Цифровая подпись дистрибутива повреждена dr web

Обновлено: 04.07.2024

Если вы читаете мой блог не первый день, то знаете, что в моем доме уживаются два компьютера: мой персональный компьютер и ноутбук жены.

Для защиты компьютеров от вредоносных файлов мы давно используем программу Dr. Web. Раньше пользовались им всегда бесплатно, а точнее после окончания ключа пробного периода находили новые ключи на различных сайтах или в группах Вконтакте. Но больше года назад надоело этим заниматься. Часто приходилось много серфить в Интернете или ключи только опубликовали в пабликах, а уже превышен лимит подключенных устройств. Все это отнимало много времени. И мы решили, что раз пользуемся одним антивирусом давно, то можем позволить купить лицензию. Тем более постоянно компания предоставляет хорошие скидки и дарит в подарок ключ для защиты Android устройств. Несколько лет все было хорошо: купил лицензию на год и забыл. А программа работает.

Но в это воскресенье случилась беда. На наших компьютерах Dr. Web Security Space обновился до 12 бета версии и попросил перезагрузить компьютер. Мой компьютер загрузился без проблем, а вот Windows на ноутбуке запуститься не смогла. Появился черный экран с ошибкой.

В обычном режиме операционная система не запускалась, безопасный режим тоже отказался работать. Такое поведение операционной системы очень удивило. Я стал изучать код ошибки: 0хс0000428. Она возникает в следующих случаях:

  • Использование на компьютере пиратской версии Windows.
  • Нарушение целостности загрузчика операционной системы.
  • Установка неподходящего драйвера для нового оборудования.

Но меня смутил тот факт, что Windows не могла проверить цифровую подпись файла dwprot.sys, который является драйвером защиты антивируса Dr.Web.

Для начала сразу после запуска ноутбука я нажал несколько раз на клавишу F8 для вызова меню. Стрелками выбрал пункт "Отключение обязательной проверки подписи драйверов" и нажал клавишу "Enter".

Отключение обязательной проверки подписи драйверов Отключение обязательной проверки подписи драйверов

Система сделала попытку для запуска, но черное окно появилось снова. Тогда я проделал процедуру еще раз и Windows запустилась в обычном режиме. С активацией операционной системы было все в порядке.

С помощью командной строки и команды sfc/scannow проверил целостность системных файлов. Система нашла поврежденные файлы и восстановила их. Но перезагрузка системы показала, что проблема не решилась. Тогда я просто удалил с компьютера программу Dr. Web. И все. Черный экран с ошибкой больше не появляется, а операционная система запускается в обычно режиме.

Почитал на форуме официального сайта Dr. Web, что в данной ситуации я не одинок. Видимо разработчики еще не доделали свой продукт до конца и придется немного подождать для повторной установки антивирусного продукта.

Спасибо за внимание! Понравилась статья? Тогда жмите "Палец вверх" и делитесь ей с друзьями в социальных сетях.

20 апреля 2016 kna

В общем на каждый косяк DrWEB писать отдельный пост мне не хочется, поэтому соберу всё в кучу. Возможно кому-то это поможет решить проблему, а кто-то откажется от приобретения сего говна. Речь пойдёт о DrWEB Security Space v11, поехали.

И в догонку - ещё парочка:

проблема и решение
Dr WEB не пропускает пинги
Доктор Веб заблокировал соединение
Внимание! Жёсткий косяк антивируса Dr.WEB!


Категория: Dr.WEB и борьба с ним

Комментариев к записи: 8

Я тоже работаю админом, в бюджетном медицинском учреждении,
где денег на ПО мало-мало, а на железо их нет вообще))
1/3 машин парка вообще старинные (1.8 Ггц 1 ядро, 1 Гб ОП)
Так, что аналогично - используем Dr.Web Enterprise Security, потому что антивирус нужОн, а на Касп или Eset денег нет)
Скажу вот что - 46 машин, сервер управления Dr.Web Enterprise Security Center я развернул на машине с Ubuntu Server (все обновления подкачиваются туда, стягиваются компььютерами пользователей оттуда же, ну и ключи/настройки/исключения - всё там), админится это дело через Web-морду, которую нельзя назвать шустрой, но вполне приемлемой для использования точно можно)
Пару косяков там есть - карантин иногда выбивает в 503ю, но. на форуме админы пишут, что фикс вот-вот выйдет) Сам центр регулярно обновляю. Скачиваю всё то, что он видит и предлагает. Вот уже более полугода, полёт нормальный.
На машинах пользователей расставлены Agent'ы, сгенерированные с помощью центра. Как мне кажется - Dr.Web Agent ES 11, он даже легче, чем полноценная версия Dr.Web SS 11. По крайней мере в работе, по функционалу чуть меньше, да.
Брандмауэр, который идёт в составе решения, по инфе с оф форума - не рассчитан на корп сегмент, потому что он не управляется с центра:/ Ребята работают на тем, чтобы приемлемым образом реализовать централизованный контроль брандмауэров, установленных вместе с антивирусом, из центра управления.
Поэтому, внутри сети брандмауэр ставить совсем не обязательно. Т.к. у меня пользователь при виде окна запроса, в большинстве случаев - жмёт на красный "крестик")))
И потом удивление с того, что "ничонерабоИт" и проблемы у меня xD
С VipNet'от отдельная песня. В требованиях к рабочему месту у VipNet'а - никаких других брандмауэров, кроме того, что идёт в составе VipNet клиента на машине быть не должно!
Раз написано - значит так и надо, ноу проблем)
Сам пока лично, только с одной проблемой бодаюсь -
т.к. денег нет, юзаю LiteManager Free (до 30 компов бесплатно, в один центр можно подцепить) - так вот Dr.Web его видит его, как угрозу Remote.Admin и верещит))))
Приходится вручную, где требуется(хотя заранее итак вношу)исключать сие приложение и его рабочую папку из проверок и т.п. Хотя, это конечно небезопасно, но. ничего другого нет))
перевожу сеть на Linux потихоньку))

Игорь, вы победили проблему с LiteManager? Добавила его в исключения и с ковычками и без-толку нет, все равно при каждом сканировании все файлы попадают в карантин.

Антивирус Dr.Web | Компания "Доктор Веб"

Антивирус Dr.Web | Компания "Доктор Веб"

Антивирус Dr.Web | Компания "Доктор Веб" запись закреплена

Дмитрий Булыгин


Дмитрий Булыгин

Добрый день. Не подскажите когда выпустят 10 версию доктора?

Анжела Соколова

Антивирус Dr.Web | Компания "Доктор Веб"

Антивирус Dr.Web | Компания "Доктор Веб"

Елена Литвиненко

Раньше запускала программу, и когда находило вирусы, то она их или удаляла, или перемещала, сейчас запустила, итог пишет к сожалению не все угрозы обезврежены, почему?

Ян Борода

скачала улиту, а она не ставится пишет: цифровая подпись дистрибутива повреждена.. как быть?

Елена Литвиненко

Ну так антивирусник у меня аваст и стоит, или вы что то другое имели ввиду?

Антивирус Dr.Web | Компания "Доктор Веб"

Антивирус Dr.Web | Компания "Доктор Веб"

Дарья, добрый день. Попробуйте скачать еще раз нашу утилиту и установить.

Ольга Втюрина

почему при проверки системы комп выключается? (утилитой)

Антивирус Dr.Web | Компания "Доктор Веб"

Ян Борода

Елена, Тогда ты ошиблась группой, здесь только Антивирус Dr.Web

DELETED

может кто поможет и сказет что за вирус( Уже каждый день лечу не помогает, стоит виндовс 8, и каждый раз как только захожу в какой либо браузер появляюся различные банеры прямо во время того как сижу вк, и не открывает н евидео не музыку(

Елена Литвиненко

Михаил Захаров


Михаил Захаров ответил Марку

Yura Dudin

Марк Чёрный

Владимир Коваленко

dr web control center is not available с антивирусником что то случилось помогите

Антивирус Dr.Web | Компания "Доктор Веб"

Максим, добрый день. Уточните, пожалуйста, какая антивирусная программа у вас установлена? =)

DELETED

Антивирус Dr.Web | Компания "Доктор Веб"

Антивирус Dr.Web | Компания "Доктор Веб"

Марк, добрый день. Проверили вам ключ, он не рабочий. Пожалуйста, не предлагайте его здесь в группе.

Относительно недавно на хабре появилась статья «Стилер паролей в антивирусном ПО Avira Free Antivirus» от пользователя Veliant. Автор обнаружил, что в стандартной поставке упомянутого антивируса присутствует компонент, который позволяет простым образом извлечь пароли из хранилища браузера Chrome.

В комментариях произошла дискуссия, можно ли считать это уязвимостью. Но меня зацепил один комментарий автора:

нельзя ли это было реализовать например в виде DLL, которая при вызове её API проверяла бы цифровую подпись вызывающей программы?

Дело в том, что буквально перед этим я исследовал несколько программ, которые точно так же полагались на проверку цифровой подписи. И такую проверку было очень легко обойти.



Цифровая подпись файла соответствует только самому исполняемому файлу, но работающая программа это не только исполняемый файл. Существует несколько способов повлиять на работу программы, не меняя исполняемый файл: можно подменить библиотеки, которые загружаются или сделать инъекцию кода прямо в памяти.

Я посмотрел на профиль автора: «Работает в: Доктор Веб». А что если посмотреть, не используется ли в продуктах этой компании проверка, о которой говорит автор? Я решил посмотреть и, спойлер, нашел уязвимость, которая позволяет повысить свои привилегии до системных пользователю Dr.Web Security Space для Windows.

Разведка

Я не разбираюсь в продуктах Доктор Веб, поэтому взял первое попавшееся, что можно было скачать на сайте — это был Dr.Web Security Space 12 для Windows. При настройках по умолчанию данный продукт проводит проверку обновлений каждые полчаса. И в механизме обновления была обнаружена уязвимость.

Ниже я предлагаю видео эксплуатации с описанием того, что происходит на видео с привязкой ко времени. Там же будет описание, в чем же конкретно состояла уязвимость.

Видео эксплуатации

Демонстрация проходит на ОС Windows 10 x64 от пользователя без прав администратора.
0:00-0:12 через консоль Windows показываю, что текущий пользователь не является администратором
0:12-0:24 показываю установленную версию Dr.Web Security Space
0:24-0:29 в папке на рабочем столе находится файл drweb_eop_upd_dll.dll (исходные коды и файл приложены к тикету)
0:29-0:34 показываю, что в папке C:\ProgramData\Doctor Web\Updater\etc находится 3 файла
0:34-0:47 копирую библиотеку drweb_eop_upd_dll.dll в папке на рабочем столе и один экземпляр называю version.dll, другой — cryptui.dll
0:47-0:56 копирую файл C:\Program Files\Common Files\Doctor Web\Updater\drwupsrv.exe в папку на рабочем столе, рядом с dll.
0:56-1:00 запускаю скопированный файл

Запускаемый файл drwupsrv.exe из папки на рабочем столе загружает расположенную рядом version.dll. Данная библиотека создает файл C:\ProgramData\Doctor Web\Updater\etc\drwupsrv.xml.new. На папку C:\ProgramData и вглубь у пользователя есть права на создание файлов, поэтому это легальная операция. Если попробовать создать такой файл вручную, то, вероятно, защитные механизмы Dr.Web предотвращают такую операцию. Но в эксплуатации создание файла проходит от имени drwupsrv.exe, что вероятно обходит внутренние проверки и файл создается. Фактически, это обход той самой проверки подписи о которой и идет речь в начале статьи.

1:00-1:22 демонстрирую созданный файл и его содержимое. В общем смысле файл совпадает по содержимому с файлом C:\ProgramData\Doctor Web\Updater\etc\drwupsrv.xml, но все пути указывают папку на рабочем столе (C:\Users\User\Desktop\dwtest)
1:22-2:00 ничего не происходит (на этом этапе я ожидаю процесса обновления ПО, который по умолчанию происходит раз в полчаса и ожидаемое время можно найти в логах)
2:00-2:14 судя по всему, взяв созданный файл конфигурации, обновлятор видит, что в папке C:\Users\User\Desktop\dwtest нет файлов ПО Dr.Web, начинает туда файлы ПО копировать.

Среди копируемых файлов есть файл dwservice.exe, который запускается в момент обновления от имени пользователя NT AUTHORITY\SYSTEM. Данный файл загружает в себя библиотеку cryptui.dll, которая была в папке C:\Users\User\Desktop\dwtest. Код библиотеки просто запускает интерактивную консоль, которую и видно на экране. Командой whoami убеждаюсь, что получены права системы.

Отчет об уязвимости был отправлен в Доктор Веб и, вроде бы, разработчики все поправили.

15.05.2020 — Обращение в техподдержку с просьбой предоставить security-контакт.
20.05.2020 — Получаю ответ, что можно передать отчет в данном обращении
20.05.2020 — Передаю отчет
14.06.2020 — Получаю ответ, что для 12 версии уязвимость исправлена. Ожидают портирование для версии 11.
07.07.2020 — Разработчики подтверждают, что исправления выпущены.

Читайте также: