# Форум на русском языке  > Решения по информационной безопасности  > Другие программы по безопасности  > Публичное бета-тестирование  >  AVZ 3.10 - предлагаю потестировать и обсудить

## Зайцев Олег

Новая версия AVZ 3.10 - лежит 
http://z-oleg.com/avz-betta2.zip
Радикальные изменения:
1. По многочисленным просьбам появился прогресс индикатор процесса сканирования + оценка приблизительного времени до завершения сканирования. 
2. *Заработала эвристическая проверка системы.* Сейчас в базе 154 микропрограммы, которые могут детектировать новые виды разного зверья (т.е. грубо говоря детекируется 154 семейства "зверей"). Проверка включается на главном окне, переключатель "Эвристическая проверка системы". Теоретически эта проверка должна ловить многое из того, что "живет" в описанных в разделе "Помогите" случаях на ПК пользователей. Найденные подозрительные объекты могут помещаться в карантин (автоматически или вручную). Это самое   существенное изменение. Микропрограммы хранятся в базе SysCheck.avz;
3. Усовершенствован менеджер процессов: убивалка процессов теперь убивает абсолютно любой процесс, включая все системные (последствия убиения системного - синий экран  :Smiley: ). Для каждого процесса можно просмотреть список окон (включая невидимые);
4. Усовершенствован антикейлоггер и антируткит - по идее ложных срабатываний станет меньше. Для безопасных перехватчиков сделана особая база signfusr.avz - она имеет очень маленький размер будет регулярно обновляться. В эту базу также будем вносить безопасные процессы - типа ICQ, процессов антивирусов ...;
5. Знаменитый "PE файл с измененным расширением" изничтожен как класс - теперь эту и аналогичные проверки можно включить/выключить отдельно - переключатель "расширенный анализ", который можно включить только при максимальном уровне эвристики. По умолчанию он отключен, чтобы не замусоривать лог;
6. Изловлен и локализован ряд багов, которые были замечены в ходе прошлых обсуждений - пойманы ошибки режима 6 (проверка базы портов), вылетания при сканировании сбойного диска  и т.п.;
7. Добавлен рад микропрограмм лечения - для более качественной зачистки системы после удаления рада "зверей", в частности для знаменитого Look2me
----------
В ближайших планах три новшества:
1. Скрипты для сбора информации с зараженного ПК, заточенные под данную конференцию - карантин файлов ...
2. Анализ автозапуска
3. Анализ BHO и настроек IE
Все эти вещи уже есть, но еще сыроваты - нужна минимум неделя на доводку
---------
Новая версия содержит обновленную базу - 10116 сигнатур, 1 нейропрофиль, 17 микропрограмм лечения, 154 микропрограммы эвристики

Как обычно, ложные срабатывания антикейлоггера нужно посылать напрямую мне на [email protected] для анализа и внесения в базу безопасных файлов.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## gartu

Так что там с моими посланными заражёнными файлами-зверюшками, ещё дышат или уж коньки отбросили? Как прошла препарация?

----------


## santy

Протокол антивирусной утилиты AVZ версии 3.10
Сканирование запущено в 11.03.2005 14:15:34
Загружена база: 10116 сигнатур, 1 нейропрофиль, 17 микропрограмм лечения
...
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP Protocol = "NOD32 protected [WinSock Proxy [tcp]]" --> отсутствует файл imon.dll
....
 Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 10
5. Поиск клавиатурных шпионов (Keylogger)
C:\WINNT\system32\PGPhk.dll --> Подозрение на Keylogger или троянскую DLL
Результат оценки нейросетью - файл является кейлоггером с вероятностью 95.56%
...
7. Эвристичеcкая проверка системы
>>>C:\WINNT\system32\ACTSKIN4.OCX подозрение на вирус Backdoor.Ciadoor.12
Проверка завершена
Просканировано файлов: 413, найдено вирусов 0
Сканирование завершено в 11.03.2005 14:15:55
Сканирование длилось 00:00:21

1. на imon.dll ругается, не прописан полностью путь в протоколе :Smiley:  (я восстановил описание с помощью функции активизации imon.)

2. PGPhk.dll проверил в on-line.(ok)

3. файл actskin4.ocx выслан для проверки. (в принципе, on-line check признает его как все ок!)

----------


## Зайцев Олег

> Протокол антивирусной утилиты AVZ версии 3.10
> Сканирование запущено в 11.03.2005 14:15:34
> Загружена база: 10116 сигнатур, 1 нейропрофиль, 17 микропрограмм лечения
> ...
> 4. Проверка Winsock Layered Service Provider (SPI/LSP)
> Ошибка LSP Protocol = "NOD32 protected [WinSock Proxy [tcp]]" --> отсутствует файл imon.dll
> ....
>  Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 10
> 5. Поиск клавиатурных шпионов (Keylogger)
> ...


C:\WINNT\system32\PGPhk.dll - это "шпиен" от шифровалки PGP - ее стоит прислать мне, я ее загоню в базу известных объектов (в базе уже есть одна такая - значит, версии разные).

Насчет ACTSKIN4.OCX вообще все интересно - в моей коллекции есть Backdoor.Ciadoor.12.a, который внутри содержит несколько приписынных к нему  файлов, и такое впечатление, что среди них ACTSKIN4.OCX ! Вот и результат ... сам ACTSKIN4.OCX не опасен.

*Posted by: gartu*  
Файл препарированы, один из них попал в базу

----------


## Geser

Посмотрел пока бегло. Кнопочки "добавить все неизвестные в карантин" в списке процессов и драйверов не нашлось   :Stick Out Tongue:

----------


## santy

[quote author=Зайцев Олег link=board=28;threadid=857;start=0#msg8302 date=1110532144]
C:\WINNT\system32\PGPhk.dll - это "шпиен" от шифровалки PGP - ее стоит прислать мне, я ее загоню в базу известных объектов (в базе уже есть одна такая - значит, версии разные).

Насчет ACTSKIN4.OCX вообще все интересно - в моей коллекции есть Backdoor.Ciadoor.12.a, который внутри содержит несколько приписынных к нему  файлов, и такое впечатление, что среди них ACTSKIN4.OCX ! Вот и результат ... сам ACTSKIN4.OCX не опасен.
[/quote]

выслал PGPhk.dll и еще один подозрительный файл. (а за чем pgphk.dll "шпиенит"? не отслылает ли куда-не-надо ключевые фразы? :Smiley: )

вот еще предложение. Нельзя ли в поиске файлов включить функцию перехода на найденный файл?

----------


## Geser

И баг с рефрешем на вкладке "сервисы по анализу реестра" часть колонок не рефрешится.

----------


## Geser

> вот еще предложение. Нельзя ли в поиске файлов включить функцию перехода на найденный файл?


А зачем? Там есть кнопка копировать в карантин, а в карантине есть кнопка заархивировать с паролем. Всё что нужно для счастья  ;D

----------


## Зайцев Олег

> выслал PGPhk.dll и еще один подозрительный файл. (а за чем pgphk.dll "шпиенит"? не отслылает ли куда-не-надо ключевые фразы?)
> 
> вот еще предложение. Нельзя ли в поиске файлов включить функцию перехода на найденный файл?


PGPhk.dll - это "шпион" (в кавычках естествено) - он ловит клавиатурные события и посылает их программе PGPTray. Это сделано для реакции на горячие клавиши и вероятно для реализации таких опций типа подписи буфера обмена и т.п. Файл понятно дело совершенно безопасен (у меня есть такой, только ранняя версия - на 10 кб меньше)
EHLO.DLL - плагин к чему-то. Я подкрутил в базе уровень срабатывания для детектировавшей его записи.




> Нельзя ли в поиске файлов включить функцию перехода на найденный файл?


Можно - пожелание записано под номером 34  :Smiley:  (я теперь веду базу данных, куда записываю все пожедания и глюки - иначе я уже начинаю путаться)
*Posted by: Geser*
Это будет - просто я не удержался и сбросил промежуточную версию (дело в том, что у меня базы то не обновлялись неделю из-за смены их формата - за это время в них попало около сотни зверей).

----------


## Geser

Непонятный глюк с открытыми портами.
В логе пишет, открыто 14 UDP потров. Иду на вкладку "Порты UDP", и вижу там только один открытый порт.

----------


## santy

> А зачем? Там есть кнопка копировать в карантин, а в карантине есть кнопка заархивировать с паролем. Всё что нужно для счастья  ;D


Ну, тогда кнопочку перейти в карантин avz.  :Smiley:  (вообщем-то, да. поиск, это ведь не менеджер файлов.   :Smiley: )

----------


## egik

проверил свою машину, ни одной ошибки ???
те которые были при тестировании предыдущих релизов, что не может не радовать, кстати может каких звуков добавить, а ?

----------


## Shu_b

> Непонятный глюк с открытыми портами.
> В логе пишет, открыто 14 UDP потров. Иду на вкладку "Порты UDP", и вижу там только один открытый порт.


Да, и возможно ли выделенную ячейку таблицы закрашивать не таким темно синим цветом? 
И в некоторых ячейках происходит инверсия цвета текста, а в некоторых нет (Окно открытых портов). И бледно зелёный на тёмно синем с трудом читается.

----------


## Зайцев Олег

> Непонятный глюк с открытыми портами.
> В логе пишет, открыто 14 UDP потров. Иду на вкладку "Порты UDP", и вижу там только один открытый порт.


Это был баг номер 36 (я ввел жесткий учет багов и пожеланий, чтобы потом проще было анализировать, что и когда правилось)  :Smiley:  Он был тут-же пойман и попровлен. 

Попутно я устранил ошибку (или не ошибку ?), которая проходит у меня как 30.2 - это LSP с именем файла без пути (такие есть только у NOD). В этом случае AVZ теперь проводит поиск такой DLL в System (или соответственно System32). Если находит, то в имени автоматом приписывается путь. Теперь с NOD конфликтов не будет ...
Я обновил архив у меня на сайте (там и база обновилась - в нее попал PGPhk.dll).

*shu_b*
Я попробую подобрать цвета - там есть кривой момент на выделенной ячейке из-за инверсии цвета. 

Кстати, о копировании в карантин - никто не богат на хорошую иконку для кнопки "Копировать в карантин"  (и для самого карантина) ?? Есть же сначки типа "Инфекция", "Бактериологиечская опасность" ... Я искал и не нашел ... мелочь конечно, но тем не менее ...

----------


## Зайцев Олег

> проверил свою машину, ни одной ошибки ???
> те которые были при тестировании предыдущих релизов, что не может не радовать, кстати может каких звуков добавить, а ?


Звуки добавить легко  :Smiley:  Только где их взять (истошное хрюканье Касперского нельзя - обвинят еще в римейке :Smiley:  ). 
Хотя лично я противник звуков - они как правило срабатывают в самый ненужный момент. Был у меня случай - я как-то полез сервер Oracle из дома администрировать в 24 часа ночи, а в утилите администрирования звук при запуске - кваканье жабы. Он и квакнул - на полную мощность колонок системы 5.1  ;D

----------


## Sanja

Совет
чтобы добавить красоту добавь манифест файл тогда к АВЗ будут применятся ХР темы  :Smiley:

----------


## Casper

Олег, как насчет кнопочки аналогичной "Список отчета" у Вэба? Ну той, когда Протокол открывается практически на всю рабочую область программы... ИМХО так удобнее просматривать лог проверки, глазу больше видно и, соответственно, легче ориентироваться. Конечно можно сохранить лог и посмотреть его через Блокнот, но это же дольше.   :Wink:

----------


## Зайцев Олег

> Олег, как насчет кнопочки аналогичной "Список отчета" у Вэба? Ну той, когда Протокол открывается практически на всю рабочую область программы... ИМХО так удобнее просматривать лог проверки, глазу больше видно и, соответственно, легче ориентироваться. Конечно можно сохранить лог и посмотреть его через Блокнот, но это же дольше.


Такую кнопку сделать легко - беру на заметку. При нажатии протокол проще всего открыть в отдельном окне. Кроме того, я думаю (но это дальний прицел) сделать протокол в стиле Visual Studio 2003 - с возможностью сворачивать фрагменты протокола по группам.

----------


## Casper

После некоторого тестирования: Progress bar ведет себя порой странновато... При прохождении Сканирования дисков - показывает неверный прогресс. Реальное Сканирование заканчивается в тот момент, когда прогресс преодолел всего-лишь половину шкалы. Из 8 различных запусков в 3 происходила подобная ошибка.  ;D

----------


## Зайцев Олег

> После некоторого тестирования: Progress bar ведет себя порой странновато... При прохождении Сканирования дисков - показывает неверный прогресс. Реальное Сканирование заканчивается в тот момент, когда прогресс преодолел всего-лишь половину шкалы. Из 8 различных запусков в 3 происходила подобная ошибка.  ;D


А сколько на диске файлов ?
Дело в стом, что для прогресс-бара в AVZ отдельный поток - он подсчитывает файлы, которые предстоит сканировать. Если файлов мало, то прогресс-индикатор шалит, т.к. скорость проверки у AVZ сопоставима с скоростью обхода дерева каталогов ... кстати, прогресс-индикатор может ползать назад, это тоже связано с фоновым подсчетом файлов.

----------


## Iceman

сказать одобрительное слово, дзинькнуть фужером о монитор там... ;D, что ещё?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> с нашей строны какая нужна помощь в твоем нелегком деле


Главное - это ловить глюки  ;D
И естественно придумывать новые идеи (что необходимо, для чего и как ...), особенно в области интерфеса или эвристической проверки системы ...

----------


## kps

[quote author=Зайцев Олег link=board=28;threadid=857;start=220#msg11393 date=1114537258]
Главное - это ловить глюки  ;D
[/quote]
Вуаля   :Smiley: 
Если запустить "Поиск файлов на диске", в области поиска отметить галочкой какой-нибудь подкаталог (к примеру C:\Windows\ и ищем любые файлы *.* ),  то будут найдены также файлы из корневого каталога, хотя указано искать только в подкаталоге. Надо бы пофиксить.

----------


## RobinFood

Перечитал темы форума о предыдущих версиях, и возникло несколько вопросов/замечаний.

1. *1.2 Поиск перехватчиков API, работающих в KernelMode
 Эталонная KeServiceDescriptorTable найдена*
Еще ни разу не видел, чтобы в этом пункте выдавалось что-то другое. С чем это связано? Существуют ли такие перехватчики, которые обнаруживаются этой микропрограммой? А такие, которые не обнаруживаются? Каково (навскидку) процентное соотношение тех и других?

2. Пункт *блокировать работу RootKit* нужно как-то переименовать - формулировка расплывчатая и многие ошибочно полагают, что работа RootKit будет заблокирована для всей системы, а не для одного процесса AVZ.

3. Как можно бороться с руткитом, который перехватывает функции работы с файлами и при чтении измененных в памяти библиотек подсовывает измененные версии?

----------


## egik

Олег, может ее подучить по поводу процессов общеизвстных программ, не все знает, даже которые здесь озвучиваются.

----------


## Зайцев Олег

> Вуаля  
> Если запустить "Поиск файлов на диске", в области поиска отметить галочкой какой-нибудь подкаталог (к примеру C:\Windows\ и ищем любые файлы *.* ),  то будут найдены также файлы из корневого каталога, хотя указано искать только в подкаталоге. Надо бы пофиксить.


Это не баг, это фича  :Smiley:   Т.е. сейчас обходя дерево каталогов AVZ проверяет файлы для каждого каталога, у которого частично проверяются вложенные подкаталоги. Этот алгоритм естественно можно изменить - например,  проверять файлы каталога только при условии, что он проверяется целиком (тогда файлы в корне диска будут проверяться при условии, что отмечен весь диск целиком и т.п.). Я просто не знаю, как правельнее и логичнее - это стоит обсудить...
*Posted by: RobinFood*  
Логично, небольшие уточнения по пунктам:
1. Этот режим работает, но перехваты не ловит - т.е. он находит таблицу/эталонную таблицу, сканирует ее функции - но отлов перехватов специально заблокирован. Причина - перехват SDT распространенное явление, срабатываний будет очень много. Но это временное явление и будет доработано к очередному апдейту. Решение (как я его вижу сейчас) - проверять не все функции, а только определенный набор
2. Можно и нужно, сделаю. И в доке я отдельно пропишу, что это делается умышленно - логика проста - а если это никакой не руткит, а перехватчик Firewall или антивируса ... - "вылечив" его на уровне системы я нарушу работу полезного ПО... кстати именно поэтому у меня проблемы с п.п. 1 - "лечение" SDT влияет на всю систему и может легко привести к BSOD
3. Такое теоретически возможно, но на практике достаточно трудно реализуемо ... хотя теоретически возможно все и в новой версии я закладываю  дополнительные спец. проверки - пока я предполагаю выделить 10-15 критических функций ntdll, и дизассемблировать их в ходе проверки, проводя далее анализ их кода (это не очень трудно, поскольку функции эти шаблонны и по сути являются переходниками)
*Posted by: egik*  
Подучить кого - анализатор безопасных файлов ? Если анализатор, то я двумя руками "за" - для этого нужно насобирать образцов и прислать их мне (а еще лучше - положить на http) - я занесу их в базы. Это вдвойне полезная вещь, т.к. я насобирал уже около 10 ГБ "полезных" файлах и теперь тестирую на этой коллекции сигнатурный сканер AVZ - это полезная затея, позволяет обнаружить ложные срабатывания эвристика

----------


## kps

[quote author=Зайцев Олег link=board=28;threadid=857;start=220#msg11501 date=1114712290]
Это не баг, это фича  :Smiley:   Т.е. сейчас обходя дерево каталогов AVZ проверяет файлы для каждого каталога, у которого частично проверяются вложенные подкаталоги. Этот алгоритм естественно можно изменить - например,  проверять файлы каталога только при условии, что он проверяется целиком (тогда файлы в корне диска будут проверяться при условии, что отмечен весь диск целиком и т.п.). Я просто не знаю, как правельнее и логичнее - это стоит обсудить...
[/quote]
Мое мнение - логичнее второй вариант. Т.е. если я в области поиска отмечаю галочкой, скажем, каталог C:\Windows\System и запускаю поиск файлов в этом каталоге, то я хочу, чтобы он искал файлы только в C:\Windows\System, а не в C:\Windows\ или C:\ 
Если бы я хотел искать в корневом каталоге, то я бы выделил галочкой этот каталог, а не его подкаталог.

----------


## egik

[quote author=Зайцев Олег link=board=28;threadid=857;start=220#msg11501 date=1114712290]
*Posted by: egik*  
Подучить кого - анализатор безопасных файлов ? Если анализатор, то я двумя руками "за" - для этого нужно насобирать образцов и прислать их мне (а еще лучше - положить на http) - я занесу их в базы. Это вдвойне полезная вещь, т.к. я насобирал уже около 10 ГБ "полезных" файлах и теперь тестирую на этой коллекции сигнатурный сканер AVZ - это полезная затея, позволяет обнаружить ложные срабатывания эвристика
[/quote]Олег раскрой немного, чтоб я правильно понял, что значит понасобирать образцов, насобираю и пришлю с радостью  :Smiley:

----------


## Зайцев Олег

> Олег раскрой немного, чтоб я правильно понял, что значит понасобирать образцов, насобираю и пришлю с радостью


Это просто - рассказываю: берем любой ПК (для начала свой), запускаем там AVZ, в нем - диспетчер процессов. Там есть кнопка "Копировать в карантин все процессы, не опознанные как безопасные" - при ее нажатии все программы, которые запущены и не значатся в базе безопасных AVZ уйдет в карантин. Аналогично с DLL - можно посмотреть список DLL у нескольких системных процессов - там есть аналогичная кнопка. Причем файлы лучше посылать порциями - по отдельности с каждого ПК (можно почтой - но лучше положить на FTP или HTTP). При получении очередной порции я могу сразу выслать апдейт базы безопасных файлов - объем апдейта составляет несколько килобайт ... Более того, в ходе подобных мероприятий часто удается поймать в присланных файлах 1-2 новых SpyWare  :Smiley:

----------


## egik

процессы которые он поместит на карантин, он их  не убъет, а то потом восстанавливать надо, или как?

----------


## Зайцев Олег

> процессы которые он поместит на карантин, он их  не убъет, а то потом восстанавливать надо, или как?


При копировании в карантин естественно ничего не убивается, просто в карантине делается копия неопознанных файлов, причем без повторов.

----------


## egik

Хорошо, тогда еще дополнительно понаставлю всяких прог

----------


## War Lord

> SSSENSOR.DLL, размер около 77 кб, ничем не упакован, поисков в теле видны строки типа ?CreateScreenSaverSensor и т.п. ?? Аналогичный есть в Panda Antivirus, отслеживает запуск скринсейвера и еще что-то. Ставит хук типа 3 (WH_GETMESSAGE) на все процессы - т.е. SSSENSOR.DLL внедряется во все GUI процессы и перехватывает все сообщение, передаваемые приложениями в очередь сообщений


После работы программы AVZ которая нашла всякие вирусы, ADware и другие подобные программы, AVZ вывела список подозрительных файлов, среди которых были NEWDOT и SSSensor.exe Я их удалил после рестарта. Теперь, у меня пропал инет. Точнее, я не могу зайти в инет ни через один из 3 браузеров. При загрузке windows выдает ошибки с окном RUNDLL, в котором сообщается, что невозможно запустить D:\PROGRA~1\NEWDOT~1\NEWDOT~2.dll и окно SMC.exe с сообщением, что невозможно найти SSSensor.dll Подскажите, что делать?

----------


## drongo

во первых , подозрительные никогда не удаляют , а отсылают разработчикам на проверку .
во вторых , если птичка стояла "копировать подозрительные " то идёшь в Просмотр карантина " и возвращаешь на места файлы .

----------


## War Lord

> подозрительные никогда не удаляют , а отсылают разработчикам на проверку


Сейчас поискал в инете и нашел, что newdot действительно типо вируса и те, кто ее удалял сталкивались с подобной проблемой. Но, решения я так и не нашел. Было написоно про копирование файлов, что сейчас и пытаюсь сделать. Файл SMC.exe оказался необходим для работы firewall но как туда попал SSSensor.dll не понятно.



> если птичка стояла "копировать подозрительные " то идёшь в Просмотр карантина " и возвращаешь на места файлы


В том то и дело, что она там не стояла. Я их удалил из системы.

----------


## drongo

у меня тоже сигат стоит , свой sssensor.dll ( этот длл  служит сенсором ,для того чтобы при начале работы оконной заставки - блокировать всё "движение")  я давно Олегу выслал и АВЗ уже на него в послидних версиях не ругаеться . может у тебя  другая версия стенки ?
у меня 5.5 2710 про . если такая же , могу выслать эту длл . если нет , перестановка поможет . 
насчёт newdot , это поможет  решить spybot s&d . там есть рубрика BHO . 
если не знаешь как , лучше открой тему в разделе "помогите " с 2 логами hijackthis и логом последей авз (для каждого компа - отдельную тему ) , поможем починить .

----------


## Geser

Кстати говоря, АВЗ при запуске проверяет свою контрольную сумму? А то так можно ловить новые вирусы  :Smiley:

----------


## Зайцев Олег

> Кстати говоря, АВЗ при запуске проверяет свою контрольную сумму? А то так можно ловить новые вирусы


Нет, не проверяет ... а по идее нужно. Записываю в список доработок

----------


## coffeepot

> Протокол антивирусной утилиты AVZ версии 3.20
> Сканирование запущено в 04.05.2005 13:05:50
> Загружена база: 12964 сигнатуры, 1 нейропрофиль, 43 микропрограммы лечения
> Загружены микропрограммы эвристики: 226
> Загружены цифровые подписи системных файлов: 29483
> Режим эвристического анализатора: Средний уровень эвристики
> 1. Поиск RootKit и программ, перехватывающих функции API
> 1.1 Поиск перехватчиков API, работающих в UserMode
>  Анализ kernel32.dll, таблица экспорта найдена в секции .text
> ...


вот сегодня выдал...раньше такого не было...поэтому не знаю, что это...и как к этому относиться..?)

----------


## Зайцев Олег

> вот сегодня выдал...раньше такого не было...поэтому не знаю, что это...и как к этому относиться..?)


Для начала стоит перезагрузиться и посторить опыт - такое иногда бывает после перезагрузки, вызванной тяжелым сбоем или глюком ... Причина - система сообщает всем, что загружает user32.dll из System32, а на самом деле грузит ее из другой папки ... - и возможно небольшое различие версий

----------


## coffeepot

> Для начала стоит перезагрузиться и посторить опыт...


перегрузился...повторил...та же хрень


```
...Функция user32.dll:DrawIconEx (173) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:GetCursor (253) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:GetIconInfo (271) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:SetWindowPos (609) перехвачена, метод CodeHijack (метод не определен)...
```

причем такую фигню показывает при проверке от имени ЮЗЕР...из-под АДМИНИСТРАТОР - все чисто..?(win2k)

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## anton_dr

Олег, а то что не нашел AVZ, а нашел другой продукт, вам нужно? За исключением, разумеется, вирусов? Скажем, каспер у меня после АВЗ нашел кучу Адваре и бэкдоров?

----------


## Зайцев Олег

> Олег, а то что не нашел AVZ, а нашел другой продукт, вам нужно? За исключением, разумеется, вирусов? Скажем, каспер у меня после АВЗ нашел кучу Адваре и бэкдоров?


Да, конечно - в базы AVZ постоянно вносятся "звери", которых присылают пользователи. Плюс звери, пойманные в данной конференции ...

----------


## snikers

народ извините за может быть и глупый вопрос НО. Почему у мен я не скачивается avz? есть ограничения или как?*

----------


## Geser

> народ извините за может быть и глупый вопрос НО. Почему у мен я не скачивается avz? есть ограничения или как?*


Ограничений нет. Просто с сайтом что-то. денежку Олег забыл заплатить, что-ли  :Smiley: 
Кстати, новстей что-то давно уже нет  :Smiley:  Мы соскучились  :Smiley:

----------


## Iceman

Так праздники же. Человек отдыхать должен  :Wink:

----------


## Зайцев Олег

> Ограничений нет. Просто с сайтом что-то. денежку Олег забыл заплатить, что-ли 
> Кстати, новстей что-то давно уже нет


Это хостер шалит  :Smiley:  Вероятно проблема в том, что я им заплатил за очереной год, и судя по всему так происходит продление срока жизни домена  :Smiley:  Что там за админы, не знаю ... мне на почту сыпятся сообщения типа "ваш домен заблокировал/ваш домен разблокирован ...". Короче, должно все исправиться. А AVZ качнуть можно - http://z-oleg.9.com1.ru/avz-betta2.zip - это независимый от домена адрес и он работает.



> Мы соскучились


Тогда предлагаю подискутировать  :Smiley: 
Короче говоря, новый движок AVZ для отлова макровирусов готов. Но есть один принципиальный момент - как ловить макровирус ? Варианты:
1. Сравнивать все тело вируса с образцом. При этом естетсвенно разные комментарии, регистр, пробелы ... на результат не влияют. При совпадении говорить о вирусе, при несовпадении - анализировать эвристиком
2. Сравнивать только характерные фрагменты - так работает DrWeb и AVP - тогда непринципиальные изменения не влияют на опознание и распознается целая группа "зверей"

----------


## Geser

[quote author=Зайцев Олег link=board=28;threadid=857;start=240#msg11922 date=1115710141]
Короче говоря, новый движок AVZ для отлова макровирусов готов. Но есть один принципиальный момент - как ловить макровирус ? Варианты:
1. Сравнивать все тело вируса с образцом. При этом естетсвенно разные комментарии, регистр, пробелы ... на результат не влияют. При совпадении говорить о вирусе, при несовпадении - анализировать эвристиком
2. Сравнивать только характерные фрагменты - так работает DrWeb и AVP - тогда непринципиальные изменения не влияют на опознание и распознается целая группа "зверей"
[/quote]
Вроде уже было обсуждение. Нужно делать какую-то нормализацую, а потом сравнивать.
А вообще, макроврусы сегодня поискать нужно. Может довёл бы до ума списока автозапуска? Помоему намного нужнее.

----------


## Зайцев Олег

> Вроде уже было обсуждение. Нужно делать какую-то нормализацую, а потом сравнивать.
> А вообще, макроврусы сегодня поискать нужно. Может довёл бы до ума списока автозапуска? Помоему намного нужнее.


Авозапуск я вороде как доделал - я от макровирусов лично у меня житья нет - постоянно вылезают, то тут, то там... плюс скрипты в WEB страницах, CHM файлах ...

----------


## Geser

[quote author=Зайцев Олег link=board=28;threadid=857;start=240#msg11929 date=1115713466]
Авозапуск я вороде как доделал - я от макровирусов лично у меня житья нет - постоянно вылезают, то тут, то там... плюс скрипты в WEB страницах, CHM файлах ...
[/quote]
Ну я надеюсь автозапуск таки заработает у меня  :Smiley: 
А по поводу скриптов. Сделать нормализацию (скажем выбросить комментарии, пробелы и пустые строки), а потом запустить какой-то алгоритм кореляции. Если 100% совпадение, то сообщение о вирусе, а если, скажем, больше 60% то подозрение.

п.с а где новая версия с дореланным автозапуском?  :Smiley:

----------


## egik

Олег! выложена AVZ 3.20 с новым движком или когда его ждать?   :Wink:

----------


## Зайцев Олег

> Ну я надеюсь автозапуск таки заработает у меня 
> А по поводу скриптов. Сделать нормализацию (скажем выбросить комментарии, пробелы и пустые строки), а потом запустить какой-то алгоритм кореляции. Если 100% совпадение, то сообщение о вирусе, а если, скажем, больше 60% то подозрение.
> 
> п.с а где новая версия с дореланным автозапуском?


На этой неделе пробуем ... если с сайтом у меня проблема исчезнет.
С автозапуском я вроде победил баг, я завтра пришлю тебе промежуточную версию для пробы. В 3.20 пока ничего этого нет ...

----------


## Iceman

2Олег: Поставил тут попробовать прогу-перекодировщик почты:
http://www.piter.nev.ru/cgi-bin/getp.cgi?n=2&l=Rus
И тут начались глюки с машиной. Начал удалять - сломался доступ в интернет (LSP). При этом не запучкались некоторые программы (Акробат ридер), сам АВЗ вываливал кучи ошибок (Ошибка чтения памяти, доступ запрещён и много ещё других).Кое-как С помощью АВЗ большинство ошибок исправил. Но 3 штуки остались. Полностью вылечить удалось  с помощью "lsp_xp.reg". 
Может быть будет интересно посмотреть.
К сожалению, логов, куда бы сбрасывались эти результаты аварийной работы, я не нашёл.

----------


## Зайцев Олег

> 2Олег: Поставил тут попробовать прогу-перекодировщик почты:
> http://www.piter.nev.ru/cgi-bin/getp.cgi?n=2&l=Rus
> И тут начались глюки с машиной. Начал удалять - сломался доступ в интернет (LSP). При этом не запучкались некоторые программы (Акробат ридер), сам АВЗ вываливал кучи ошибок (Ошибка чтения памяти, доступ запрещён и много ещё других).Кое-как С помощью АВЗ большинство ошибок исправил. Но 3 штуки остались. Полностью вылечить удалось  с помощью "lsp_xp.reg". 
> Может быть будет интересно посмотреть.
> К сожалению, логов, куда бы сбрасывались эти результаты аварийной работы, я не нашёл.


 По всей видимости эта программа перехватывает некие API, причем не очень корректно - отсюда и глюки. Нужно будет посмотреть ее на досуге

----------


## Iceman

вот спасибо! а то я натерпелся, пока всё в порядок приводил

----------


## Shu_b

2 Зайцев Олег,
Может имеет смысл выпустить дополнение к базам, если новая версия программы пока не выходит?

----------


## Зайцев Олег

Проще выпустить новую версию - а она выпущена, посему этот раздел закрытвае и открываем новый - по версии 3.40.

----------

