AVZ 4.25

1. Постоянно наблюдаю применение хелперами такой конструкции:
[CODE]BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');[/CODE]
Я так понимаю, что лечат далеко не новый зловред. А почему AVZ не имеет алгоритма лечения еще на этапе сбора логов? Или дело в необновленных юзерами базах?
2. AVZ предупреждает о нестандартном местонахождении svchost.exe, например в c:\windows\svchost.exe. Можно еще сделать сигнализацию о наличии файлов с именами "setup.exe", "update.exe", "install.exe" и т.п. в папке "Автозагрузка"?

[QUOTE='SuperBrat;126533']Я так понимаю, что лечат далеко не новый зловред[/QUOTE]
1. Этот зловред имеет отвратительную тенденцию - в момент загрузки драйверов антируткита AVZ отправляет машину в BSOD
2. Это сколько угодно - базы можно внести такой контроль

[url]http://virusinfo.info/showthread.php?t=11539[/url] - забавно получилось в секции "Автозапуск"

Да,тоже заинтересовал этот лог,вроде ещё где-то встречал подобное,найду дам ссылку.

Привет конфе
Вот клткнул обновить базы и в 2Мб получил:
-----------------------------------
1) При <<3. Сканирование дисков>>
C:\DOX\CHM\MACOSX_TUNE.CHM/{CHM}//XTUNE.EXE >>> Опасно - исполняемый файл в CHM файле - возможно, маскировка исполняемого файла
E:\... ля-ля-ля\такой-то-файл.exe Invalid file - not a PKZip file

==И после этого около сотни (!!!) сообщений типа:

E:\..ля-ля-ля\...\... Cannot create file "c:\Temp\avz_424_1.tmp". Отказано в доступе
-----------------------------------
2) И снова проблема с предварительным не/удалением АВЗРМ после обновления:
Неустановлен --> Установить, всё успешно, надо бутнуться -- ОК
ребут: всё равно нету - надо установить и так по кругу

Удалять нечего - я достался и в ручную убил в скрытых неплаг-и-плей устройствах, но это не решило проблему

Уважаемый Олег!
AVZ (версия 4.25) при работе в директории C:\Documents and Settings создает следующие папки: TL¦T+¦L-\LOCALS~1\Temp
После проверки в Temp остается скрытый файл avz_1672_1.tmp
Должно ли так быть?
Если да, то в чем смысл этих действий?

[QUOTE=KID;126686]
1) При <<3. Сканирование дисков>>
C:\DOX\CHM\MACOSX_TUNE.CHM/{CHM}//XTUNE.EXE >>> Опасно - исполняемый файл в CHM файле - возможно, маскировка исполняемого файла [/QUOTE]
Типично для некоторых электронных книг. Если проверяли файл на Virustotal, то можно пропустить.
[QUOTE=KID;126686]
==И после этого около сотни (!!!) сообщений типа:
E:\..ля-ля-ля\...\... Cannot create file "c:\Temp\avz_424_1.tmp". Отказано в доступе
[/QUOTE]
Права на запись в папку c:\Temp\ проверили?
[QUOTE=KID;126686]
2) И снова проблема с предварительным не/удалением АВЗРМ после обновления:
Неустановлен --> Установить, всё успешно, надо бутнуться -- ОК
ребут: всё равно нету - надо установить и так по кругу

Удалять нечего - я достался и в ручную убил в скрытых неплаг-и-плей устройствах, но это не решило проблему[/QUOTE]
Скачайте свежую версию AVZ.

[quote=SuperBrat;126230][B]Jef239[/B], я читал что у Олега этот процесс автоматизирован.[/quote] Если автоматизирован - значит есть ДЫРА. В чём проблема для автора вируса/трояна закинуть свой файл под видом чистого?

[QUOTE=Jef239;126942]Если автоматизирован - значит есть ДЫРА. В чём проблема для автора вируса/трояна закинуть свой файл под видом чистого?[/QUOTE]
"Проблема для автора вируса/трояна" состоит в том, что перед тем, как попасть в "базу чистых", файл проверяется специально написанным анализатором (а точнее - это программно-аппаратный комплекс), где тщательно и подробно изучается его поведение, и только после этого выносится соответствующий вердикт.

Что касается вашего предложения насчет локальной "базы чистых файлов" - это дельная вещь (я, кстати, предлагал такое уже достаточно давно), но, видимо, кроме меня с вами это никому не нужно... =)

[quote=aintrust;126945]Что касается вашего предложения насчет локальной "базы чистых файлов" - это дельная вещь (я, кстати, предлагал такое уже достаточно давно), но, видимо, кроме меня с вами это никому не нужно... =)[/quote]

Я думаю, что нужно это многим. Но... Вполне возможно, что Олегу нужен поток чистых файлов для обучения эвристики. А локальная база, если её сделать без автоматической отсылки, такой поток прервёт.

В АВЗ нет как таковой "обучаемой" эвристики, вся "эвристика" строится на очень детальном изучении поведения существующихся зловредов. Более того, обучение, если бы оно реально для чего-то и понадобилось (ну, к примеру, для нейросети), могло бы быть проведено на основе тех "чистых"/"грязных" файлов, что уже имеются в базе.

Дело, в общем, не в этом, а, на мой взгляд, именно в том, что число запросов на реализацию этой фичи пока что очень далеко от "критической массы".

[QUOTE='aintrust;126951']Дело, в общем, не в этом, а, на мой взгляд, именно в том, что число запросов на реализацию этой фичи пока что очень далеко от "критической массы".[/QUOTE]
Вот именно. Тут вот в чем дело - если речь идет о локальной базе, то завести то ее можно, но что делать дальше ? Подсвечивать файлы из этой базы отдельным цветом ? (спрашивается, зачем, если пользователю точно известно, что это за файл) Обрабатывать как чистый убирая из логов ? (а где гарантия, что пользователь правильно классифицировал безопасный объект ? - вирлабы часто ошибаются, не говоря о пользователях).

[QUOTE=Зайцев Олег;126966]Тут вот в чем дело - если речь идет о локальной базе, то завести то ее можно, но что делать дальше ? Подсвечивать файлы из этой базы отдельным цветом ? (спрашивается, зачем, если пользователю точно известно, что это за файл)[/QUOTE]
Ну, у пользователя может быть много таких файлов, и все их он вряд ли упомнит наизусть. У меня, к примеру, неизвестных АВЗ файлов гораздо больше, чем известных.

Эта фича имела бы смысл для тех, кто не в силах (или не хочет по какой-либо причине) прислать все свои файлы тебе на анализ через Интернет (это же м.б. десятки гигабайт), но при этом хотел бы отличать старые "надежные" файлы от вновь установленных "ненадежных".

Что касается логов, то в них эти файлы действительно можно/нужно показывать другим цветом - по крайней мере хелпер будет видеть, что эти файлы находятся в базе безопасных пользователя, т.е. теоретически степень доверия к ним может быть немного выше, чем к обычным черным. Хотя, естественно, это не исключает ошибки пользователя - и хелпер должен прекрасно это понимать!

[quote=Зайцев Олег;126966]Вот именно. Тут вот в чем дело - если речь идет о локальной базе, то завести то ее можно, но что делать дальше ? Подсвечивать файлы из этой базы отдельным цветом ? (спрашивается, зачем, если пользователю точно известно, что это за файл)[/quote]
А затем, чтобы отличить новые файлы от уже известных. ОДИН раз я могу узнать, с какой программой этот фал поставился. Но узнавать каждый раз - увольте. И запоминать 20-30 файлов - тоже. Я всё-таки программист, а не сисадмин, у меня своей работы много.
[quote] Обрабатывать как чистый убирая из логов ? [/quote]
НЕСОМНЕННО. Надоело при каждом анализе получать 2-3 заведомо безопасных файла. Кроме того, не могу поручить запуск AVZ ребёнку. Вот если бы нахождение AVZ подозрительных файлов о чём-то говорило... А так, оно говорит только о том, что столько-то файлов в базу безопасных ещё не включено, а такая=-то программа в очередной раз обновила свои драйвера... Лучше иметь чёткий сигнал для домашних - если AVZ нашёл что-то подозрительное - вырубать комп и ждать меня.
[quote](а где гарантия, что пользователь правильно классифицировал безопасный объект ? - вирлабы часто ошибаются, не говоря о пользователях).[/quote]
Это подмена понятий. Есть гарантия, что пользователь выделил ИЗВЕСТНЫЙ ему объект. А опасный он или безопасный - решает пользователь.
У меня ребёнок играет в игрушки от Рамблеровской аськи. А часть это игрушки AVZ квалифицирует как зловреда. Конкретно - popcarloader.dll. Я даже готов признать, что AVZ прав. Ибо эта dll действительно передаёт некоторые данные о пользователе (в её описание написано - какие и под какие гарантии). Но мне ЛИЧНО -больше вреда от того, что ребёнок в игрушку не поиграет, чем от того, что в инет утекут данные о том, во что он играет и сколько.
В любом случае, этот объект не должен вызывать панику у домашних. А вот появление другого, НОВОГО объекта с той же степенью опасности - должно вызывать выключение компа до моего прихода.
Олег, я понимаю, что AVZ - лучший антивирус для ПРОГРАММИСТОВ. Но знал бы ты, как часто им приходится пользоваться обычным юзерам (например, по моим командам с мэйл-агента)... Не пора ли сделать маленькую уступку в сторону юзеров?

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[quote=aintrust;126973]Эта фича имела бы смысл для тех, кто не в силах (или не хочет по какой-либо причине) прислать все свои файлы тебе на анализ через Интернет [/quote] Или просто не устраивает полугодовой срок помещения таких файлов в базу. У меня драйвера OutPost обновляются намного чаще, чем Олег их в базу чистых помещает....

За последнюю неделю встречается уже третья машина, на которой обитают:
[QUOTE]\SystemRoot\SYSTEM32\spooldr.sys;
c:\windows\spooldr.exe[/QUOTE]
AVZ на таких компьютерах не запускается ни в безопасном режиме, ни в обычном. Похоже, что у этой версии Zhelatin стоит детект по имени файла и он тут же завершает процесс. Причем на такой машине не стартует даже седьмой КАВ, не говоря уже про Cure It 4.44 beta и NOD32!!! Единственный антивирь, который на моей памяти загрузил свой GUI при активном звере - это Avira. Убиваю гада через RKU, иначе никак.... Можно что-то придумать? Хотя тут придумать особо и нечего, кроме рандомизации имени файла, как сделано в RKU. Но тогда придется прикручивать инсталлятор...

Мде, нашел описание гада:
[url]http://www.greatis.com/security/Removal_Spooldr.exe_Spooldr.sys_rootkit.htm[/url]
час от часу не легче

Не получается обновить AVZ из локальной сети. Создал скрипт такого вида:

begin
if ExecuteAVUpdateEx('http:\\172.20.1.1:8081\avz\', 1, '','','') then
AddToLog('Обновление AV баз успешно выполнено');
end.

Запускаю его. "Скрипт выполнен без ошибок", но "автоматическое обновление завершено с ошибками". Что бы это значило? В каком формате должны лежать базы, не в архиве случайно? И есть ли какой-то другой способ для обновления, ведь загружать и выполнять скрипт каждый раз очень неудобно.

[QUOTE=';127838']Не получается обновить AVZ из локальной сети.[/QUOTE]
И не получится - для автоапдейта кроме базы нужен файл с ее описанием. Если такая фича критична и нужна, то это можно организовать

[quote=XL;127631]За последнюю неделю встречается уже третья машина, на которой обитают:

AVZ на таких компьютерах не запускается ни в безопасном режиме, ни в обычном. Похоже, что у этой версии Zhelatin стоит детект по имени файла и он тут же завершает процесс. Причем на такой машине не стартует даже седьмой КАВ, не говоря уже про Cure It 4.44 beta и NOD32!!! Единственный антивирь, который на моей памяти загрузил свой GUI при активном звере - это Avira. Убиваю гада через RKU, иначе никак.... Можно что-то придумать? Хотя тут придумать особо и нечего, кроме рандомизации имени файла, как сделано в RKU. Но тогда придется прикручивать инсталлятор...

Мде, нашел описание гада:
[URL]http://www.greatis.com/security/Removal_Spooldr.exe_Spooldr.sys_rootkit.htm[/URL]
час от часу не легче[/quote]
Угу. Дело все в том, что он убивает процессы из ядра!! Поэтому убивает даже Касперского 7. В драйвере видны строки:(оставил самое интересное)
[CODE]
vsdatant.sys
watchdog.sys
zclient.exe
bcfilter.sys
bcftdi.sys
bc_hassh_f.sys
bc_ip_f.sys
bc_ngn.sys
bc_pat_f.sys
bc_prt_f.sys
bc_tdi_f.sys
filtnt.sys
sandbox.sys
mpfirewall.sys
msssrv.exe
mcshield.exe
fsbl.exe
avz.exe
avp.exe
avpm.exe
kav.exe
kavss.exe
kavsvc.exe
klswd.exe
ccapp.exe
ccevtmgr.exe
ccpxysvc.exe
rtvscan.exe
savscan.exe
bdmcon.exe
livesrv.exe
inetupd.exe
nod32krn.exe
nod32ra.exe
pavfnsvr.exe
[/CODE]
Прячет себя на диске перехватом NtQueryDirectoryFile (правка адресов в KiST), причем как-то криво - он прячет все, что имеет имет в названии слово "spooldr" в независимости от место расположения на диске.
Так же следит за загрузкой образов исполняемых файлов и библиотек.
Не дает загрузиться драйверу AVZ.
[CODE]Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка в работе антируткита [Stream read error], шаг [14]
2. Проверка памяти
Количество найденных процессов: 19
Количество загруженных модулей: 226
Проверка памяти завершена
[/CODE]

[QUOTE=XL;127631]
За последнюю неделю встречается уже третья машина, на которой обитают:
[QUOTE]\SystemRoot\SYSTEM32\spooldr.sys;
c:\windows\spooldr.exe[/QUOTE]
...
Мде, нашел описание гада:
[url]http://www.greatis.com/security/Removal_Spooldr.exe_Spooldr.sys_rootkit.htm[/url]
час от часу не легче[/QUOTE]
Переименовать AVZ.exe во что нибудь к примеру 1.exe после выполнить скрипт -
[code]
begin
QuarantineFile('%WinDir%\SYSTEM32\spooldr.sys','');
QuarantineFile('%WinDir%\spooldr.exe','');
DeleteFile('%WinDir%\spooldr.exe');
DeleteFile('%WinDir%\SYSTEM32\spooldr.sys');
RenameFile('%WinDir%\SYSTEM32\drivers\tcpip.sys','%WinDir%\SYSTEM32\drivers\tcpip.bak');
Sleep(15);
RebootWindows(true);
end.
[/code]

[QUOTE=Зайцев Олег;127847]И не получится - для автоапдейта кроме базы нужен файл с ее описанием. Если такая фича критична и нужна, то это можно организовать[/QUOTE]
А где взять такой файл? Или в текущей версии 4.25 это не пройдёт? Тогда конечно хочется такую фичу иметь в следующей версии. Ведь это кстати частично поможет снять нагрузку на ваши сервера :)