Dr web блокирует anydesk

Обновлено: 05.07.2024

Пытаюсь удалить DrWeb. Сообщает что отказано в доступе либо "снимите защиту от записи". С админскими правами и в безопасном режиме та же беда. Убрал со всех файлов и папок защиту от записи, поставил программу Unlocker но тоже ни фига. Подскажите, как можно снести эту гадость.

Лучше быть головой у мухи, чем ж@пой у слона.
----
Да пошли ты их нах@й (с) Дозморов

штатной функцией "установка и удаление программ" пробовал анинсталлировать?
Запускай диспетчер задач, убивай др.вебовские задачи.

Ну, или через загрузочный диск.

вариант 1 - забыли его выключить перед удалением. В этом случае будет ругаться и не давать удалить, так как программа в данный момент работает. Чтобы выключить - правый щелчок на значке в трее - пункт "выгрузить" или что-то подобное.
вариант 2 - удаляете методом удаления папки с ним, а не через деинсталлятор. В таком случае выключить антивирус и запустить деинсталлятор, ярлык в папке с программой, скорее всего написано "удалить DrWeb" или что-то подобное.
Средства у нас есть. У нас ума не хватает. Кот Матроскин.

Отключать сам антивирус не обязательно, надо отключить самозащиту - правой кнопкой по иконке и соответствующий пункт меню.

Еще на сайте производителя была спецутилита для удаления антивируса.

Фантасты боялись того, что люди станут глупыми и ленивыми, из-за того, что всю работу будут делать роботы и компьютеры, а любую информацию можно будет получить из сети по простому запросу.
Но они не учли того, что люди недостаточно умны, чтобы пользоваться роботами и компьютерами, и слишком ленивы, чтобы получить информацию из сети по простому запросу.

В трее пусто. В диспетчере не висит (все отрублено и напрямую и через msconfig)

Загрузочный либо сразу ставить винду начинает либо запускает DOSовскую оболочку, которая большие диски не видит вообще

Я Nod32 поставил. DrWeb мне никогда принципиально не нравился, как и касперский.

Он не удаленный. Он просто отключенный

Лучше быть головой у мухи, чем ж@пой у слона.
----
Да пошли ты их нах@й (с) Дозморов Фантасты боялись того, что люди станут глупыми и ленивыми, из-за того, что всю работу будут делать роботы и компьютеры, а любую информацию можно будет получить из сети по простому запросу.
Но они не учли того, что люди недостаточно умны, чтобы пользоваться роботами и компьютерами, и слишком ленивы, чтобы получить информацию из сети по простому запросу.
Есть много разных хороших загрузочных дисков. типа infr@CD, с которого грузится независимая копия винды и есть доступ к жёсткому диску, можно почистить всё, что ен нужно.

Имел ошибку поставить в корпоративной среде drweb ESI. Сечас перевожу все на Kaspersky Business Space Security. продукт от Dr web не конкурентноспособен.

П риветствую, коллеги! В разных организациях принято закрывать внутреннюю сеть, ограждая ее от промышленного шпионажа и других угроз, связанных с работой собственных сотрудников. Такие сервисы удаленного подключения, как TeamViewer, Ammyy admin, AnyDesk и др. являются огромной "дырой" в безопасности любой организации. Как ее "немного прикрыть" мы рассмотрим в данной статье, на примере работы с роутером MikroTik.

И так, если на пальцах, то нам надо поставить маркеры на определенные слова и словосочетания, которые будут помечать трафик (любой, не только из браузера) и делать с ним все, что нам захочется: хоть блокировать, хоть перенаправлять, хоть пустить в пешее кругосветное путешествие через всю нашу сеть. Голь на выдумки хитра. Но здесь я рассмотрю только вариант с блокировкой.

Д ля начала нам надо определиться что именно мы будем блокировать. Идем в IP -> Firewall на последнюю вкладку Layer 7 Protocols.

Описание регулярных переменных для отслеживания работы L7 модели OSI Описание регулярных переменных для отслеживания работы L7 модели OSI

З десь мы создаем регулярки для определения того, что будем блочить. Это могут быть совершенно разные сайты: хоть социалки, хоть видео-хостинги, радио или просто вам сайт АвтоВАЗа, например, не хочется видеть. Забиваем регулярные выражения в следующем виде.

В трех этих вкладках при создании нового мангла, нужно указать: внутренний адрес ус-ва (если пусто, то все), указать как L7 лист использовать для маркировки трафика от данного устройства, указать как помечать трафик, который удовлетворяем уже 2 нашим условиям: таблицы регуляров BlockList и внутреннему адресу ус-ва. Имя Connection mark может быть любым. Готово. Далее сама блокировка.

Н а вкладке Filter Rules - самой первой вкладке раздела Firewall, создаем новое правило.

К огда нажмете "плюсик", то не надо заполнять все поля - чем меньше их заполнено, тем более обширно правило. Заполняя поля вы сужаете область применения данного правила. Нам достаточно следующих: connection mark, который мы создали предыдущим шагом, и в разделе action выбрать что делать - в нашем случае дропать.

И самое важное, поднять наше новое правило в разделе filter rules как можно выше, так как правила во всех фаерволах всегда и везде выполняются по очереди до первого совпадения. Т.е. если вы создали правило под номером 10, а до него есть правило номер 7, которое все разрешает, то все правила после 7 не будут выполняться вообще. Еще один нюанса микрота - замыкающее, конечное правило, надо создать дропать все. Т.е. все поля пустые, а action - drop. Т.к. базово оно не прописано, как у других производителей, где последнее правило всегда "запрещает все всем". Тут такого нет, поэтому создаем.

К ак видите, на данной машине перестали открываться сайты, в имени которых встречаются слова, с которых мы начали данную статью.

О кно программы AnyDesk тоже не может связаться с сервером, чтобы получить ID для удаленного подключения.

В заключении хочу обозначить пару моментов, которые лежат на поверхности, но многие об этом не задумываются при блокировке этих или других сервисов. Будь то фейсбук, вк или амазон с ютубом - не важно. Блокировка сторонних ресурсов всегда должна быть согласована и подтверждена руководством письменно. В идеале у вас должно быть минимум распоряжение, на которое вы сможете ссылаться, когда очередной мини-вип-царек по телефону будет вспоминать всю вашу родословную, искать вам новую работу или еще что похуже. Вы обезопасите себя и свои нервные клетки. В идеале также убедить руководство, что никаких исключений быть не должно и реализовать их будет проблематично и напряжно для роутера: гораздо проще обработать команду блочить 1,2,3,4 для всех, чем 1,2 для группы1, 2,4 для группы2, а группа 3 только по праздникам может ходить в 1,3. Это все реализуемо, но нервов у вас высосет тонну. Работа ради работы.

В общих чертах, наверное, все. Надеюсь было интересно и познавательно. Спасибо за лайк и подписку - это поднимет популярность статьи и больше людей ее смогут увидеть. Если не сложно - буду признателен!

Данная статья написана в рамках ответственного разглашения информации о уязвимости. Хочу выразить благодарность сотрудникам Dr.Web за оперативное реагирование и исправление обхода брандмауэра (firewall).

В этой статье я продемонстрирую обнаруженную мной возможность обхода брандмауэра (firewall) в продукте Dr.Web Security Space 12 версии.

При исследовании различных техник и методик обхода антивирусных программ я заметил, что Dr.Web Security Space 12 версии блокирует любой доступ в Интернет у самописных приложений, хотя другие антивирусные программы так не реагируют. Мне захотелось проверить, возможно ли обойти данный механизм безопасности?

Разведка

Во время анализа работы антивирусной программы Dr.Web, я обнаружил, что некоторые исполняемые файлы (.exe), в папке C:\Program Files\DrWeb, потенциально могут быть подвержены Dll hijacking.

Dll Hijacking — это атака, основанная на способе поиска и загрузки динамически подключаемых библиотек приложениями Windows. Большинство приложений Windows при загрузке dll не используют полный путь, а указывают только имя файла. Из-за этого перед непосредственно загрузкой происходит поиск соответствующей библиотеки. С настройками по умолчанию поиск начинается с папки, где расположен исполняемый файл, и в случае отсутствия файла поиск продолжается в системных директориях. Такое поведение позволяет злоумышленнику разместить поддельную dll и почти гарантировать, что библиотека с нагрузкой загрузится в адресное пространство приложения и код злоумышленника будет исполнен.

Например, возьмём один из исполняемых файлов – frwl_svc.exe версии 12.5.2.4160. С помощью Process Monitor от Sysinternals проследим поиск dll.

Однако, у обычного пользователя нет разрешений для того чтобы подложить свой DLL файл в папку C:\Program Files\DrWeb. Но рассмотрим вариант, в котором frwl_svc.exe будет скопирован в папку под контролем пользователя, к примеру, в папку Temp, а рядом подложим свою библиотеку version.dll. Такое действие не даст мне выполнение программы с какими-то новыми привилегиями, но так мой код из библиотеки будет исполнен в контексте доверенного приложения.

Подготовительные мероприятия

Я начну свой эксперимент с настройки двух виртуальных машин с Windows 10. Первая виртуальная машина служит для демонстрации пользователя с установленным антивирусом Dr.Web. Вторая виртуальная машина будет «ответной стороной», на ней установлен netcat для сетевого взаимодействия с первой виртуалкой. Начальные настройки при установке:

На первую виртуальную машину с IP 192.168.9.2 установлю Dr.Web последней версии, в процессе установки Dr.Web’а выберу следующие пункты:

На вторую виртуальную машину с ip 192.168.9.3 установлю netcat.

Для демонстрации я разработал два исполняемых файла:

Второй файл — это прокси-библиотека version.dll, которая размещается рядом с frwl_svc.exe на первой виртуальной машине. Функциональность та же, что и test_application.exe, только код собран как dll.

Видео эксплуатации

После подготовительных мероприятий, я, наконец, подошёл к эксплуатации. На этом видео представлена демонстрация возможности обхода брандмауэра (firewall) в продукте Dr.Web Security Space 12 версии. (Dr.Web, version.dll и test_application.exe находится на первой виртуальной машине, которая расположена с левой стороны видео. А netcat находится на второй виртуальной машине, которая расположена с правой стороны видео.)

Вот что происходит на видео:

На второй виртуальной машине запускаем netcat он же nc64.exe и прослушиваем порт 4444.

Затем на первой виртуальной машине в папке C:\Users\root\AppData\Local\Temp распакуем aplications.7z, там находятся version.dll и test_application.exe.

После этого, с помощью whoami показываем, что все действия от обычного пользователя.

Потом копируем C:\Program Files\DrWeb\frwl_svc.exe в папку C:\Users\root\AppData\Local\Temp\aplications.

Дальше демонстрируем, что брандмауэр (firewall) включён, исключения отсутствуют и время последнего обновления антивируса.

Следующим шагом запускаем тестовое приложение test_application.exe и проверяем работоспособность брандмауэр (firewall). Dr.Web заблокировал тестовое приложение, а значит можно сделать вывод, что брандмауэр (firewall) работает корректно.

Запускаем frwl_svc.exe и видим подключение в nc64.exe на второй машине.

Передаём команду на создание папки test на первой машине с помощью nc64.exe, который находится на второй машине.

Вывод

Убедившись, что способ работает, можно сделать предположение, что, антивирус доверяет «своим» приложениям, и сетевые запросы, сделанные от имени таких исполняемых файлов, в фильтрацию не попадают. Копирование доверенного файла в подконтрольную пользователю папку с готовой библиотекой — не единственный способ исполнить код в контексте приложения, но один из самых легковоспроизводимых. На этом этапе я собрал все артефакты исследования и передал их специалистам Dr.Web. Вскоре я получил ответ, что уязвимость исправлена в новой версии.

Проверка исправлений

Вижу, что frwl_svc.exe версии 12.5.3.12180 больше не загружает стандартные dll. Это исправляет сам подход с dll hijacking, но появилась гипотеза, что логика работы с доверенными приложениями осталась. Для проверки я воспользовался старой версией frwl_svc.exe.

Подготовительные мероприятия

Начну проверку своей гипотезы с того, что настрою две виртуальные машины с windows 10 по аналогии с тем, как всё было в демонстрации.

На первую виртуальную машину с ip 192.168.9.2 я установлю Dr.Web последней версии. Процесс установки Dr.Web не отличатся от того, который был описан в предыдущем отчёте. А также в папку Temp я скопирую frwl_svc.exe версии 12.5.2.4160 и version.dll из предыдущего отчета.

На вторую виртуальную машину c ip 192.168.9.3 я установлю netcat.

Видео эксплуатации

После настройки двух виртуальных машин пришло время эксплуатации. На этом видео показана возможность обхода патча, которым Dr.Web исправил ошибку из предыдущего отчёта. Расположение виртуальных машин не отличается от представленных в предыдущем видео. Напомню, первая машина находится с левой стороны на видео, а вторая машина – с правой стороны. Действия в видео:

На второй виртуальной машине запускаем netcat(nc64.exe) и прослушиваем порт 4444.

Затем на первой виртуальной машине с помощью whoami показываем, что все действия от обычного пользователя.

Потом показываем версию frwl_svc.exe (12.5.2.4160) в папке C:\Users\drweb_test\AppData\Local\Temp.

Дальше демонстрируем версию frwl_svc.exe (12.5.3.12180) в папке C:\Program Files\DrWeb.

Следующим шагом показываем, что брандмауэр (firewall) включён, исключения отсутствуют и время последнего обновления.

После этого запускаем C:\Users\drweb_test\AppData\Local\Temp \frwl_svc.exe и видим подключение в nc64.exe во второй машине.

Последним шагом передаём команду на создание папки test на первой машине с помощью nc64.exe, который находится на второй машине.

Бесплатный чек-лист
по настройке RouterOS
на 28 пунктов

Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.

Запретить программы удаленного управления TeamViewer&AnyDesk&etc

Есть ли у кого положительная практика блокировки использования популярного софта для удаленного доступа на рабочих станциях в сети средствами RouterOS?
На SQUID-е вполне эффективно решается указанием основного домена с точкой:

Все попытки соединения с серверами дропаются и проги не могут выйти в статус готовности к подключению (не зеленеют), на микроте адрес-листы такой синтаксис не поддерживают, а опробованные конструкции на Layer7 что-то не заработали у меня.

Частично трафик дропается по правилам, в т.ч. сами сайты тима и эни недоступны, но приложения по-прежнему подключаются((

Чтобы заблокировать полностью, нужно на DNS сервере блокировать адреса по регулярному выражению:

Попробуйте адреса в этом виде развернуть на 127.0.0.1 на DNS static
Ну и конечно помним об establised и related соединениях. То есть уже установленные соединения не пропадут по мановению волшебной палочки. Только со временем или после принудительного отключения всех соединений и паузы.

Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? . Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем.

Возможно вопрос нужно решать другим способом - на рабочих станциях запретить использование и даже запуск посторонних програм с помощю Software Restriction Policies ?

Полезный материал.
Через статический dns пропадает возможность избирательно управлять использованием удаленного доступа в случае согласованной необходимости.
Более предпочтительным видится вариант блокировки через fw с возможностью использования белых списков.

Тим рубится наглухо, а вот приложение энидеска, повисев какое-то время на соединении, в конечном итоге подключается и работает, сволочь. Видимо, после неуспешных обращений по доменному имени лезет после по IP и авторизируется, хотя со сквидом выше такое у него не катит, при этом алгоритм блокировки тот же, только в случае со сквидом пользователю кроме порта сквида более ничего не доступно наружу. Отсюда вывод, Эни пользуется дополнительными IP-подсетями для подключения к своим серверам.
С регулярными выражениями в статическом днс поведение аналогичное - тим мертв, эни пролазит с задержкой.
Заворачивать запросы от "пользователя" на сторонние днс минуя микротика пробовалось, на решение задачи не повлияло.

Возможно в определенных случаях со стороны клиента да, но задача блокировать и управлять согласованным доступом на уровне маршрутизатора.

На просторах еще находил реализацию с маркировками соединений и пакетов на основе layer7 для минимизации нагрузки на оборудование. Но Эни замедляеет также максимум ненадолго.
Кэш днс на роутере и клиенте зачищается, все соединения на вкладшке коннекшинс сбрасываются перед проверкой, но Эни пофиг.

Вообще, конечно, правы те админы, которые в подобных случаях начинают жестко регламентировать работу не только самой сети, но и устройств в ней. Не смотря на сопротивление хитропопых сотрудников. Грамотно составленная докладная с реальными данными на столе у руководства в большинстве случаев приводит к нужным результатам. Они у всех разные.
* По одной схеме рабочие станции сотрудников получают возможность подключаться лишь к ограниченному числу хостов.
* По другой схеме сотрудник получает ограниченное число трафика в месяц и при перерасходе не имеет выхода в сеть до конца месяца без объяснительной на имя руководства.
* Станции строго админятся, обычные юзеры имеют минимум прав. Запрет на запуск левых программ ( в том числе и portable).
* Все вводятся в домен, администрирование не в пример гибче.
* Пускаем все через программу для контроля за трафиком, результаты ежемесячно на стол к руководству с комментариями по злостным нарушения.
Вон попросите, народ поделится рабочими схемами, на их основе построите свою.
Бороться же с этим силами только Микротика не очень эффективная затея. Будут обходить.

Ещё раз:
Бороться же с этим силами только Микротика не очень эффективная затея. Будут обходить.

Вас услышали с первого раза, а будут обходить, будем решать по мере поступления проблем, в т.ч. организационно-административными мерами. Повторюсь, вопрос интересен именно технической реализацией инструментарием маршрутизатора.

Читайте также: