Бетта тестирование AVZ 3.65

Вышла новая новая версия AVZ - 3.65.0. Версия доступна для загрузки тут: [url="http://z-oleg.com/secur/avz-dwn.htm"]http://z-oleg.com/secur/avz-dwn.htm[/url] ([url="http://z-oleg.com/avz-betta3.zip"]http://z-oleg.com/avz-betta3.zip[/url])
Радикальные новшества и пределки:

[-] В ходе проверки архива не работала кнопка "Стоп" - останов происходил только после завершения проверки текущего архива - исправлено
[-] На максимуме эвристики шло ложное срабатывание на каждый файл, извлеченный из архива (сообщение из-за того, что PE файл имеет расширение TMP) - исправлено
[++] [b]Переделан GUI[/b] - он стал поддерживать стили XP, вроде бы решились проблемы с копированием лога в буфер обмена
[+] Задание порога размера архива для проверки (по умолчанию - 10 МБ)
[+] Добавлена поддержка архивов формата GZIP и TAR
[+] Добавлена поддержка архивов MHT
[++] [b]Добавлена поддержка проверки писем электронной почты[/b] (EML, MSG и все производные от них, в частности вложенные письма, письма с альтернативными фрагментами и т.п.)
[+] Добавлена работа с INI файлами win.ini и System.ini для менеджера автозапуска
[++] [b]Эвристическое удаление файлов[/b]. Суть его состоит в том, что если в ходе лечения удалялись вредоносные файлы и включена эта опция, то производится автоматическое исследование системы, охратывающее классы, BHO, расширения IE и Explorer, все доступные AVZ виды автозапуска, Winlogon, SPI/LSP и т.п.
Все найденные ссылки на удаленный файл автоматически вычищаются с занесением в протокол информации о том, что конкретно и где было вычищено. Для этой чистки активно применяется движок микропрограмм лечения системы
[+] Вывод данных о безопасности процесса в анализаторе портов TCP/IP, если процесс опознан по базе
безопасных
----
В новой версии обновлена базы вирусов - добавлено около 430 новых "зверей", усовершенствован эвристик. Я провел работу над ложными срабатываниями и пополнил базу "правильных" файлов примерно на 3 тыс. образцов. У версии 3.65 в базе 15098 сигнатур, 1 нейропрофиль, 55 микропрограмм лечения, 289 микропрограммы эвристики, 5 микропрограмм восстановления настроек системы, 33802 подписей безопасных файлов

Только вот теперь я не вижу русских букв. Одни вопросики :( Хоть и стоит использовать русские фонты для не юникод программ :(

[QUOTE=Geser]Только вот теперь я не вижу русских букв. Одни вопросики :( Хоть и стоит использовать русские фонты для не юникод программ :([/QUOTE]
Это полохо - значит, я что-то перемудрил - сейчас попробую это воспроизвести у себя

Может всётаки вытащиш в ресурсы все надписи? Мы бы помогли перевести...

[QUOTE=Geser]Может всётаки вытащиш в ресурсы все надписи? Мы бы помогли перевести...[/QUOTE]
Я работаю над переводом ... вынести строки в ресурсы нереально, очень много строки собираются в динамике (несколько сотен). Сейчас я делаю переводчик, он почти готов - он по базе переводит фразы. Т.е. если, например, в AVZ встречается фраза "Сохранить протокол", то она певодится и перевод "Save log" один раз заносится в базы. И затем переводчик автоматом переведет ее во всех местах программы

Я сейчас запустил АВЗ и она нашла какой-то вирус, но удалять его нехочет, несмотря на то что галочку рядом с "выполнять лечение" я поставил. Может потому что это он в архиве?

[quote]C:\WINDOWS\webdlg32.cab/{CAB}/webdlg32.inf>>>>> Вирус !! AdvWare.ToolBar.SBSoft.g
C:\WINDOWS\webdlg32.cab/{CAB}/webdlg32.dll>>>>> Вирус !! AdvWare.ToolBar.SBSoft.g[/quote]
Да, в архиве. Надо найти сам архив (C:\WINDOWS\webdlg32.cab) и прибить.

[QUOTE=pig]Да, в архиве. Надо найти сам архив (C:\WINDOWS\webdlg32.cab) и прибить.[/QUOTE]

Найден и удалён

Кстати, в тему (в хелпе пока этого нет) - при обнаружении в архиве чего-то AVZ форматирует имя как .../{тип архива}/... Если архив содержит вложенные архивы, то в "пути" соответственно будет развернута вся цепочка. При этом если просмотреть список найденных вредоносных файлов, то туда попадет именно архив верхнего уровня - это позволяет при желании прибить его вручную.

И еще, как насчет опубликовать утилитку для создания файлов с сигнатурами что бы сисадмины могли быстро добавлять безопасные файлы?

И еще одна вещь нужна. Возможность писать в протокол все проверенные файлы с указанием находится файл в списке безопасных или нет. удобно когда присылают файлы на проверку быстро отсеять безопасные.

[QUOTE=Geser]И еще, как насчет опубликовать утилитку для создания файлов с сигнатурами что бы сисадмины могли быстро добавлять безопасные файлы?[/QUOTE]
Чисто технически это сделать можно, я нечто похожее как-то уже пробовал - но приведет это к тому, что по Инет начнут гулять "левые" базы "правильных" файлов. Плюс когда мне присылают чистые файлы для базы, то нередко в их рядах вылавливается 2-3 трояна (хотя присылает их сисадмин)... Хотя подумать об этом можно - я уже давно думаю о том, чтобы сделать нечто типа локального списка безопасных файлов (база открытого вида, в TXT или MD5 формате).

[QUOTE=Geser]И еще одна вещь нужна. Возможность писать в протокол все проверенные файлы с указанием находится файл в списке безопасных или нет. удобно когда присылают файлы на проверку быстро отсеять безопасные.[/QUOTE]
вот это нужно непременно нужно сделать - прямо сейчас немедленно и сделаю, а то забуду ... (я уже хотел такое сделать и забыл ... - именно для экспресс проверки присылаемых файлов, поскольку сейчас AVZ умеет проверять только один файл за раз ... что естественно неудобно. Только сразу вопрос - включить это в AVZ или сделать небольшую консолькую/GUI утилитку ? Напрашивается утилита ...

[QUOTE=Зайцев Олег]вот это нужно непременно нужно сделать - прямо сейчас немедленно и сделаю, а то забуду ... (я уже хотел такое сделать и забыл ... - именно для экспресс проверки присылаемых файлов, поскольку сейчас AVZ умеет проверять только один файл за раз ... что естественно неудобно. Только сразу вопрос - включить это в AVZ или сделать небольшую консолькую/GUI утилитку ? Напрашивается утилита ...[/QUOTE]
В идеале возможность добавления в контекстное меню правой кнопки :) Если нет, то типа утилитки

Добрый день!

1. MD5 таки нет еще на сайте с avz.
2. Сканировали машину с опцией проверять архивы.... при включенном мониторе drweb. Drweb ругнулся на файл avz992_1.tmp размещенный в папке ...documents and settings\...\local settings\temp. (файл вам отправил, это из семейства Istbar-ов (Trojan-Downloader.Win32.IstBar.ki)
Эффект распаковки зараженного архива?

[QUOTE=santy]Добрый день!

1. MD5 таки нет еще на сайте с avz.
2. Сканировали машину с опцией проверять архивы.... при включенном мониторе drweb. Drweb ругнулся на файл avz992_1.tmp размещенный в папке ...documents and settings\...\local settings\temp. (файл вам отправил, это из семейства Istbar-ов (Trojan-Downloader.Win32.IstBar.ki)
Эффект распаковки зараженного архива?[/QUOTE]
1. MD5 нет, моя вина, сегодня положу ...
2. Да, avz992_1.tmp - это файлы, порождаемые при распаковке. avz - префикс имени, 992 - PID процесса AVZ, _1 - уровень вложения - в случае вложенного архива будет 2 и т.п. Значит, монитор учуял вынутый из архива файл и сработал ... это нормально, и AVZ не боится ситуации, связанной с тем, что монитор удалит или заблокирует доступ к такому временному файлу.

taze baida znaki voprosov krugom , chto delat?

[QUOTE=vegass]taze baida znaki voprosov krugom , chto delat?[/QUOTE]
Пока идет поиск пути решения - выходом станет версия, нормально работающая в Unicode или англоязычный вариант. Прочто я пока не могу воспроизвести у себя эту ситуацию (все системы, имеющиеся под рукой, такому багу не подвержены. К примеру, у меня на W-2003 Server в региональных настройках для not-Unicode программ стоит Russian и отображение русских букв идет нормально).
[B]to santy[/B]
Я поместил MD5 сумму (после описания версии)

У меня что на русской что на английской WinXP SP2 тоже с русским все в норме.

[QUOTE=Geser]И еще одна вещь нужна. Возможность писать в протокол все проверенные файлы с указанием находится файл в списке безопасных или нет. удобно когда присылают файлы на проверку быстро отсеять безопасные.[/QUOTE]

Для админов,безусловно,удобно.А персональщикам оно не всегда и надо. За отдельную утиль! Кому надо- сольют.

[QUOTE=Гость]Для админов,безусловно,удобно.А персональщикам оно не всегда и надо. За отдельную утиль! Кому надо- сольют.[/QUOTE]
Так и поступим ...
Доступна версия 3.65.02 - в ней вроде-бы решена проблема с отображением ресских букв в англоязычных операционках. Плюс пойман баг с подвисанием AVZ в ходе сканирования многотомных CAB архивов.

А проверка MIME так и не работает (см. тестовые письма)
пароль на архив: virus

P.S. То администратор: добавьте возможность загружать вложения с расширением rar. Thanks a lot...

При проверке, когда окно сворачивается в трей, неплохо было бы чтоб при наведении курсора показывался индикатор прогресса.

[QUOTE=anton_dr]При проверке, когда окно сворачивается в трей, неплохо было бы чтоб при наведении курсора показывался индикатор прогресса.[/QUOTE]
Логично, сейчас приделаю к иконке в трее Hint с информацией и менюшку.
[B]to Dandy [/B]
За образцы спасибо, как оказалось, собака зарыта не в анализаторе MIME, а гораздо выше - в анализаторе типа файла. Дело в том, что AVZ определяет тип по содержимому файла, у EML файла как правило первой строкой идет "Return-Path:" или "From:", а в данном случае - "Date:". Я сейчас подкручу анализатор и все будет работать как надо.

То Олег:
Олег, Вы мое письмо по поводу eml, msg, tnef не получали?! :?
там их было даже два...

[QUOTE=Dandy]То Олег:
Олег, Вы мое письмо по поводу eml, msg, tnef не получали?! :?
там их было даже два...[/QUOTE]
Нет - если можно, повторите на [email][email protected][/email] ...
Кстати, в одном из писем-образцов еще одна штука поймалась - анализатор AVZ как-то криво X-UUE отрабатывает (тип определяет, но в раскодированном варианте "зверя" не видит)

[QUOTE=Dandy]

P.S. То администратор: добавьте возможность загружать вложения с расширением rar. Thanks a lot...[/QUOTE]
Dobavil

[B] Олег[/B]
Выслал Вам AdWare MyWebSearch

[QUOTE=Grey][B] Олег[/B]
Выслал Вам AdWare MyWebSearch[/QUOTE]
Спасибо, сейчас загоню его в базы ...

Чего пока не умеет AVZ по сравнению с hijackthis ? Или уже покрывает как бык овцу :)

Олег, в отчет "Исследование системы" в некоторых случаях попадают файлы, известные AVZ как безопасные (см. фрагмент лога), хотя стоит галка исключать их из протокола.
Например, [B]spidernt.exe[/B] (известный AVZ как безопасный) в "Службах" и "Автозапуске" закрашен как небезопасный, хотя файл один и тот же, но AVZ почему-то его не опознает.
Кстати, в "Автозапуске" часто не "опознаются" безопасные файлы, запускаемые с ключами или без расширений (например, [B]C:\WINDOWS\system32\dumprep 0 -k[/B]).

[QUOTE=userr]Чего пока не умеет AVZ по сравнению с hijackthis ? Или уже покрывает как бык овцу :)[/QUOTE]
Да вроде уже всё умеет

При сканировании архивов в логе постоянно появляются строки вида:
[INDENT]...
C:\DOCUME~1\86C2~1\LOCALS~1\Temp\avz_1744_1.tmp Invalid file - not a PKZip file
D:\Soft\Other\2002\Office XP\FILES\OSP\1049\IE5\RU\VMX86_01.CAB Access violation at address 00402680 in module 'avz.exe'. Read of address 01593C48
D:\Software\bigle3d.zip Cannot create file "C:\DOCUME~1\86C2~1\LOCALS~1\Temp\avz_1744_10.tmp". Процесс не может получить доступ к файлу, так как этот файл занят другим процессом
D:\Software\Fonts\Fontog35.zip Cannot create file "C:\DOCUME~1\86C2~1\LOCALS~1\Temp\avz_1744_10.tmp". Процесс не может получить доступ к файлу, так как этот файл занят другим процессом
...[/INDENT]
Причем последних строк очень много, меняются только название архивов, а временный файл, который не может создать AVZ, в текущем сеансе везде один.
Антивирусный монитор отключен, что мешает AVZ создать временный файл?

[U]Выводы:[/U]
Опытным путем удалось выяснить, что сбой происходит при проверке архива VMX86_01.CAB (Access violation at address 00402680 in module 'avz.exe') и последующие архивы перестают проверяться, т.к. AVZ не может создать временный файл (avz_1744_10.tmp), который сам уже создал ранее при проверке VMX86_01.CAB и продолжает его использовать до выхода из AVZ!

AVZ 3.65.02 TE ZE SAMQE GLUKI S KODIROVKOI NA ENGL VINDE RANSHE TAKGOO NE BQLO V VINDE PODERZKA RUSKIH SHRIFTOV VKLU4ENA,, GDE BQ SKA4AT PREZNIE RABO4IE VERSII?NA SAITE IH UZE NET DLA SKA4KI

О, я смотрю появился version.txt. Это хорошая идея :)

[QUOTE=Geser]Да вроде уже всё умеет[/QUOTE]
может, тогда изменить рекомендации к разделу "Помогите", убрав [b]hijackthis[/b]? Юзерам проще иметь дело с одной программой

[QUOTE=userr]может, тогда изменить рекомендации к разделу "Помогите", убрав [b]hijackthis[/b]? Юзерам проще иметь дело с одной программой[/QUOTE]
Пока что для контроля hijackthis оставим, но один лог, а второй будет от АВЗ. Вдруг АВЗ чего-то не знает. Вечером подредактирую инструкцию.

[QUOTE=Geser]О, я смотрю появился version.txt. Это хорошая идея :)[/QUOTE]
Это у меня склерозная книжка :) Чтобы знать, что в какой версии менялось - я теперь такой файлик во все версии буду помещать, с описанием, что и где поменялось.
to Denz
[QUOTE]Выводы:[/B][B]Опытным путем удалось выяснить, что сбой происходит при проверке архива VMX86_01.CAB (Access violation at address 00402680 in module 'avz.exe') и последующие архивы перестают проверяться, т.к. AVZ не может создать временный файл (avz_1744_10.tmp), который сам уже создал ранее при проверке VMX86_01.CAB и продолжает его использовать до выхода из AVZ![/QUOTE]
Судя по всему этот VMX86_01.CAB многотомный ... баг понятен, исправляю

[QUOTE]Пока что для контроля hijackthis оставим, но один лог, а второй будет от АВЗ. Вдруг АВЗ чего-то не знает. Вечером подредактирую инструкцию.[/QUOTE]
Совершенно верно, убирать лог Hijack нельзя ... у него есть свои плюсы и есть шанс, что Hijack поймает что-то, чего не ловит AVZ (а в исследовании системы нет пока данных про файл Hosts и еще нескольких моментов - но они скоро появятся)

proinformiruyte plz kak gluk s nadpisami v avz budet ispravlen,a to se4as odni ???????????????????? znaki voprosov

[QUOTE=vegass]proinformiruyte plz kak gluk s nadpisami v avz budet ispravlen,a to se4as odni ???????????????????? znaki voprosov[/QUOTE]
Версия 3.65.02 проходила тестирование на англоязычных системах - все работает. Возможно, что-то некорретное на самом ПК ?