AVZ 3.80 - тестирование, обсуждение, предложения по доработке

[QUOTE=DenZ]А разве АВЗ - это не аббревиатура для "[B]АнтиВирус Зайцева[/B]"? :?
[/QUOTE]
Угу, антивирус, который не ловит (пока) вирусы (в смысле файловые вирусы) :)

[QUOTE=Geser]Угу, антивирус, который не ловит (пока) вирусы (в смысле файловые вирусы) :)[/QUOTE]
Вот вот - получается парадокс :) И все из-за того, что по сути вирусом сейчас модно назвать все, что ни попадя ... короче, придется AVZ научить ловить вирусню ...

1.Вопрос: Порты открытые процессом RPC, Hidden, подозреваемый AVZ как Listener RPF чайника, по Geser`у, беспокоить не должен?
2.Я что-то нигде не прочитал, что AVZ останется в узком кругу, уважаемые профессионалы (кроме Автора) напротив настаивают на скорейшем выходе (видимо коммерческой) к широкой публике, и если интегрированная среда будет применима только профессионалами, то этот выход будет осуществлен в виде сети пунктов приема чайников с компьютерами подмышками для их лечения прфессионалами в интегрированной среде?
3. HATTINFATTOR нет полного пути, AVZ никак не помогает чайнику локализовать этот процесс, и из всего сказанного в теме ясно, что и определение его как RPC может быть достаточно условно, а по Geser`у и опасно в неумелых руках.
Но порты после прочтения и понимания величия мира профессионалов почему-то сами не закрылись, я проверил. Так что отложить пятихатку и ждать пока откроется приемный пункт?
И ,кстати, ошибочно предполагать, что я прошу помощи.
Ситуация нормальная, не AVZ так другая программа увидела открытые порты.
Но AVZ в отличие от TCPview, наверное должна помогать локализовать процесс, определить его как безопасный либо небезопасный.

На этот пост можно не отвечать, хотя кроме HATTINFATTOR`a по делу никто и не ответил.
P.S. Мне кажется, что ценность AVZ еще и в том, что в отличие от сотен других антитроянов (среди них то пара достойных есть?) она эту смычку и может
определять.

[QUOTE=WakenUp]1.Вопрос: Порты открытые процессом RPC, Hidden, подозреваемый AVZ как Listener RPF чайника, по Geser`у, беспокоить не должен?
[/QUOTE]
Покажите лог, а то я не совсем понимаю о чём речь.

[quote=WakenUp]выход будет осуществлен в виде сети пунктов приема чайников с компьютерами подмышками для их лечения прфессионалами в интегрированной среде?[/quote]
Пункты сервиса - это самое оптимальное решение. Конечно, в особо тяжёлых (20 кг и более) случаях возможен и выезд специалиста на место ;). Действительно, инструмент мощный, некий ценз понимания происходящего просто обязан быть.

[QUOTE=Зайцев Олег]Вот вот - получается парадокс :) И все из-за того, что по сути вирусом сейчас модно назвать все, что ни попадя ... короче, придется AVZ научить ловить вирусню ...[/QUOTE]
А он ведь и ловит - частенько в логах видел то-ли Mydoom, то ли Netsky.

Олег. Вопрос. Предыстория длинная - но коротенько - удалил ВБА, удалился некорректно, пропал инет и сеть, почистил все с помощью АВЗ, и в частности, делал восстановление системы, со всеми галочками. И теперь, при заходе в админскую часть моего сайта (он сделан на CMS Mambo) я вижу пустой экран. С другого компа - все ОК.
Так вот - что входит в "востановление системы" т.е. Какие конкретно настройки ИЕ АВЗ выставляет?

[QUOTE=anton_dr]А он ведь и ловит - частенько в логах видел то-ли Mydoom, то ли Netsky.

Олег. Вопрос. Предыстория длинная - но коротенько - удалил ВБА, удалился некорректно, пропал инет и сеть, почистил все с помощью АВЗ, и в частности, делал восстановление системы, со всеми галочками. И теперь, при заходе в админскую часть моего сайта (он сделан на CMS Mambo) я вижу пустой экран. С другого компа - все ОК.
Так вот - что входит в "востановление системы" т.е. Какие конкретно настройки ИЕ АВЗ выставляет?[/QUOTE]
Восстановление IE сбрасывает настройки стартовой страницы, поиска, префиксов протоколов и что-то из этой области на дефолтные - все меняемые AVZ настройки достаточно безобидны. Никаких иных перенастроек AVZ не делает. Есть подозрение, что от ВБА все-таки что-то осталось - стоит наверное еще разок его проинсталлить и снести - для чистоты эксперимента. Судя по всему проблема лежит где-то в облати поддержки Java скриптов

Настройки зон безопасности не поменялись?

Олег, восстановление из карантина в AVZ будет?

[QUOTE=HATTIFNATTOR]Олег, восстановление из карантина в AVZ будет?[/QUOTE]
Да, оно уже есть ... восстановление файла из Infected и карантина -0 скоро выход новой версии

[QUOTE=pig]Настройки зон безопасности не поменялись?[/QUOTE]
Скорей всего, что-то поменялось. Сбрасывал на стандартные - результат тот же.
Попробою ВБА проинсталлить заново.

[QUOTE=Зайцев Олег]Да, оно уже есть ... восстановление файла из Infected и карантина -0 скоро выход новой версии[/QUOTE]
Вот еще одна фича!
А как на счет имевшейся в планах поддержки английского интерфейса?

[QUOTE=DimaT]Вот еще одна фича!
А как на счет имевшейся в планах поддержки английского интерфейса?[/QUOTE]
Может быть, в этой версии появится - по крайней мере в плане перевода интерфейса. Но я сейчас налегаю на скриптовй язык - я хочу в новую версию внести полноценный скрипт для автоматическойго исследования ПК в рамках правил данной конференции (сканирование, исследовавани системы, создание архива с подозрительными файлами и исследованием системы для отправки).

Не пора ли привести наименование заразы к какому-то общему знаменателю?
Дело даже не в том, что часть заразы именуется с дефисом, а часть - нет.

Просто однотипные программы, имеющие один источник происхождения и единый
первоначальный исходник (т.е. являющиеся модификациями, разными версиями одного и того же),
имеют разные имена (например, Adpower, EMSAT, RussianNorfolk и т.д.)

Вот список из четырех названий, указывающих на заразу из одного семейства:
TrojanClicker.Win32.Adpower.g
Trojan-Clicker.Win32.Adpower.r
Dialer.EMSAT
Dialer.RussianNorfolk

Желающие могут проверить на своих коллекциях.

[QUOTE=MOCT]Не пора ли привести наименование заразы к какому-то общему знаменателю?
Дело даже не в том, что часть заразы именуется с дефисом, а часть - нет.

Просто однотипные программы, имеющие один источник происхождения и единый
первоначальный исходник (т.е. являющиеся модификациями, разными версиями одного и того же),
имеют разные имена (например, Adpower, EMSAT, RussianNorfolk и т.д.)

Вот список из четырех названий, указывающих на заразу из одного семейства:
TrojanClicker.Win32.Adpower.g
Trojan-Clicker.Win32.Adpower.r
Dialer.EMSAT
Dialer.RussianNorfolk

Желающие могут проверить на своих коллекциях.[/QUOTE]
TrojanClicker/Trojan-Clicker я приведу в единому виду, категорию "Spy" я вообще хочу упразнить для унификации, а вот с родственными категориями - не знаю ... - я стараюсь придерживаться классификации AVP, в частности т.к. эта классификация лежит в основе Viruslist.com ...

[QUOTE=Зайцев Олег]TrojanClicker/Trojan-Clicker я приведу в единому виду, категорию "Spy" я вообще хочу упразнить для унификации, а вот с родственными категориями - не знаю ... - я стараюсь придерживаться классификации AVP, в частности т.к. эта классификация лежит в основе Viruslist.com ...[/QUOTE]
Про дефис - там все элементарно.
Про Spy - тоже понятно, что любой из троянов в той или иной степени Spy.
А вот "родственные связи" на мой взгляд лучше отслеживать - будет проще понять, откуда какой файл пролез. Одно дело, когда обнаруживается на диске куча разноименных и как бы не связанных друг с другом файлов, другое дело когда сразу видно, что источник заражения один. От классификации AVP я вроде бы уже видел отступления, тем более что AVZ - это самостоятельная программа. И есть возможность сделать ее лучше.

попробовал распаковать архив virus.zip, сделанный из карантина АВЗ, с помощью 7-zip. Сказал - is not supported archive. Rar справился.
Пароль вводил.

7-zip по идее должен открыть ... не исключено, что он запароленные zip архивы не поддерживает, т.к. у AVZ класиическая ZIP компрессия

запароленные поддерживает.
Запаковал RAR'ом в zip с паролем - 7-zip его открыл и распаковал.

Вот такую статью нашел
[url]http://oszone.net/display.php?id=3352[/url]

у меня есть идея - зделать умный анализатор - если файл - вирус / троян / дроппер то лезть внуть на предмет поиска названия вайлов :) вроде Component searcher ;)

[QUOTE=HATTIFNATTOR]Вот такую статью нашел
[url]http://oszone.net/display.php?id=3352[/url][/QUOTE]
Только автор статьи отстал от жизни - уж полгода, как вышла AVZ [B][COLOR=Red]3[/COLOR][/B], а он все второй бетой пользуется... :D

[QUOTE=Sanja]у меня есть идея - зделать умный анализатор - если файл - вирус / троян / дроппер то лезть внуть на предмет поиска названия вайлов :) вроде Component searcher ;)[/QUOTE]
идея конечно хорошая, если бы не несколько НО...

1. на днях читал на одном антивирусном сайте, что сейчас 30% вредоносных программ распространяются в упакованном виде. мои практические наблюдения диаметрально противоположные - только 30% программ НЕ упакованы. а без знания всех упаковщиков лезть некуда.

2. если программа по сигнатуре и так определила, что этот файл вирус-троян-дроппер, то значит автору этот файл уже и так извстен и он прекрасно знает, какие именно пути в трояне прописаны, так что и искать нечего.

3. как понять, что это имя файла? они очень часто не похожи на имена файлов. например, файл "o", который иногда используется для закачки с ftp. как отличить обычную текстовую константу от имени файла? нужно определить, в какую функцию передается эта константа. иными словами, нужно на лету дизасемблировать код программы. есть желающий написать такое? ;-)

4. имена файлов и папок хранятся иногда в разных константах и для получения полной картины их нужно конкатенировать. а иногда и вовсе путь к файлу получается комбинацией нескольких переменных.

Олег. При работе в безопасном режиме без мыши, невозможно выбрать область поиска . Все остальные настройки делаются клавой, а диск отметить нельзя.

[QUOTE=Зайцев Олег]Описание скриптововго языка - в хелпе или в документации на моем сайте [url="http://z-oleg.com/secur/avz_doc/index.html"]http://z-oleg.com/secur/avz_doc/index.html[/url], раздел "8. Скрипты управления". По воводу скриптового языка - его можно расширять до бесконечности, жду пожелания по командам ...
[/QUOTE]

По поводу справки на сайте. вот вместо этих страниц открывается окно "О программе":
z-oleg.com/secur/avz_doc/index.html?script_intro.htm
z-oleg.com/secur/avz_doc/t_cmdline.htm
z-oleg.com/secur/avz_doc/script_runscan.htm
а также нижеидущие пункты описания скриптовых процедур...
В справке по скриптам затеряно самое важное - ИМЯ, РАСШИРЕНИЕ и РАСПОЛОЖЕНИЕ файла со скриптом,
описание способа подключения скрипта. Это обнаружилось где-то в примерах на задворках хэлпа. На мой взгляд это надо выпячивать в самое начало.
Другая проблема - описаны процедуры и функции, но отсутствует перечень доступных программисту скрипта стандартных переменных.
Нигдe явно не указано, что доступны конструкции if .. then .. else.
В примерах QuarantineFile выступает как процедура, хотя позиционируется как функция.
По этой же функции есть предложение - добавить возможность использования масок, содержащих "*" и "?".
Также желательно завести макроподстановку для системного диска (например %sys%).
Например:
QuarantineFile('%sys%\Program Files\Internet Optimizer\*.*','Файлы троянца IstSvc')
QuarantineFile('%sys%\Documents and Settings\*\Local Settings\Temp\optimize.exe','Файл троянца IstSvc')
И еще я бы посоветовал
Еще вопрос по hlp-справке. в разделе "Параметры командной строки" описаны ключи
DelVir и ModeVirus. Судя по описанию, они занимаются одним и тем же, только ModeVirus более гибок в настройке.
Может тогда упразднить DelVir (или хотя бы убрать из описания, но не из обработки для совместимости со старыми версиями и давними пользователями).
И в конце этой страницы есть слово "Пример", которое относится непонятно к чему.

Еще пожелание по скриптам - сделать возможность отправки репорта на заданный e-mail.

Замечание по создаваемым логам: зачем писать
Внимание !!! База поледний раз обновлялась 05.09.2005 - рекомендуется обновить базы с [url="http://z-oleg.com/secur/avz-dwn.htm"]http://z-oleg.com/secur/avz-dwn.htm[/url]
если с тех пор все равно никаких апдейтов на сайт не выкладывалось? Или обеспечьте определенную частоту выкладывания обновлений, или подумайте над убиранием этой дезинформирующей строки. А вообще дейли апдейты лучше помещать на отдельной странице, а то та страница из-за гигантских списков вирусов долго грузится.

Если в скрипте написать строчку
SaveLog('avz_'+GetComputerName+'.txt');
(т.е. не указать полный путь на диске C:\...), то файл с отчетом не сохраняется. Считаю это ошибкой.

Команду AddToLog('Протокол с компьютера '+GetComputerName);
заставить работать мне не удалось - в окне программы такой текст появляется, а вот в файле на диске - нет.

Прога пишет.

Внимание !!! База поледний раз обновлялась 05.09.2005 - рекомендуется обновить базы с [url]http://z-oleg.com/secur/avz-dwn.htm[/url]

Атам ничего нету нового...

[QUOTE=Гость]Прога пишет.

Внимание !!! База поледний раз обновлялась 05.09.2005 - рекомендуется обновить базы с [url]http://z-oleg.com/secur/avz-dwn.htm[/url]

Атам ничего нету нового...[/QUOTE]
Сегодня будет - база и AVZ обновляются не реже чем один раз в 14 дней, я просто прозевал ачередной апдейт ...

Вышла версия 3.81:
[+] Скриптовой язык - новые команды GetCurrentDirectory, GetAVZDirectory ...
[+] Древовидный список файлов - выделение элементов клавитурой (при нажатии пробела производится инверсия выделения текущего элемента)
[+] Вывод информации о том, что система загружена в SafeMode в протокол
[+] Восстановление файла из карантина и Infected
[-] Исправлена ошибка в функции SaveLog
[+] Доработки антируткита - модифилирован анализатор для устранения проблем с DEP на Windows 2003 SP1
------
Основная задача, решенная вновой версии - это чистка баз. После размещения на kpnemo версии 3.80 мне прислали более 700 файлов для анализа, они пополнили базы безопасных (и вирусов). сделан ряд шагов по унификации имен в базе, кое что подправлено по мелочам в самой программе.

[QUOTE=MOCT]
По поводу справки на сайте .... - пост 105
[/QUOTE]
1. С хелпом на сайте (script_intro.htm) - устраняю, это глюк
2. Имя, расширение и местоположение скрипта - любые, для AVZ они не принципиальны и никак не проверяются. Если файл не в текущей папке - то нужно задать полный путь
3. Подключение скрипта - опишу подробнее в хелпе
4. Стандартные конструкции - согласен, их необходимо описать - сделаю на выходных
5. Поддержка масок - логично, добавлю
6. В новом AVZ поддерживается макрос в пути %SysDisk% - это системный диск в виде C: (т.е. без слеша)
7. DelVir и ModeVirus - это разные вещи. DelVir - глобальный переключатель, разрешающий или запрещающий удаление всех злоовредных программ (аналог переключателя "Выполнять лечение"), а ModeVirus - это уже тонкая настройка. Просто DelVir надо бы назвать как EnableCure или аналогично, имя DelVir пришло исторически ...
[QUOTE=MOCT]
... пост 103 ...
[/QUOTE]
В стационарном анализаторе у меня нечто подобное есть - т.е. изучаемый файл автоматом изучается в исходном виде и в распакованном, но это тянет за собой его декомпиляцию и эмуляцию, базу данных с исключениями, базу для сравнения ... Ложных срабатываний будет тьма, часто бывают разные конкантенации имени и прочее... Короче говоря, я совершенно согласен с тем, что проделывать нечто подобное на ПК пользователя нереально. А вот знать, что прибить/заподозрить можно и нужно - для этого у меня микропрограммы лечения предусмотрены - но они пишутся вручную, на основании анализа "зверей".

[QUOTE=Зайцев Олег]2. Имя, расширение и местоположение скрипта - любые, для AVZ они не принципиальны и никак не проверяются. Если файл не в текущей папке - то нужно задать полный путь
3. Подключение скрипта - опишу подробнее в хелпе
[/QUOTE]
я это уже установил, но в справке такая информация важна в яном виде.

[QUOTE=Зайцев Олег]
4. Стандартные конструкции - согласен, их необходимо описать - сделаю на выходных
5. Поддержка масок - логично, добавлю
[/QUOTE]
означает ли это, что скоро будет новая версия? :-)

[QUOTE=Зайцев Олег]
6. В новом AVZ поддерживается макрос в пути %SysDisk% - это системный диск в виде C: (т.е. без слеша)
[/QUOTE]
спасибо! полезная вещь

[QUOTE=Зайцев Олег]
7. DelVir и ModeVirus - это разные вещи. DelVir - глобальный переключатель, разрешающий или запрещающий удаление всех злоовредных программ (аналог переключателя "Выполнять лечение"), а ModeVirus - это уже тонкая настройка. Просто DelVir надо бы назвать как EnableCure или аналогично, имя DelVir пришло исторически ...
[/QUOTE]
просто использование термина "Vir" сразу смущает

[QUOTE=Зайцев Олег]
В стационарном анализаторе у меня нечто подобное есть - т.е. изучаемый файл автоматом изучается в исходном виде и в распакованном, но это тянет за собой его декомпиляцию и эмуляцию, базу данных с исключениями, базу для сравнения ... Ложных срабатываний будет тьма, часто бывают разные конкантенации имени и прочее... Короче говоря, я совершенно согласен с тем, что проделывать нечто подобное на ПК пользователя нереально. А вот знать, что прибить/заподозрить можно и нужно - для этого у меня микропрограммы лечения предусмотрены - но они пишутся вручную, на основании анализа "зверей".[/QUOTE]
интересно, а как Вы решили для себя снятие некоторых крипторов, типа MEW или Yoda Crypt?

p.s. программу скачал, буду тестировать. надеюсь, что другие замеченные проблемы и пожелания будут учтены в ближайших версиях.

p.p.s. к сожалению, в связи с гибелью HDD отправленные мной через FTP файлы у меня теперь отсутствуют, так что проверить детектирование этих файлов не на чем ... :((

[u]Жаль, что в версии 3.81 по-прежнему не исправлены следующие баги в разборе имен и путей файлов:[/u]

1. В "Драйверах" не опознаются файлы без пути и расширений ([URL=http://virusinfo.info/showpost.php?p=54560&postcount=33]см. лог здесь[/URL]), хотя они есть в базе безопасных AVZ. Имена этих файлов совпадают с названиями драйверов (значениями в поле "Служба"), имеют расширения *.SYS, лежат в стандартных местах и благополучно запускаются системой.

2. В "Автозапуске" AVZ не понимает строки:
[B]C:\WINDOWS\system32\dumprep 0 -k[/B]
[B]RunDll DeskTop16.dll,COLOR_INIT[/B] (т.е. запуск 16-битных DLL)
[B]hpfsched[/B] (прописан в [b]C:\WINDOWS\win.ini, windows, run[/b]; имеет расширение EXE, лежит в стандартном месте)

Соответственно, не работает автодобавление этих файлов в карантин.
Следовательно, скрипт автопроверки не сможет их отловить без вмешательства квалифицированного специалиста. Простой юзер не сможет самостоятельно прислать файлы на проверку...

Олег, планируете ли Вы исправления в алгоритме разбора имен и путей файлов?

P.S. Черные дыры в "Модуле расширения проводника" остались...

[B]Олег[/B]
Во всех диспетчерах и менеджерах где строки отмечаются зеленым, так вот при выборе этих строк - они не читабельны. При их выборе стоит менять цвет шрифта на другой.

Может это фича, но мне не понравилось. AVZ не проверяет перед запуском, что одна копия уже запущена.

Опять наверное какие-то проблеммы с прокси , скчиваеться версия 3.802 :(

Кто-нибудь может внести ясность в такие вот результаты?

[QUOTE=штвуч]Кто-нибудь может внести ясность в такие вот результаты?[/QUOTE]
А какие проблемы? Кроме того, что два сетевых экрана работают: outpost и sygate, ничего странного не вижу.

[QUOTE=Granat]Может это фича, но мне не понравилось. AVZ не проверяет перед запуском, что одна копия уже запущена.[/QUOTE]
Это специально было сделано - чато бывает необходимость запустить две копии AVZ ... но когда появится отдельное окно настроек и их сохранение, то будет опция "блокировать повторный запуск"

[QUOTE=Grey][b]Олег[/b]
Во всех диспетчерах и менеджерах где строки отмечаются зеленым, так вот при выборе этих строк - они не читабельны. При их выборе стоит менять цвет шрифта на другой.[/QUOTE]
Знаю, борюсь ... если есть идеи (RGB коды цветов для обоих случаев) - то буду весьма признателен

[QUOTE=DenZ][u]Жаль, что в версии 3.81 по-прежнему не исправлены следующие баги в разборе имен и путей файлов:[/u]
....
Олег, планируете ли Вы исправления в алгоритме разбора имен и путей файлов?

P.S. Черные дыры в "Модуле расширения проводника" остались...[/QUOTE]
Да, это планируется - просто в 3.81 тот-же анализатор, что в 3.80 ... но работы идут. Кстати, еще одно "исключение" - Rundll32 <что-то там>