Dr web что с сайтом
Ваши запросы
Свяжитесь с нами Незакрытые запросы:
Переключение языка сайта
Демо для дома
Демо для мобильных
Демо для бизнеса
- Dr.Web ESS
- Dr.Web ATM Shield
- Dr.Web CureNet!
- Комплекты
- Dr.Web LiveDemo
- Dr.Web vxCube
Утилиты
- Dr.Web CureNet!
- Dr.Web CureIt!
- Dr.Web LiveDisk
- Аптечка сисадмина
- Плагины для браузеров
- Bot Dr.Web для Telegram
Сервисы
Ресурсы
- Частые вопросы
- Видео по продуктам
- Документация
- Сроки поддержки продуктов
- Центр лицензирования
- Правовой уголок
Антивирусная лаборатория
Обзоры
Мероприятия
«Антивирусная правДА!»
ИТ-краткое. Истории о безопасности
Информеры
Пресс-центр
- «Доктор Веб» — исключительно российская компания
- Продукты Dr.Web включены в Реестр отечественного ПО
- Выпуск обновлений ПО проходит в стандарном рабочем режиме
- Техническая поддержка пользователей Dr.Web 24х7х365
- Наши цены не зависят от курса доллара или евро
Dr.Web Security Space
Комплексная защита для Windows, macOS, Linux
1 ПК + 1 Android на 1 год — 1290.00 ₽
2 ПК + 2 Android на 1 год — 1790.00 ₽
Dr.Web Security Space (для Android)
Android OS, Android TV
1 Android на 1 год — 490.00 ₽
Бессрочная лицензия от 1990.00 ₽
Dr.Web Enterprise Security Suite
Централизованная защита всех узлов корпоративной сети
- минимальная совокупная стоимость внедрения
- выполнение требований норм регуляторов по защите ИСПДн до 1 уровня защищенности включительно
Расширить — бесплатно или со скидкой 40%
© «Доктор Веб»
2003 — 2022
«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.
125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А
Поздравляем! Обменяйте их на скидку до 50% на покупку Dr.Web.
Скачайте
Dr.Web для Android
- Бесплатно на 3 месяца
- Все компоненты защиты
- Продление демо через
AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
Видео эксплуатации
Демонстрация проходит на ОС Windows 10 x64 от пользователя без прав администратора.
0:00-0:12 через консоль Windows показываю, что текущий пользователь не является администратором
0:12-0:24 показываю установленную версию Dr.Web Security Space
0:24-0:29 в папке на рабочем столе находится файл drweb_eop_upd_dll.dll (исходные коды и файл приложены к тикету)
0:29-0:34 показываю, что в папке C:\ProgramData\Doctor Web\Updater\etc находится 3 файла
0:34-0:47 копирую библиотеку drweb_eop_upd_dll.dll в папке на рабочем столе и один экземпляр называю version.dll, другой — cryptui.dll
0:47-0:56 копирую файл C:\Program Files\Common Files\Doctor Web\Updater\drwupsrv.exe в папку на рабочем столе, рядом с dll.
0:56-1:00 запускаю скопированный файл
Запускаемый файл drwupsrv.exe из папки на рабочем столе загружает расположенную рядом version.dll. Данная библиотека создает файл C:\ProgramData\Doctor Web\Updater\etc\drwupsrv.xml.new. На папку C:\ProgramData и вглубь у пользователя есть права на создание файлов, поэтому это легальная операция. Если попробовать создать такой файл вручную, то, вероятно, защитные механизмы Dr.Web предотвращают такую операцию. Но в эксплуатации создание файла проходит от имени drwupsrv.exe, что вероятно обходит внутренние проверки и файл создается. Фактически, это обход той самой проверки подписи о которой и идет речь в начале статьи.
1:00-1:22 демонстрирую созданный файл и его содержимое. В общем смысле файл совпадает по содержимому с файлом C:\ProgramData\Doctor Web\Updater\etc\drwupsrv.xml, но все пути указывают папку на рабочем столе (C:\Users\User\Desktop\dwtest)
1:22-2:00 ничего не происходит (на этом этапе я ожидаю процесса обновления ПО, который по умолчанию происходит раз в полчаса и ожидаемое время можно найти в логах)
2:00-2:14 судя по всему, взяв созданный файл конфигурации, обновлятор видит, что в папке C:\Users\User\Desktop\dwtest нет файлов ПО Dr.Web, начинает туда файлы ПО копировать.
Среди копируемых файлов есть файл dwservice.exe, который запускается в момент обновления от имени пользователя NT AUTHORITY\SYSTEM. Данный файл загружает в себя библиотеку cryptui.dll, которая была в папке C:\Users\User\Desktop\dwtest. Код библиотеки просто запускает интерактивную консоль, которую и видно на экране. Командой whoami убеждаюсь, что получены права системы.
Отчет об уязвимости был отправлен в Доктор Веб и, вроде бы, разработчики все поправили.
15.05.2020 — Обращение в техподдержку с просьбой предоставить security-контакт.
20.05.2020 — Получаю ответ, что можно передать отчет в данном обращении
20.05.2020 — Передаю отчет
14.06.2020 — Получаю ответ, что для 12 версии уязвимость исправлена. Ожидают портирование для версии 11.
07.07.2020 — Разработчики подтверждают, что исправления выпущены.
Вы сомневаетесь в эффективности
вашего антивируса?
1. Скачайте Dr.Web CureIt!, сохранив утилиту на жесткий диск.
2. Запустите сохраненный файл на исполнение (дважды щелкните по нему левой кнопкой мышки).
3. Дождитесь окончания сканирования и изучите отчет о проверке.
Бесплатно только для дома
Купить лицензию на Dr.Web CureIt!
Обучение
Изучите материалы обучающих курсов и сдайте экзамены на звание «Сертифицированный пользователь Dr.Web»
Относительно недавно на хабре появилась статья «Стилер паролей в антивирусном ПО Avira Free Antivirus» от пользователя Veliant. Автор обнаружил, что в стандартной поставке упомянутого антивируса присутствует компонент, который позволяет простым образом извлечь пароли из хранилища браузера Chrome.
В комментариях произошла дискуссия, можно ли считать это уязвимостью. Но меня зацепил один комментарий автора:
нельзя ли это было реализовать например в виде DLL, которая при вызове её API проверяла бы цифровую подпись вызывающей программы?
Дело в том, что буквально перед этим я исследовал несколько программ, которые точно так же полагались на проверку цифровой подписи. И такую проверку было очень легко обойти.
Цифровая подпись файла соответствует только самому исполняемому файлу, но работающая программа это не только исполняемый файл. Существует несколько способов повлиять на работу программы, не меняя исполняемый файл: можно подменить библиотеки, которые загружаются или сделать инъекцию кода прямо в памяти.
Я посмотрел на профиль автора: «Работает в: Доктор Веб». А что если посмотреть, не используется ли в продуктах этой компании проверка, о которой говорит автор? Я решил посмотреть и, спойлер, нашел уязвимость, которая позволяет повысить свои привилегии до системных пользователю Dr.Web Security Space для Windows.
Обновление Dr.Web CureIt!
Лечащая утилита Dr.Web CureIt! вылечит инфицированную систему однократно, но она не является постоянным средством для защиты компьютера от вирусов. Утилита на нашем сайте всегда имеет в своем составе самые последние вирусные базы Dr.Web, но в нее не входит модуль автоматического обновления вирусных баз. Поставляемый в комплекте утилиты Dr.Web CureIt! набор вирусных баз актуален только до выхода нового дополнения (как правило, дополнения выпускаются один или несколько раз в час).
Сервисы
Dr.Web Security Space Комплексная защита от интернет-угроз для Windows, macOS, Linux, Android
Dr.Web KATANA Самый легкий несигнатурный антивирус для Windows
© «Доктор Веб»
2003 — 2022
«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.
125124, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А
Скачайте
Dr.Web для Android
- Бесплатно на 3 месяца
- Все компоненты защиты
- Продление демо через
AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
Для бизнеса
Для лечения офисного компьютера/сервера или для услуг по лечению компьютеров других пользователей
Сервисы
Dr.Web Security Space Комплексная защита от интернет-угроз для Windows, macOS, Linux, Android
Dr.Web KATANA Самый легкий несигнатурный антивирус для Windows
© «Доктор Веб»
2003 — 2022
«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.
125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А
Поздравляем! Обменяйте их на скидку до 50% на покупку Dr.Web.
Скачайте
Dr.Web для Android
- Бесплатно на 3 месяца
- Все компоненты защиты
- Продление демо через
AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
Поддерживаемые языки
- Dr.Web CureIt! автоматически определяет язык используемой ОС (в случае, если локальный язык не поддерживается, устанавливается английский язык).
- Интерфейс утилиты на 23 языках: русский, азербайджанский, английский, болгарский, венгерский, греческий, испанский, итальянский, казахский, китайский (упрощ.), китайский (трад.), латышский, литовский, немецкий, польский, португальский, сербский, словацкий, узбекский, украинский, французский, эстонский.
Для дома
Без функции отправки статистики
Самоподдержка
Разведка
Я не разбираюсь в продуктах Доктор Веб, поэтому взял первое попавшееся, что можно было скачать на сайте — это был Dr.Web Security Space 12 для Windows. При настройках по умолчанию данный продукт проводит проверку обновлений каждые полчаса. И в механизме обновления была обнаружена уязвимость.
Ниже я предлагаю видео эксплуатации с описанием того, что происходит на видео с привязкой ко времени. Там же будет описание, в чем же конкретно состояла уязвимость.
Сервисы
Dr.Web Security Space Комплексная защита от интернет-угроз для Windows, macOS, Linux, Android
Dr.Web KATANA Самый легкий несигнатурный антивирус для Windows
© «Доктор Веб»
2003 — 2022
«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.
125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А
Поздравляем! Обменяйте их на скидку до 50% на покупку Dr.Web.
Скачайте
Dr.Web для Android
- Бесплатно на 3 месяца
- Все компоненты защиты
- Продление демо через
AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
Чтобы обновить Dr.Web CureIt! для дома
и просканировать компьютер в следующий раз с самыми последними обновлениями вирусных баз, необходимо снова скачать Dr.Web CureIt!
Чтобы обновить Dr.Web CureIt! для бизнеса
cкачивайте регулярно обновляемые дистрибутивы Dr.Web CureIt! в течение всего срока действия лицензии в Личном кабинете. Доступ к нему можно получить из программы или по серийному номеру.
Читайте также: