viernes, 17 de mayo de 2013

detectar y desactivar antivirus con un JS

en el cual se utilizó un exploit 0-Day de Internet Explorer 8, también se utilizaron una serie de Javascripts curiosos y uno de ellos se utiliza para detectar las aplicaciones instaladas en el sistema del usuario y, si encuentra un antivirus, se encarga de desactivarlo.

La lista de antivirus es la siguiente:

  • Avira
  • Bitdefender 2013
  • Mcafee Enterprise
  • AVG 2012
  • ESET  NOD 32
  • Dr.Web
  • MSE
  • Sophos
  • F-Secure 2011
  • Kaspersky 2012 y 2013
Luego de descargado el código y con unos pequeños retoques he logrado hacerlo funcionar sin problemas en Internet Explorer y Firefox sobre Windows 8. Las modificaciones realizadas apuntaron a solucionar algunos problemas con la detección de las aplicaciones instaladas y a mostrar dichas aplicaciones en pantalla:

De todos modos es simple agregar nuevos "modulos" para mejorar la detección, hacerlo funcionar en otros navegadores y/o sistemas operativos y permitir desactivar los antivirus o aplicaciones que se desee.

El "código dañino" es detectado por pocos antivirus pero supongo que con el pasar de los días este número aumentará. De todos modos seguramente esta "herramienta" irá mejorando y no pasará mucho tiempo antes de que sea incluida en los Exploits Packs de forma ofuscada, para dificultar su detección y facilitar el ataque por parte de los delincuentes.

FUENTE: Segu-Info

No hay comentarios: