Страница 25 из 27 Первая ... 1521222324252627 Последняя
Показано с 481 по 500 из 523.

AVZ 4.25

  1. #481
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    602
    1. Постоянно наблюдаю применение хелперами такой конструкции:
    Код:
    BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
    Я так понимаю, что лечат далеко не новый зловред. А почему AVZ не имеет алгоритма лечения еще на этапе сбора логов? Или дело в необновленных юзерами базах?
    2. AVZ предупреждает о нестандартном местонахождении svchost.exe, например в c:\windows\svchost.exe. Можно еще сделать сигнализацию о наличии файлов с именами "setup.exe", "update.exe", "install.exe" и т.п. в папке "Автозагрузка"?
    Опыт — это слово, которым люди называют свои ошибки.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #482
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от SuperBrat Посмотреть сообщение
    Я так понимаю, что лечат далеко не новый зловред
    1. Этот зловред имеет отвратительную тенденцию - в момент загрузки драйверов антируткита AVZ отправляет машину в BSOD
    2. Это сколько угодно - базы можно внести такой контроль

  4. #483
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    http://virusinfo.info/showthread.php?t=11539 - забавно получилось в секции "Автозапуск"
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #484
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    Да,тоже заинтересовал этот лог,вроде ещё где-то встречал подобное,найду дам ссылку.

  6. #485
    KID
    Guest
    Привет конфе
    Вот клткнул обновить базы и в 2Мб получил:
    -----------------------------------
    1) При <<3. Сканирование дисков>>
    C:\DOX\CHM\MACOSX_TUNE.CHM/{CHM}//XTUNE.EXE >>> Опасно - исполняемый файл в CHM файле - возможно, маскировка исполняемого файла
    E:\... ля-ля-ля\такой-то-файл.exe Invalid file - not a PKZip file

    ==И после этого около сотни (!!!) сообщений типа:

    E:\..ля-ля-ля\...\... Cannot create file "c:\Temp\avz_424_1.tmp". Отказано в доступе
    -----------------------------------
    2) И снова проблема с предварительным не/удалением АВЗРМ после обновления:
    Неустановлен --> Установить, всё успешно, надо бутнуться -- ОК
    ребут: всё равно нету - надо установить и так по кругу

    Удалять нечего - я достался и в ручную убил в скрытых неплаг-и-плей устройствах, но это не решило проблему

  7. #486
    Junior Member Репутация
    Регистрация
    03.08.2007
    Сообщений
    8
    Вес репутации
    61
    Уважаемый Олег!
    AVZ (версия 4.25) при работе в директории C:\Documents and Settings создает следующие папки: TL¦T+¦L-\LOCALS~1\Temp
    После проверки в Temp остается скрытый файл avz_1672_1.tmp
    Должно ли так быть?
    Если да, то в чем смысл этих действий?

  8. #487
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    602
    Цитата Сообщение от KID Посмотреть сообщение
    1) При <<3. Сканирование дисков>>
    C:\DOX\CHM\MACOSX_TUNE.CHM/{CHM}//XTUNE.EXE >>> Опасно - исполняемый файл в CHM файле - возможно, маскировка исполняемого файла
    Типично для некоторых электронных книг. Если проверяли файл на Virustotal, то можно пропустить.
    Цитата Сообщение от KID Посмотреть сообщение
    ==И после этого около сотни (!!!) сообщений типа:
    E:\..ля-ля-ля\...\... Cannot create file "c:\Temp\avz_424_1.tmp". Отказано в доступе
    Права на запись в папку c:\Temp\ проверили?
    Цитата Сообщение от KID Посмотреть сообщение
    2) И снова проблема с предварительным не/удалением АВЗРМ после обновления:
    Неустановлен --> Установить, всё успешно, надо бутнуться -- ОК
    ребут: всё равно нету - надо установить и так по кругу

    Удалять нечего - я достался и в ручную убил в скрытых неплаг-и-плей устройствах, но это не решило проблему
    Скачайте свежую версию AVZ.
    Опыт — это слово, которым люди называют свои ошибки.

  9. #488
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2007
    Адрес
    Питер
    Сообщений
    137
    Вес репутации
    381
    Цитата Сообщение от SuperBrat Посмотреть сообщение
    Jef239, я читал что у Олега этот процесс автоматизирован.
    Если автоматизирован - значит есть ДЫРА. В чём проблема для автора вируса/трояна закинуть свой файл под видом чистого?

  10. #489
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    317
    Цитата Сообщение от Jef239 Посмотреть сообщение
    Если автоматизирован - значит есть ДЫРА. В чём проблема для автора вируса/трояна закинуть свой файл под видом чистого?
    "Проблема для автора вируса/трояна" состоит в том, что перед тем, как попасть в "базу чистых", файл проверяется специально написанным анализатором (а точнее - это программно-аппаратный комплекс), где тщательно и подробно изучается его поведение, и только после этого выносится соответствующий вердикт.

    Что касается вашего предложения насчет локальной "базы чистых файлов" - это дельная вещь (я, кстати, предлагал такое уже достаточно давно), но, видимо, кроме меня с вами это никому не нужно... =)

  11. #490
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2007
    Адрес
    Питер
    Сообщений
    137
    Вес репутации
    381
    Цитата Сообщение от aintrust Посмотреть сообщение
    Что касается вашего предложения насчет локальной "базы чистых файлов" - это дельная вещь (я, кстати, предлагал такое уже достаточно давно), но, видимо, кроме меня с вами это никому не нужно... =)
    Я думаю, что нужно это многим. Но... Вполне возможно, что Олегу нужен поток чистых файлов для обучения эвристики. А локальная база, если её сделать без автоматической отсылки, такой поток прервёт.

  12. #491
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    317
    В АВЗ нет как таковой "обучаемой" эвристики, вся "эвристика" строится на очень детальном изучении поведения существующихся зловредов. Более того, обучение, если бы оно реально для чего-то и понадобилось (ну, к примеру, для нейросети), могло бы быть проведено на основе тех "чистых"/"грязных" файлов, что уже имеются в базе.

    Дело, в общем, не в этом, а, на мой взгляд, именно в том, что число запросов на реализацию этой фичи пока что очень далеко от "критической массы".

  13. #492
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от aintrust Посмотреть сообщение
    Дело, в общем, не в этом, а, на мой взгляд, именно в том, что число запросов на реализацию этой фичи пока что очень далеко от "критической массы".
    Вот именно. Тут вот в чем дело - если речь идет о локальной базе, то завести то ее можно, но что делать дальше ? Подсвечивать файлы из этой базы отдельным цветом ? (спрашивается, зачем, если пользователю точно известно, что это за файл) Обрабатывать как чистый убирая из логов ? (а где гарантия, что пользователь правильно классифицировал безопасный объект ? - вирлабы часто ошибаются, не говоря о пользователях).

  14. #493
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    317
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Тут вот в чем дело - если речь идет о локальной базе, то завести то ее можно, но что делать дальше ? Подсвечивать файлы из этой базы отдельным цветом ? (спрашивается, зачем, если пользователю точно известно, что это за файл)
    Ну, у пользователя может быть много таких файлов, и все их он вряд ли упомнит наизусть. У меня, к примеру, неизвестных АВЗ файлов гораздо больше, чем известных.

    Эта фича имела бы смысл для тех, кто не в силах (или не хочет по какой-либо причине) прислать все свои файлы тебе на анализ через Интернет (это же м.б. десятки гигабайт), но при этом хотел бы отличать старые "надежные" файлы от вновь установленных "ненадежных".

    Что касается логов, то в них эти файлы действительно можно/нужно показывать другим цветом - по крайней мере хелпер будет видеть, что эти файлы находятся в базе безопасных пользователя, т.е. теоретически степень доверия к ним может быть немного выше, чем к обычным черным. Хотя, естественно, это не исключает ошибки пользователя - и хелпер должен прекрасно это понимать!
    Последний раз редактировалось aintrust; 10.08.2007 в 13:16.

  15. #494
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2007
    Адрес
    Питер
    Сообщений
    137
    Вес репутации
    381
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Вот именно. Тут вот в чем дело - если речь идет о локальной базе, то завести то ее можно, но что делать дальше ? Подсвечивать файлы из этой базы отдельным цветом ? (спрашивается, зачем, если пользователю точно известно, что это за файл)
    А затем, чтобы отличить новые файлы от уже известных. ОДИН раз я могу узнать, с какой программой этот фал поставился. Но узнавать каждый раз - увольте. И запоминать 20-30 файлов - тоже. Я всё-таки программист, а не сисадмин, у меня своей работы много.
    Обрабатывать как чистый убирая из логов ?
    НЕСОМНЕННО. Надоело при каждом анализе получать 2-3 заведомо безопасных файла. Кроме того, не могу поручить запуск AVZ ребёнку. Вот если бы нахождение AVZ подозрительных файлов о чём-то говорило... А так, оно говорит только о том, что столько-то файлов в базу безопасных ещё не включено, а такая=-то программа в очередной раз обновила свои драйвера... Лучше иметь чёткий сигнал для домашних - если AVZ нашёл что-то подозрительное - вырубать комп и ждать меня.
    (а где гарантия, что пользователь правильно классифицировал безопасный объект ? - вирлабы часто ошибаются, не говоря о пользователях).
    Это подмена понятий. Есть гарантия, что пользователь выделил ИЗВЕСТНЫЙ ему объект. А опасный он или безопасный - решает пользователь.
    У меня ребёнок играет в игрушки от Рамблеровской аськи. А часть это игрушки AVZ квалифицирует как зловреда. Конкретно - popcarloader.dll. Я даже готов признать, что AVZ прав. Ибо эта dll действительно передаёт некоторые данные о пользователе (в её описание написано - какие и под какие гарантии). Но мне ЛИЧНО -больше вреда от того, что ребёнок в игрушку не поиграет, чем от того, что в инет утекут данные о том, во что он играет и сколько.
    В любом случае, этот объект не должен вызывать панику у домашних. А вот появление другого, НОВОГО объекта с той же степенью опасности - должно вызывать выключение компа до моего прихода.
    Олег, я понимаю, что AVZ - лучший антивирус для ПРОГРАММИСТОВ. Но знал бы ты, как часто им приходится пользоваться обычным юзерам (например, по моим командам с мэйл-агента)... Не пора ли сделать маленькую уступку в сторону юзеров?

    Добавлено через 2 минуты

    Цитата Сообщение от aintrust Посмотреть сообщение
    Эта фича имела бы смысл для тех, кто не в силах (или не хочет по какой-либо причине) прислать все свои файлы тебе на анализ через Интернет
    Или просто не устраивает полугодовой срок помещения таких файлов в базу. У меня драйвера OutPost обновляются намного чаще, чем Олег их в базу чистых помещает....
    Последний раз редактировалось Jef239; 11.08.2007 в 04:59. Причина: Добавлено

  16. #495
    Visiting Helper Репутация Репутация Репутация Аватар для XL
    Регистрация
    25.02.2006
    Адрес
    почти Москва
    Сообщений
    157
    Вес репутации
    70
    За последнюю неделю встречается уже третья машина, на которой обитают:
    \SystemRoot\SYSTEM32\spooldr.sys;
    c:\windows\spooldr.exe
    AVZ на таких компьютерах не запускается ни в безопасном режиме, ни в обычном. Похоже, что у этой версии Zhelatin стоит детект по имени файла и он тут же завершает процесс. Причем на такой машине не стартует даже седьмой КАВ, не говоря уже про Cure It 4.44 beta и NOD32!!! Единственный антивирь, который на моей памяти загрузил свой GUI при активном звере - это Avira. Убиваю гада через RKU, иначе никак.... Можно что-то придумать? Хотя тут придумать особо и нечего, кроме рандомизации имени файла, как сделано в RKU. Но тогда придется прикручивать инсталлятор...

    Мде, нашел описание гада:
    http://www.greatis.com/security/Remo...ys_rootkit.htm
    час от часу не легче
    Если что-то непонятное плывет к Вам прямо в руки, то не спешите обладать им! Приглядитесь, возможно, оно просто не тонет...

  17. #496
    sphinx_spb
    Guest
    Не получается обновить AVZ из локальной сети. Создал скрипт такого вида:

    begin
    if ExecuteAVUpdateEx('http:\\172.20.1.1:8081\avz\', 1, '','','') then
    AddToLog('Обновление AV баз успешно выполнено');
    end.

    Запускаю его. "Скрипт выполнен без ошибок", но "автоматическое обновление завершено с ошибками". Что бы это значило? В каком формате должны лежать базы, не в архиве случайно? И есть ли какой-то другой способ для обновления, ведь загружать и выполнять скрипт каждый раз очень неудобно.

  18. #497
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от ;127838
    Не получается обновить AVZ из локальной сети.
    И не получится - для автоапдейта кроме базы нужен файл с ее описанием. Если такая фича критична и нужна, то это можно организовать

  19. #498
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.02.2007
    Адрес
    Минск, Беларусь
    Сообщений
    569
    Вес репутации
    586
    Цитата Сообщение от XL Посмотреть сообщение
    За последнюю неделю встречается уже третья машина, на которой обитают:

    AVZ на таких компьютерах не запускается ни в безопасном режиме, ни в обычном. Похоже, что у этой версии Zhelatin стоит детект по имени файла и он тут же завершает процесс. Причем на такой машине не стартует даже седьмой КАВ, не говоря уже про Cure It 4.44 beta и NOD32!!! Единственный антивирь, который на моей памяти загрузил свой GUI при активном звере - это Avira. Убиваю гада через RKU, иначе никак.... Можно что-то придумать? Хотя тут придумать особо и нечего, кроме рандомизации имени файла, как сделано в RKU. Но тогда придется прикручивать инсталлятор...

    Мде, нашел описание гада:
    http://www.greatis.com/security/Remo...ys_rootkit.htm
    час от часу не легче
    Угу. Дело все в том, что он убивает процессы из ядра!! Поэтому убивает даже Касперского 7. В драйвере видны строкиоставил самое интересное)
    Код:
    vsdatant.sys
    watchdog.sys
    zclient.exe
    bcfilter.sys
    bcftdi.sys
    bc_hassh_f.sys
    bc_ip_f.sys
    bc_ngn.sys
    bc_pat_f.sys
    bc_prt_f.sys
    bc_tdi_f.sys
    filtnt.sys
    sandbox.sys
    mpfirewall.sys
    msssrv.exe
    mcshield.exe
    fsbl.exe
    avz.exe
    avp.exe
    avpm.exe
    kav.exe
    kavss.exe
    kavsvc.exe
    klswd.exe
    ccapp.exe
    ccevtmgr.exe
    ccpxysvc.exe
    rtvscan.exe
    savscan.exe
    bdmcon.exe
    livesrv.exe
    inetupd.exe
    nod32krn.exe
    nod32ra.exe
    pavfnsvr.exe
    Прячет себя на диске перехватом NtQueryDirectoryFile (правка адресов в KiST), причем как-то криво - он прячет все, что имеет имет в названии слово "spooldr" в независимости от место расположения на диске.
    Так же следит за загрузкой образов исполняемых файлов и библиотек.
    Не дает загрузиться драйверу AVZ.
    Код:
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
     Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Ошибка в работе антируткита [Stream read error], шаг [14]
    2. Проверка памяти
     Количество найденных процессов: 19
     Количество загруженных модулей: 226
    Проверка памяти завершена
    anti-malware.ru

  20. #499
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от XL Посмотреть сообщение
    За последнюю неделю встречается уже третья машина, на которой обитают:
    \SystemRoot\SYSTEM32\spooldr.sys;
    c:\windows\spooldr.exe
    ...
    Мде, нашел описание гада:
    http://www.greatis.com/security/Remo...ys_rootkit.htm
    час от часу не легче
    Переименовать AVZ.exe во что нибудь к примеру 1.exe после выполнить скрипт -
    Код:
    begin
     QuarantineFile('%WinDir%\SYSTEM32\spooldr.sys','');
     QuarantineFile('%WinDir%\spooldr.exe','');
     DeleteFile('%WinDir%\spooldr.exe');
     DeleteFile('%WinDir%\SYSTEM32\spooldr.sys');
     RenameFile('%WinDir%\SYSTEM32\drivers\tcpip.sys','%WinDir%\SYSTEM32\drivers\tcpip.bak');
     Sleep(15);
     RebootWindows(true);
    end.
    Последний раз редактировалось RiC; 16.08.2007 в 22:57.

  21. #500
    sphinx_spb
    Guest
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    И не получится - для автоапдейта кроме базы нужен файл с ее описанием. Если такая фича критична и нужна, то это можно организовать
    А где взять такой файл? Или в текущей версии 4.25 это не пройдёт? Тогда конечно хочется такую фичу иметь в следующей версии. Ведь это кстати частично поможет снять нагрузку на ваши сервера

Страница 25 из 27 Первая ... 1521222324252627 Последняя

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01571 seconds with 17 queries