-
AVZ 4.16 + AVZGuard - тестирование, обсуждение, предложения по доработке
Вышла новая версия AVZ - 4.16 + AVZGuard ( http://z-oleg.com/secur/avz/download.php ).
Список доработок и модификаций:
[++] Доработан менеджер автозапуска - добавлена масса ключей, применяемых современными троянами
[++] Менеджер протоколов и обработчиков. Подключен к исследованию системы и автокарантину.
[++] Функция "Стандартные скрипты". Это диалоговое окно, позволяющее выполнять стандартные операции при помощи AVZ.
Данный режим пришел на смену скриптам, размещенным в папке SCRIPT. В раздел стандартных внесены скрипты, применяемые в разделе "Помогите" конференции VirusInfo, скрипт для автообновления различными методами, запуска антируткита
[+] Доработан avz.sys - введена защита от атаки на драйвер посылкой ему IRP пакетов сторонними приложениями
[+] Доработан AVZ Guard - введено несколько новых контуров защиты процесса AVZ от типовых методик закрытия процесса, применяемого распространенными троянскими программами
[+] Параметр MiniLog=[Y|N], переключающий режим протоколирования. Если MiniLog=Y, то в протокол выводятся только значимые сообщения. По умолчанию MiniLog=N и выводится вся информация. Ключ полезен сисадминам, применяющим AVZ автоматическом режиме
[+] Во все HTML отчеты введена информация о файле (ссылка и всплывающее окно). В случае обнаружения в имени файла национальных символов в информации о файле выводится сообщение
[+] Новая функция скриптового движка - ClearQuarantine (очистка карантина)
[+] В диалоге "О программе" выводится информация о базах - дата сборки для каждого из файлов
[+] В апдейтере после анализа (стадия 2) выводится информация о том, какой объем информации требуется загрузить
[+] Проверка архивов WinRar 3.60
База: от 5.05.2006 22022 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, 359 микропрограмм эвристики, 49268 подписей безопасных файлов
По многочисленным просьбам предусмотрена опция загрузки баз одним архивом в случае проблем с апдейтером - ссылка есть на странице загрузки.
На сайте обновлена документация по AVZ, в самом AVZ обновленная справка.
PS: В последние пару месяцев у меня не было времени на выпуск публичных версий AVZ, теперь эти версии будут выходить гораздо чаще ... в следующей версии в частности будет новый антикейлоггер, в этой версии он заблокирован ввиду "сыроватости"
Последний раз редактировалось Зайцев Олег; 05.05.2006 в 17:23.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Кстати, ведь не все знают, где можно скачать сие чудо (в хорошем смысле этого слова).
А скачать его можно на сайте Олега http://z-oleg.com/secur/avz/download.php
-
-
Видимо, все ломанулись качать, так как открывается сайт меееедлеенноо.
-
-
Обновил базы в AVZ 4.15 через встроенный апдейтер. Как я понимаю, они уже от 4.16 и не полностью совместимы с 4.15:
---
7. Эвристичеcкая проверка системы
Ошибка микропрограммы: Undeclared identifier: 'RegKeyIntParamRead'
Ошибка микропрограммы 350
---
-
-
Сообщение от
anton_dr
Видимо, все ломанулись качать, так как открывается сайт меееедлеенноо.
ссылку я забыл прикрутить - исправлено. Да, на сайте DDoS, страшнее самого крутого бот-нета Но это временно, да и у Агавы каналы хорошие ...
-
-
Сообщение от
AndreyKa
Обновил базы в AVZ 4.15 через встроенный апдейтер. Как я понимаю, они уже от 4.16 и не полностью совместимы с 4.15:
---
7. Эвристичеcкая проверка системы
Ошибка микропрограммы: Undeclared identifier: 'RegKeyIntParamRead'
Ошибка микропрограммы 350
---
Да, есть небольшие несовместимости - базы 4.16 заточены под некоторые новые фичи скриптового движка, но общая совместимость есть. Тем не менее я включил блокиратор обновлений для версий < 4.16
Последний раз редактировалось Зайцев Олег; 05.05.2006 в 17:42.
-
-
Нет, 4.16 проблемы с GameGuard-ом не решили. Так же не открыватеся менеджер процессов, так же отваливается антируткит в access violation. Т.е. если "зверь" будет использовать те же механизмы, что и GameGuard от линейки - AVZ бессилен ....
-
Программа очень хорошая. Спасибо. Но вот я сталкнулся с проблеммой обновления, что старая и уже норвая версия. Повторюсь именно с обновлениями. У меня Интернет через прокси-сервер. В настройках обновления задаю параметры моего прокси, как написано в примере, программа выдаёт такую ошибку "Ошибка в ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zip - файл повреждён". Пробовал все варианты что есть обновлении, результат нулевой. все остальные программы выходят нормально.
-
-
2 Sel
Проблемы с обновлением через прокси есть. У меня тоже. Олег начиная с версии 4.16 выкладывает на сайте обновления баз в отдельном архиве. их нужно переписать поверх старых с заменой http://z-oleg.com/secur/avz_up/avzbase.zip
-
-
Спасибо, всё понял. Честно не обратил внимание на отдельно обновляемые базы. Сейчас так делать буду.
-
-
Сообщение от
Dandy
Нет, 4.16 проблемы с GameGuard-ом не решили. Так же не открыватеся менеджер процессов, так же отваливается антируткит в access violation. Т.е. если "зверь" будет использовать те же механизмы, что и GameGuard от линейки - AVZ бессилен
....
Это очень легко исправить - где водится эта программа ? (желательно точный URL)
-
-
например тут (это официальный клиент для L2 C4) правда размер 2 гига....
-
Full Member
- Вес репутации
- 69
Зайцев Олег
в следующей версии в частности будет новый антикейлоггер, в этой версии он заблокирован ввиду "сыроватости"
Перевод уже вычеркнут из списка приоритетов?
-
Full Member
- Вес репутации
- 69
Сделал пробную проверку AVZ 4.16.
Вот результаты:
3. Сканирование дисков
C:\Program Files\Programming\InstallShield Professional6.2\Examples\Example Visual Basic\Redist\Program Files\DEMOX.exe >>> подозрение на Trojan.Win32.Alfool ( 0042FD7A 002C0845 00098B4E 00059861 28672)
Шло с InstallShield, ''ругался'' и раньше.
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Tools\Far\Plugins\drag_n_drop\DragnDrop.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Tools\Far\Plugins\drag_n_drop\DragnDrop.dll> >> Нейросеть: файл с вероятностью 99.89% похож на типовой перехватчик событий клавиатуры/мыши
Уже посылал тебе этот плагин (DragnDrop.dll)...
C:\Program Files\Tools\
KasperskyInternetSecurity6.0\
adialhk.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Tools\KasperskyInternetSecurity6.0\adialhk.d ll>>> Нейросеть: файл с вероятностью 0.93% похож на типовой перехватчик событий клавиатуры/мыши
Как всегда, недоразумения с коллегами...
Но вот Kaspersky нашел
AVZ 4.16 его не ''заметил''...
А в общем показалось, что AVZ 4.16 стал шустрее...
-
Выслал последние полученные с почтой вирусы (WORM/Scano.Q.1, WORM/MyDoom.L в терминологии Avira Antivir).
У меня вопрос. AVZ "с подозрением относится" к файлу NetView.exe. И понятно почему, нельзя ли сделать так, чтобы можно было самостоятельно добавлять файлы как безопасные, на свой страх и риск, естественно.
-
-
Сообщение от
Erick
Выслал последние полученные с почтой вирусы (WORM/Scano.Q.1, WORM/MyDoom.L в терминологии Avira Antivir).
У меня вопрос. AVZ "с подозрением относится" к файлу NetView.exe. И понятно почему, нельзя ли сделать так, чтобы можно было самостоятельно добавлять файлы как безопасные, на свой страх и риск, естественно.
Я думаю о возможности самостоятельного добавления файлов в базу безопасных, но это палка о двух концах - с одной стороны удобно, с другой - каждому придется делать это индивидуально. С третьей - это исказит работу AVZ для раздела "Помогите". Я думаю несколько иначе - сделать возможность вести базу "Известных пользователю программ". Тогда AVZ ругаться будет, но с припиской, что это программа безопасна я точки зрения пользователя
PS: Я тоже могу ошибиться, внося файлы в базу безопасных. Поэтому помимо изучения вручную коллекция чистых объектов постоянно проверяется тремя-четырьма антивирусами в самом параноидальном режиме - в качестве меры самоконтроля.
-
-
Ошибка в работе антируткита
Здравствуйте Олег!
Сегодня прогнал свой комп. новой версией AVZ и вот результат:
Протокол антивирусной утилиты AVZ версии 4.16
Сканирование запущено в 07.05.2006 0:05:41
Загружена база: 22022 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 05.05.2006 11:59
Загружены микропрограммы эвристики: 359
Загружены цифровые подписи системных файлов: 49268
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
1. Поиск RootKit и программ, перехватывающих функции API
Ошибка в работе антируткита [Access violation at address 00572064 in module 'avz.exe'. Read of address 00000000], шаг [3]
2. Проверка памяти
Количество найденных процессов: 0
Количество загруженных модулей: 0
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\services.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\services.dll>>> Нейросеть: файл с вероятностью 12.17% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 319 описаний портов
В ходе проверки возникла ошибка. Проверка не производилась
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 88812, извлечено из архивов: 48121, найдено вредоносных программ 0
Сканирование завершено в 07.05.2006 0:25:45
Сканирование длилось 0004
Что это может значить?
Два дня назад с версией 4.15 такого не наблюдалось.
-
-
Visiting Helper
- Вес репутации
- 76
C:\WINDOWS\services.dll
Похоже на вирус, вышлите как написано в правилах
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
Сообщение от
anton_dr
Видимо, все ломанулись качать, так как открывается сайт меееедлеенноо.
у меня наоборот быстро
-
-
Сообщение от
Spirit
у меня наоборот быстро
Олег уже написал, почему было медленно. http://virusinfo.info/showpost.php?p=72560&postcount=5
И совершенно понятно, почему у тебя сейчас быстро.
Наше дело правое--победа будет за нами!!!
-