AVZ 4.27

[QUOTE='Зайцев Олег;130460']Если он ничего шпионского в систему не устанавливает, и крутит рекламу / собирает данные о загруженные файлах только в рамках своего процесса - то его классификация в качестве spyware спорная. А вот если вылезет за пределы - другое дело.[/QUOTE]В настройках программы это не отключается и пользователя ни кто не предупреждает.
[QUOTE='Зайцев Олег;130460']и его можно очень просто отключить небольшим хакерским приемом[/QUOTE]Шаманство с HOST? :)

[QUOTE='Maxim;130457']А как же будет запускаться Касперской? Или я чего-то не понимаю? [/QUOTE]
А какая взаимосвязь между запуском файлов autorun.inf и KAV ?!

F:\WINNT\Downloaded Program Files\popcaploader.dll >>>>> Downloader.PopCapLoader удаление запрещено настройкой
7. Эвристичеcкая проверка системы
>>> F:\WINNT\Downloaded Program Files\popcaploader.dll ЭПС: подозрение на Downloader.PopCapLoader (высокая степень вероятности)

Гм, какое тут подозрение, если AVZ его ЯВНО распознал? :)

Но я сам понимаю, что придираюсь,ибо эти блоки программы между собой мало связаны..

[quote=Maxim;130462]В настройках программы это не отключается и пользователя ни кто не предупреждает.
Шаманство с HOST? :)[/quote]
И не только. Любой продвинутый Firewall позволяет отфильтровать обмен с заданным хостом, а статистика идет на четко известный статический адрес. Кроме того, он или в настройках хранится, или в EXE файле - можно немножко подправить и все :)

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[quote=Jef239;130464]F:\WINNT\Downloaded Program Files\popcaploader.dll >>>>> Downloader.PopCapLoader удаление запрещено настройкой
7. Эвристичеcкая проверка системы
>>> F:\WINNT\Downloaded Program Files\popcaploader.dll ЭПС: подозрение на Downloader.PopCapLoader (высокая степень вероятности)

Гм, какое тут подозрение, если AVZ его ЯВНО распознал? :)

Но я сам понимаю, что придираюсь,ибо эти блоки программы между собой мало связаны..[/quote]
Совершенно верно - в первом случае идет сигнатурный детект, во втором - анализ ЭПС. Это две независимые системы (т.е. можно отрубить ЭПС и оставить файловый сканер и наоборот), отсюда и дублирование. Со временем я думаю совместить это как-то (например, в ЭПС приделать проверку по базе зверей или наоборот, блокировать для ЭПС файлы, которые уже продетектились сигнатурным сканером). Аналогичное дублирование кстати будет в случае перехват+ЭПС, подозрение+ЭПС

[QUOTE='Зайцев Олег;130463']А какая взаимосвязь между запуском файлов autorun.inf и KAV ?![/QUOTE]Мы же говорим об автозапуске? KAV автоматом стартует с Windows...

[quote=Зайцев Олег;130460]с RICHED20.dll странно, нужно проверить. [/quote]

В списке внедрённых dll он чёрный. Видимо потому. что у меня win2k, а не XP.

[quote]С локальной базой подумаю, в принципе можно и привернуть.[/quote]

А вот это ОЧЕНЬ хочется. Потому как процесс с присылкой чистых идёт МЕДЛЕННО. Запоминать, кто там старый чистый, а кто новый подозрительный - лень. А вот выделить ОДИН РАЗ всех старых чистых - вполне можно. А потом уже каждый "не зелёный" становится подозрительным ВТРОЙНЕ.

[quote=Maxim;130468]Мы же говорим об автозапуске? KAV автоматом стартует с Windows...[/quote]
Мы говорим об "Автозапуске с CDROM", т.е. обработке файлов autorun.inf на дисках. Это с другими видами автозапуска совершенно никаким образом не связано

[QUOTE='Зайцев Олег;130471']Мы говорим об "Автозапуске с CDROM"[/QUOTE]Тогда причём диск C? Это HDD...

переложите плиз прогу на другой файлоотстойник.
rapidshare.ru перегружен наглухо !!! дошло до 40 % и повисло

[quote=Maxim;130473]Тогда причём диск C? Это HDD...[/quote]
А вот системе до этого не всегда есть дело. И зловреды этим пользуются (причем HDD еще не мобилен особенно, а вот флешка - мобильна и является отличным транспортом). Ближайший пример с autorun.inf: [URL]http://forum.kaspersky.com/index.php?showtopic=26907&st=40[/URL], у нас тут "слушались дела" с его наличием в корне HDD

Так как отключить автозапуск, чтобы не задеть Касперского?

[quote=Maxim;130480]Так как отключить автозапуск, чтобы не задеть Касперского?[/quote]
Блокировать автозапуск с CD + c жестких дисков. именно автозапуск в плане autorun.inf - и это никого не затронет

* Очень здорово, что в новой версии в "ПРосмотр протокола" всякие klif.sys-ы пишутся только ОДИН раз. Респект!
* В справке нет описания "Поиск потенциальных уязвимостей". Например, пишет ">>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX". В "Свойствах обозревателя" ActiveX отключен во всех пунктах. А как отключить это? Может, нужна возможность отключения данных уязвимостей из окна AVZ?

[quote=mayas;130475]переложите плиз прогу на другой файлоотстойник.
rapidshare.ru перегружен наглухо !!! дошло до 40 % и повисло[/quote]
[url]http://slil.ru/24796770[/url]

Олег
посмотри этот топик пожалуйста: чего-то он безопасные файлы в карантин кидает?
[url]http://virusinfo.info/showpost.php?p=130470&postcount=9[/url]

[QUOTE='Зайцев Олег;130481']Блокировать автозапуск с CD + c жестких дисков. именно автозапуск в плане autorun.inf - и это никого не затронет[/QUOTE]Как это сделать?

Олег, не забудь пожалуйста изменить на своём сайте в правом верхнем углу данные версии, там до сих пор 4.25.

Поставил, из интересного :)
[QUOTE]>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
>> Безопасность: разрешен автоматический вход в систему[/QUOTE]

Поподробнее можно по каждому пункту ? :)
Кстати удалённый помошник отключён как служба, непонятно откуда она это взяла.

[QUOTE=Maxim;130491]Как это сделать?[/QUOTE]
У тебя утилита была. С помощью ее или новыми командами AVZ.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=Surfer;130502]
Поподробнее можно по каждому пункту ? :)
Кстати удалённый помошник отключён как служба, непонятно откуда она это взяла.[/QUOTE]
Олег обещал чуть позже это сделать.

P.S. [URL="http://ifolder.ru/3171071"]Список служб в Windows XP[/URL]

А кто подскажет, как в висте отключить планировщик?

[QUOTE][B]>> разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)[/B]
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя[/QUOTE]

Через консоль управления службами не выходит, т.к. нужные поля по изменению типа запуска или по остановке сервиса попросту неактивны.

UPD: сам догадался. Autoruns Русиновича выручила ;)

Олег, а проблемы с серверными ОС в новой версии решены?
Если нет, то хорошо бы, что бы проблемные места автоматом блокировались, при запуске под этими ОСями.

[QUOTE=Зайцев Олег;130381]Нет - это из-за "эвристики", основанной на поиске констант в теле файла, лидер тут NOD32 :( Реагируют они обычно на имена ключей реестра для экзотического автозапуска - я как раз добавил десяток, вот и результат.[/QUOTE]

Добрый день!

Олег, может быть, имеет смысл тебе включиться в общение с Eset, чтобы избежать конфликта настоящего, и в будущем? Пока, проблема решается внесением папки \AVZ в список исключений монитора AMON. Но кто знает, как в дальнейшем "уживутся" на одной системе NOD32 и AVZ.
---
кстати, надо ли удалять драйверы AVZPM предыдущей 4.25 версии?
---
Олег, что это может значить:

Функция NtBuildNumber (8046CCDC) - модификация машинного кода.

Метод не определен., внедрение с байта 4
(Скан в новой версии 4.27; Win2000, SP4)

При закачке последней версии программы, NOD32 находит в ней троян Genetick.

[QUOTE=';130572']При закачке последней версии программы, NOD32 находит в ней троян Genetick.[/QUOTE]

А всю тему прочитать слабо?

Локальную базу чистых файлов прикручивать _нельзя_!
Это будет большая дыра, т.к. программы не только качаются с офсайта, но и распространяются офлайново - на флэшках, компашках и т.д. И вот, человек с большой офлайновой базой, допустим, админ, юзающий АВЗ на работе в своей сети - в базу забита куча приложений для удаленного управления, приходит к кому-то лечить машинку. Лечит. Пользователь просит скопировать ему эту мега-программу, которая все вылечит и всех спасет. И сам начинает таскать АВЗ на флэшке. А потом выкладывает на фтп в своей локалке, откуда АВЗ вменсте с базой качает еще 500 человек...

[QUOTE='SuperBrat;130508']У тебя утилита была. С помощью ее или новыми командами AVZ.[/QUOTE]Ты имеешь ввиду Powertoys for Windows XP? В справке AVZ я не нашел описание новых команд.

[QUOTE='aldares;130575'] потом выкладывает на фтп в своей локалке, откуда АВЗ вменсте с базой качает еще 500 человек...[/QUOTE]
Вот именно это и удерживает меня от создания таких фич, как локальные базы зверей и чистых. Даже лпытный админ может считать что-то чистым, а оно например будет зверем...

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[quote=Maxim;130580]Ты имеешь ввиду Powertoys for Windows XP? В справке AVZ я не нашел описание новых команд.[/quote]
А их там и нет - модификации настроек сводятся в основном к правке реестра, а команды для этого в скрипт-языке есть от рождения. Если после скана сделать исследование, то в логе будут ссылоски для автогенерации скрипта, меняющего настройки.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

[QUOTE='santy;130570']Олег, может быть, имеет смысл тебе включиться в общение с Eset, чтобы избежать конфликта настоящего, и в будущем? [/QUOTE]
Вопрос только в том, как это сделать ? Я вежливо написал им о существующей проблеме, письмо гарантировано дошло, и тишина. Вот текст моего письма:
[code]
Добрый день !

Ваш антивирус детектирует и удаляет исполняемый файл антивирусной
утилиты AVZ версии 4.27 (детектируется как probably a variant of Win32
/Genetik).
Просьба исправить базу для устранения детекта.
Адрес страницы загрузки - http://www.z-oleg.com/secur/avz/download.php,
прямой URL загрузки - http://z-oleg.com/avz4.zip.

С уважением,
Зайцев Олег
[/code]
писал я на [email][email protected][/email] с ящика @kaspersky.com.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[quote=santy;130570]
кстати, надо ли удалять драйверы AVZPM предыдущей 4.25 версии?
[/quote]
Не обязательно, но очень желательно. В стандартных скриптах (Файл\Стандартные скрипты) есть скрипт для зачистки всего, что AVZ устанавливает в систему - можно его прогнать и перезагрузиться.
[quote=santy;130570]
Олег, что это может значить:
Функция NtBuildNumber (8046CCDC) - модификация машинного кода.
Метод не определен., внедрение с байта 4
(Скан в новой версии 4.27; Win2000, SP4)[/quote]
Попробуйте посканировать сегодня после обеда, предварительно обновив базы - это сообщение должно исчезнуть

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[quote=Arhimed;130567]Олег, а проблемы с серверными ОС в новой версии решены?
Если нет, то хорошо бы, что бы проблемные места автоматом блокировались, при запуске под этими ОСями.[/quote]
Проблема решена:
1. В логе пишется о том, что AVZ запущен из консольной сессии
2. Исправление SPI/LSP сначала делает автоматический бекап настроек в виде REG файла, поэтому если в результате действий AVZ что-то запортится, то можно откатить настройки SPI на исходные

[b]Олег[/b], написал в техподдержку Eset Russia менеджерам. Интересно, что они ответят.

[quote=santy;130595][B]Олег[/B], написал в техподдержку Eset Russia менеджерам. Интересно, что они ответят.[/quote]
Спасибо - очень интересно, что ответят. Мне не ответили например, я сегодня послал еще несколько писем с разных ящиков. Беда в том, что он удаляет AVZ в на стройке по дефолту ... ругаться эвристикой, поведенческим анализом и т.п. - это святое дело, например проактивка KIS и любой аналогичный продукт будет ругаться на AVZ в процессе работы, и ругаться по делу (доступ к памяти процессов, установка драйверов, доступ к критическим ключам реестра типа автозапуска). Но сразу уничтожать - это несколько экстремально.

[quote=Зайцев Олег;130596] Мне не ответили например[/quote]А ESET никогда не отвечает: я им регулярно samples, которые тут появляются и НОДом не детектятся, посылаю, иногда даже с копией Вирустотал-Протокола - еще ни разу не ответили :).

[QUOTE=Зайцев Олег;130596]Спасибо - очень интересно, что ответят. Мне не ответили например, я сегодня послал еще несколько писем с разных ящиков. Беда в том, что он удаляет AVZ в на стройке по дефолту ... ругаться эвристикой, поведенческим анализом и т.п. - это святое дело, например проактивка KIS и любой аналогичный продукт будет ругаться на AVZ в процессе работы, и ругаться по делу (доступ к памяти процессов, установка драйверов, доступ к критическим ключам реестра типа автозапуска). Но сразу уничтожать - это несколько экстремально.[/QUOTE]

Ругается он все-таки на avz.exe, который находит в архиве и проверяет после скачивания. Также ругается, но не удаляет при сканировании файлов, если при этом загружен АВЗ.

Cкaниpoвaниe выпoлнeнo зa: 31.08.2007 12:58:05
Лог сканирования
Версия NOD32 2493 (20070831) NT
Командная строка: C:\Arhives\avz4.zip
[b]Оперативная память - вероятно модифицированный Win32/Genetik троян[/b]

Дата: 31.8.2007 Время: 12:59:21
Технология Anti-Stealth включена.
Проверены диски, папки и файлы: C:\Arhives\avz4.zip
C:\Arhives\avz4.zip »ZIP »avz4/avz.exe - вероятно модифицированный Win32/Genetik троян
Количество проверенных файлов: 58
Количество найденных вирусов: 1
Время завершения: 12:59:23 Общее время сканирования: 2 сек (00:00:02)

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

[QUOTE=Rene-gad;130603]А ESET никогда не отвечает: я им регулярно samples, которые тут появляются и НОДом не детектятся, посылаю, иногда даже с копией Вирустотал-Протокола - еще ни разу не ответили :).[/QUOTE]

На некоторые образцы вирусов отвечал их вируслаб, единственно что просят прислать регистрационные данные, но потом все-таки переадресовали в российский филиал.
-----
Hello,

please download and install NOD32 2.50.25 from [url]http://www.eset.com/download/download.htm[/url], update the virus signature database to the actual version 1.1248 and carry out an in-depth scan of your disk(s). If a suspicious file is found, let NOD32 submit it via the integrated ThreatSense.Net Early Warning System for further analysis (the Submit for analysis option in the alert window should remain ticked).


If you are not a registered user, you can download a trial version from [url]http://www.eset.com/download/trial.htm[/url]


Best regards,

Mark

Eset
NOD32 Technical Support
Slovakia

Web: [url]www.eset.com[/url]
Email: [email][email protected][/email]

=========================================
NOD32 ... protecting digital worlds!
=========================================

[quote=santy;130608]На некоторые образцы вирусов отвечал их вируслаб[/quote]
поскольку я всегда посылаю файлы через интерфейс НОДа, ответа ни разу не удостоился :)

Ситуация с ложным детектом на сегодня:
[QUOTE]File [B]avz.exe[/B] received on 08.31.2007 09:17:41 (CET)
Antivirus Version Last Update Result
AVG 7.5.0.484 2007.08.30 Generic7.CNE
eSafe 7.0.15.0 2007.08.29 suspicious Trojan/Worm
NOD32v2 2493 2007.08.31 probably a variant of Win32/Genetik
Webwasher-Gateway 6.0.1 2007.08.31 Worm.Win32.ModifiedUPX.gen!90 (suspicious)

Additional information
File size: 726016 bytes
MD5: 8499121440521062210cfd1b09357764
SHA1: 1a7d94fc83049f0e8b6d5af9e1f8f768dd73b8f6
packers: UPX
packers: UPX
packers: UPX[/QUOTE]

[QUOTE='SuperBrat;130643']AVG 7.5.0.484 2007.08.30 Generic7.CNE[/QUOTE]
у них детека не было, появился с утра ... вывод о принципе наполнения сигнатурной базы "если это детектят конкуренты, то будем детектить и мы как Generic" :) Их саппорт правда ответил немедленно (ответил правда робот, но заявке присвоили номер G#0702153258, стало быть идет регистрация обращений и обработка)

[size="1"][color="#666686"][B][I]Добавлено через 54 минуты[/I][/B][/color][/size]

Я завел отдельную ветку для пожеланий, обсуждения и критики системы ИПУ: [URL]http://virusinfo.info/showthread.php?p=130660[/URL], там же краткая дока по тому, что проверяется и что при этом сообщается в логе

Олег! М.б. пока архив с 4.27 по-другому назвать? В раделе "Помогите" есть уже пострадавшие от ложняков.

[quote=PavelA;130667]Олег! М.б. пока архив с 4.27 по-другому назвать? В раделе "Помогите" есть уже пострадавшие от ложняков.[/quote]
От каких ложняков - AVZ у них что-то прибил или его прибил NOD32 ?

[QUOTE=Зайцев Олег;130671]От каких ложняков - AVZ у них что-то прибил или его прибил NOD32 ?[/QUOTE]
[URL="http://virusinfo.info/showthread.php?t=12046"]Утром жаловались на AVG.[/URL]

[quote=aldares;130575]Локальную базу чистых файлов прикручивать _нельзя_!
Это будет большая дыра, т.к. программы не только качаются с офсайта, но и распространяются офлайново - на флэшках, компашках и т.д. И вот, человек с большой офлайновой базой, допустим, админ, юзающий АВЗ на работе в своей сети - в базу забита куча приложений для удаленного управления, приходит к кому-то лечить машинку. Лечит. Пользователь просит скопировать ему эту мега-программу, которая все вылечит и всех спасет. И сам начинает таскать АВЗ на флэшке. А потом выкладывает на фтп в своей локалке, откуда АВЗ вменсте с базой качает еще 500 человек...[/quote]

1. Я так понимаю, что другого способа хранения базы, кроме как в файлике, ты не представляешь? Ещё как минимум реестр есть. Да и файлик можно не в папке AVZ держать.
2. Ну и что в этом плохого в таком сценарии? Ты думаешь, сейчас иначе???? Просто списочек этот НА ЛИСТОЧКЕ клиенту пишется. Мол проверяй себе систему, но на вот на эту вот ругань не смотри, это у тебя не вирус, это firewall.
3. В выкладывание распакованного AVZ на FTP вместо ссылки на авторский архив - НЕ ВЕРЮ.

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

[QUOTE='Зайцев Олег;130583']Вот именно это и удерживает меня от создания таких фич, как локальные базы зверей и чистых. Даже лпытный админ может считать что-то чистым, а оно например будет зверем...[/QUOTE]

А что, база чистых на листочке сильно полезней? Почти у каждого юзера что-то находится - антивируc, FireWall, русификатор, какая-нибудь программка для запуска игрушек без CD..... Так что всё равно приходится "на листочке" базу чистых записывать...

Если не хочешь, чтобы оно распространялось - не создавай его в папке с AVZ. Можно, например, в System32 его класть...

От Eset Russia пришло письмо в ответ на информацию о детекте АВЗ...

"Спасибо за информацию, будет передана в центр разработки."

[QUOTE='Jef239;130677']Если не хочешь, чтобы оно распространялось - не создавай его в папке с AVZ. Можно, например, в System32 его класть...[/QUOTE]Всё равно найдут. И какой смысл? Юзер добавит все подряд в доверенную зону, а хелпер будет говорить что компьютер здоров.