Антивирусная утилита AVZ - 4.22 + AVZGuard/AVZPM

[QUOTE]Кстати о приоритете - неплохо хелперам брать на заметку все недостатки анализа и куда-то отдельно их собирать - чтобы был максимум информации в одном месте, а иначе они растворяются в десятках листов обсуждения.
[/QUOTE]Угу, создай для этого прикреплённую тему

[QUOTE=Зайцев Олег;87416][++] AVZ доработан для совместимости в Windows Vista, в частности обновлены все KernelMode компоненты[/QUOTE]
Наверно, стоит доработать и справочную систему, т.к. Windows Help program (WinHlp32.exe) is no longer included with Windows: [url]http://support.microsoft.com/kb/917607[/url]

[quote=aintrust]А почему бы EP_X0FF-у самому не прийти сюда (правда, я на 100% знаю, что он читает этот форум), и высказать свое мнение? А если он не хочет этого делать, то есть ли вообще смысл приводить его цитаты?[/quote]

Ну вот, собственно, я и тут. Звали? Чаем угостите? :) Надеюсь, меня жутко не отмодерируют =)))))

@Alex_Goodwin - Может быть имеет смысл ответить мне на damagelab а не бежать докладывать сюда? Так, по моему, правильнее все-таки. Вам в ФСБ надо, =) ну или в КГБ.

[quote=Geser]На самом деле не очень интересно знать мнение EP_X0FF. Гораздо интереснее если бы кто-то проверил эффективность обих программ на нескольких распространённых руткитах.[/quote]

А нечего проверять - поймайте при помощи AVZ Rustock.C и я возьму все свои слова обратно и ещё извинюсь. Модуль руткит-детекта в AVZ вызывает у меня улыбку, ничего более. Антивирусы должны заниматься своим делом и не влезать туда, где убьет. Шутка.

[quote=PrM@ster]AVZ и Rootkit Unhooker пока что спокойно покупаются на изменёные значения в PEB [/quote]

А фига толку от изменений в PEB? Есть такая вещь называется EPROCESS. Очень интересная штука.

[quote=PrM@ster]не все функции контралируются[/quote]

Да ну? Это те что в msvcrt?

[quote]не ловится инжект в сереедину функции[/quote]

А на фига такое надо? =)))) Попробуйте наваять что-нибудь такое.
Что касается глубины контроля - хоть сейчас поправлю цикл, да толку то? Нету таких руткитов с таким извратным пониманием хуков. А если и есть, то SVV никто не отменял.

Возможно кому и не нравиться, как я и мои друзья говорим на sysinternals, но нам от этого не холодно не жарко. С нормальными людьми мы всегда говорим нормально, можете даже западных модераторов спросить. Что касается AVZ - как антивирус замечателен, понравилась эвристика, ещё импонирует, что делается вроде как одним человеком. Вот только антируткитный модуль (веяние времени, я понимаю), мне не по душе. Ну ни как =)))

p.s. Пора замодерировать ренегата, ага?

[QUOTE=Geser;88583]Поскольки АВЗ не антивирус, и его основное предназначание - исследование системы, он должен уметь определять любое вмешательство в систему, не важно, уже используемое реально, или известное только теоретически.
[/QUOTE]
Хотелось бы, но вряд ли это возможно... Это все равно как написать универсальный антивирус.

[QUOTE=EvilPhantasy;88603]Ну вот, собственно, я и тут. Звали? Чаем угостите? :) Надеюсь, меня жутко не отмодерируют =)))))
[/QUOTE]
Не, чая не будет - у нас сегодня четверг, рыбный день! :P

[quote=EvilPhantasy;88603]
А нечего проверять - поймайте при помощи AVZ Rustock.C и я возьму все свои слова обратно и ещё извинюсь. Модуль руткит-детекта в AVZ вызывает у меня улыбку, ничего более. Антивирусы должны заниматься своим делом и не влезать туда, где убьет. Шутка.
.......
Возможно кому и не нравиться, как я и мои друзья говорим на sysinternals, но нам от этого не холодно не жарко. С нормальными людьми мы всегда говорим нормально, можете даже западных модераторов спросить. Что касается AVZ - как антивирус замечателен, понравилась эвристика, ещё импонирует, что делается вроде как одним человеком. Вот только антируткитный модуль (веяние времени, я понимаю), мне не по душе. Ну ни как =)))
[/quote]
Фокус в том, что антируткит AVZ появился в 2004 году, примерно одновременно с антируткитом Руссиновича. Тогда еще не было кучи специальных антируткит-детекторов и из руткитов бы только HackDef и его клоны ... Причем если смотреть на картину с точки зрения статистики, то доминируют примитивные руткиты - типа перехвата SSDT для маскировки ключей реестра и процессов.

По поводу Rustock - я взял свежайшего, по классификации ЛК SpamTool.Win32.Mailbot.bc. Если проверить машину AVZ с включенным противодействием руткитам (а всякий анализ он ведет именно в этом случае), то получим:
>>> Опасно - подозрение на подмену адреса ЦП[1].SYSENTER=806D8D2D C:\WINDOWS\system32\ntoskrnl.exe, драйвер опознан как безопасный
ЦП[1].SYSENTER успешно восстановлен
Проверка IDT и SYSENTER завершена
>>>> Подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys

Далее он убивается скриптом AVZ (надо кстати включить скрипт в базу стандартных скриптов)

Если включен AVZ PM, то плюс к этом получим:
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F5E09000, размер=73728, имя = "\??\C:\WINDOWS\system32:lzx32.sys"
и соответственно драйвер будет виден в модулях пространства ядра и исследовании системы ...

Мне правда сложно судить, соответствует ли зловред "Rustock.C", семейство точно это, а вот разновидностей там тьма - правда поведение у изученных примерно идентичное и в разделе "помогите" посвященные ему темы мелькают с завидной регулярностью.

Так, может, кто-нибудь, у кого этот [I]Rustock.C[/I] есть, пришлет образец на "препарацию" (в PM)? А то как-то непонятно, против чего надо пытаться бороться... ;)

Здравствуй, Олег.

[QUOTE=Зайцев Олег]Фокус в том, что антируткит AVZ появился в 2004 году, примерно одновременно с антируткитом Руссиновича. Тогда еще не было кучи специальных антируткит-детекторов и из руткитов бы только HackDef и его клоны ... [/quote]

Я заметил это по поведению антируткитного модуля.

[quote=Зайцев Олег]По поводу Rustock - я взял свежайшего, по классификации ЛК SpamTool.Win32.Mailbot.bc. [/quote]

Из-за соглашения с автором я не могу представить последнюю версию Rustock v1.2 (aka lzx32.sys), но я могу сказать, что это уже не свежайшая версия примерно с августа. С тех самых пор как эта версия перестала обновляться. Мы тоже можем снести Rustock.B, после сноса сплайсового хука на sysenter становится беззащитным ключ в реестре. ADS выносятся через низкоуровневый разбор NTFS. На самом деле снести этот руткит очень просто, достаточно нажать на Reset вместе с одним из запущенных антируткитов следующего списка - Gmer, DarkSpy, IceSword, BlackLight.

[quote=Зайцев Олег]Мне правда сложно судить, соответствует ли зловред "Rustock.C", семейство точно это, а вот разновидностей там тьма - правда поведение у изученных примерно идентичное и в разделе "помогите" посвященные ему темы мелькают с завидной регулярностью.[/QUOTE]

C вариант только что вышел. Неуловимый. Никем =))))

@EP_X0FF:
я всего лишь процитировал вас, оскорблений/комментов не было.
И ответить вам я не смогу ибо слаб я в обсуждаемой теме. А мнение ваше как специалиста интересно народу, вот я вас и запостил.

@Alex_Goodwin:
Да ладно, но вообще то принято хотя бы линк на оригинал кидать.

[QUOTE=EvilPhantasy;88616]
...
C вариант только что вышел. Неуловимый. Никем =))))[/QUOTE]
В общем, пока этот [I]Rustock.C[/I] не проявится на горизонте, говорить, по сути, не о чем.

[QUOTE=aintrust;88635]В общем, пока этот [I]Rustock.C[/I] не проявится на горизонте, говорить, по сути, не о чем.[/QUOTE]

А никто и не собирается.

Поймают его не скоро и скорее всего случайно в неактивном состоянии товарищи из-за границы. Но это будет Острашенная тайна ;) ибо отношения есть отношения, а технологии - технологиями ;)

[QUOTE=Зайцев Олег;88610] pe386 C:\WINDOWS\system32:lzx32.sys

Далее он убивается скриптом AVZ (надо кстати включить скрипт в базу стандартных скриптов)

Если включен AVZ PM, то плюс к этом получим:
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F5E09000, размер=73728, имя = "\??\C:\WINDOWS\system32:lzx32.sys"
и соответственно драйвер будет виден в модулях пространства ядра и исследовании системы ...
[/QUOTE]

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
E:\WINDOWS\system32\imon.dll --> Подозрение на Keylogger или троянскую DLL
E:\WINDOWS\system32\imon.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано

Стоит НОД 2.70.16 ENG.

Анализатор - изучается процесс 1552 E:\WINDOWS\system32\tmloader.exe
>>> Реальный размер предположительно = 2482176

Реальный размер на диске (нет лишних потоков, ссылок) - 3584 байта

НОД в базу чистых занести нельзя? Или так и должно быть?

[quote=Alvares;88747]5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
E:\WINDOWS\system32\imon.dll --> Подозрение на Keylogger или троянскую DLL
E:\WINDOWS\system32\imon.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано

Стоит НОД 2.70.16 ENG.

Анализатор - изучается процесс 1552 E:\WINDOWS\system32\tmloader.exe
>>> Реальный размер предположительно = 2482176

Реальный размер на диске (нет лишних потоков, ссылок) - 3584 байта

НОД в базу чистых занести нельзя? Или так и должно быть?[/quote]
Несколько разновидностей imon от NOD есть в базе чистых - но он меняется, так что достаточно прислать этот файл мне для добавления в базу чистых.
Насчет tmloader.exe - его тоже можно прислать до кучи (подобное сообщение выдается сканером памяти в случае резкого расхождения объема образа в памяти и объема, прописанного в его заголовке).

---------------------------
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F5A77000, размер=159744, имя = "\SystemRoot\system32\drivers\kmixer.sys"
---------------------------
- нужно ли отправить этот файл на анализ?

А он в AVZ каким цветом виден? Если не зелёный - присылайте.

[QUOTE=Alex6;88840]
...
нужно ли отправить этот файл на анализ?[/QUOTE]
Не только этот файл на анализ, но также и все логи сюда в соответствии с [URL="http://virusinfo.info/showthread.php?t=1235"]Правилами[/URL] форума. Теоретически м.б. и ложная тревога, поэтому хотелось бы получить картину в целом.

[QUOTE=Alex6;88840]---------------------------
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F5A77000, размер=159744, имя = "\SystemRoot\system32\drivers\kmixer.sys"
---------------------------
- нужно ли отправить этот файл на анализ?[/QUOTE]

Это используете? [QUOTE]The kX Audio Driver is a WDM (Windows Driver Model) driver, designed to be used with any kX-compatible PCI sound-card (notably the Creative Labs SoundBlaster Live! and Audigy series of cards, and E-mu Systems' Audio Production Studio sound-card).[/QUOTE]

"Проблема" даже не столько с этим файлом, [I]kmixer.sys[/I] ("хороший" он или "плохой"), сколько с тем, что AVZ выдал предупреждение о его маскировке. Это м.б. ошибкой AVZ (тогда хотелось бы понять, откуда у нее ноги растут, и постараться избавиться от нее в дальнейшем), но м.б. и реальной проблемой. Без полных логов этого все равно не понять, однако их может оказаться недостаточно для полного понимания проблемы. Так что ждем-с...

Либо там что-то есть, либо версия старая/совсем новая K/L

Версия: 5, 10, 00, 3538J - debug
Дата компиляции: Jan 26 2006 05:32:18
В маскированных не отображается, и списке драйверов отмечена зеленым.

Проверил 3537final, и 3538L последняя бета. Не показывает, зеленые
Для 3538L kmixer.sys B74F2000 02A000 (172032)

[QUOTE=IgorA;88865]Либо там что-то есть, либо версия старая/совсем новая K/L

Версия: 5, 10, 00, 3538J - debug
Дата компиляции: Jan 26 2006 05:32:18
В маскированных не отображается, и списке драйверов отмечена зеленым.[/QUOTE]
В такой ситуации поможет протокол, сохраненный их окна "Модули пространста ядра" + сообщение о маскировке, выдаваемое в этом сеансе. Есть предположение, что у них базовые адреса различаются.

может мне всетаки ответит кто как это исправить-Ошибка - невозможно загрузить AV базу

[QUOTE=Well;88958]может мне всетаки ответит кто как это исправить-Ошибка - невозможно загрузить AV базу[/QUOTE]
Можно поподробнее?

[QUOTE=Well;88958]может мне всетаки ответит кто как это исправить-Ошибка - невозможно загрузить AV базу[/QUOTE]
Так какая все-таки у вас ошибка, вот эта:
[QUOTE=Well]Ошибка AVZ Guard: C0000034 это что за ошибка?это функция включить AVZ Guard.[/QUOTE]
или же проблема с загрузкой базы? Если сообщение об ошибке AVZGuard, то, боюсь, понадобится более детальное расследование. Приведите [U]в точности[/U] то сообщение, которое выдает вам AVZ и объясните, в каком месте это происходит. А иначе, полагаю, никто вам ничего не ответит!

[QUOTE=Well;88958]может мне всетаки ответит кто как это исправить-Ошибка - невозможно загрузить AV базу[/QUOTE]
Такая ошибка возникает по статистике в двух случаях:
1. Если запустить AVZ прямо из архива, не распаковывая его
2. Если распаковать avz.zip частично, вытащив только avz.exe, или распаковать архив каким-либо кривым архиватором, который извлечет все файлы в отну папку.

скачала ещё раз-архиватор вин рар-не кривой.при запуске программы появляется сообщение о котором я писала и появляется на рабочем столе папка BAZE.хорошая программка хотелось бы чтоб работала)всем спасибо!

Так откуда запускаете-то? Прямо из архива?

[QUOTE=Well;89040]скачала ещё раз-архиватор вин рар-не кривой.при запуске программы появляется сообщение о котором я писала и появляется на рабочем столе папка BAZE.хорошая программка хотелось бы чтоб работала)всем спасибо![/QUOTE]
Программу нужно сначала извлечь из архива ([B]все файлы[/B]), получится папка AVZ4, а затем нужно запускать avz.exe из этой папки на диске... а не наоброт.

На сайте [url]http://www.rku.xell.ru/[/url] нашел Тестовый руткит проекта Rootkit Unhooker (Скрытый процесс+скрытый драйвер). AVZ его видет, но не может завершить процесс. Почему?

Завершает (убивает) без проблем, вроде...

[QUOTE=aintrust;89115]Завершает (убивает) без проблем, вроде...[/QUOTE]

А у меня после убивания сразу воскресает.

[QUOTE=Alex5;89361]А у меня после убивания сразу воскресает.[/QUOTE]
Тогда давайте подробнее. Какая именно ОС? Какая именно версия руткита? Что значит "воскресает"? Типа убивается, но тут же воскресает, или же совсем не убивается AVZ? Как вы определяете, что воскресает? Процесс руткита снова появляется в "Диспетчере процессов" AVZ или еще как-то?

[QUOTE=aintrust;89366]Тогда давайте подробнее. Какая именно ОС? Какая именно версия руткита? Что значит "воскресает"? Типа убивается, но тут же воскресает, или же совсем не убивается AVZ? Как вы определяете, что воскресает? Процесс руткита снова появляется в "Диспетчере процессов" AVZ или еще как-то?[/QUOTE]

Запускаю RKSTART.EXE (это RkUnhooker test rootkit 1.2).
Далее запускаю AVZ. В "Параметры поиска" ставлю все возможные галочки (кроме "расширенный анализ"). Нажимаю "Пуск". Работа... Ради проверки нажимаю опять "пуск"... (кстати, перехваты Касперского умерли):

----------------------------
Протокол антивирусной утилиты AVZ версии 4.22
Сканирование запущено в 29.12.2006 0:48:01
Загружена база: 73605 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 26.12.2006 12:51
Загружены микропрограммы эвристики: 365
Загружены цифровые подписи системных файлов: 54459
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 1 ; AVZ работает с правами администратора
.......................................
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=1788, имя = "RKSTART.EXE", полное имя = "\Device\HarddiskVolume1\Downloads\Rootkit Unhooker\rk_demo_v12\RKSTART.EXE"
>> обнаружена подмена PID (текущий PID=4, реальный = 1788)
>> обнаружена подмена имени, новое имя = ""
>> Маскировка драйвера: Base=F9FD3000, размер=8192, имя = "\??\c:\Downloads\Rootkit Unhooker\rk_demo_v12\RKdemo12.sys"
Поиск маскировки процессов и драйверов завершен
.........................................
----------------------------

Захожу в "Диспетчер процессов":
----------------------------
Device\HarddiskVolume1\Downloads\Rootkit Unhooker\rk_demo_v12\RKSTART.EXE 1788 ?? ?,ошибка получения информации о файле
Командная строка:
----------------------------

Нажимаю "ЗАВЕРШИТЬ ПРОЦЕСС"! И опять:
-----------------------------
\Device\HarddiskVolume1\Downloads\Rootkit Unhooker\rk_demo_v12\RKSTART.EXE 1788 ?? ?,ошибка получения информации о файле
Командная строка:
----------------------------

Сколько не нажимаю, а он все есть.

Захожу в "Модули пространства ядра":
\??\c:\Downloads\Rootkit Unhooker\rk_demo_v12\RKdemo12.sys F9FD3000 002000 (8192)

Никак не удаляется из памяти. Если бы добавить автозагрузкой (тоже не удаляемой на таком же уровне), то фиг избавишься.

[QUOTE=alex5;89380]Нажимаю "ЗАВЕРШИТЬ ПРОЦЕСС"! И опять:
-----------------------------
\Device\HarddiskVolume1\Downloads\Rootkit Unhooker\rk_demo_v12\RKSTART.EXE 1788 ?? ?,ошибка получения информации о файле
Командная строка:
----------------------------

Сколько не нажимаю, а он все есть.[/QUOTE]
Да, интересное поведение, есть над чем подумать... Возможно, баг/недоработка в AVZ. Дайте, пожалуйста, более подробную информацию о том, какая у вас файловая система на диске C: (где находится каталог Downloads), а также пришлите журналы работы AVZ в соответствии с Правилами форума (для этого вам придется зарегистрироваться).

[QUOTE=alex5;89380]Захожу в "Модули пространства ядра":
\??\c:\Downloads\Rootkit Unhooker\rk_demo_v12\RKdemo12.sys F9FD3000 002000 (8192)

Никак не удаляется из памяти.[/QUOTE]
Драйвер не удаляется, такой функциональности в AVZ нет. По сути, информация о драйвере в "Модулях пространства ядра" в текущий момент нужна для того, чтобы, с одной стороны, показать пользователю цветом, что есть "скрытые" драйверы, а с другой - дать возможность провести дополнительный анализ (к примеру, получить адрес его загрузки, размер, местоположение, скопировать в карантин, сделать дамп в файл и т.д.). В дальнейшем, возможно, будут средства для динамической нейтрализации скрытых драйверов.

[QUOTE=alex5;89380]Если бы добавить автозагрузкой (тоже не удаляемой на таком же уровне), то фиг избавишься.[/QUOTE]
Давайте не будем валить все в одну кучу. "Избавление от автозагрузки" чего-то там и терминирование скрытого процесса - это разные вещи, хотя зачастую и взаимосвязанные. Нужно ясно понимать, что во многих случаях можно не терминировать/нейтрализовывать процесс и/или драйвер, и в то же время спокойно удалить все эти компоненты из последующей "автозагрузки". Последнее - значительно важнее, на самом деле...

[QUOTE=aintrust;89394]Да, интересное поведение, есть над чем подумать... Возможно, баг/недоработка в AVZ. Дайте, пожалуйста, более подробную информацию о том, какая у вас файловая система на диске C: (где находится каталог Downloads), а также пришлите журналы работы AVZ в соответствии с Правилами форума (для этого вам придется зарегистрироваться).
[/QUOTE]
Так... разобрались вроде. ;) Дело в том, что у меня оказался прототип версии 4.23, так что пока ничего присылать не надо. Ждите выхода версии 4.23 (сегодня, видимо).

[QUOTE=aintrust;89400]Так... разобрались вроде. ;) Дело в том, что у меня оказался прототип версии 4.23, так что пока ничего присылать не надо. Ждите выхода версии 4.23 (сегодня, видимо).[/QUOTE]
Уже вышла - я создал тему для 4.23 - [url]http://virusinfo.info/showthread.php?p=89402[/url]