуля, не понимая что после пару десятков нажатий кнопки оно в памяти депакается. Ахуенно ты криптанул, долбоёб малолетний.

> Еще раз повторяю, что это не фейк, а работающий антивирус с достаточно высокими показателями.

Покажи справку от психиатра!
 
F

Feger

Гость
#7
Feger

> Еще раз повторяю, что это не фейк, а работающий антивирус с достаточно высокими показателями.

Покажи справку от психиатра!
Я уже все доказывал на anti-malware, но Вам, видимо, надо это копировать сюда...

----------------------------------------------------------------------------------------------------------------------------

1) Я заметил, что практически у всех специалистов ИБ пошла интересная тенденция: когда появляется новый вендор, он, само собой, привлекает внимание публики. Если это крупная компания (примеры - Zillya, Nano), то это хорошо. Найдут ошибки, пообсуждают и добавят в каталоги. Но не дай Бог это будет небольшая группка людей (или, что еще хуже, один человек) - тут же, ни в чем не разобравшись, его затопчут на месте.

2) Теперь перейдем к антивирусу. Ну то, что никто еще не заразился, я повторять не буду. А как насчет защиты от уже упомянутых "темных" источников файлов? Из них-то как раз не менее 20% вредоносов в систему и попадает. + Свежие данные из баз malc0d'a и phishtank'a = полноценная веб-защита.



3) Запрет изменения домашней страницы браузера. Ведь никому не нравится, когда какая-то бяка наподобие Вулкана "внедряется" в Ваше рабочее место. Итак, я изменил страницу на некий Yamdex. Последовала моментальная сработка:




4) Совершенно разносторонний анализ: согласитесь, что на съемных накопителях не должно быть ярлыков, скриптов различного рода, скрытых объектов и прочего нежелательного мусора! А Антивирус Куранина прекрасно с этим справляется, да еще вакцинирует устройство!



5) В конце концов, про межсетевой экран. Это никакой не фейк, а действительно работающий модуль. Вот результаты сканирования портов с учетом того, что у нас функционирует исключительно антивирус Куранина (брандмауэр Windows отключен полностью):





А потом мне заявляют, что антивирус не работает... Я доказал то, что хотел, а выводы делает каждый сам.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 618
Репутация
185
Jabber
#8
А потом мне заявляют, что антивирус не работает... Я доказал то, что хотел, а выводы делает каждый сам.
Ну и зачем вы скопипастили это сюда, по мойму на антималваре этого-было достаточно.

По делу, этот "антивирус", просто крутящийся батник, который в цикле мониторит файлы и проверяет их по названию, такой подход в принципе не может защитить, тут даже на запуск нет проверки.

Файервол - Это фейк, там на рандоме блокировка портов, код приведён здесь ! :)

Также "антивирус" умно заблокировал в файле хостс файлообменники, в т.ч. и mega.nz ! :)

НЕБОЛЬШОЙ ИТОГ:

1. Данный фейковый антивирус - по сути это небольшая модификация фейкового антивируса бабушкина, по крайне-мере я кроме изменения интерфейса, ничего и не нашёл в нём.

2. Эти "антивирусы" на самом деле фейки, т.е. реально создают иллюзию защиты, но на самом деле только вредят, а-это те-же изменения файла хостс, пинги того-же маил ру (нагрузка на сеть).

3. Сама по себе такая программа создает уязвимости в безопасности, например взлом баз и протроянивание пользователей, я уже не говорю что постоянная дербание реестра и попытки удаления/замены системных файлов этого гм. продукта, черевата нехорошими последствиями ! :)

Короче если вы экстримал - то антивирус Куранина, это ваш выбор ! :)
 
F

Feger

Гость
#9
Ну и зачем вы скопипастили это сюда, по мойму на антималваре этого-было достаточно.

Короче если вы экстримал - то антивирус Куранина, это ваш выбор ! :)
Здесь я спорить не буду. Но все же это не копия Бабушкина
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 618
Репутация
185
Jabber
#10
Вверх