AVZ 4.27

[quote=Maxim;130691]Всё равно найдут. И какой смысл? Юзер добавит все подряд в доверенную зону, а хелпер будет говорить что компьютер здоров.[/quote]
Безопасные с точки зрения юзера файлы можно не прятать в логе, а просто омечать цветом или отметкой "файл безопасен по мнению пользователя"
--------
Пришел ответ от саппорта AVG:
[COLOR=#000000][FONT='Courier New']The file that you sent us is a false detection. This detection willl be removed in the next AVG update. Please keep your AVG updated to be safe against the newest threats.[/FONT][/COLOR]
[COLOR=#000000][FONT='Courier New']Thank you for your cooperation. It is highly appreciated.[/FONT][/COLOR]

А какой тогда смысл? Файлы юзера всё равно будут в логе.

[quote=Maxim;130691]Всё равно найдут. И какой смысл? Юзер добавит все подряд в доверенную зону, а хелпер будет говорить что компьютер здоров.[/quote]

Ну с хелпером всё просто - он должен получать в отчёте список файлов, присутствующих на машине и отмеченных юзером как доверенных.

Насчёт добавления всего подряд - вряд ли... Что сейчас происходит? Юзер шлют мне лог AVZ. После этого я спрашиваю про каждый файл, а что это за чудо. Юзер мне отвечает, что это мол похоже драйвер от Алкоголь 120%, а вот это вот файлрвол, а вот это неизвестно что... То есть та же самая база передаётся, просто не файликом, а описанием (через агент или телефон).

Понимаешь, ну не надо рассчитывать на сильно дурных юзеров.... Сильно дурные могут и AVZшную базу чистых расковырять и подправить. И сильно дурные вирусы тоже могут в неё залезть. А обычные юзеры - не лезут.

Мне собственно что нужно... Нужно, чтобы я мог сказать юзеру, что если мол есть красная строчка - не трогай комп и срочно вызывай меня, у тебя там вирус. А сечас что? Сейчас я говорю, что мол сравни список красных строчек с ЛИСТОЧКОМ, и если что-то новенькое - тогда зови. То есть явно менее надёжная процедура.

Кстати, насчёт расковырять формат базы чистых AVZ - это мысль. Надо будет попробовать. По крайней мере свою локальную проблему я этим решу. Просто это не красиво по отношению к Автору. Да и показ жёлтым (найдено в локальной базе) лучше, чем показ зелёным (найдено в хакнутой базе чистых AVZ).

Я понимаю, что AVZ - бесплатная утилита. Поэтому наладить БЫСТРОЕ добавление в базу чистых и не прошу. Тем более, что у меня версии FireWall скоро раз в неделю начнут меняться...

Гм... Ещё одна идея - платное оперативное добавление в базу чистых. С платой через WebMoney. Тоже устраивает.

Ещё идея в жанре полного бреда - добавление в базу чистых с контролем через VirusTotal.....

И ещё. Вот есть такой зверь - PopCarLoader. Ну играют мои дети в игрушки от рамблеровской аськи. И вреда от этого зверя я не вижу. Но AVZ его детектит. Просить, чтобы не детектил - глупо. А вот в локальную базу запихать - вполне...

Да, подтверждаю - есть такое дело в новой версии 4.27; Win2000, SP4

1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=080820)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80400000
SDT = 80480820
KiST = 80472128 (248)
Функция NtBuildNumber (8046CCDC) - модификация машинного кода. Метод не определен., внедрение с байта 4
Проверено функций: 248, перехвачено: 0, восстановлено: 0

вопросик, а возможно сделать так что бы подчищались ссылки из "установка и удаление программ" тех программ которые удалялись, типа mywebsearch и т.д.

Сорри за оффтоп, но ситуация с нодом повторяется из раза в раз, пока ситуация не приобретёт массовый характер(как в этом случае) они и пальцем не пошевелят.
Делаем выводы.

[quote=AStr;130713]Да, подтверждаю - есть такое дело в новой версии 4.27; Win2000, SP4

1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=080820)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80400000
SDT = 80480820
KiST = 80472128 (248)
Функция NtBuildNumber (8046CCDC) - модификация машинного кода. Метод не определен., внедрение с байта 4
Проверено функций: 248, перехвачено: 0, восстановлено: 0[/quote]
Я пофиксил баг... после обновления баз он пропадет.

[quote=Jef239;130702]платное оперативное добавление в базу чистых[/quote]

А трояны будут добавлять по каким расценкам? :P

[QUOTE='Jef239;130702']Ну с хелпером всё просто - он должен получать в отчёте список файлов, присутствующих на машине и отмеченных юзером как доверенных.[/QUOTE]Чем отчет для хелпера должен отличаться от остальных? Ну будут Ваши файлики другого цвета, но они все равно будут!
[QUOTE='Jef239;130702']После этого я спрашиваю про каждый файл, а что это за чудо. Юзер мне отвечает, что это мол похоже драйвер от Алкоголь 120%, а вот это вот файлрвол, а вот это неизвестно что...[/QUOTE]Я бы не стал настолько доверять юзерам, во всяком случае те с которыми сталкивался я, начинали паниковать что у них руткит, при виде перехватчиков Касперского.
[QUOTE='Jef239;130702']Понимаешь, ну не надо рассчитывать на сильно дурных юзеров.... Сильно дурные могут и AVZшную базу чистых расковырять и подправить.[/QUOTE]Очень сомневаюсь...
[QUOTE='Jef239;130702']Мне собственно что нужно... Нужно, чтобы я мог сказать юзеру, что если мол есть красная строчка - не трогай комп и срочно вызывай меня, у тебя там вирус.[/QUOTE]То что нужно Вам, не слишком безопасно для остальных.
[QUOTE='Jef239;130702']И ещё. Вот есть такой зверь - PopCarLoader. Ну играют мои дети в игрушки от рамблеровской аськи. И вреда от этого зверя я не вижу. Но AVZ его детектит.[/QUOTE]Ну и что, что он его детектит? Если Вам этот "зверь" не мешает своим присутствием в системе, то как Вам может помешать строчка в логе?

[quote=Ego1st;130722]вопросик, а возможно сделать так что бы подчищались ссылки из "установка и удаление программ" тех программ которые удалялись, типа mywebsearch и т.д.[/quote]
В теории - можно. Но только по команде скрипта ... я думал сделать автоматическую зачистку (по принципу - ссылка битая, значит удалить. Но оказывается масса ссылок на CD, отключенный в текущий момент диск и т.п.), но пока воздержался от этого. В слудующей версии думаю добавить ее

А я вот тоже не получил ответа от нод .Странная политика компании. Авг прислала ответ, что исправят ;)
[code]
Dear Sir/Madam,

Thank you for your email.

Please let us inform you, that this false positive will be fixed in the upcoming virus update.

We are sorry for the inconvenience.

Best regards,

Daniel Urminsky
AVG Technical Support

website: http://www.grisoft.com
mailto: [email protected][/code]

[QUOTE=drongo;130796]А я вот тоже не получил ответа от нод[/QUOTE]А чем ты лучше остальных :D? SCNR

Попросите [B]Синауридзе Александра[/B], ему отвечают.

[quote=Maxim;130759]Чем отчет для хелпера должен отличаться от остальных? Ну будут Ваши файлики другого цвета, но они все равно будут! [/quote]
Отчёт для хелпера - это "исследование системы". В нём много дополнительной информации. В том числе, можно туда добавить и список чистых файлов. Он отличается от обычного протокола.
[quote] Я бы не стал настолько доверять юзерам, во всяком случае те с которыми сталкивался я, начинали паниковать что у них руткит, при виде перехватчиков Касперского.[/quote]
И причина этого в том, что Олегу ВСЕ варианты драйверов Касперского в базу чистых не включить. Я бы тоже прелдпочёл чтобы мои юзеры понаковали при виде руткита, а не лезли бы смотреть по бумашке, какой "рутки" безопасен, а какой - нет.
[quote]То что нужно Вам, не слишком безопасно для остальных.[/quote]
Ну самое БЕЗОПАСНОЕ поведение сейчас демонстрирует NOD32. Оно настолько БЕЗОПАСНОЕ, что даже не даёт закачать AVZ на комп. Ты представляешь, какая анархия бы получилась, если бы NOD32 имел эту самую локальную базу?! Это же каждый юзер мог себе поставить тот антивирус, какой хочется ему, а не авторам NOD32. И даже страшно сказать - могу бы сменить FireWall. Представляешь, как это было бы ужасно? :) А сейчас всё ПРАВИЛЬНО и БЕЗОПАСНО, что авторы NOD32 не разрешают, то юзеры и не ставят. И чего это вы письма-то им пишете? :)

[quote] Ну и что, что он его детектит? Если Вам этот "зверь" не мешает своим присутствием в системе, то как Вам может помешать строчка в логе?[/quote]
У меню детёнышей за компом полно бывает. И я могу объяснить ребёнку (даже шестилетнему) "ткни сюда, если будет красное - ничего не трогай и зови меня". А вот проверять по списку... Это даже взрослых сложно обучить...

На самом деле есть компромис под названием "фиксация чистого состояния". Выдаётся команда "фиксировать чистое состояние". Все драйвера, "руткиты" (то есть антивирус и FireWall), автозапуск, внедрённые dll, расширения IE и так далее, работающие в этот момент считаются чистыми. В логах они отмечаются жёлтым цветом и только при максимальном уровне анализа. Дополнительно в логе пишется дата фиксации чистого состояния.

Для невозможности распространения с машины на машину, в слепке чистого состояния фиксируются особенности системы. Например - номер винчестера.

Ещё один момент. В слепке чистого состояния (или в локальном списке чистых, если он будет), хорошо бы фиксировать не только MD5, но и полный путь. То есть я доверяю не любому файлу с этим MD5, а только лежащему на своём месте.

[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]

[quote=Nick222;130751]А трояны будут добавлять по каким расценкам? :P[/quote]

Так... Для тормозов - медленно и подробно.... Оплачивается АНАЛИЗ присланного файла в оговоренные сроки. Не "Когда руки дойдут, а рак на горе свиснет", а в течение 5 рабочих дней (например).

А уж если он не чистый - гарантированный ответ, что файл не может быть включён в базу чистых по таким-то основаниям.

[QUOTE='Jef239;130894']Для невозможности распространения с машины на машину, в слепке чистого состояния фиксируются особенности системы. Например - номер винчестера.

Ещё один момент. В слепке чистого состояния (или в локальном списке чистых, если он будет), хорошо бы фиксировать не только MD5, но и полный путь. То есть я доверяю не любому файлу с этим MD5, а только лежащему на своём месте.[/QUOTE]

Мне представляется это наиболее верным вариантом, но возможны трудности реализации..
Напр. номер HDD не так просто считать (вроде как только из r0), серийник тома //в противоположность// - доступен всем и каждому.

То, что локальная база "безопасных" нужна, подтверждается (в том числе) .net-программами.
Сборок библиотек для нэт-фреймворк оч. много
и далеко не все из них занесены в баэу безопасных.

[QUOTE='Kuzz;130896']Мне представляется это наиболее верным вариантом, но возможны трудности реализации..[/QUOTE]
Видишь ли, если привязывать этот слепок к "МАШИНЕ", то его можно храниь не в папке AVZ, а в %WINNT%\system32 или реестре. Тогда можно вообще никаких привязок не делать.
Смысл всех этих привязок - не допустить копирование вместе с папкой AVZ в случае, если AVZ работает с флэшки.

[QUOTE='Jef239;130894']Так... Для тормозов - медленно и подробно.... [/QUOTE]
[B]Jef239[/B], шутки тоже надо понимать (не в обиду..)
[QUOTE='Jef239;130897']в %WINNT%\system32 или реестре.[/QUOTE]
В "идеологии" AVZ - быть _утилитой_, т.е. не оставлять после себя в машине ничего лишнего, ни в реестре ни в сис. директориях..
Где гарантия, что тот-же юзер не будет распространять вместе с AVZ файл-экспорт реестра с исключениями или файл исключений со скриптом атвокопирования в %system32% (если захочет, к примеру).

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

Если-бы все так просто было с защитой от копирования, не появился-бы старфорс, алкоголь, деймон-тулс и т.д...

В идеале каждая копия Windows должна иметь уникальный идентификатор, но и здесь встречаются 2 проблемы:
1. Пиратство. Сколько копий проинсталено с одного _оригинального_ диска..
2. Образы установленной системы.

[size="1"][color="#666686"][B][I]Добавлено через 50 минут[/I][/B][/color][/size]

[B]Зайцев Олег[/B], можно ли внести скрипты удаления "сложных" руткитов (вроде runtime.sys&runtime2.sys и PE386) в скрипты "Восстановление системы"?

[QUOTE='Kuzz;130898']Зайцев Олег, можно ли внести скрипты удаления "сложных" руткитов (вроде runtime.sys&runtime2.sys и PE386) в скрипты "Восстановление системы"?[/QUOTE]
Можно - добавлю.
--------
Не знаю, что с NOD32 делать - детект до сих пор идет, я получил более 500 рапортов - видимо, придется вешать объявление на сайте ...

[size="1"][color="#666686"][B][I]Добавлено через 26 минут[/I][/B][/color][/size]

Я повесил у меня на сайте объявление следующего содержания:
[I]Уважаемые пользователи AVZ! С момента выхода новой версии AVZ 4.27 антивирус NOD32 детектирует исполняемый файл avz.exe как "вероятно модифицированный Win32/Genetik" (в англоязычном варианте "probably a variant of Win32/Genetik trojan") и уничтожает его. В техподдержку NOD32 отправлено сообщение о данном ложном срабатывании (по почте и средствами самого NOD), однако накакой реакции за прошедшие два дня не последовало и ложное срабатывание сохраняется до сих пор. [/I]
Поскольку отвечать на шквал сообщений о ложняке NOD32 уже нет физической возможности

[QUOTE='Зайцев Олег;130935']Не знаю, что с NOD32 делать - детект до сих пор идет[/QUOTE]
Я тоже пнул суппорт. Кстати, помимо NOD32 детект также у eSafe и Webwasher-Gateway

[size="1"][color="#666686"][B][I]Добавлено через 19 минут[/I][/B][/color][/size]

Также отписался на тамошнем форуме. Нюхом чую, что скоро меня там забанят :) Немного не вписываюсь я в тамошнюю политику :)

Изменения в ложном детекте на сегодня:
[QUOTE]File avz.exe received on 09.01.2007 10:55:13 (CET)
Antivirus Version Last Update Result
eSafe 7.0.15.0 2007.08.29 suspicious Trojan/Worm
NOD32v2 2495 2007.09.01 probably a variant of Win32/Genetik
Webwasher-Gateway 6.0.1 2007.08.31 Worm.Win32.ModifiedUPX.gen!90 (suspicious)

Additional information
File size: 726016 bytes
MD5: 8499121440521062210cfd1b09357764
SHA1: 1a7d94fc83049f0e8b6d5af9e1f8f768dd73b8f6
packers: UPX
packers: UPX
packers: UPX[/QUOTE]
Сравните с [URL="http://virusinfo.info/showpost.php?p=130643&postcount=73"]этим[/URL]. AVG исправил.

[QUOTE='SuperBrat;130954']Сравните с этим. AVG исправил.[/QUOTE]
Да, я от них получил письмо и ложняк они оперативно исправили.

Странная ситуация...
Ну, AVG принимает avz.exe за вирус и предлагает удалить, об этом уже писалось.

Но и при выключенном AVG файл не исполняется с сообщением "Error executing program". В нормальном режиме. А в "защищённом" (W2K) всё в порядке.
Непонятно...

[QUOTE='Зайцев Олег;130693']Безопасные с точки зрения юзера файлы можно не прятать в логе, а просто омечать цветом или отметкой "файл безопасен по мнению пользователя"[/QUOTE]
Как вариант - не прятать в исследовании системы, но прятать в обычном протоколе при отключённом расширенном детекте.
А как тебе вариант со слепком чистой системы?
Просто для меня вся история с NOD32 - это зеркало того, что может происходить с AVZ без локального списка чистых. Ну с тем отличием, что AVZ не удаляет. Кстати, реакция Agnitum (outpost firewall) на детект одной из dll AVZ была примерно такая же, как наша на NOD32. :)

[QUOTE='Luks;131003']Ну, AVG принимает avz.exe за вирус и предлагает удалить, об этом уже писалось.[/QUOTE]
Писалось, что уже не принимает. Обновите базы антивируса.

Похоже Nod32 тоже исправил ситуацию. По крайней мере, я смог скопировать avz.exe в неигнорируемые Нодом папки. Версия базы 2497 от 01.09.2007

Да исправили, вот скан с вирустотал:

[QUOTE]Antivirus Version Last Update Result
AhnLab-V3 2007.9.1.0 2007.09.01 -
AntiVir 7.4.1.66 2007.09.01 -
Authentium 4.93.8 2007.09.01 -
Avast 4.7.1029.0 2007.09.01 -
AVG 7.5.0.484 2007.09.01 -
BitDefender 7.2 2007.09.01 -
CAT-QuickHeal 9.00 2007.09.01 -
ClamAV 0.91.2 2007.09.01 -
DrWeb 4.33 2007.09.01 -
eSafe 7.0.15.0 2007.08.29 suspicious Trojan/Worm
eTrust-Vet 31.1.5100 2007.08.31 -
Ewido 4.0 2007.09.01 -
FileAdvisor 1 2007.09.01 -
Fortinet 3.11.0.0 2007.09.01 -
F-Prot 4.3.2.48 2007.09.01 -
F-Secure 6.70.13030.0 2007.08.31 -
Ikarus T3.1.1.12 2007.09.01 -
Kaspersky 4.0.2.24 2007.09.01 -
McAfee 5110 2007.08.31 -
Microsoft 1.2803 2007.09.01 -
NOD32v2 2497 2007.09.01 -
Norman 5.80.02 2007.08.31 -
Panda 9.0.0.4 2007.09.01 -
Prevx1 V2 2007.09.01 -
Rising 19.38.52.00 2007.09.01 -
Sophos 4.21.0 2007.09.01 -
Sunbelt 2.2.907.0 2007.08.31 -
Symantec 10 2007.09.01 -
TheHacker 6.1.9.175 2007.08.31 -
VBA32 3.12.2.3 2007.09.01 -
VirusBuster 4.3.26:9 2007.09.01 -
Webwasher-Gateway 6.0.1 2007.09.01 Worm.Win32.ModifiedUPX.gen!90 (suspicious)

Additional information
File size: 726016 bytes
MD5: 8499121440521062210cfd1b09357764
SHA1: 1a7d94fc83049f0e8b6d5af9e1f8f768dd73b8f6
packers: UPX
packers: UPX
packers: UPX[/QUOTE]

Вот что ответили на форуме ESET
[QUOTE]Win32/Genetik and Win32/Pacex are the names that ESET uses for packer-based detection[/QUOTE]

[quote=ALEX(XX);131083]Вот что ответили на форуме ESET[/quote]
Странно - AVZ упакован обычным UPX ...

[QUOTE='Зайцев Олег;131085']Странно - AVZ упакован обычным UPX [/QUOTE]
Но, насколько я понял 3 раза?

[quote=ALEX(XX);131086]Но, насколько я понял 3 раза?[/quote]
Нет, обычная упаковка, upx 2.03.

[QUOTE='Зайцев Олег;131087']Нет, обычная упаковка, upx 2.03.[/QUOTE]
Что ж поделать, эвристика...

Осталось остальным отписать.

Олег, одно сообщение, не соответствующее действительности, все же вылезло:

[img]http://virusinfo.info/images/51.jpg[/img]

Очепятка в интерфейсе главного окна. Лишняя буква "v" в слове "AdWare".

[URL=http://img62.imageshack.us/my.php?image=capture02092007143242tb2.png][IMG]http://img62.imageshack.us/img62/9422/capture02092007143242tb2.th.png[/IMG][/URL]

[QUOTE='Maxim;131153']Очепятка в интерфейсе главного окна. Лишняя буква "v" в слове "AdWare".[/QUOTE]
Нет, там написано правильно ... Просто исторически сложилось, что рекламные программы я называл "AdvWare", а не "AdWare" (по английский "рекламный" звучить как "[B]Adv[/B]ertising").

[QUOTE=Зайцев Олег;131157]...рекламные программы я называл "AdvWare", а не "AdWare" (по английский "рекламный" звучить как "[B]Adv[/B]ertising").[/QUOTE]
С другой стороны, в английском языке прослеживается довольно устойчивое употребление сокращения [B]ad[/B] вместо [B]advertisement[/B] (реклама, объявление) - отсюда, собственно, и [B]adware[/B]. Употребление [B]AdvWare[/B] выглядит несколько надуманным (к примеру, слово [B]adware[/B] вы найдете в [B]wikipedia.org[/B], а вот [B]advware[/B] - нет).

[quote=aintrust;131188]С другой стороны, в английском языке прослеживается довольно устойчивое употребление сокращения [B]ad[/B] вместо [B]advertisement[/B] (реклама, объявление) - отсюда, собственно, и [B]adware[/B]. Употребление [B]AdvWare[/B] выглядит несколько надуманным (к примеру, слово [B]adware[/B] вы найдете в [B]wikipedia.org[/B], а вот [B]advware[/B] - нет).[/quote]
Я знаю ... просто это исторический пережиток, со временем от него можно уйти и перейти к общепринятому термину "adware".

День добрый.

При сканировании (4.27, параметры по умолчанию, база от 03.09.2007 10:31) не проходит пункт 7 (эвристическая проверка) :

...
Версия Windows: 5.0.2195, Service Pack 4 ; AVZ работает с правами администратора
...

7. Эвристичеcкая проверка системы
Ошибка скрипта: Not enough actual parameters, позиция [29:18]
Ошибка микропрограммы 366
Проверка завершена

Привет,
сделал небезынтересное открытие: оказывается русский интерфейс АВЗ может быть использован на [I]не-русском[/I] ПК (см. Картинку). А нельзя ли сделать [B]всю[/B] кодировку интерфейса так, чтобы заменить все вопросительные знаки на понимаемый текст? :?

[QUOTE]Протокол антивирусной утилиты AVZ версии 4.27
Сканирование запущено в 03.09.2007 14:45:13
Загружена база: 125645 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 03.09.2007 10:31
Загружены микропрограммы эвристики: 371
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 62402
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
...
7. Эвристичеcкая проверка системы
Ошибка скрипта: Not enough actual parameters, позиция [29:18]
[COLOR="Red"]Ошибка микропрограммы 366[/COLOR]
Проверка завершена[/QUOTE]
На XP SP2+фиксы тоже такое вылезло.