4 Мая, 2014

[hacking tricks] AVs bypass

Dmitriy Evteev
Не все помнятзнают, что командная строка Windows воспринимает любой файл с произвольным расширением, как исполняемую PE-программу. Это  в свою очередь может с успехом использоваться для обхода превентивных механизмов защиты. В качестве примера возьмем известный по virustotal  Passwords Stealer UFR [ тынц ] и не безызвестный антивирус  McAfee , который уже знает про эту стягивалку паролей [ PWS-FAPK!31754313CD59 ]. Создадим новый билд UFR Stealer и сразу же переименуем его, например так: C:Temp> move test.exe test.db


Теперь любым волшебным способом доставим исполняемый файл test.db на целевой компьютер, на котором уже крутится антивирус McAfee и...


Аналогичным образом обходятся и другие аверы в т.ч. антивирус Касперского, а вот родной для винды Windows Defender такие особенности командной строки блюдет(( радует лишь то, что дефендер не перегружен знаниями о самой малвари))