Printable View
У меня предложение. Сделать включенной по умолчанию птичку напротив опции «Добавить протокол последнего сканирования AVZ» в диалоге "Исследование системы".
Уже пару раз приходили логи исследования системы без лога сканирования.
Предлагаю также сохранять последний лог сканирования AVZ в папке программы и добавлять его в протокол исследования системы, если в текущей сессии сканирование не проводилось.
Предлагаю сделать AVZ опен сурс и выложить на sourceforge.net =)
[QUOTE=Зайцев Олег]Да, согласен. Тут есть еще один моментик (важный для пользователя) - приходят к юзеру сети "люди в черном" и говорят - "служба безопасности ! Отвечайте, в интернет не выходил ? Порнуху/кректи/троянов не качал ?". Пользователь конечно "никак нет" - а те смотрят - а в кеше IE куча файлов + тьма кукизов - по ним сразу видно, что и в порнуху ходил, и креки качал ... и каюк :) (естественно, имеются в виду неподконтрольные ПК, типа ноутбуков ... - где есть возможность выхода в инет через модем). Вот отсюда, мне кажется, и культ "чистки следов"[/QUOTE]
Я бы предложил в будущем добавить нахождение и удаление кукиз по желанию пользователя и ууж точно не по умолчанию, но это далеко не первоочередная задача.
[QUOTE=dima26]Я бы предложил в будущем добавить нахождение и удаление кукиз по желанию пользователя, но это далеко не первоочередная задача.[/QUOTE]
Для чистки кукизоф и временных файлов полно бесплатных программ.
Олег, может быть можно снова начать выкладывать обновления баз отдельно?
[QUOTE=Зайцев Олег]Детектировать кукизы AVZ не будет ... а зачем они в других продуктах - объясню...
Я занимаю радикальную позицию в этом вопросе, в моей статье КомпьютерПресс 7'2005 я довольно резко прошелся по этому поводу - по ловле кукизов в целов и по Ad-Aware + кукизы в частности[/QUOTE] Позиция понятная и аргументированная...
А [I]под руками [/I]ссылки на эту статью нет?
[QUOTE=DimaT]Позиция понятная и аргументированная...
А [I]под руками [/I]ссылки на эту статью нет?[/QUOTE]
КомпьютерПресс кажется не публикует статьи в Инет (или публикует с существенной задержкой)
[QUOTE=userr]Олег, может быть можно снова начать выкладывать обновления баз отдельно?[/QUOTE]
Сейчас апдейты идут 1 раз в 10 дней - за это время накапливаются переделки самой программы. Другое дело в том, что я пытаюсь уменьшить размер баз - вроде, получается ...
[QUOTE=Зайцев Олег]Сейчас апдейты идут 1 раз в 10 дней - за это время накапливаются переделки самой программы. Другое дело в том, что я пытаюсь уменьшить размер баз - вроде, получается ...[/QUOTE]
А пытаешься уменьшить размер баз за счет чего?
Когда планируется выпустить перевод на английский?
[QUOTE=DimaT]Когда планируется выпустить перевод на английский?[/QUOTE]
Да, народ требует английского :) Может помочь с переводом?
Вчера тестировал AVZ в боевых условиях - чужая "запущенная" машина плюс жесткая нехватка времени. Симптомы: сильно грузит сеть, периодически дохнет taskmgr. netstat -a -n -o показал, что процесс с определенным ID (отсутствующим в taskmgr) сканит 445-й порт.
Качаю AVZ, запускаю сканирование памяти (на сканирование дисков времени нет). При сканировании памяти обнаруживается парочка известных зверей, штук пять подозрений, наличие API-rootkit (сорри за отсутствие лога) и два скрытых процесса. Запускаю встроенный в AVZ диспетчер процессов, вижу оба этих процесса. Выделяю, жму "копировать в карантин". Файлы скопировались, но процессы остались. Убиваю процессы. Смотрю на наличие файлов в SYSTEM32 - нету (тут я тормознул: rootkit-то все еще активен).
Перезагружаю систему - оба процеса опять присутствуют. Соображаю, что так и должно быть - ведь "Копировать в карантин" это именно копировать, а не переместить. На том я и остановился - на перезагрузку в safe mode времени уже не было (да и не было уверенности, что она поможет).
Кстати, заметил такую проблему в диспетчере процессов: после убиения процесса он на некоторое время все еще остается в списке. Если попытаться убить его повторно - в AVZ возникает access violation.
Выслал эти файлы (вместе с подозрительными) на newvirus@z-oleg.
В связи с вышенаписанным у меня возникли следующие пожелания по развитию:
1. При обнаружении скрытого процесса выводить не только имя, но и полный путь исполняемого файла.
2. В диспетчер процессов добавить кнопку... как же ее лучше назвать? "Убить процесс и переместить исполняемый файл в карантин"? :) Или просто "Переместить в карантин"?
3. Исправить access violation при попытке убить уже убитый процесс.
В дополнение к вышенаписанному: просканил все 6 файлов на [url]www.virustotal.com[/url].
В результате обнаружилось, что первый и третий - это (по классификации symantec) backdoor.berbew.n, второй (по symantec) - w32.ifbo.a, четвертый - вообще не вирус, а часть софтины Mercury QuickTest. Пятый определяется касперским как not-a-virus:porn-dialer.win32.minidial.a, шестой им же как Trojan-Downloader.Win32.Axload.a.
[QUOTE=RobinFood]...заметил такую проблему в диспетчере процессов: после убиения процесса он на некоторое время все еще остается в списке. Если попытаться убить его повторно - в AVZ возникает access violation.
В связи с вышенаписанным у меня возникли следующие пожелания по развитию:
1. При обнаружении скрытого процесса выводить не только имя, но и полный путь исполняемого файла.
2. В диспетчер процессов добавить кнопку... как же ее лучше назвать? "Убить процесс и переместить исполняемый файл в карантин"? :) Или просто "Переместить в карантин"?
3. Исправить access violation при попытке убить уже убитый процесс.[/QUOTE] Толковое предложение. :good:
ИМХО, будет удобно...
А в моем случае как раз помогла только перезагрузка в safe mode...
[B]Олег[/B], а как ты [I]умудряешься[/I] удалить ''особо-коварных'' без safe mode?
[QUOTE=DimaT]Толковое предложение. :good:
ИМХО, будет удобно...
А в моем случае как раз помогла только перезагрузка в safe mode...
[B]Олег[/B], а как ты [I]умудряешься[/I] удалить ''особо-коварных'' без safe mode?[/QUOTE]
Если процесс защищается от убиения, то прибить без SafeMode (а иногда и отключения HDD для его подключения к здоровому ПК; или загрузки с CD, на которой Linux или урезанный XP) не выходит. Путей много - иногда удается переименовать файл (тогда он не загрузится), иногда - отложенное удаление. Эвристическое удаление часто помогает - файл прибить нелья, а ссылки удается. Плюс конечно антируткит.
[B]to RobinFood[/B]
Я изучил маскирующегося "зверя" - это сетевой червяк Net-Worm.Win32.Padobot.z по классификации AVP. И он неплохо маскируется - файлы и процессы не видны.
[QUOTE=Зайцев Олег]Если процесс защищается от убиения, то прибить без SafeMode не выходит. Путей много - иногда удается переименовать файл (тогда он не загрузится), иногда - отложенное удаление. Эвристическое удаление часто помогает - файл прибить нелья, а ссылки удается. Плюс конечно антируткит.[/QUOTE] Ну и как реальное состояние знает менее ''продвинутый юзер'' AVZ (в log, скорее всего, он ''не пойдёт'')?
Я несколько раз вручную удалял в SafeMode.
Иногда действительно достаточно переименовать файл и перезагрузиться...
[QUOTE=DimaT]Ну и как реальное состояние знает менее ''продвинутый юзер'' AVZ (в log, скорее всего, он ''не пойдёт'')?
Я несколько раз вручную удалял в SafeMode.
Иногда действительно достаточно переименовать файл и перезагрузиться...[/QUOTE]
Обычно AVZ пробует все методы - попробовал один, если не срабоатло - другой и т.п. Если простое удаление не работает, то файл обязательно ставится на отложенное удаление - вот об этом информация попадает в лог и в хвосте обязательно пишется, что обязательна перезагрузка.
Только что убедился в том, что у AVZ первоклассный эвристик.
Просканировал один "больной" комп и эвристик среагировал на
intelii32.exe>>> подозрение на Trojan.Win32.Agent.ba
NHelper.dll>>> подозрение на AdvWare.NavExcel.h
Проверка на вирустотале показала, что эти два файла действительно "звери".
[QUOTE=Geser]Это удобнее делать по логу исследования системы[/QUOTE]
Интересо - как? Вот сейчас на машие живет зверюга - Trojan-Downloader.Win32.Swizzor.dp (KAV). Зверюга активна, торчит из пространства iexplorer.exe, сам iexplorer.exe - зеленого цвета в диспетчере задач. В протоколе ничего нету.
[QUOTE=Гость]Интересо - как? Вот сейчас на машие живет зверюга - Trojan-Downloader.Win32.Swizzor.dp (KAV). Зверюга активна, торчит из пространства iexplorer.exe, сам iexplorer.exe - зеленого цвета в диспетчере задач. В протоколе ничего нету.[/QUOTE]
В логе исспедования системы видны все dll. Там можно найти все неизвестнте.
Вышла версия 3.70. Радикальные переделки:
[++] Переделан формат AV баз. В результате объем баз уменьшился примерно на 120 кб. Это пожалуй самое радикальное изменение. Усилен эвристик, переработаны имеющиеся микропрограммы.
[++] Эвристическое удаление - усовершенствован алгоритм
[++] Эвристическое удаление подключено к расширенному протоколу и поиску файлов - выводится запрос о том, как удалять файлы
[+] В исследовании системы добавлена опция, позволяющая автоматически архивировать протокол в ZIP архив
[+] Доработана поддержка ключей командной строки с учетом новых возможностей программы
[+] Интрефейс: Доработана панель статуса (ее размеры меняются при масштабировании окна)
[+] Обновлена справка по работе с программой
---------
База в новой версии содержит 15727 сигнатур, 1 нейропрофиль, 55 микропрограмм лечения, 299 микропрограмм эвристики, 5 микропрограмм восстановления настроек системы, 34126 подписей безопасных файлов
---------
На очереди - добавление в карантин по списку, поиск файлов с поиском не толкьо подстроки, но и сигнатуры - это войдет на подверсии 3.70
Почему загружается старая версия - 3,65,7 ???
Вот такие вот мелкие раскопки -
Лезем в Менеджер расширений IE, дальше выбираем
"Модуль расширения - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}" - филе не найдено.
В реестре -
[HKEY_CLASSES_ROOT\CLSID\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}]
[HKEY_CLASSES_ROOT\CLSID\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\TreatAs]
@="{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBB}"
Далее ищем кто-же такой "@" страшный -
[HKEY_CLASSES_ROOT\CLSID\{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBB}]
@="Java Plug-in 1.5.0_04 <applet> redirector"
[HKEY_CLASSES_ROOT\CLSID\{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBB}\InprocServer32]
@="C:\\Program Files\\Java\\jre1.5.0_04\\bin\\npjpi150_04.dll"
"ThreadingModel"="Apartment"
Оказавается всеми любимая Java :)
Олег, возможно ли какая-нибудь "механизация" этих раскопок ?
Я к тому, что HJT всё-же смог "докопаться" до "истины" -
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
[QUOTE=bearcat]Почему загружается старая версия - 3,65,7 ???[/QUOTE]
Наверное, берется из кеша прокси или еще что-то похожее. На сайте у меня лежит файл размером 1.050.102 байта.
[QUOTE=RiC]Вот такие вот мелкие раскопки -
Лезем в Менеджер расширений IE, дальше выбираем
"Модуль расширения - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}" - филе не найдено.
В реестре -
[HKEY_CLASSES_ROOT\CLSID\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}]
[HKEY_CLASSES_ROOT\CLSID\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\TreatAs]
@="{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBB}"
Далее ищем кто-же такой "@" страшный -
[HKEY_CLASSES_ROOT\CLSID\{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBB}]
@="Java Plug-in 1.5.0_04 <applet> redirector"
[HKEY_CLASSES_ROOT\CLSID\{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBB}\InprocServer32]
@="C:\\Program Files\\Java\\jre1.5.0_04\\bin\\npjpi150_04.dll"
"ThreadingModel"="Apartment"
Оказавается всеми любимая Java :)
Олег, возможно ли какая-нибудь "механизация" этих раскопок ?
Я к тому, что HJT всё-же смог "докопаться" до "истины" -
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll[/QUOTE]
Ссылка на ссылку ... такое раскрутить можно - рекурсивно. Сейчас переделаю алгоритм и AVZ станет раскручивать цепочки ссылок.
Олег, ИМХО добавлять поддержку других архиваторов [b]принципиально[/b] не нужно, это только увеличит размер программы и отвлечет время/силы от совершенствования основных вещей. Или для такого профи как ты это дело 5 минут? :)
Вот exe пакеры дело другое.
В настройках протокола исследования системы есть пункт добавления результатов последнего сканирования, но при отсутсвии сканирования естественно ничего не добавляется.
Может имеет смысл добавить функцию сканирования с требуемыми (для раздела помогите) параметрами при подготовки протокола исследования с соответствующим пунктом настройки ((*) произвести сканирование при отсутствии протокола) включённым по умолчанию.
[QUOTE=userr]Олег, ИМХО добавлять поддержку других архиваторов [b]принципиально[/b] не нужно, это только увеличит размер программы и отвлечет время/силы от совершенствования основных вещей. Или для такого профи как ты это дело 5 минут? :)
Вот exe пакеры дело другое.[/QUOTE]
Полностью поддерживаю. По моему мнению архивароты вообще не нужны кроме cab. А вот наиболее распространённые пакеры, хоть UPX, не помешает добавить.
А еще очень хочется английскую версию :(
[QUOTE=Geser]Полностью поддерживаю. По моему мнению архивароты вообще не нужны кроме cab. А вот наиболее распространённые пакеры, хоть UPX, не помешает добавить.[/QUOTE]
Ещё бы до комплекта MSI, ITSF (ака CHM) и ZIP а остальное наф. не надо, "поддерживать" Imho имеет смысл только то, что винда может распаковывать сама "подручными" средствами. Насчёт пакеров тоже не уверен, потому как возни с ними много а эффекта не особо, уж лучше при проверке памяти уже распакованных "изучать", потому как для распаковки надо или иметь хороший эмулятор кода, или постоянно пополнять новые алгоритмы распаковки, а пакеров сейчас водиться с полсотни, хотя "популярных" наверное с десяток, но некоторые из них распаковать весьма проблематично - Aspack, Asprotect, Acprotect, Yoda -это так по памяти, наиболее тяжёлые для распаковки. Хотя может кто и поможет с "универсальным" распаковщиком.
PS: Всё есть Imho :)
Олег, в "Менеджере автозапуска" и "Исследовании системы - Автозапуск" AVZ не "находит" некоторые файлы, хотя система их видит и благополучно запускает!
Первые три файла в примере (см. фрагмент лога) AVZ не хочет копировать в Карантин (видимо, не может найти, хотя они там есть и система их запускает при загрузке!), а последние два - вообще входят в базу безопасных файлов AVZ (проверено!), но они почему-то закрашены как небезопасные...
[QUOTE=DenZ]Олег, в "Менеджере автозапуска" и "Исследовании системы - Автозапуск" AVZ не "находит" некоторые файлы, хотя система их видит и благополучно запускает!
Первые три файла в примере (см. фрагмент лога) AVZ не хочет копировать в Карантин (видимо, не может найти, хотя они там есть и система их запускает при загрузке!), а последние два - вообще входят в базу безопасных файлов AVZ (проверено!), но они почему-то закрашены как небезопасные...[/QUOTE]
1. Это интересно - а какие конкрено файлы - каков их метод автозапуска ?
2. Да, момент с копированием в карантин известен - я пока ище пути решения. Суть в том, что файлы с параметрами. Получается проблема при их проверке по базе безопасных и при копировании.
Пример:
cmd.exe trojan.exe
Возникает вопрос - что проверять и копировать ... cmd.exe или trojan.exe
[QUOTE=RiC]Ещё бы до комплекта MSI, ITSF (ака CHM) и ZIP а остальное наф. не надо, "поддерживать" Imho имеет смысл только то, что винда может распаковывать сама "подручными" средствами. Насчёт пакеров тоже не уверен, потому как возни с ними много а эффекта не особо, уж лучше при проверке памяти уже распакованных "изучать", потому как для распаковки надо или иметь хороший эмулятор кода, или постоянно пополнять новые алгоритмы распаковки, а пакеров сейчас водиться с полсотни, хотя "популярных" наверное с десяток, но некоторые из них распаковать весьма проблематично - Aspack, Asprotect, Acprotect, Yoda -это так по памяти, наиболее тяжёлые для распаковки. Хотя может кто и поможет с "универсальным" распаковщиком.
PS: Всё есть Imho :)[/QUOTE]
С распаковкой архивов я согласен - это легко видеть и по поддерживаемым видам архивов - я поддерживаю то, что может быть распаковано системой. RAR тоже наверное стоит поддерживать - он популярен ... RAR, ACE и 7zip поддерживать очень легко - но поддержка каждого дает плюс 50-90 кб объема. Сейчас я добиваю CHM и MSI
С пакерами все хитрее - поддерживать их надо, но есть три пути
1. Плюнуть и проверять память ... помогает в большинстве случаев, но прозволяет проверить только запущенные процессы
2. эмулятор кода. Тестовый пример есть, но он сыроват - идея проста - трассировать до первого вызова API или достижения N шагов программы (чтобы не повиснуть)
3. Распаковщики на каждый упаковщик
В идеале хорошо сочетание всех трех методов, я собираюсь для начала реализовать метод 1 с медленным и тщательным сканированием запущенных процессов - подобное дает хорошие результаты в DrWEB. А затем методы 2+3 ... - но это сложнее
[QUOTE]
Вот такие вот мелкие раскопки -
Лезем в Менеджер расширений IE, дальше выбираем
"Модуль расширения - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}" - филе не найдено.
В реестре -
[HKEY_CLASSES_ROOT\CLSID\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}]
[HKEY_CLASSES_ROOT\CLSID\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\TreatAs]
@="{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBB}"
[/QUOTE]
Я изловил данную ситуацию и сделал рекурсивный просмотр таких цепочек с антизацикливанием (интересно, что будет с системой, если замкнуть ссылку типа 08B0E5C0-4FCB-11CF-AAA5-00401C608501 в кольцо :) )
Олег, такое предложение - как-то дать понять юзеру в менеджере автозапуска, что надо еще и службы посмотреть. Либо прямо показывать в менеджере автозапуска небезопасные работающие службы, либо сделать кнопку на панели с соотв. подсказкой.
[QUOTE=userr]Олег, такое предложение - как-то дать понять юзеру в менеджере автозапуска, что надо еще и службы посмотреть. Либо прямо показывать в менеджере автозапуска небезопасные работающие службы, либо сделать кнопку на панели с соотв. подсказкой.[/QUOTE]
Я в принципе для подобных целей задумывал исследование системы - там сводный отчет всего небезопасного. Я просто не хочу перегружать окна, это связанос быстродействием - менеджеры для каждого файла просчитывают полную CRC, если включен антивирусный монитор и просчитать CRC 200-300 файлов, то тормоза будут страшные ...
[QUOTE=Зайцев Олег]1. Это интересно - а какие конкрено файлы - каков их метод автозапуска ?[/QUOTE]
Да нет, я имел в виду как раз проблемы проверки файлов с параметрами и копировании их в карантин.
[QUOTE=Зайцев Олег]Пример:
cmd.exe trojan.exe
Возникает вопрос - что проверять и копировать ... cmd.exe или trojan.exe[/QUOTE]
Может, проверять оба и копировать в карантин, если файла(ов) нет в базе безопасных?
Предлагаю отбрасывать с конца пути ключи запуска, начинающиеся с "/", "-", "," и т.п., до тех пор, пока файл не "найдется" на диске.
А если расширение у файла отсутствует, то пытаться добавлять наиболее распространенные для исполняемых файлов (exe, com, dll, sys и т.п.).
[QUOTE=DenZ]Да нет, я имел в виду как раз проблемы проверки файлов с параметрами и копировании их в карантин.
Может, проверять оба и копировать в карантин, если файла(ов) нет в базе безопасных?
Предлагаю отбрасывать с конца пути ключи запуска, начинающиеся с "/", "-", "," и т.п., до тех пор, пока файл не "найдется" на диске.
А если расширение у файла отсутствует, то пытаться добавлять наиболее распространенные для исполняемых файлов (exe, com, dll, sys и т.п.).[/QUOTE]
Что-то типа того я и сделаю. Т.е. попробую разделить имя файла и параметры ... алгоритмов несколько штук я придумал, но универсальность пока невысокая (я рассуждаю аналогично - или искать расширение исполняемого файла, или остепенно отсекать параметры. Плюс еще кавычки - их нужно будет убрать. Короче говоря завтра будет апдейт, я включу в него реализацию этого анализа
Пример:
cmd.exe trojan.exe
Возникает вопрос - что проверять и копировать ... cmd.exe или trojan.exe
i to i drugoe :) a esho nado parsit takie veshi kak rundll32.exe virus.dll,entrypoint
Как бы не совсем в тему, однако помогите разобраться пожалуйста
Почему [B]на моей машине[/B] AVZ ищет ntoskrnl.exe по пути
%USERPROFILE%\WINDOWS\SYSTEM32 , которого в принципе не существует ? Аналогичная картина при проверке Winsock Layered Service Provider (SPI/LSP). Подозреваю, что дело здесь не в AVZ, так как ABBY FineRider впадает в тот же ступор при поиске TWAIN-драйвера
Причем иногда (крайне редко) все-таки работает
Остальной софт функционирует нормально, да и вообще нареканий к работе системы нет...
Система W2K SRV SP4 c TS
Правда несколько раз приходилось пользоваться утилитой ntswitch для установки несерверного софта (Partition Magic)
В общем замучал меня этот вопрос, натолкните на мысль
Заранее спасибо
[QUOTE=Geser]А еще очень хочется английскую версию[/QUOTE]
Всецело поддерживаю.
[B]Олег[/B], эту тему ты в последнее время не ''замечаешь'' специально? :)
Или это в более дальних планах и не входит в приоритетные задачи?
[QUOTE=HUMA]
...
Почему [B]на моей машине[/B] AVZ ищет ntoskrnl.exe по пути
%USERPROFILE%\WINDOWS\SYSTEM32 , которого в принципе не существует ? Аналогичная картина при проверке Winsock Layered Service Provider (SPI/LSP).
...
Система W2K SRV SP4 c TS
...
[/QUOTE]
"Проблема", очевидно, в TS. Это специфический случай, и с ним просто надо разбираться - так что помогайте! :) Для начала запустите, пожалуйста, AVZ с параметром DEBUG=Y и запостите протокол работы сюда.
[QUOTE=aintrust]"Проблема", очевидно, в TS. Это специфический случай, и с ним просто надо разбираться - так что помогайте! :) Для начала запустите, пожалуйста, AVZ с параметром DEBUG=Y и запостите протокол работы сюда.[/QUOTE]
Прицепил...