Бетта тестирование AVZ 3.60

[Зайцев Олег]

Вышла новая новая версия AVZ - 3.60. Версия доступна для загрузки тут: http://z-oleg.com/secur/avz-dwn.htm (http://z-oleg.com/avz-betta3.zip)
Радикальные новшества:
1. Доработано сохранение протоколов во всех окнах;
2. Исследование системы - теперь полный вариант, полностью переработанный;
3. Заработал менеджер расширений IE, он показывает BHO, панели, модули расширения IE;
4. Появился менеджер автоматического копирования файлов в карантин - он вызывается из окна просмотра карантина и позволяет автоматом занести в карантин объекты, которые не значатся в базе безопансых AVZ (в настройке задаются категории - процессы, DLL, автозапуск и т.п.)
5. Из диспетчера процессов вызывается поиск по реестру (меню по правой кнопке) для поиска по полному илисокращенному имени файла
6. Доработана таблица найденных объектов - добавлена сортировка, отображение категории объекта, отметка объектов по категории
7. Расширен диспетчер автозапуск - добавлены новые источники автозапуска
8. Новый режим действий, доступный для всех категорий зловредных программ - "спросить пользователя" (до этого было только "удалить" и "только отчет)". Если его выбрать, то AVZ для каждого объекта выводит окно с полным именем объекта и названием обнаруженного зверя.

----
Кроме того, расширена база - добавлено около 400 новых "зверей", усовершенствован эвристик. У версии 3.60 в базе 14656 сигнатур, 1 нейропрофиль, 55 микропрограмм лечения, 290 микропрограммы эвристики, 5 микропрограммы восстановления настроек системы, 30169 подписей безопасных файлов
----
Для фиксации багов по адресу http://avz.virusinfo.info/ Geser разместил сервис BugTracker, за что ему огромное спасибо. Сервис позволяет автоматизировать фиксацию багов в программе.

[Shu_b]

Не работает приложение "модули пространства ядра"

Код:

Access volation at address 004060A8 in module 'AVZ.exe'. Read of address 00000330

W XP sp2 enu

[Зайцев Олег]

Не работает приложение "модули пространства ядра"

Код:

Access volation at address 004060A8 in module 'AVZ.exe'. Read of address 00000330

W XP sp2 enu

Исправлено ... это глюк возник при окончательной сборке 3.60 ... я исправил и обновил архив

[Shu_b]

Исправлено ... это глюк возник при окончательной сборке 3.60 ... я исправил и обновил архив

Да, теперь работает
ps На страничке загрузки не обновлён номер версии.

[Зайцев Олег]

Ага, есть такой глюк - на стартовой номер нормальный, а на загрузке - старый ... - подправлено.

[azza]

Зашёл на virusinfo и получил
>>> Опасно: Порт 1034 TCP - I-Worm.Mydoom.m backdoor ()

[RiC]

В BHO наблюдаются "дырки от бублика".

[DenZ]

Олег, я уже описывал следующий баг в прошлой ветке: в отчете "Исследование системы" не выводятся небезопасные библиотеки безопасных процессов, хотя все галки стоят по умолчанию. Например, безопасный IE загружает несколько небезопасных DLL, но в отчете "Исследовании системы" о них ни слова, хотя в "Диспетчере процессов" они есть!

И еще, а нельзя ли в отчете "Исследование системы" цветом фона отделить процессы от библиотек?

[Зайцев Олег]

Это черные дыры Я тоже такое видел и не знаю, как с этм бороться. Причина - был какой-то BHO и он некорретно удален. Т.е. в настройках IE они зарегистрированы, а файла/класса и т.п. - нет. Как в таком случае быть - я не знаю ...

[DenZ]

При Автодобавлении через Карантин появляется окошко с ошибкой:

[Зайцев Олег]

Так, архив обновлен ... исправлнено:
1. Глюк, который нашел DenZ в автокарантине- да, там имел место баг, я его выправил
2. Глюк, который нашел DenZ в Исследовании системы - я исправил обсужденный ранее баг, но как-то не совсем ... сейчас вроде все пошло нормально. Цветовое выделение - это необходимо (или столбец с типом "процесс/библиотека"), но цвета я различаю плохо - поэтому жду предложения по оформлению
3. Пустые строки в менеджере BHO- я сделaл вывод сообщения об ошибке в строке + CLSID класса
4. Глюк, который нашел azza - поддержка портов будет переделана, я выкину из базы "неявные" порты, тогда ткие срабатывания исчезнут - на порыт в зоне 1000-2000 срабатывания идет часто и не по делу...

[Geser]

Если Олег не против, то можно начинать пользоваться багтрекером http://avz.virusinfo.info
Олег, только новые версии там прописыавть нужно.

[RiC]

Ещё мысль, сейчас выудил файл безвредный от мелкософта, оказалось что он имеет цифровую подпись, а AVZ на него ругается, может есть смысл проверять наличие цифровой подписи от мышиного короля ? Потому как они последнее время стали активно подписывать "свои" файлы, а так-же сертифицированные дрова и т.д... ? Количество "непонятного" уменьшится раза в 2.

[rav]

Кстати, это наверное прикол такой, но сама утилита avz.exe не помечена в диспетчере процессов как известная. Тоже самое относится к драйверу avz.sys в "модулях пространства ядра". Олег, это очень-очень нелогично- утилита не узнаёт саму себя как доверенную.

[Зайцев Олег]

Кстати, это наверное прикол такой, но сама утилита avz.exe не помечена в диспетчере процессов как известная. Тоже самое относится к драйверу avz.sys в "модулях пространства ядра". Олег, это очень-очень нелогично- утилита не узнаёт саму себя как доверенную.

Да, есть такое дело ... сдалано это умышленно и только на время бата тестов - версии постоянно меняются и вводить их в базу просто бессмыссленно ... - после стабилизации версии я конечно всесу ее в базы. В карантин эти файлы кстати не копируются.

[Зайцев Олег]

Ещё мысль, сейчас выудил файл безвредный от мелкософта, оказалось что он имеет цифровую подпись, а AVZ на него ругается, может есть смысл проверять наличие цифровой подписи от мышиного короля ? Потому как они последнее время стали активно подписывать "свои" файлы, а так-же сертифицированные дрова и т.д... ? Количество "непонятного" уменьшится раза в 2.

Я думал о проверке подписи - но имеет смысл приверять только цифровую подпись MS ... поскольку на "уважающих себя" SpyWare тоже есть цифровые подписи ...

[RiC]

Я думал о проверке подписи - но имеет смысл приверять только цифровую подпись MS ... поскольку на "уважающих себя" SpyWare тоже есть цифровые подписи ...

Что я собственно и имел в виду
На "уважающей себя" цифровая подпись явно не мышиного короля, а какого нибудь "папуа - новая гвинея" центра сертификации, или вообще не существующего в природе.
Майкрософт кстати поставляет список "доверенных" центров сертификации, который можно выкопать на windowsupdate, если подпись не одного из доверенных, и не самого "мышиного короля", тогда файл Imho автоматом попадает в категорию подозрительных и может с чистой совестью идти прямой дорогой на сдачу анализов.

[Зайцев Олег]

Если Олег не против, то можно начинать пользоваться багтрекером http://avz.virusinfo.info
Олег, только новые версии там прописыавть нужно.

Да, я сейчас пропишу туда новую версию ... т.е. конечно, баги лучше писать туда, а здесь обсуждать пожелания по усовершенствованию, новым возможностям и т.п.
Вот актуальные вопросы для обсуждения:
1. Сейчас готова "подсистема долечивания", если обзывать ее термином ЛК. Идея подсистемы в том, что удаляемый файл может автоматом отписаться из реестра, убраться из автозапуска всех видов ...). Вопрос - насколько это актуально, полезно и т.п.
2. Чего еще не хватает в исследовании системы ?

[Зайцев Олег]

Ну да, чогласен на все 100% ... я именно поэтому и не проверяю ЦП, поскольку раздающих подписи развелось как собак неразанных. Если проверять только подпись MSб то польза будет - беру на заметку

[Geser]

1. Сейчас готова "подсистема долечивания", если обзывать ее термином ЛК. Идея подсистемы в том, что удаляемый файл может автоматом отписаться из реестра, убраться из автозапуска всех видов ...). Вопрос - насколько это актуально, полезно и т.п.

Нужно. Иначе после удаления могут появляться всевозможные сообщения об ошибках, а это нервирует людей. Кстати, это реализовано в КАВ2006.