PDA

Просмотр полной версии : AVZ 4.18 + AVZGuard - тестирование, обсуждение, предложения по доработке



Зайцев Олег
15.06.2006, 13:08
Вышла новая версия AVZ - 4.18 + AVZGuard ( http://z-oleg.com/secur/avz/download.php ).
Список доработок и модификаций:
[++] Поведенческий анализатор в антикейлоггере. Изучает, что конкретно делает каждая из заподозренных DLL и описывает это в протоколе
[++] Ревизор диска. Позволяет создавать базы с описанием заданных дисков и папок и в последствие производить сравнение текущего состояния диска с базой. Базы ревизора имеют небольшой размер, что позволяет хранить их на Flash диске. РЕвизор подробно описан в справке и в документации
[+] Предусмотрен ключ для задания пароля к ZIP архивам (см. справку), что упрощает проверку и автораспаковку архивов со стандартным паролем
[+] Проведен ряд модификаций KernelMode компонент AVZ
[-] Исправлена проверка архивов ZIP ( в некотором случае после проверки возникала ошибка деления на 0)
[-] Подстроены цвета в таблицах для повышенния читаемости данных (ранее сливался цвет маркера и текста)
[+] Отображение командной строки для процессов (в диспетчере процессов и соответственно в отчете)

База: Обновленная версия содержит базу от 15.05.2006 (25329 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, 359 микропрограмм эвристики, 9 микропрограмм восстановления системы, 49778 подписей системных и безопасных файлов)

На сайте обновлена документация по AVZ, в самом AVZ обновленная справка.

По поводу поведенческого антикейлоггера - в случае его срабатывания получается примерно такой результат анализа:



C:\Program Files\ASMonitor\hk.dll>>> Поведенческий анализ:
1. Реагирует на события: клавиатура
2. Передает данные процессу: 2024 C:\Program Files\ASMonitor\ASMonitor.exe (окно = "Actual Spy - НЕЗАРЕГИСТРИРОВАННАЯ ВЕРСИЯ")
C:\Program Files\ASMonitor\hk.dll>>> Нейросеть: файл с вероятностью 99.91% похож на типовой перехватчик событий клавиатуры/мыши

или такой:


C:\WINDOWS\system32\keylogger.dll>>> Поведенческий анализ:
1. Реагирует на события: клавиатура
2. Работает с файлом: c:\program files\all-in-one spy\temp
3. Работает с файлом: c:\program files\all-in-one spy\200669\log.txt
4. Определяет имя файла для модуля: keylogger.dll
5. Опрашивает состояние клавиатуры
6. Опрашивает активную раскладку клавиатуры
7. Определяет ASCII коды по кодам клавиш
C:\WINDOWS\system32\keylogger.dll>>> Нейросеть: файл с вероятностью 99.98% похож на типовой перехватчик событий клавиатуры/мыши

anton_dr
15.06.2006, 15:44
При наведении курсора на вкладке "типы файлов" - на любом из трех вариантов высвечивается всплывающее пояснение для "потенциально опасных файлов". Во второй сегодняшней версии - аналогично, только с поправкой на язык :)



И кнопки "пауза" при сканировании так и нет... :(

DimaT
15.06.2006, 17:05
Олег, а почему ''перескочили'' :) через версию AVZ 4.17 ?
И поправь в своем посте первую строку: ''версия AVZ - 4.16''...

Nikollay
15.06.2006, 17:43
http://virusinfo.info/attachment.php?attachmentid=2555&stc=1&d=1150379050Что то много нашел разных подозрительных файлов ?

Зайцев Олег
15.06.2006, 20:17
Что то много нашел разных подозрительных файлов ?
Все нормально - ни один из файлов в менеджере внедренных DLL самим AVZ не грузится и не применяется. А логика тут простая - раз файл загрузился без моего ведома, значит - кандидат на исследование...
to DimaT
Версию в посте сейчас поправлю, в перескок правильный - 4.17 - версия с новым антикейлоггером, она не вышла за пределы Смоленскэнерго, а 4.18 - это 4.17 + ревизор диска.
to Anton dr
Всплывающий хинт надо подделать - он кривой что по русски, что по английски и не меняется. А кнопку пауза я приделаю к версии 4.19

DimaT
16.06.2006, 14:55
При остановке во время сканирования сейчас выскакивает грозная:

---------------------------
Антивирусная утилита AVZ.Идет проверка, 5% осталось 00:50:55
---------------------------
Invalid floating point operation.
---------------------------
OK
С какой целью добавил?

Pick
16.06.2006, 15:23
При запуске последней версии программы с активацией пункта "Блоктровать работу RootKit Kernel-Mode", во время проверки системы комп перезагружается. Проверенно - несколько раз. Далее - сканирование дисков, и "система восстановлена после серьёзного збоя...". Что-бы это значило?
Фаер и т.д. были заблаговременно отключены.
Дежавю:)

aintrust
16.06.2006, 15:26
При запуске последней версии программы с активацией пункта "Блоктровать работу RootKit Kernel-Mode", во время проверки системы комп перезагружается.
...

Мини-дампы, плиз, в студию! :P

Зайцев Олег
16.06.2006, 15:34
Мини-дампы, плиз, в студию! :P
И плюс к минидампам нужен лог без блокирования руткитов - интересно, что перехвачено, как и чем.

Pick
16.06.2006, 15:42
Один коллега походил по инету...
Я перепробовал разные варианты лечения антивирусами: доктором, дефендером, авастом и конечно avz. Все браво рапартуют об исцелении компутера, но... каждый раз запуская другой антивирус находятся теже трояны, задние двери и т.д.
Антивирус после лечения повторно ничего не находит. А avz, правда, находит каждый раз, удаляет, и опять находит... Прямо какой-то замкнутый круг. Давно не видел такого неизлечимого изобилия.
Прямо "формат С:" какой-то.

Pick
16.06.2006, 15:45
И плюс к минидампам нужен лог без блокирования руткитов - интересно, что перехвачено, как и чем.
Завтра пришлю.

Shu_b
16.06.2006, 15:53
Я перепробовал разные варианты лечения антивирусами....
Может с этим случаем в раздел "Помогите" со всеми требуемыми логами?

aintrust
16.06.2006, 15:57
Может с этим случаем в раздел "Помогите" со всеми требуемыми логами?
Точно! ;)

Cool Cat
16.06.2006, 22:47
У меня______________________________________________ ___
После снятия протекта AVZGuard в 9 из 10 случиях завись ПК
причём при попытки перезагрузить комп, появляется окно с просбой завершения Explorer.EXE (может и чтонибуть другое всплыть) иногда
всё это заканчивается жёсткой перезагрузкой.

В новой версии ситуация та же.

Такое чуство что AVZGuard ... после отключения
сводит с ума систему!

Зайцев Олег
16.06.2006, 22:56
В новой версии ситуация та же.

Такое чуство что AVZGuard ... после отключения
сводит с ума систему!
Вот тут интересны подробности - т.е. AVZGuard не отключается или в процессе отключения возникает сбой ?

Cool Cat
17.06.2006, 00:36
Вот тут интересны подробности.....

Примерно так:

1. Настройки АВЗ по максимому
2. Включение AVZGuard (кстати баг со включением вроде у меня исчез)
3. Пуск (работа и скан АВЗ)
4. Результаты работы.... и остановка АВЗ
5. Анализ (мной в АВЗ )
6. Отключение AVZGuard

Далее всевозможные глюки как писалось выше
(OS WinXP)

Но тут прикол... Я точно не могу понять отключяется AVZGuard при нажатии на его отключение или нет, так как систему глючит

и здраво проанализировать и изучить ситуацию трудно, всё сводится к перезагрузки :)

PS. На днях, попробую более тщятельно и побольше погонять AVZ .....

Randol
22.06.2006, 13:46
Уважаемый Олег!
Может подскажите, что это за "глюк":

Протокол антивирусной утилиты AVZ версии 4.18
Сканирование запущено в 22.06.2006 12:31:28
Загружена база: 25358 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 16.06.2006 12:48
Загружены микропрограммы эвристики: 359
Загружены цифровые подписи системных файлов: 49780
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (C:\WINXPSP2\P2\system32\ntoskrnl.exe)
2. Проверка памяти

Интересует строка "Ошибка - не найден файл (C:\WINXPSP2\P2\system32\ntoskrnl.exe)"

Зайцев Олег
22.06.2006, 14:28
Уважаемый Олег!
Может подскажите, что это за "глюк":
....
Интересует строка "Ошибка - не найден файл (C:\WINXPSP2\P2\system32\ntoskrnl.exe)"
Это означает, что операционка почему-то рапортует неправильный путь к своей папке (или AVZ не совсем корректно это понимает). Интересны слудующие моменты:
1. В какой папке находится система
2. Желателен протокол исследования системы AVZ - может быть, он что-то позволит прояснить

MOCT
22.06.2006, 19:43
Это означает, что операционка почему-то рапортует неправильный путь к своей папке (или AVZ не совсем корректно это понимает). Интересны слудующие моменты:
1. В какой папке находится система
2. Желателен протокол исследования системы AVZ - может быть, он что-то позволит прояснить
вот в логах от этой темы таких глюков ВАГОН:
http://virusinfo.info/showthread.php?p=75103

pig
22.06.2006, 19:59
Там глюки от терминальной сессии, надо полагать.

Shredinger
25.06.2006, 13:06
А у меня почему то ща не сохраняется протокол(лог), кликаю а там "Найденных объектов нет".
Приходится через "Файл" сохранять себе на раб. стол протокол. Кстати что это за файл каждый раз он ловит FOPN.sys ?

Зайцев Олег
27.06.2006, 10:02
А у меня почему то ща не сохраняется протокол(лог), кликаю а там "Найденных объектов нет".
Приходится через "Файл" сохранять себе на раб. стол протокол. Кстати что это за файл каждый раз он ловит FOPN.sys ?
Судя по сообщению "Найденных объектов нет" речь идет о кнопке, вызывающей список найденных объектов. Сохранение лога - кнопка с дискетой чуть выше ...

MOCT
03.07.2006, 14:53
в INI-файл карантина попала вот такая строка:
Virus=Подозрение на Keylogger или троянскую DLL, A=
видимо это какой-то глюк, не думаю, что так и было задумано

(прислано в теме http://virusinfo.info/showthread.php?t=5782 )

Зайцев Олег
03.07.2006, 16:04
в INI-файл карантина попала вот такая строка:
Virus=Подозрение на Keylogger или троянскую DLL, A=
видимо это какой-то глюк, не думаю, что так и было задумано

(прислано в теме http://virusinfo.info/showthread.php?t=5782 )
Видимо так и было задумано - после "A=" должен идти текст с описанием результатов поведенческого анализа. А вот почему его нет - надо будет посмотреть


Кстати, AVZ перешел на ежедневное обновление AV баз ...

Geser
03.07.2006, 16:11
Ежедневное обновление это круто. Вот если бы еще было ежедневное скачивание и добавление чистых файлов :)

Зайцев Олег
03.07.2006, 16:25
Ежедневное обновление это круто. Вот если бы еще было ежедневное скачивание и добавление чистых файлов :)
Это кстати тоже налаживается. Меня сейчас только трафик удерживает от этого - технические возможности проверки, классификации и внесения в базу чистых объектов уже есть.
Кстати, в дейсвие вступила еще одна технология - при внесении зверя в базу он автоматом сопоставляется со всеми чистыми и если есть похожесть, то теоретически возможное ложное срабатывание давится на корню.

qbs2001
04.07.2006, 14:31
Вот, кстати:
Функция ws2_32.dll:WSAConnect (33) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:WSAStartup (115) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:connect (4) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:getpeername (5) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:getsockname (6) перехвачена, метод CodeHijack (метод не определен)

Перехватывает вполне безобидная банерорезалка AdMuncher (www.admuncher.com). Смущает фраза "метод не определен"...

Зайцев Олег
04.07.2006, 15:15
Вот, кстати:
Функция ws2_32.dll:WSAConnect (33) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:WSAStartup (115) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:connect (4) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:getpeername (5) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:getsockname (6) перехвачена, метод CodeHijack (метод не определен)

Перехватывает вполне безобидная банерорезалка AdMuncher (www.admuncher.com). Смущает фраза "метод не определен"...
метод CodeHijack (метод не определен) означает, что перехват идет методом модификации машинного кода, но анализ записанных перехватчиком команд не позволяет точно установить методику (в некоторых случаях первые команды опознаются как JMP адрес, или PUSH + ret или иной известный AVZ метод передачи управления перехватчику)

Saule
04.07.2006, 23:14
Всем привет :)
Просто хотела сообщить о маленькой ошибке AVZ, при выполнении функции восстановлении системы (если кто-либо о ней уже упоминал - заранее извиняюсь; хотя в этом случае она навряд ли бы до сих пор еще имела место).
Речь идет о сбросе настроек префиксов протоколов Internet Explorer на стандартные. Префикс параметра "home" AVZ скидывает на следующее:
home://

И спасибо за отличного помощника в борьбе с компьютерной заразой.
Удачки :)

Зайцев Олег
05.07.2006, 10:26
Всем привет :)
Просто хотела сообщить о маленькой ошибке AVZ, при выполнении функции восстановлении системы (если кто-либо о ней уже упоминал - заранее извиняюсь; хотя в этом случае она навряд ли бы до сих пор еще имела место).
Речь идет о сбросе настроек префиксов протоколов Internet Explorer на стандартные. Префикс параметра "home" AVZ скидывает на следующее:
home://

И спасибо за отличного помощника в борьбе с компьютерной заразой.
Удачки :)
Спасибо - я подправил микропрограммку для этого восстановления, обновленная версия уже попала в сегодняшний апдейт баз.

anton_dr
05.07.2006, 10:54
Олег, а как с обновлением через прокси?

Sel
05.07.2006, 12:33
anton_dr

В 4.16 версии были проблемы с прокси , и в 4.18 если устанавливать параметры прокси как написано у Олега в примере, то же ничего не получается, обновление не происходит. Я попробовал установил прямое подключение, и к моему удивлению программа скачала обновления. Выход в Интеренет через прокси - это точно. Единственное программа не запоминает во вкладке выхода заданное положение, и каждый раз перед обновлением приходиться устанавливать какое соединение. С Уважением, Sel.

Shu_b
05.07.2006, 13:19
2 Sel, проблема имеет место быть для тех у кого выход через ISA c NTLM.
пока так и не работает...

Sel
06.07.2006, 06:18
С новой версией появилась ещё одна небольшая проблемка. Может это только у меня. Ситуация.
У меня на компьютере стоит программа для дозвона и тарификации интернет соединений MuxaSoft Dialer версии 4.1 теперь когда AVZ проверяет компьютер и начинает делать проверку
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\RocketDock\MouseHook2.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\RocketDock\MouseHook2.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 319 описаний портов
На данном ПК открыто 244 TCP портов и 73 UDP портов
>>> Обратите внимание: Порт 31 TCP - Trojan Master Paradise, Trojan Agent 31 (d:\distrib\Программы Зайцева\aps\aps\aps.exe - опознан как безопасный процесс)
>>> Обратите внимание: Порт 555 TCP - Backdoor.PhaseZero, INI-Killer, Stealth Spy и т.д. у меня запускается программа MuxaSoft Dialer версии 4.1 и начинается дозвон в Интернет. Как избавиться от этой небольшой проблемы. Спасибо. С Уважением, Sel.

chas
06.07.2006, 18:31
Подскажите, плиз, как запустить AVZ и в ком.строке указать стандартный скрипт сбора информации...
хотелось бы из батника сразу отчет создать...

Scitalec
07.07.2006, 00:12
Прикладываю лог сканирования системы
Интересна ругань AVZ на панель быстрого запуска ноутбука HP
Если надо пришлю файлы

pig
07.07.2006, 10:11
Всё подозрительное прислать, как написано в правилах. После внесения в базу безопасных ругани быть не должно.

Scitalec
07.07.2006, 23:15
Всё подозрительное прислать, как написано в правилах. После внесения в базу безопасных ругани быть не должно.
Ok отсылаю

GrAnd
12.07.2006, 13:15
При попытке запуска AVZ Guard из терминальной сессии выдается сообщение "Ошибка активации AVZ Guard !" (см. приложение).
В меню остается доступным только первый пункт "Включить AVZGuard". Пункты "Запустить приложение как доверенное" и "Отключть AVZGuard" остаются неактивными. Никакие приложения запустить невозможно. Лечится, кажется, только перезагрузкой системы.

Если нельзя корректно запустить AVZ Guard в терминальной сессии, то может быть, хотя бы, возможно запретить это делать вообще?

Зайцев Олег
12.07.2006, 15:21
При попытке запуска AVZ Guard из терминальной сессии выдается сообщение "Ошибка активации AVZ Guard !" (см. приложение).
В меню остается доступным только первый пункт "Включить AVZGuard". Пункты "Запустить приложение как доверенное" и "Отключть AVZGuard" остаются неактивными. Никакие приложения запустить невозможно. Лечится, кажется, только перезагрузкой системы.

Если нельзя корректно запустить AVZ Guard в терминальной сессии, то может быть, хотя бы, возможно запретить это делать вообще?
Запуск AVZ Guard из терминальной сессии - это конечно из разряда экстрима. Я пропишу в FAQ и справке, что это не следует делать. И быть может поставлю блокировку ... Плюс запись в логе - запущен из терминальной сессии

Xen
12.07.2006, 17:12
То-то я думаю, откуда берется префикс home:// в логах обратившихся ко мне пользователей! Теперь все прояснилось =)

GrAnd
12.07.2006, 17:40
Запуск AVZ Guard из терминальной сессии - это конечно из разряда экстрима.
А мы не ищем легких путей ... Ну и, вообще-то, а почему бы и не попробывать?

Я пропишу в FAQ и справке, что это не следует делать. И быть может поставлю блокировку ... Плюс запись в логе - запущен из терминальной сессии
Вот-вот. FAQ и Help, как известно, читают только тогда, когда больше ничего не получается. А вот блокировка - самое милое дело.

DimaT
15.07.2006, 14:37
На форуме Kaspersky Labs очень обеспокоены мощью AVZ - без проблем выгружает их продукты:

...Только после сканирования утилитой AVZ с включеной блокировкой RootKit в остальных слачаях выдает "отказано в доступе..
...центр безопасности винды тоже не реагирует на выгрузку антивируса
И даже не скупятся здесь (http://forum.kaspersky.com/index.php?showtopic=18192&st=20):
...известная борьба щита и меча...
...господин кажется Зайцев (автор AVZ) начнет форсировать свой продукт...
Печально то, что в итоге мы получим нешуточную борьбу двух антивиров... А гадописатели станут на нее смотреть и опыт перенимать. Может есть смысл ЛК договориться с Зайцевым, чтобы он свои фичи писал, да в релиз продукта не спешил
Так что акции Олега растут!

Geser
15.07.2006, 15:14
Почитал чут-чуть. Они там бредят просто.

Зайцев Олег
15.07.2006, 16:20
Почитал чут-чуть. Они там бредят просто.
Скорее не бредят, а просто банально не понимают принципов работы AVZ и KIS.

DimaT
15.07.2006, 18:53
Скорее не бредят, а просто банально не понимают принципов работы AVZ и KIS.
Ну так разъяснил бы и помог бы им разобраться! :D
Дело то общее...

MOCT
15.07.2006, 19:13
Может есть смысл ЛК договориться с Зайцевым, чтобы он свои фичи писал, да в релиз продукта не спешил
аццки жжот!

DimaT
15.07.2006, 20:49
аццки жжот!
Ну так это пока только юзеры, а не разработчики...
Хотя и они наверняка понимают...
Олег, не выходили к тебе на связь?

rasmys
16.07.2006, 01:07
Может это только у меня- Ошибка в ходе автоматического обновления-Ошибка загрузки файла с описанием обновления
avzupd.zip c http://avz.virusinfo.info/avz_up/
Подскажите что делать,скачал новую версию avz,тоже самое.

Xen
16.07.2006, 02:51
Насколько я понял, Олег активно сотрудничает с КАЛ в областях разработки антируткита и пополнения баз, так что данный флейм не совсем уместен...

Зайцев Олег
16.07.2006, 11:06
Ну так разъяснил бы и помог бы им разобраться! :D
Дело то общее...
Xen абсолютно прав - с сотрудничаю с ЛК, это не секрет и они в курсе принципов работы антируткита AVZ и применяемых там методик ... А суть флейма на форуме ЛК прост - если AVZ-у разрешить установить драйвер (KIS это спрашивает), то AVZ естетсвенно поснимает перехваты KIS и отключит мониторинг. Но только в этом случае ... Кстати тоже самое и с ring0 трояном - ему нужно разрешить установку драйвера

bo1
17.07.2006, 14:52
Не работает поиск файлов - выходит ошибка
http://virusinfo.info/attachment.php?attachmentid=2706&stc=1&d=1153134839

Shu_b
17.07.2006, 15:13
Не работает поиск файлов - выходит ошибка
Скачайте заново, версия была пересобрана сразу после обнаружения этого.

Nikollay
17.07.2006, 21:14
Здраствуйте!
У меня есть пара вопросов
1 При проверке AVZ определяет файлы Касперского как опасные?
2 Что это значит и опасно ли это
>>> Внимание, таблица KiST перемещена ! (804E4F40(284)->867A2008(297))
Лог прилагаю

Зайцев Олег
17.07.2006, 21:51
Здраствуйте!
У меня есть пара вопросов
1 При проверке AVZ определяет файлы Касперского как опасные?
2 Что это значит и опасно ли это
>>> Внимание, таблица KiST перемещена ! (804E4F40(284)->867A2008(297))
Лог прилагаю
1. Нет, AVZ констатирует факт перемещения KiST и перехват функций. А дальеше по перехватчику можно уже судить о том, опасно это или нет
2. Это означает, что таблица KiST перемещена. Это ненормально для чистой системы и совершенно нормально для KAV - драйвер его монитора перемещает KiST и перехватывает ряд функций

Nikollay
19.07.2006, 17:36
Спасибо!