Я за пост номер 399 ;)
Олег, на эти 2 опции стоит потратить время ;-)
Printable View
Я за пост номер 399 ;)
Олег, на эти 2 опции стоит потратить время ;-)
[QUOTE=Зайцев Олег;120590]Для определенности начинаем приватные тесты альфы AVZ 4.26 завтра, в закрытом разделе ...[/QUOTE]
Олег, не забудь, пожалуйста, про отладочную печать для выявления бага с "почернением" безопасных файлов в режиме AVZGuard.
[QUOTE=aintrust;120820]Олег, не забудь, пожалуйста, про отладочную печать для выявления бага с "почернением" безопасных файлов в режиме AVZGuard.[/QUOTE]
Уже поздно - полчаса назад тестовая версия положена в приватный раздел. Но я пересоберу ее с добавленных отладочным логом и пришлю ...
[QUOTE=Зайцев Олег;120825]Но я пересоберу ее с добавленных отладочным логом и пришлю ...[/QUOTE]
Да-да, т.к. бета 4.26 подвержена аналогичной "болезни"...
Господа, мне в последнее время просто везет на новых зверей. Сегодня наткнулся на интересный случай, я бы даже сказал на очень интересный. Аналогичная фигня рассмотрена здесь:
[url]http://virusinfo.info/showthread.php?p=121596[/url]
Итак, что мы имеем:
по адресу [B]C:\WINDOWS\system32\simp_dll.dll[/B] лежит библиотека, инжектящаяся в (зеленый в логе) svchost.exe. Детектится библиотека как NOD32v2 2389 07.10.2007 Win32/Spabot.NAH (последние три буквы очень символичны :) )
Библиотека залочена и проверяется только прямым чтением. ЕЕ можно удалить файловым монитором НОДА и она до перезагрузки не появляется вновь, т.е. исчезает визуально из папки.
Идем далее. При проверке системы сканером по требованию (или файловым монитором при наведении мышью и выделении файла) в C:\WINDOWS\temp всплывают еще 2 NAH'а с расширением *.tmp, которые тоже детектятся антивирусом . Один из них удаляется и не появляется более, а второй удаляется и тут же появляется с другим именем, снова удаляется и снова появляется, и т.д.
Глядя на эту вакханалию, сразу хочется ее прекратить через AVZ Guard, но не тут то было! Предварительно снимаем хуки (которых не видно) антируткитом, вырубаем НОД, включаем Guard, удаляем через отложенное удаление регенирирующийся *.tmp, а он-гад снова появляется, несмотря на включенный avz_guard!!! Наступает первая стадия удивления.
Вторая стадия приходит, когда мы пишем скрипт вида:
[QUOTE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
BC_DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
DeleteFile('C:\WINDOWS\temp\*.tmp');
BC_DeleteFile('C:\WINDOWS\temp\*.tmp');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/QUOTE]
и после его выполнения видим все на своих местах, а также не видим линков на автозапуск *.tmp и C:\WINDOWS\system32\simp_dll.dll в менеджере автозапуска.
Хочу заметить, что восстановление системы отключено заранее.
Avenger'ом пробовал делать аналогичное удаление - эффект тот же, т.е. нулевой. Я в растерянности....
Клиенту пообещал, что если до завтрашнего вечера решение не найду, будем сносить винду (она со вторым SP...)
Идеи?
Если нужен лог, то он есть, правда чуть разбавлен Jeefo'й.
Давайте лог...
Лучше всего после вот такого скрипта:
[CODE]begin
ExecuteAVUpdate;
if true then
AddToLog('[Log][OK]=====>>> AV Update -> Done!')
else
AddToLog('[Log][Error]=====>>> AV Update -> Error!');
SetupAVZ('UseQuarantine=Y');
SetupAVZ('SCANDRIVE=HDD');
SetupAVZ('ScanAllFiles=Y');
SetupAVZ('CheckArchives=Y');
SetupAVZ('EvLevel=3');
SetupAVZ('ExtEvCheck=Y');
AddToLog('[Log][Info]=====>>> AVZ SetUp -> Done!');
SearchRootkit(true, true);
AddToLog('[Log][Info]=====>>> AVZ Anti-Rootkit -> Done!');
RunScan;
AddToLog('[Log][Info]=====>>> AVZ Scan -> Done!');
ExecuteSysCheck(GetAVZDirectory + 'ext_syscheck.zip');
AddToLog('[Log][Info]=====>>> AVZ Syscheck -> Done!');
CreateQurantineArchive(GetAVZDirectory + 'ext_qurantine.zip');
if true then
begin
AddToLog('[Log][OK] =====>>> AVZ QrArchive -> OK');
RebootWindows(false);
end
else
begin
AddToLog('[Log][Error] =====>>> AVZ QrArchive -> Error');
AddToLog('[Log][Info] =====>>> AVZ -> Try to run this script in SafeMode.');
SetAVZGuardStatus(false);
AddToLog('[Log][Info] =====>>> AVZ -> AVZ Guard OFF');
ExitAVZ;
end;
end.[/CODE]
Нужны файлы [B]ext_syscheck.zip[/B] и [B]ext_qurantine.zip[/B].
После бета-тестирования выпущен редактор скриптов AVZ. Страница описания и загрузки - [URL]http://z-oleg.com/secur/avz/avz_se.php[/URL], документация - [URL]http://z-oleg.com/secur/avz_se_doc/[/URL]
Олег, у меня вопрос по комманде BC_QrSvc
В примере аргументом является название сервиса. Можно ли в качестве аргумента указывать имя файла сервиса или драйвера?
[QUOTE=Geser;121912]Олег, у меня вопрос по комманде BC_QrSvc
В примере аргументом является название сервиса. Можно ли в качестве аргумента указывать имя файла сервиса или драйвера?[/QUOTE]
Нет - такое не поддерживается - BC_QrSvc ищет в реестре ключ с указанным именем в разделе регистрации служб и драйверов. Для карантина файла можно применить BC_QrFile(' '); - карантин файла по имени. Но он сработает только в случае указания полного имени файла.
Олег! В этой теме в конце лога есть подозрение вполне оправданное на ip6fw.sys, но в модулях ядра его не видно :(
[url]http://virusinfo.info/showthread.php?t=10925[/url]
В чем тут проблема?
Хотелось бы ещё услышать комментарий по поводу детекта или определения пакера.
[size="1"][color="#666686"][B]Добавлено через 2 часа 38 минут[/B][/color][/size]
Можно AVZ запустить с диска, сделанным в PE Builder? С помощью ревизора можно не плохо искать руткиты.
[QUOTE=Maxim;121991]Хотелось бы ещё услышать комментарий по поводу детекта или определения пакера.
[size="1"][color="#666686"][B]Добавлено через 2 часа 38 минут[/B][/color][/size]
Можно AVZ запустить с диска, сделанным в PE Builder? С помощью ревизора можно не плохо искать руткиты.[/QUOTE]
По поводу пакеров - для запущенных процессов есть эвристический поиск пакера, чаще всего он угадывает. Детект пакера по сигнатуре возможен, но это замедление сканирования, причем ощутимое. Компромисное решение - можно делать такую проверку для всех файлов, попавших в исследование системы. Но тогда возникает вопрос - кто будет выиискивать пакеры разных версий и брать сигнатуры ? Сигнатуру положим я могу взять, но для этого нужно упаковать 2-3 "дрозофилы" (скажем блокнот и regedit) каждым из пакеров, причем повторить эту операцию в разных режимах пакера.
Запустить AVZ с диска PE Builder можно, я видел реализации подобных дисков с AVZ на борту.
[QUOTE='Зайцев Олег;122043']Сигнатуру положим я могу взять, но для этого нужно упаковать 2-3 "дрозофилы" (скажем блокнот и regedit) каждым из пакеров, причем повторить эту операцию в разных режимах пакера. [/QUOTE]То есть, точного результата все равно не будет? Искать пакер во всех файлах на диске конечно не зачем. Другое дело отдельный файл. Скачал из сети какой-нибудь кейген, проверил антивирусом и AVZ. Предположим антивирус ни чего не нашел, а AVZ определил чем упакован файл и тенденцию использования этого пакера в malware.
[QUOTE='Зайцев Олег;122043']Запустить AVZ с диска PE Builder можно, я видел реализации подобных дисков с AVZ на борту.[/QUOTE]А как это сделать? Можете рассказать в "Чаво"? При подозрении на неуловимый руткит в самый раз.
[QUOTE='Maxim;122047']То есть, точного результата все равно не будет? Искать пакер во всех файлах на диске конечно не зачем. Другое дело отдельный файл. Скачал из сети какой-нибудь кейген, проверил антивирусом и AVZ. Предположим антивирус ни чего не нашел, а AVZ определил чем упакован файл и тенденцию использования этого пакера в malware.[/QUOTE]
Точный результат и детект будет, но:
1. Существует туча пакеров и их разновидностей (т.е. для более-менее нормального детекта нужна база на 200-500 сигнатур минимум)
2. Существуют обфускаторы, задача которых - покорежить код распаковщика настолько, чтобы его не узнали антивирусы и прочие анализаторы
3. Множество пакеров применяется как для упаковки полезных программ, так и для зловредов (самый распространенный пример - UPX). Т.е. судить о зловредности файла по его упаковщику - нехорошо. Самый распространенный пример - альтернативная обновлялка баз для DrWEB, на нее AVZ постоянно ругается. Причина - пакер, причем нарушающий формат PE файла ... а программа эта сама по себе не опасна.
Теперь понял бесполезность задумки. А что по PE Builder?
Ссылка на подробную инструкцию изготовления была бы кстати, я как раз решил заняться изготовлением диска с кис 7 ;)
[QUOTE=Muffler;121867]Давайте лог... [/QUOTE]
Глядя на то как развивались события, в итоге все сделал аналогично тому, как в ВЫ в той теме в "Помогите" отписались. Действительно, все дело было в пропатченном [B]ntoskrnl.exe[/B]... Лог очень похож (разве что менее насыщенный), поэтому цеплять его не буду. Век живи - век учись! Теперь буду с большей осторожностью относиться к незеленым системным файлам в отчете.
Другое дело, что когда подсунул винде здоровый ntoskrnl.exe, та начала зависать при запуске. Пришлось стартануть в last good configuration, затем прогрузиться в безопасном режиме и только после этого система начала загружаться в нормальном режиме. После всего в отчет при проверке по базе безопасных ntoskrnl.exe попадать перестал.
Сорри за оффтоп и спасибо за подсказку!
Детект зверя в ntoskrnl.exe
[QUOTE]File avz00002.dta received on 07.11.2007 21:00:35 (CET)
Current status: finished
Print results Antivirus Versiуn Last Update Result
AhnLab-V3 2007.7.11.1 20070711 no virus found
AntiVir 7.4.0.39 20070711 no virus found
Authentium 4.93.8 20070710 no virus found
Avast 4.7.997.0 20070711 no virus found
AVG 7.5.0.476 20070711 no virus found
BitDefender 7.2 20070711 no virus found
CAT-QuickHeal 9.00 20070711 no virus found
ClamAV devel-20070416 20070711 no virus found
DrWeb 4.33 20070711 no virus found
[B]eSafe 7.0.15.0 20070710 Suspicious Trojan/Worm[/B]
eTrust-Vet 30.8.3779 20070711 no virus found
Ewido 4.0 20070711 no virus found
FileAdvisor 1 20070711 no virus found
Fortinet 2.91.0.0 20070711 no virus found
F-Prot 4.3.2.48 20070710 no virus found
Ikarus T3.1.1.8 20070711 no virus found
Kaspersky 4.0.2.24 20070711 no virus found
McAfee 5072 20070711 no virus found
Microsoft 1.2704 20070711 no virus found
NOD32v2 2393 20070711 no virus found
Norman 5.80.02 20070711 no virus found
Panda 9.0.0.4 20070711 no virus found
Sophos 4.19.0 20070706 no virus found
[B]Sunbelt 2.2.907.0 20070711 VIPRE.Suspicious[/B]
Symantec 10 20070711 no virus found
TheHacker 6.1.6.144 20070709 no virus found
VBA32 3.12.0.2 20070710 no virus found
VirusBuster 4.3.23:9 20070711 no virus found
[B]Webwasher-Gateway 6.0.1 20070711 Win32.Malware.gen!90 (suspicious)[/B]
Aditional information
File size: 2283008 bytes
MD5: b4779402ab349a8581e20da6b30de774
SHA1: 1f7451cce855a72a23ea8457a534a64003ffaf67
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.[/QUOTE]
Касперский его будет детектить после апдейта баз.
[QUOTE='drongo;122080']Ссылка на подробную инструкцию изготовления была бы кстати, я как раз решил заняться изготовлением диска с кис 7[/QUOTE]KIS 7 это хорошо, но говорю о возможности создания такого диска с AVZ...
@Олег
Можно такое использовать?
DeleteFile('C:\WINDOWS\temp\*.tmp');
Есть мнение, что удаление по маске не работает.
Загрузочный диск с AVZ был бы очень кстати [url]http://forum.kaspersky.com/index.php?showtopic=43184[/url]
[B]PavelA[/B], я использую DeleteFile('C:\WINDOWS\temp\*.*');
Вроде работает.
[quote=Maxim;122187]KIS 7 это хорошо, но говорю о возможности создания такого диска с AVZ...[/quote]
и я об этом, просто хочу один диск сделать, зачем мне несколько дисков тратить ;)
[QUOTE='Maxim;122272']PavelA, я использую DeleteFile('C:\WINDOWS\temp\*.*');
Вроде работает.[/QUOTE]
Функция DeleteFile убивает файл по его полному имени. Маски не поддерживают.
Предлагаю дополнение к скрипрам сбора информации.
Поиск на всех дисках файлов Autorun.inf анализ и выдача предупреждений при попытке запустить через них исполняемые файлы
[quote=Geser;123052]Предлагаю дополнение к скрипрам сбора информации.
Поиск на всех дисках файлов Autorun.inf анализ и выдача предупреждений при попытке запустить через них исполняемые файлы[/quote]
Эвристик AVZ уже это делает.
[quote]7. Эвристичеcкая проверка системы
>>> D:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
Проверка завершена[/quote]
[QUOTE=Muffler;123062]Эвристик AVZ уже это делает.[/QUOTE]
Дополню - 4.26, тесты которого вроде идут к завершению, еще и копается внутри такого INF файла и прослеживает, что конкретный autorun.inf пытается запускать и откуда. Это дает возможность выполнить автокарантин и предметно поругаться в логе
@Олег AVZ часто помещает в карантин msi-файлы многомегабайтные.
Очень затрудительно скачивать 10Мб. Как бы это дело уменьшить.
[QUOTE]Дополню - 4.26, тесты которого вроде идут к завершению, еще и копается внутри такого INF файла и прослеживает, что конкретный autorun.inf пытается запускать и откуда. Это дает возможность выполнить автокарантин и предметно поругаться в логе[/QUOTE]
А вот это отлично
Недавно как раз с таким столкнулся
В офисе на небольшой сетке куча такого, пока повычищал, 2 вечера убил
[QUOTE=Зайцев Олег;123063]Дополню - 4.26, тесты которого вроде идут к завершению[/QUOTE]
Ага, может форсируешь выпуск версии 4.26, пока сидишь дома в мини-отпуске? =) И, надеюсь, ошибка с "почернением" файлов в режиме AVZGuard там будет исправлена?
Можно сделать, чтобы обновления баз давались только последнему билду?
[QUOTE=Maxim;123453]Можно сделать, чтобы обновления баз давались только последнему билду?[/QUOTE]
Можно - но из за обновления баз и закачки AVZ получается постоянная DDoS ситуация моего сайта. Если включить блокировку, все вообще ляжет ...
Может подумать о смене хостера?
А хостинг то здесь причем?
Ну может не хватает толщины канала...
[QUOTE=Maxim;123507]Ну может не хватает толщины канала...[/QUOTE]
Любой канал и сервер имеют пределы ... Единственный выход - размазать зеркало файлов по куче серверов
[QUOTE=Maxim;123453]Можно сделать, чтобы обновления баз давались только последнему билду?[/QUOTE]
и еще бы сообщенье, если вышла новая версия
По любому нужно что-то придумать. Слишком многие ленятся проверять обновление билда.
[size="1"][color="#666686"][B]Добавлено через 3 часа 28 минут[/B][/color][/size]
Есть ещё одно предложение - убрать разделение карантина на даты. Пример из практики. Обращается человек на форум около полуночи. Пока появятся хелперы, напишут скрипт... Карантин полученый во время сбора логов остается в папке за вчерашний день. После выполнения скрипта от хелпера появляется ещё один карантин в папке за сегодняшнее число.
[QUOTE=Maxim;123602]
Есть ещё одно предложение - убрать разделение карантина на даты. [/QUOTE]
Да, это было бы полезно. А то карантин перезаписывается и и экспонаты теряются, когда за один день со своей флешки пролечиваешь несколько компов сразу.
[QUOTE=Зайцев Олег;123555]Любой канал и сервер имеют пределы ... Единственный выход - размазать зеркало файлов по куче серверов[/QUOTE]
Ты же вроде выкладывал на рапидшару?
[quote=Зайцев Олег;123555]Любой канал и сервер имеют пределы ... Единственный выход - размазать зеркало файлов по куче серверов[/quote]
Есть второй выход - замерить отдельно трафик на скачивание файлов, на Update AVZ и на чтение документации. Что-то мне кажется, что чтение док должно дать больший трафик, чем закачка файлов...