День добрый. Друзья, я только начал осваиваться в программе AVZ и обратил в отчете внимание не то, что некоторые функции kernel значатся как перехваченные. При этом каких-либо изменений в процессах (которые, как я понял, сопутствуют перехвату функций троянами) - не обнаружено. Не могли бы вы подсказать, есть ли какая-то опасность согласно этому отрывку из отчета?
Заранее благодарен.
Протокол антивирусной утилиты AVZ версии 4.22
Сканирование запущено в 19.12.2006 14:07:33
Загружена база: 69173 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 12.12.2006 17:05
Загружены микропрограммы эвристики: 364
Загружены цифровые подписи системных файлов: 54310
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo[1004C66A]
Функция kernel32.dll:CreateProcessW (103) перехвачена, метод APICodeHijack.JmpTo[1004C642]
Функция kernel32.dll:CreateRemoteThread (104) перехвачена, метод APICodeHijack.JmpTo[1004C966]
Функция kernel32.dll:DebugActiveProcess (117) перехвачена, метод APICodeHijack.JmpTo[1004C93E]
Функция kernel32.dll:WinExec (896) перехвачена, метод APICodeHijack.JmpTo[1004C61A]
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[1004C916]
Функция ntdll.dll:LdrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[1004C8EE]
Функция ntdll.dll:NtCreateThread (140) перехвачена, метод APICodeHijack.JmpTo[1004C70A]
Функция ntdll.dll:NtResumeProcess (296) перехвачена, метод APICodeHijack.JmpTo[1004C7D2]
Функция ntdll.dll:NtResumeThread (297) перехвачена, метод APICodeHijack.JmpTo[1004C7AA]
Функция ntdll.dll:NtSetContextThread (304) перехвачена, метод APICodeHijack.JmpTo[1004C732]
Функция ntdll.dll:NtSetValueKey (338) перехвачена, метод APICodeHijack.JmpTo[1004C8C6]
Функция ntdll.dll:NtSuspendProcess (344) перехвачена, метод APICodeHijack.JmpTo[1004C822]
Функция ntdll.dll:NtSuspendThread (345) перехвачена, метод APICodeHijack.JmpTo[1004C7FA]
Функция ntdll.dll:NtTerminateProcess (348) перехвачена, метод APICodeHijack.JmpTo[1004C872]
Функция ntdll.dll:NtWriteVirtualMemory (369) перехвачена, метод APICodeHijack.JmpTo[1004C89E]
Функция ntdll.dll:ZwCreateThread (950) перехвачена, метод APICodeHijack.JmpTo[1004C70A]
Функция ntdll.dll:ZwResumeProcess (1105) перехвачена, метод APICodeHijack.JmpTo[1004C7D2]
Функция ntdll.dll:ZwResumeThread (1106) перехвачена, метод APICodeHijack.JmpTo[1004C7AA]
Функция ntdll.dll:ZwSetContextThread (1113) перехвачена, метод APICodeHijack.JmpTo[1004C732]
Функция ntdll.dll:ZwSetValueKey (1147) перехвачена, метод APICodeHijack.JmpTo[1004C8C6]
Функция ntdll.dll:ZwSuspendProcess (1153) перехвачена, метод APICodeHijack.JmpTo[1004C822]
Функция ntdll.dll:ZwSuspendThread (1154) перехвачена, метод APICodeHijack.JmpTo[1004C7FA]
Функция ntdll.dll:ZwTerminateProcess (1157) перехвачена, метод APICodeHijack.JmpTo[1004C872]
Функция ntdll.dll:ZwWriteVirtualMemory (1178) перехвачена, метод APICodeHijack.JmpTo[1004C89E]
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (27) перехвачена, метод APICodeHijack.JmpTo[1004CD26]
Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[1004C52A]
Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[1004C502]
Функция user32.dll:DdeConnect (108) перехвачена, метод APICodeHijack.JmpTo[1004CCFE]
Функция user32.dll:DdeConnectList (109) перехвачена, метод APICodeHijack.JmpTo[1004CCD6]
Функция user32.dll:DdeInitializeA (122) перехвачена, метод APICodeHijack.JmpTo[1004CCAE]
Функция user32.dll:DdeInitializeW (123) перехвачена, метод APICodeHijack.JmpTo[1004CC86]
Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[1004C9B6]
Функция user32.dll:ExitWindowsEx (226) перехвачена, метод APICodeHijack.JmpTo[1004CA56]
Функция user32.dll:FindWindowExA (229) перехвачена, метод APICodeHijack.JmpTo[1004CACE]
Функция user32.dll:FindWindowExW (230) перехвачена, метод APICodeHijack.JmpTo[1004CAA6]
Функция user32.dll:PostMessageA (512) перехвачена, метод APICodeHijack.JmpTo[1004CBBE]
Функция user32.dll:PostMessageW (513) перехвачена, метод APICodeHijack.JmpTo[1004CB96]
Функция user32.dll:SendInput (571) перехвачена, метод APICodeHijack.JmpTo[1004CA7E]
Функция user32.dll:SendMessageA (572) перехвачена, метод APICodeHijack.JmpTo[1004CC5E]
Функция user32.dll:SendMessageCallbackA (573) перехвачена, метод APICodeHijack.JmpTo[1004CB1E]
Функция user32.dll:SendMessageCallbackW (574) перехвачена, метод APICodeHijack.JmpTo[1004CAF6]
Функция user32.dll:SendMessageTimeoutA (575) перехвачена, метод APICodeHijack.JmpTo[1004CB6E]
Функция user32.dll:SendMessageTimeoutW (576) перехвачена, метод APICodeHijack.JmpTo[1004CB46]
Функция user32.dll:SendMessageW (577) перехвачена, метод APICodeHijack.JmpTo[1004CC36]
Функция user32.dll:SendNotifyMessageA (578) перехвачена, метод APICodeHijack.JmpTo[1004CC0E]
Функция user32.dll:SendNotifyMessageW (579) перехвачена, метод APICodeHijack.JmpTo[1004CBE6]
Функция user32.dll:SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[1004CA2E]
Функция user32.dll:SetWinEventHook (639) перехвачена, метод APICodeHijack.JmpTo[1004C98E]
Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[1004C9DE]
Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[1004CD76]
Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[1004CD4E]
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Последний раз редактировалось Peina; 19.12.2006 в 14:37.
Причина: корректировка
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
По отрывку отчета мало что можно сказать ... налицо перехват, набор функций похож на некое защитное ПО (некоторые антивирусы типа Panda очень любят перехватывать кучу функций в UserMode). Для точного анализа выполните правила раздела "Помогите" - по логам исследования системы можно сказать более предметно.
По отрывку отчета мало что можно сказать ... налицо перехват, набор функций похож на некое защитное ПО (некоторые антивирусы типа Panda очень любят перехватывать кучу функций в UserMode). Для точного анализа выполните правила раздела "Помогите" - по логам исследования системы можно сказать более предметно.
Олег, весьма польщен, что откликнулись именно Вы ;)
Прилагают логи сканирования.
Пометка: там содержится ссылка на некую dll из папки C:\Program Files\AOF - это у меня так называется папка для Agnitum Outpost Firewall. Антивируса у меня не стоит (как-то так исторически повелось, аккуратный я ;)), использую только агнитум (+ его противошпионский модуль), spyware blaster, spybot search & destroy. Так же имею аккаунт в Panda Active Scan Pro, которым периодически сканирую систему - но он вроде онлайновый антивирус только. Теперь вот об AVZ узнал.
P.S.:файла virusinfo_syscheck.zip в папке LOG не оказалось. Был еще какой-то virusinfo_cure.zip (1.12mb весом)
Спасибо!
Последний раз редактировалось Peina; 19.12.2006 в 18:08.
Причина: дополнение
По исследованию системы все стало ясно - это перехваты Outpost для мониторинга активности зловредов, это не опасно. Я сравнил список перехватываемых функций и метод перехвата - все 1:1.
По исследованию системы все стало ясно - это перехваты Outpost для мониторинга активности зловредов, это не опасно. Я сравнил список перехватываемых функций и метод перехвата - все 1:1.
Олег, спасибо Вам огромное. Сам бы точно не разобрался
С наступающим,
Peina
Уважаемый(ая) Peina, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: