Несомненно - после выходныхСообщение от MOCT
Меня это тоже смущает - но менять исторически прижившийся ключ проблемно
А их снять достаточно просто - если идти по пути SandBox ... - т.е. рано или поздно продукт распакуется и начнет исполнение. Второй путь - распаковка пошаговой эмуляцией - нечто подобное сделано в VBA
Замечаниям/предложениям я всегда рад, тем более что мелкие замечания достаточно легко править ...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
можно оставить старый, но в новых релизах (в хелпе) афишировать только новый. имена будут разные, а выполнять одно и то же.
а как же anti-debugging tricks?
Предлагаю в лог AVZ (и текстовый, и HTM) включать версию ОС и, опционально, версию броузера.
При наведении курсора в карантине на кнопку "восстановить" в подсказке - "удалить отмеченные файлы"
Олег! Внеси пожалуйста в базу чистых файлов библиотеку или полностью прогу WinPatrol 9.7.0.22 (АВЗ перехватывает работу монитора WinPatrol) http://www.winpatrol.com/cgi-bin/ver....7.0.22&Loc=en
C:\PROGRA~1\BILLPS~1\WINPAT~1\PATROLPRO.DLL --> Подозрение на Keylogger или троянскую DLL
По поводу упорядочивания имен. Игорда получаются смешные ситуации - когда три файла из одного пакета называются тремя разными именами. Например как тут:
C:\temp\SmileyCentralInitialSetup1.0.0.8.cab>>>>> Âèðóñ !! Spy.FunWebProducts
C:\temp\SmileyCentralInitialSetup1.0.0.8.cab/{CAB}/f3initialsetup1.0.0.8-2.inf>>>>> Âèðóñ !! Spy.MyWebSearch
C:\temp\SmileyCentralInitialSetup1.0.0.8.cab/{CAB}/f3Setup1.exe>>>>> Âèðóñ !! AdvWare.ToolBar.MyWebSearch
кстати, не знаю как будет читаться слово "Вирус" после отправки этого сообщения, но этот кусок я скопировал прям из окна программы АВЗ.
Вот эти два тоже из одного источника:
EGDACCESS_1059_XP.cab/{CAB}/EGDACCESS_1059.dll>>>>> Âèðóñ !! Dialer.Win32.InstantAccess
svcsysnet32_FR_XP.cab/{CAB}/svcsysnet32.dll>>>>> Âèðóñ !! Dialer.Win32.E-Group.q
но имена почему-то разные...
Олег
Самый продолжительный этап ,естественно
3. Сканирование дисков
Но до его завершения никакой информации нет.
Специально ожидаешь полное завершение?
Короче прикол такой. Иду в "Модули пространства ядра", и вужу там два драйвера которые не зелёные. Пытаюсь найти их на диске, а файлов с такими именами нет. В чём прикол?
Последний раз редактировалось Geser; 24.01.2007 в 23:08.
Это известная "шутка юмора", допустимая для драйверов. Суть ее в том, что можно создать на диске файл *.sys, загрузить его как драйвер и тут-же удалить. Т.е. драйвер спокойно висит в памяти, а файла на диске давно нет. Такое еще, кстати, очень хорошо можно наблюдать на программах от SysInternals - можно запустить тот-же RegMon - драйвер от него виден в модулях пространства ядра, а на диске его нет.
Тогда вопрос такой. С целью индентификации и исследования (скажем какой вредоносный/чистый драйвер, нужно получить его код для внесения в базу) можно ли сделать дамп этого драйвера на диск?
тут главная проблема в том, что на анализ то эти звереи поступают в разное время и порознь - отсюда и разнобой с именами. Например, f3initialsetup1.0.0.8.inf попал в базу 02.02.2004, а последний образец AdvWare.ToolBar.MyWebSearch - 23.08.2005. Аналогично с порнозвонилками - но тут имена даны по Касперскому, хотя идея та-же - обычно имена им даются по копирайтам или заголовку окна
Т.е. как никакой информации нет ?? Пока идет сканирования, ползет прогресс индикатор (правда, он врет иногда- т.к. сканирование диска и подсчет файлов идут параллельно).
про даты - понятное дело. но ведь регулярно выходят новые версии АВЗ с новыми базами, и в этих выпусках можно проводить переименования.
про КАВ - в нем тоже регулярно осуществляются переименования вирусов и троянцев, когда становится понятно к какому семейству они принадлежат.
про заголовки окон - понятно что в одном пакете есть программы с заголовками (например) Install и Uninstall, но это вовсе не значит, что программы совершенно различны и ничего общего друг с другом не имеют.
про необходимость переименования - гораздо понятнее, когда на диске находятся троянцы с одним именем, но с разными версиями. и ставит в тупик, когда находится десяток различных имен (а на самом-то деле ловить нужно одну единственную программу).
p.s. выпуск daily еще не налажен?
Учитывая что Олег занимается программой один, думаю будет намного разумнее если он будет тратить время на её усовершенствование и пополнение баз, а не на постоянное переименование находимых "зверей".
кто-то мешает ему помочь? или Олег сам против?
Я вот поэтому и не трачу на это время - дело в том, что меня больше интересует праввильное отнесение к классу (например, Dialer), а дальше уже конкретное название мелочи (периодически конечно я причесываю базу, но не системно). Тут очень много исключений - например, несколько компонент AdWare.BetterInternet тот-же KAV считает троянами (и правильно по сути считает), причем с разными именами. Некоторые Dialer идут как Trojan.Dialer.<буквы> ... а многие известные ввобще идут как Diualer.Gen - поскольку аналитикам явно лень их относить к некому классу.
MOCT
Помочь в разгребании базы очень непросто - там около 17 тыс. записаей без повторов,
Дамп сделать можно - и опознавать потом по этому дампу ...
Я, в свое время, приводил примеры, когда и классы путают.
По поводу базы - я никогда и не говорил, что нужно все бросить и только и заниматься как переименовыванием записей. Также я не говорил, что следить за этим должен сам автор. Но когда курьезные наименования выявляются кем-либо, то не так сложно их переименовать. Надеюсь, что я не заблуждаюсь.
Бага.
Винда находится d:\win_xp
АВЗ запускают из e:\virus\Инфо\backdoor_win32_rbot-gen\avz3\avz3\avz.exe
В результате имеем
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (\WIN_XP\system32\ntoskrnl.exe)
Есть предложение по базе безопасных файлов - в дистрибутивах, например, винды, офиса, есть куча cab-ов, chm-ов. Да и в установленном офисе CHM есть кучей. Они однозначно типовые и пользователем не меняются. Может, стоило бы определять их по контрольной сумме и внутрь не лезть?
Я думаю по этому поводу - но AVZ проверяет контролльную сумму всего файла, и расчет суммы может быть сопоставим с проверкой файла по нагрузке на систему. Тут есть другая идея - контролировать размер - если файл с таким размером есть, то CRC первых 2 кб, последних 2 кб - при его совпадении CRC всего файла. Тогда ускорение будет, причем существенное.
Ваши права в разделе
