Как заблокировать сайт в доктор веб

Обновлено: 06.07.2024

Данная статья написана в рамках ответственного разглашения информации о уязвимости. Хочу выразить благодарность сотрудникам Dr.Web за оперативное реагирование и исправление обхода брандмауэра (firewall).

В этой статье я продемонстрирую обнаруженную мной возможность обхода брандмауэра (firewall) в продукте Dr.Web Security Space 12 версии.

При исследовании различных техник и методик обхода антивирусных программ я заметил, что Dr.Web Security Space 12 версии блокирует любой доступ в Интернет у самописных приложений, хотя другие антивирусные программы так не реагируют. Мне захотелось проверить, возможно ли обойти данный механизм безопасности?

Разведка

Во время анализа работы антивирусной программы Dr.Web, я обнаружил, что некоторые исполняемые файлы (.exe), в папке C:\Program Files\DrWeb, потенциально могут быть подвержены Dll hijacking.

Dll Hijacking — это атака, основанная на способе поиска и загрузки динамически подключаемых библиотек приложениями Windows. Большинство приложений Windows при загрузке dll не используют полный путь, а указывают только имя файла. Из-за этого перед непосредственно загрузкой происходит поиск соответствующей библиотеки. С настройками по умолчанию поиск начинается с папки, где расположен исполняемый файл, и в случае отсутствия файла поиск продолжается в системных директориях. Такое поведение позволяет злоумышленнику разместить поддельную dll и почти гарантировать, что библиотека с нагрузкой загрузится в адресное пространство приложения и код злоумышленника будет исполнен.

Например, возьмём один из исполняемых файлов – frwl_svc.exe версии 12.5.2.4160. С помощью Process Monitor от Sysinternals проследим поиск dll.


Однако, у обычного пользователя нет разрешений для того чтобы подложить свой DLL файл в папку C:\Program Files\DrWeb. Но рассмотрим вариант, в котором frwl_svc.exe будет скопирован в папку под контролем пользователя, к примеру, в папку Temp, а рядом подложим свою библиотеку version.dll. Такое действие не даст мне выполнение программы с какими-то новыми привилегиями, но так мой код из библиотеки будет исполнен в контексте доверенного приложения.


Подготовительные мероприятия

Я начну свой эксперимент с настройки двух виртуальных машин с Windows 10. Первая виртуальная машина служит для демонстрации пользователя с установленным антивирусом Dr.Web. Вторая виртуальная машина будет «ответной стороной», на ней установлен netcat для сетевого взаимодействия с первой виртуалкой. Начальные настройки при установке:

На первую виртуальную машину с IP 192.168.9.2 установлю Dr.Web последней версии, в процессе установки Dr.Web’а выберу следующие пункты:

На вторую виртуальную машину с ip 192.168.9.3 установлю netcat.

Для демонстрации я разработал два исполняемых файла:

Второй файл — это прокси-библиотека version.dll, которая размещается рядом с frwl_svc.exe на первой виртуальной машине. Функциональность та же, что и test_application.exe, только код собран как dll.

Видео эксплуатации

После подготовительных мероприятий, я, наконец, подошёл к эксплуатации. На этом видео представлена демонстрация возможности обхода брандмауэра (firewall) в продукте Dr.Web Security Space 12 версии. (Dr.Web, version.dll и test_application.exe находится на первой виртуальной машине, которая расположена с левой стороны видео. А netcat находится на второй виртуальной машине, которая расположена с правой стороны видео.)

Вот что происходит на видео:

На второй виртуальной машине запускаем netcat он же nc64.exe и прослушиваем порт 4444.

Затем на первой виртуальной машине в папке C:\Users\root\AppData\Local\Temp распакуем aplications.7z, там находятся version.dll и test_application.exe.

После этого, с помощью whoami показываем, что все действия от обычного пользователя.

Потом копируем C:\Program Files\DrWeb\frwl_svc.exe в папку C:\Users\root\AppData\Local\Temp\aplications.

Дальше демонстрируем, что брандмауэр (firewall) включён, исключения отсутствуют и время последнего обновления антивируса.

Следующим шагом запускаем тестовое приложение test_application.exe и проверяем работоспособность брандмауэр (firewall). Dr.Web заблокировал тестовое приложение, а значит можно сделать вывод, что брандмауэр (firewall) работает корректно.

Запускаем frwl_svc.exe и видим подключение в nc64.exe на второй машине.

Передаём команду на создание папки test на первой машине с помощью nc64.exe, который находится на второй машине.

Вывод

Убедившись, что способ работает, можно сделать предположение, что, антивирус доверяет «своим» приложениям, и сетевые запросы, сделанные от имени таких исполняемых файлов, в фильтрацию не попадают. Копирование доверенного файла в подконтрольную пользователю папку с готовой библиотекой — не единственный способ исполнить код в контексте приложения, но один из самых легковоспроизводимых. На этом этапе я собрал все артефакты исследования и передал их специалистам Dr.Web. Вскоре я получил ответ, что уязвимость исправлена в новой версии.

Проверка исправлений


Вижу, что frwl_svc.exe версии 12.5.3.12180 больше не загружает стандартные dll. Это исправляет сам подход с dll hijacking, но появилась гипотеза, что логика работы с доверенными приложениями осталась. Для проверки я воспользовался старой версией frwl_svc.exe.

Подготовительные мероприятия

Начну проверку своей гипотезы с того, что настрою две виртуальные машины с windows 10 по аналогии с тем, как всё было в демонстрации.

На первую виртуальную машину с ip 192.168.9.2 я установлю Dr.Web последней версии. Процесс установки Dr.Web не отличатся от того, который был описан в предыдущем отчёте. А также в папку Temp я скопирую frwl_svc.exe версии 12.5.2.4160 и version.dll из предыдущего отчета.

На вторую виртуальную машину c ip 192.168.9.3 я установлю netcat.

Видео эксплуатации

После настройки двух виртуальных машин пришло время эксплуатации. На этом видео показана возможность обхода патча, которым Dr.Web исправил ошибку из предыдущего отчёта. Расположение виртуальных машин не отличается от представленных в предыдущем видео. Напомню, первая машина находится с левой стороны на видео, а вторая машина – с правой стороны. Действия в видео:

На второй виртуальной машине запускаем netcat(nc64.exe) и прослушиваем порт 4444.

Затем на первой виртуальной машине с помощью whoami показываем, что все действия от обычного пользователя.

Потом показываем версию frwl_svc.exe (12.5.2.4160) в папке C:\Users\drweb_test\AppData\Local\Temp.

Дальше демонстрируем версию frwl_svc.exe (12.5.3.12180) в папке C:\Program Files\DrWeb.

Следующим шагом показываем, что брандмауэр (firewall) включён, исключения отсутствуют и время последнего обновления.

После этого запускаем C:\Users\drweb_test\AppData\Local\Temp \frwl_svc.exe и видим подключение в nc64.exe во второй машине.

Последним шагом передаём команду на создание папки test на первой машине с помощью nc64.exe, который находится на второй машине.

Добавление файла или папки в исключение антивируса Dr.Web версии 10 и 11

Щелкните по значку антивируса возле часов. В появившемся окне, щелкните по значку с замком и затем, щёлкните по появившемуся значку в виде шестерёнки:


В окне настроек переключитесь на вкладку "Исключения":


Выберите слева, что именно вы хотите добавить в исключения антивируса: веб-сайт, файлы или папки или программу. Нажмите "+" для добавления нового объекта:


Укажите путь к файлу или папке:


Выбранные вами объекты будут добавлены в список и будут игнорироваться антивирусом при их запуске или сканировании компьютера.


Аналагичным образом, на вкладке "Программы и процессы" можно добавить в исключения исполняемый файл программы или игры.


Добавление файла или папки в исключение антивируса Dr.Web версии 9 и ниже

Щелкните по заначку антивируса возле часов и в пункте "Инструменты" выберите "Настройки":


В настройках Доктор Веб переключитесь на вкладку "SpIDer Guard". Слева, выберите пункт "Исключаемые файлы" и нажмите кнопку "Обзор":


Нажмите "Обзор" и укажите путь к файлу или папке, которые вы желаете добавить в исключения. Затем, нажмите "Добавить". Указанные файлы будут отображаться в нижнем списке и будут игнорироваться антивирусом.

Узнайте больше

Как в Dr.Web для Windows предоставить ребенку доступ к отдельным сайтам, которые входят в ту или иную категорию блокировки, или дополнить список блокируемых сайтов?

  • Перейдите на вкладку Родительский контроль.
  • В правой части окна выберите учетную запись пользователя, для которой необходимо настроить ограничения.
  • Нажмите на кнопку Изменить в разделе Интернет.
  • Выберите режим работы Блокировать по категориям
  • Нажмите на кнопку Белый и черный списки.
  • Чтобы исключить сайт из блокировки, добавьте его адрес в белый список.
  • Чтобы добавить сайт в список нежелательных — добавьте его адрес в черный список.
  • Если вы хотите, чтобы пользователь имел доступ только к определенным сайтам, — добавьте адреса этих сайтов в белый список и выберите режим работы Блокировать все, кроме сайтов из белого списка.

Популярные поисковики (Google, Yandex) имеют функцию безопасного поиска, которая позволяет исключить из результатов поиска ссылки на сайты с опасным и нежелательным содержимым. Чтобы браузер автоматически включал функцию безопасного поиска, включите одноименную функцию Родительского контроля.

Узнайте больше

Как с помощью Родительского контроля в Dr.Web для Windows ограничить доступ к отдельным файлам или папкам?

  • Откройте вкладку Файлы и папки и щелкните по выключателю.
  • Добавьте в список пути к файлам и папкам, а затем выберите подходящий режим доступа.

«Только чтение» означает, что ребенок сможет читать файлы и папки, но не сможет их изменить или удалить;

«Заблокировано» вообще не допустит ребенка к файлам и папкам.

Как защитить настройки Родительского контроля в Dr.Web для Windows от изменения третьими лицами?

Как в Родительском контроле в Dr.Web для Windows ограничить время доступа ребенка к Интернету или компьютеру.

  • Откройте вкладку «Время».
  • С помощью временной сетки настройте расписание доступа к Интернету и к компьютеру.
  • Вместо настройки временной сетки можно выбрать режим работы «Интервальное ограничение времени».

Фильтрует ли Dr.Web трафик при работе через VPN?

Защищенное соединение (в том числе с помощью VPN) предназначено для защиты от перехвата передаваемой информации. Невозможно сделать так, чтобы спецслужбы и мошенники не могли видеть ваши действия, а средства защиты могли. Любая функция, с помощью которой средства защиты получали бы доступ к фильтрации передаваемой информации, немедленно стала бы доступна и злоумышленникам, и спецслужбам. Поэтому если вы защищаетесь от внимания спецслужб и перехвата вашего трафика, то вы автоматически лишаетесь проверки этого трафика средствами защиты антивируса и мошенники получают возможность доставки вам спама и вредоносных программ.

Но пользователь не остается без защиты Dr.Web — все запускаемое на компьютере будет проверено антивирусом, только уже после доставки на ваш компьютер, а не до.

Для чего предназначен модуль родительского контроля?

Модуль Родительского контроля помогает ограничить доступ пользователей компьютера к определенным сайтам в сети Интернет, локальным файлам или папкам, ресурсам локальной сети, а также к учетной записи компьютера. Администратор компьютера может сам задать список запрещенных сайтов или воспользоваться постоянно обновляемыми тематическими списками, предоставляемыми компанией «Доктор Веб».

Какие сайты можно блокировать модулем Родительского контроля?

Абсолютно любые сайты. Модуль Родительского контроля позволяет ограничивать доступ как к конкретным сайтам или страничкам на сайтах, так и ко всем известным сайтам, содержащим информацию определенной тематики (например, сайтам о наркотиках или оружии, сайтам платных онлайн-игр и т. д.). Блокировка конкретных сайтов задается пользователем, причем как по отдельным адресам, так и по ключевым словам в адресе. Блокировка сайтов по тематике осуществляется автоматически с помощью списков, регулярно обновляемых компанией «Доктор Веб».


Сможет ли мой ребенок отключить модуль Родительского контроля без моего ведома?

Чтобы этого не произошло, включите защиту настроек Dr.Web паролем. Для этого щелкните по значку мини-агента (пауку), который находится в правом нижнем углу экрана, и щелкните по изображению закрытого замка.


При появлении окна контроля учетных записей пользователей нажмите на кнопку «Да» и при необходимости введите пароль администратора.


Щелкните по кнопке вызова окна настроек (шестеренка).


Щелкните по выключателю парольной защиты настроек Dr.Web.


Введите новый пароль в оба поля для ввода и нажмите на кнопку «ОК».


Теперь для любого изменения настроек Dr.Web будет запрашиваться заданный пароль.

Для чего предназначена опция «Локальный доступ»?

На этой вкладке Вы можете ограничить несанкционированный доступ к локальным ресурсам Вашего компьютера — файлам и папкам. Недоступность этих ресурсов для третьих лиц поможет Вам избежать случайного повреждения или удаления данных, а также похищения важной для Вас информации.

Как включить блокировку доступа?

Щелкните по значку мини-агента (пауку), который находится в правом нижнем углу экрана, и щелкните по изображению закрытого замка.


При появлении окна контроля учетных записей пользователей нажмите на кнопку «Да» и при необходимости введите пароль администратора.


Щелкните по кнопке вызова окна настроек (шестеренка).


Откроется окно настроек Dr.Web. Перейдите в раздел «Родительский контроль» и задайте необходимые ограничения.


Нужный мне сайт блокируется модулем Родительского контроля. Как исключить этот сайт из блокировки?

Щелкните по значку мини-агента (пауку), который находится в правом нижнем углу экрана, и щелкните по изображению закрытого замка.


При появлении окна контроля учетных записей пользователей нажмите на кнопку «Да» и при необходимости введите пароль администратора.


Щелкните по кнопке вызова окна настроек (шестеренка).


Откроется окно настроек Dr.Web. Перейдите в раздел «Родительский контроль» и щелкните по ссылке «Изменить» для настроек Интернета.


Нажмите на кнопку «Белый и черный списки».

В поле «Белый список» введите адрес нужно сайта и нажмите на кнопку «+», а затем — нажмите на кнопку «ОК».


Адрес сайта будет добавлен в белый список и перестанет блокироваться Родительским контролем.

Как отключить модуль Родительского контроля?

Отключать модуль Родительского контроля не рекомендуется, так как это автоматически разрешает доступ ко всем сайтам и ресурсам. Если все-таки требуется отключить этот модуль, то щелкните по значку мини-агента (пауку), который находится в правом нижнем углу экрана, и щелкните по изображению закрытого замка.


При появлении окна контроля учетных записей пользователей нажмите на кнопку «Да» и при необходимости введите пароль администратора.


Щелкните по кнопке «Компоненты защиты».


Щелкните по выключателю Родительского контроля. На рисунке ниже показан отключенный компонент Родительского контроля.

Чем плох Доктор Веб и почему блокирует сайты Spider Gate

Dr.Web является одним из самых популярных антивирусов, но у него есть серьёзный недостаток. Вместе с вредоносными сайтами он блокирует некоторые нормальные сайты, заявляя, что они могут быть потенциально опасны.

В этой статье я объясню, почему приложение SpiDer Gate блокирует хорошие сайты, не даёт перейти по некоторым ссылкам, и расскажу, как решить эту проблему.

Содержание:

Почему Доктор Веб блокирует сайты?

Антивирус Dr.Web Security Space имеет в комплекте программу SpiDer Gate, у которой очень полезные функции защиты при работе в Интернете. Эта программа блокирует все зараженные сайты, и контролирует каждую ссылку, по которой вы переходите.

Информация из справки программы SpiDer Gate

Информация из справки программы SpiDer Gate

URL заблокирован SpiDer Gate

URL заблокирован SpiDer Gate

Подобные проблемы не раз всплывали, вот один из примеров.

Почему Spider Gate не дружит с некоторыми письмами?

Кроме того, Dr.Web (а точнее, SpiDer Gate) может блокировать возможность подписаться на новостную рассылку или не разрешать переходить по ссылкам из письма на нормальный сайт.

Причина в том, что Доктор Веб считает нежелательными массовые отправления писем, особенно, от некоторых сервисов почтовых рассылок!

Например, сервисом Smartresponder пользуются более 400 000 авторов рассылок и около 30 миллионов читателей. Странно считать такой популярный сервис «нерекомендуемым к посещению».

Получается, что сама возможность распространить некачественный продукт стала причиной блокировки сервиса, полезного для миллионов людей.

(Здесь мог быть анекдот по теме, но я оставил вам возможность написать подходящий в комментариях =)

Чем это плохо?

Доктор Веб за вас решает, переходить ли по ссылкам в письме, получение которого вы сами заказали, подписавшись на рассылку. Особенно неприятно, если по ссылке находится полезная информация.

Я считаю такую чрезмерную заботу большим ограничением, которое отталкивает часть пользователей от покупки этого антивируса.

Хорошо это или плохо может решить каждый сам.

Как эта ситуация касается читателей сайта IT-уроки?

Всё перечисленное касается и подписчиков сайта IT-уроки, та как через сервис почтовых рассылок Smartresponder я информирую читателей о выходе новых статей и новостей, а также раздаю подарки.

Если у вас установлен Dr.Web Security Space, то вы не сможете перейти по всем ссылкам в письмах, так как для анализа переходов используется «нерекомендуемый» сервис «srclikpro» (который определяет, сколько человек открыли письмо и перешли по ссылкам).

Как решить проблему?

Есть три варианта решения проблемы:

1. Отключить модуль антивируса SpiDer Gate

Я бы не рекомендовал этот вариант, так как с блокировкой действительно опасных сайтов Доктор Веб справляется отлично.

Модуль SpiDer антивируса Dr Web Gate отключен

Модуль SpiDer антивируса Dr Web Gate отключен

3. Внести проверенные сайты в исключения Dr.Web SpiDer Gate (добавить в белый список)

Белый список в SpiDer Gate

Белый список в SpiDer Gate

Конечно же, если вы не знаете, опасный ли сайт, его перед добавлением в белый список необходимо проверить.

Подробно о проверке сайтов и внесении их в исключения я написал в следующей статье.

Всё так сложно?! Неужели DrWeb так плох?

Конечно, внести ссылку в исключения недолго и не сложно, но ссылок этих может быть достаточно много, да и лишние это действия, которые не должны заботить обычного пользователя, который желает получить доступ к полезной и безопасной информации.

Кто-то может подумать, что я плохо отношусь к антивирусу Dr.Web, но, поверьте, это совершенно не так. Цель статьи не принизить достоинства программы, а предупредить читателя о недостатке.

Заключение

Итак, сегодня мы узнали об одном важном ограничении антивируса Доктор Веб, о причинах появления этого ограничения и разобрались, что эту проблему можно решить тремя способами.

Надеюсь, эта статья расширила ваш кругозор в отношении безопасности работы в интернете.
Продолжение можно прочитать здесь!

Копирование запрещено, но можно делиться ссылками:


Поделитесь с друзьями:

Понравились IT-уроки?

Все средства идут на покрытие текущих расходов (оплата за сервер, домен, техническое обслуживание)
и подготовку новых обучающих материалов (покупка необходимого ПО и оборудования).
Больше интересных уроков:

Спасибо. Очень полезный урок.

У меня стоит АВИРА, решил почистить систему утилитой DrWeb , но немогу загрузить обновления на домашний комп, может DrWeb принимает мой комп, как организации.

Если вы про Dr.Web CureIt, то она не обновляется. Нужно каждый раз свежую версию скачивать по этой ссылке.

4. Ссылка на книгу всем читателям сайта открывается после публикации первого комментария. Если вы не нашли ссылку, достаточно сообщить мне, я отправлю копию на электронную почту (вам только что отправил, проверьте входящие письма).

У меня dr.Web стоит на планшете, пока нормально. А на компе и на ноуте поставил Microsoft Essentiale Security. Вполне приличный антивирусник по-моему, главное тихий и вирусы после него не замечены другими прогами.

Андрей, у меня тоже на ноутбуке Microsoft Security Essentials, действительно, самый незаметный антивирус 🙂
А на основном компьютере я периодически меняю пробные версии разных производителей, чтобы быть в курсе изменений и на практике ощутить разницу между популярными антивирусами.

Всё верно. Нельзя зацикливаться на одном. Необходимо постоянно тестить, что я периодически делаю, правда не слишком часто.

Пардон.
Не тратить, а тестить.

Андрей, исправил ваш комментарий 🙂

Добрый вечер.
Я пользуюсь нот 32.
антивирусник хорошь для нетбуков, не сильно грузит бук и защита вроде есть. По вашей ссылке взял касперского сканера, тот просканировал и ничего не нашел. Доктором веб раньше пользовался , но он сильно тормозил нетбук. Позтому перешел на нот32.

Здравствуйте, Владимир. Честно говоря, антивирусы компании ESET (NOD32 Smart Security и другие) мне нравятся больше других, но и другие производители тоже достойны внимания. Подробнее о сравнениях и выборе поговорим в будущих уроках.

Добрый вечер.
Абсолютно с вами согласен по поводу других производителей. Иногда пользуюсь сканерами нескольких производителей, для лечения своего бука.
Правда столкнулся один раз с одним вирусом который не отыскался ни одним антивирусом. Вообщем вирус нашли в ручном режиме (мой друг занимался этим ).

Сергей, уроки и др. читаю с удовольствием. Хотелось бы узнать Ваше мнение об антивируснике Symantec Endpoint Protection.

Борис, мне понравился антивирус Symantec, да и результаты тестов обнадеживают.

P.S. Благодарю за отзыв 🙂

Спасибо, Сергей! У меня как раз Доктор ВЕБ и именно эти проблемы.

Наталия, пожалуйста! Надеюсь, нашли ссылку на статью про внесение сайтов в белый список.

Здравствуйте! У меня раньше стоял Доктор Веб, были такие моменты, которые не очень нравились. Сейчас поняла причину. Спасибо за информацию. В данное время пользуюсь Касперским, хотя Доктора считаю хорошим антивирусом:)

Лара, действительно, оба антивируса хорошие, но, по моему личному мнению, Касперский сейчас обгоняет Доктора Веба довольно заметно.

Здравствуйте, Руслан! Спасибо, что поделились своим опытом.
Необходим детальный анализ с учетом многих факторов, при этом все антивирусы необходимо ставить в равные изначальные условия. Возможно в вашей ситуации Касперский не справился, но также возможно, что именно в описанной ситуации (с учетом даты заражения и актуальности баз) Доктор Веб тоже пропустил бы тот самый вирус.
По поводу скорости работы, я постоянно тестирую разные антивирусы (и разные их версии от всех известных производителей), принципиальной разницы в скорости фоновой работы между Касперским, Нодом и Доктор Вебом не заметил (при этом настройки приблизительно одинаковые). Опять же, для сравнения нужны одинаковые условия.

Так как полноценного подробного сравнения антивирусов (с учетом упомянутых равных условий) я не проводил, то настаивать на своей точке зрения не буду. Каждый вправе выбрать то, что ему кажется удобнее и качественнее. Главное, не забывать относиться критично даже к своему выбору 🙂

Среди ближайших тем я запланировал серию уроков по безопасности и антивирусам, в них я расскажу подробнее о разнице в различных антивирусных программах, и о причинах нахождения разного количества вирусов.

Добрый день, Сергей!

Здравствуйте, Виктор! Мне очень нравится антивирус NOD, если бы не эксперименты, его бы и использовал (всех тайн раскрывать не буду, расскажу в ближайших уроках) 🙂

У меня стоит AVAST Free Antivirus. На данный момент, проблем не наблюдается.

Аваст хорош, но нужно помнить, что у бесплатной версии нет брандмауэра (сетевого экрана).

Для меня это очень важная информация с точки зрения возможности снятия ограничений SpiDer Gate. Спасибо, теперь я знаю что мне делать в случае возникновения аналогичной ситуации.

Читайте также: