# Форум на русском языке  > Основы информационной безопасности  > Microsoft Windows  >  Скрипт AVZ для обнаружения опасных уязвимостей

## AndreyKa

Многие из обращающихся в раздел "Помогите!" имеют те или иные опасные уязвимости в ПО, установленном на их компьютерах. Вылечить такой компьютер сложно из-за того, что после удаления вредоносной программы он снова заражается через несколько минут или, если повезет, дней. 
Некоторые уязвимости видны в логах, но не все. Поэтому я написал скрипт, обнаруживающий уязвимости, часто используемые для заражения компьютера, и предлал выполнить его тем посетителям раздела "Помогите!", на компьютерах которых имеются соответствующие симптомы:
файлы в папке system32 с названиями от 00 до 99
постоянные обрывы интернета
Пропадает звук
И теперь, когда скрипт отлажен и показал свою эффективность, я предлагаю всем желающим проверить свой компьютер для профилактики от заражения.

Детектируются часто используемые уязвимости в:
Microsoft Windows.Microsoft Office XP-2003.Internet Explorer.Устаревшие версии Mozilla Firefox.Adobe Flash Player для Internet Explorer и альтернативных браузеров.Adobe Acrobat Reader и Adobe Acrobat.Sun Java JDK и JRE.
Примечания:
1. Для работы скрипта требуется антивирусная утилита AVZ версии не ниже 4.32.
2. Скрипт сохраняет результат проверки в файле avz_log.txt в подпапке AVZ: *log*. Если это сделать не удалось, то в корень диска C:.
3. Для устранения уязвимостей пройдитесь по ссылкам из файла avz_log.txt и установите обновления. 
4. Перезагрузите компьютер и повторно выполните скрипт для проверки.

Текст скрипта тут: http://df.ru/~kad/ScanVuln.txt

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Юльча

эммм.. а как понять результат выполнения скрипта?   :Huh: 
в окне AVZ


```
Поиск критических уязвимостей
Протокол сохранён в под-папке log
```



```
C:\Program Files\avz4\LOG>type avz_log.txt
Поиск критических уязвимостей
```

и как бы всё
маловато как-то информации в логе.. если ничего не найдено, то хоть бы намекнул 
а так, нипанятна

----------


## AndreyKa

Хорошо, добавлю счётчик найденных уязвимостей в следущей версии скрипта.

----------


## Юльча

а нельзя ли этот полезняшный скриптик вложить в стандартную поставку AVZ и может как-то сделать чтобы он и обновлялся стандартной обновлялкой AVZ?

----------


## Matias

Не думаю, что это осуществимо. Продукты ЛК, кажется, используют базу уязвимостей, предоставляемую Secunia. Но если каким-то образом запихнуть ее в базы AVZ, то объем этих баз получится очень большим. Надо учесть, что база уязвимостей Secunia обновляется очень часто. Хотя этот вопрос лучше задать в теме про AVZ.

----------


## AndreyKa

Сделал новую версию. Изменения:
1. Добавлен счётчик найденных уязвимостей.
2. Добавлено детектирование  уязвимости элемента ActiveX средства просмотра снимков Microsoft Access. Она довольно старая, но всё еще используется.
3. Замена ссылок на более близкие к нужным файлам. Если исправление мультиязычное, то выводится прямая ссыка на файл, иначе на страницу с русской версией. Для Windows, русифицированного через MUI, должны скачиваться английские версии обновлений.

Текст скрипта тут: http://df.ru/~kad/ScanVuln.txt

----------


## AndreyKa

Замена бюллетеня *Накопительное обновление безопасности для браузера Internet Explorer* MS10-002 на MS10-018.

----------


## AndreyKa

Минимально допустимые версии Java увеличены до 1.6.0_15, 1.5.0_20 и 1.4.2_22.

----------


## help?

Спасибо  вам огромное!

----------


## AndreyKa

На заражённых сайтах начали размещаться эксплойты Exploit.Java.CVE-2009-3867, использующие уязвимость Java.
Поэтому, требования скрипта к минимальным версиям Java увеличены до: 6 Update 17, 5.0 Update 22 и 1.4.2_24.
Скрипт: ScanVuln.txt

----------


## LEON®

Спасибо. Хороший скриптик - нашёл у себя 3 уязвимости.

----------


## Юльча

а что вот это за уязвимость и как работает? 

отчет скрипта



> [микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E543-0000-0000-C000-000000000046}
> и т.п.

----------


## Alex Plutoff

- разрешён запуск элементов управления ActiveX в Internet Explorer, что уже само по себе чревато... в данном случае речь об уязвимости связанной с запуском библиотек веб-компонентов Microsoft Office в IE, дробности смотреть на http://support.microsoft.com/kb/240797/ru и на http://www.microsoft.com/rus/technet.../ms09-043.mspx


ЗЫ  очевидно, микропрограмма лечения отключает запуск библиотеки веб-компонентов Office в IE, согласно предложенного Microsoft временного решения по закрытию уязвимости, связанной с выделением памяти веб-компонентами Office...

----------


## Erekle

Пять штук уязвимостей.  :2jump:  Спасибо.
Однако... У меня СП2 с единственным обновлением, который был необходим для установки ИЭ8 (установлен месяц назад). Если б учитывалось наличие обновлений, я сидел бы (сижу) в уязвимостях по горло.  :Smiley: 

_"Уязвимость службы сервера делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=0D5F9B6E-9265-44B9-A376-2067B73D6A03"_. Но у меня служба вовсе отключена...

----------


## AndreyKa

Добавлено детектирование устаревшей версии Opera.
Минимальная версия Adobe Reader и Acrobat увеличена до 8.2.1/9.3.1.

----------


## zsedc

хорошо бы в текст скрипта добавить ссылку на последнюю версию скрипта, или автоматом проверить в инете при выполнении

----------


## AndreyKa

Изменения:Замена бюллетеня "Накопительное обновление для системы безопасности, устанавливающее флаг блокировки для элемента ActiveX" MS10-008 на MS10-034.Замена бюллетеня "Накопительное обновление безопасности для браузера Internet Explorer" MS10-018 на MS10-035.Минимальная под-версия Java 6 увеличена с Update 17 до Update 20. Причина: на заражённых сайтах распространяются эксплойты, использующие уязвимость Java.Согласно рекомендации http://www.adobe.com/support/securit...apsa10-01.html 0-day уязвимость в Adobe Reader 9 и Acrobat 9 нейтрализуется переименованием файла authplay.dllВ текст скрипта добавлен адрес, по которому можно скачать актуальную версию: http://dataforce.ru/~kad/ScanVuln.txt

----------


## AndreyKa

Изменения:Минимальная версия Adobe Reader и Acrobat увеличенна до 8.2.3/9.3.3.Уязвимость в Центре справки и поддержки Windows (CVE-2010-1885) нейтрализуется по рекомендации Microsoft.

----------


## Travoed

А почему при выполнении скрипта 1.16 не создаётся Backup HKEY_CLASSES_ROOT\HCP ?

----------


## AndreyKa

Потому что, он у всех один и тот же.
Если хотите восстановить как было, выполните скрипт:


```
begin
  if not RegKeyExists('HKCR','HCP\shell') then RegKeyParamWrite('HKCR','HCP\shell\open\command','','REG_EXPAND_SZ','%SystemRoot%\PCHEALTH\HELPCTR\Binaries\HelpCtr.exe -FromHCP -url "%1"');
end.
```

Или используйте утилиту Microsoft для отмены этого исправления: http://go.microsoft.com/?linkid=9735565

----------


## XiTri

А чем грозит удаление "HCP\shell". Ну кроме не подверженности уязвимости.
Перестанут открываться help файлы или chm файлы или еще что откажется работать?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## AndreyKa

Не будут работать ссылки, начинающиеся с hcp://  Они обычно используются для запуска *Центра справки и поддержки Windows* из других программ, например вызов Мастера поиска и устранения проблем.

----------


## XiTri

> например вызов Мастера поиска и устранения проблем.


Какой то нафик не нужный функционал. И ссылок на hcp:// я не видел.
ИМХО hcp не нужен

----------


## AndreyKa

Изменения:Уязвимость в Центре справки и поддержки Windows предлагается исправить с помощью бюллетеня MS10-042. Определяется устаревшая версия Apple QuickTime. Уязвимость в RealPlayer блокируется через KillBit.

----------


## Юльча

скриптик не отображает необходимость обновления Java до последней Version 6 Update 21.. так задумано? 

проверилась на сайте java 



> Проверка версии Java
> Ой! У вас установлена версия Java, отличная от рекомендованной.
> Установленная версия Java - Version 6 Update 20. Нажмите на кнопку, расположенную ниже, чтобы скачать версию Java, рекомендованную для вашего компьютера.
> 
> ПРИМЕЧАНИЕ: Если вы недавно установили программное обеспечение Java, вам может потребоваться перезапустить браузер (закрыть и открыть все окна браузера) перед проверкой установки.
> Скачать бесплатное ПО Java для Windows
> Windows Vista, XP и 2000 Server Version 6 Update 21

----------


## AndreyKa

*Юльча*, в версии Java 6 Update 21 никаких уязвимостей исправленно не было.

----------


## AndreyKa

Эта версия содержит самые существенные изменения за всю его историю:
Пользователям Windows XP SP2 теперь предлагается установить SP3.Пользователям Windows Vista без пакетов обновления предлагается установить SP1 и SP2. Определяется уязвимость оболочки Windows при обработке ярлыков и pif файлов -  MS10-046.
Вместе с отказом от анализа состояния Windows XP SP2, закрывается несколько опасных уязвимостей, которые скрипт не замечал.

----------


## MVE

Не лучше ли пользоваться Secunia PSI?

----------


## AndreyKa

Преимущества скрипта над Secunia PSI:
1) Может запускаться без наличия подключения к Internet.
2) Может запускаться без наличия прав Администратора, не требует установки.
3) Не отвлекает внимание пользователя на мнимые угрозы.

Запустил Secunia PSI на Windows XP SP2:



> Эта установка Microsoft Windows XP Professional была определена, как имеющая все необходимые исправления.


Что тут можно сказать? Лучше промолчу...

----------


## AndreyKa

Изменения:Замена бюллетеня "Накопительное обновление безопасности для браузера Internet Explorer" с MS10-035 на MS10-053.Замена бюллетеня "Уязвимости в сервере SMB делают возможным удаленное выполнение кода" с MS10-012 на MS10-054.Пользователям Windows 2000 сообщается, что закончился жизненный цикл этой ОС.

----------


## AndreyKa

Вышла очередная версия скрипта. Информацию о ней и о последующих версиях смотрите на странице http://dataforce.ru/~kad

----------


## Vvvyg

*AndreyKa*, есть надежда на дальнейшее развитие скрипта?

----------


## olejah

Здесь он не появляется.

----------


## mike 1

> *AndreyKa*, есть надежда на дальнейшее развитие скрипта?


Лучше на форум DrWeb писать ему там он хоть иногда появляется.

----------


## regist

Он и здесь периодически появляется и отвечает.

----------


## AndreyKa

Так как, скрипт ещё используется и в инете много на него ссылок, решил обновить по минимуму.
Изменения:Минимальные версии Adobe Flash Player увеличены до 13.0.0.296 и 18.0.0.194 .Замена бюллетеня MS14-052 "Накопительное обновление для системы безопасности браузера Internet Explorer" на MS15-056.KB2718704 убрал для Win7 из-за ложных срабатываний.

----------

*mike 1*,  *vegas*,  *Vvvyg*

----------


## AndreyKa

Минимальная версия Adobe Flash Player увеличена до 18.0.0.209.

----------


## grobik

> Так как, скрипт ещё используется и в инете много на него ссылок, решил обновить по минимуму.


А по максимуму уже не будет ?  :Shocked:

----------


## Vvvyg

> А по максимуму уже не будет ?


А попробуйте поддерживать анализ минимум 7 поколений систем в двух вариантах - x86 и x64. Забибикаешься  :Huh:

----------

grobik

----------


## grobik

> А попробуйте поддерживать анализ минимум 7 поколений систем в двух вариантах - x86 и x64. Забибикаешься


А предыдущие версии скрипта сами писались, не бибикая ? Автор совершенно справедливо заметил, что ссылок на его скрипт в Инете довольно много. 
Например, поколения осей можно и ограничить, варианты всегда есть...

----------


## AndreyKa

> А по максимуму уже не будет ?


Скорее всего, не будет. После окончания сроков поддержки Win7 скрипт будет выдавать совет: Переходите на Linux!  :Wink:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## AndreyKa

Давно назревшие изменения:Минимальные версии Adobe Flash Player увеличены до 18.0.0.333, 21.0.0.182 из-за уязвимости CVE-2016-1010 https://helpx.adobe.com/security/pro...apsb16-08.html.Замена ссылок MS15-056 "Накопительное обновление для системы безопасности браузера Internet Explorer" на MS16-023.Корректировка скрипта в связи с тем, что Microsoft прекратила поддержку старых версий Internet Explorer в Windows Vista и в Windows 7.Минимальная версия Silverlight увеличена до 5.1.41212.0 из за из-за уязвимости CVE-2016-0034.Замена ссылок обновлений для Adobe Reader 10 и 11 на версии 10.1.16 и 11.0.14 соответственно.Предупреждение пользователям Windows XP, Windows Server 2003 и Office 2003 о том, что жизненный цикл этого ПО завершён.Добавлена проверка включен ли UAC.

----------

*mike 1*,  *Vvvyg*

----------


## AndreyKa

Похоже, Microsoft удаляет патчи для Windows XP из общего доступа. Скачать их вручную со страниц бюллютеней: 
https://technet.microsoft.com/ru-ru/...urity/MS11-020
https://technet.microsoft.com/ru-ru/...urity/ms12-054
...
не получается.

----------


## Vvvyg

Да, тоже заметил недавно. Хорошо, хоть SP3 по прямой ссылке можно скачать...

----------


## AndreyKa

Минимальные версии Adobe Flash Player увеличены до 18.0.0.343, 21.0.0.213 из-за активной эксплуатации уязвимости CVE-2016-1019 на Windows 10 и более ранних версиях с Flash Player версии 20.0.0.306 и младше.  
http://blogs.adobe.com/psirt/?p=1334

----------


## AndreyKa

Изменения:Минимальные версии Adobe Flash Player увеличены до 18.0.0.352 и 21.0.0.242. Так как есть информация о эксплуатации уязвимости CVE-2016-4117.Из-за широкого использования уязвимостей CVE-2015-1641 и CVE-2015-6124 в Microsoft Word, определяется отсутствие установленного обновления MS15-131 "Уязвимости в Microsoft Office делают возможным удаленное выполнение кода" (ссылки для загрузки на заменяющее его обновление MS16-054).MS16-051 "Накопительное обновление для системы безопасности браузера Internet Explorer" - закрывает уязвимость CVE-2016-0189.

----------


## AndreyKa

Изменения:Минимальные версии Adobe Flash Player увеличены до 18.0.0.360 и 22.0.0.192, так как, есть информация об эксплуатации уязвимости CVE-2016-4171.Из-за широкого использования уязвимости CVE-2015-1701, определяется отсутствие установленного обновления MS15-051 "Уязвимость в ядре Windows может допустить повышение уровня полномочий" (ссылки на MS15-135) для Windows Vista/7.Замена ссылок MS16-051 "Накопительное обновление для системы безопасности браузера Internet Explorer" на MS16-063.

----------

*mike 1*,  *Vvvyg*

----------


## AndreyKa

Замена ссылок MS16-051 "Накопительное обновление для системы безопасности браузера Internet Explorer" на KB4014661.Минимальная версия Adobe Flash Player увеличена до 24.0.0.186. Есть информация об эксплуатации уязвимости CVE-2016-7892 в Internet Explorer (32-бит).Замена ссылки обновления для Adobe Reader 11 на версию 11.0.20.

----------

*Никита Соловьев*,  Travoed,  *Vvvyg*

----------


## lightst

XP мне больше всего нравилась...

----------


## ВирусДиректор

Ещё надо, продолжать проект, очень полезное решение :Smiley:

----------

