AVZ 4.30

[quote=Jef239;229154]В запароленных? Ну как-то не верится. Разве что на пароль Virus проверять могут. Уж больно оно накладно по времени - пароль вскрывать.[/quote]
Многие почтовые антивирусы содержат фичу - блокировать запароленные архивы. Т.е. если антивирус не может вскрыть архив и проверить его, то он прибивает письмо с ним (или на корпоративном почтаре отправляет в отстойник). У меня в сети так KAV почтовый настроен ... и это разумная мера, так как юзеры получив письмо из Зимбабве от Васи Пупкина с запароленным архивом и подсказкой по паролю типа "пароль на архив является числом, которое вычисляется по формуле 15+162*9" вооружаются куркулятором, вычисляют пароль, сохраняют архив, распаковывают его и запускают содержащийся там файл с именем типа "Запусти меня, если ты не лох.exe". Разъяснительная работа бесполезна (один юзер у меня так запускал несколько раз подряд подобные вещи, раз за разом ему чистили компьютер и впроводили внушение, и раз за разом ответ один - "а вдруг там что-то важно или интересное ?"). Поэтому я думаю или отказаться от архивов (и пересылать карантин AVZ в каком-то бинарном формате, который не будет восприниматься как архив), или вообще отказаться от приема семплов по почте, заменив их на форму на сайте (тогда в форме придется сделать выдачу некоего тикета, чтобы его можно было включить в письмо)

[QUOTE=Зайцев Олег;229170]или вообще отказаться от приема семплов по почте, заменив их на форму на сайте (тогда в форме придется сделать выдачу некоего тикета, чтобы его можно было включить в письмо)[/QUOTE]Очень хорошая идея, тогда и максимально допустимый размер файлы увеличьте, только что хотел прислать AdWare, а он оказался на 500 Кб больше допустимого. :(

Олег, может добавить такую фичу: при удалении библиотеки проводить ее дерегистрацию, аля regsvr32 /u .

[quote=Alex_Goodwin;229407]Олег, может добавить такую фичу: при удалении библиотеки проводить ее дерегистрацию, аля regsvr32 /u .[/quote]
Такой функционал бых по умолчанию в старых версиях - при удалении DLL проводился анализ, есть ли в ней функция дерегистрации - если есть, то она выполнялась. Но оказалось, что у некоторых зловредов код дерегистрации весьма зловредный и вместо удаления выполняет заражение.

[QUOTE]файл с именем типа "Запусти меня, если ты не лох.exe".[/QUOTE]
Да, социальная инженерия :L

[url]http://virusinfo.info/showthread.php?t=23208[/url] - успешное лечение base*.dll при помощи AVZ 4.30. Это не может не радовать. ;)

[quote=PavelA;230123][URL]http://virusinfo.info/showthread.php?t=23208[/URL] - успешное лечение base*.dll при помощи AVZ 4.30. Это не может не радовать. ;)[/quote]
кстати, раньше эти base*32.dll жили в основном в \system32\drivers\ а сейчас просто в \system32\..

[QUOTE=Karlson;230170]кстати, раньше эти base*32.dll жили в основном в \system32\drivers\ а сейчас просто в \system32\..[/QUOTE]

Никогда их в папке drivers не видел. Только в %system32%.

[quote=kps;230204]Никогда их в папке drivers не видел. Только в %system32%.[/quote]
пардон... абсдался... :)
попутал я..

Можно поправить? При работе с карантином после сортировки по размеру, например, удаляем любой (любые) файл(ы). И вот:

[URL=http://imageshack.us][IMG]http://img205.imageshack.us/img205/1561/48026323zs7.png[/IMG][/URL]

AhnLab-V3 2008.5.22.1 2008.05.23 -
AntiVir 7.8.0.19 2008.05.23 -
Authentium 5.1.0.4 2008.05.23 -
Avast 4.8.1195.0 2008.05.23 -
AVG 7.5.0.516 2008.05.23 -
BitDefender 7.2 2008.05.24 -
CAT-QuickHeal 9.50 2008.05.24 -
ClamAV 0.92.1 2008.05.24 -
DrWeb 4.44.0.09170 2008.05.24 -
eSafe 7.0.15.0 2008.05.22 -
eTrust-Vet 31.4.5817 2008.05.23 -
Ewido 4.0 2008.05.23 -
F-Prot 4.4.4.56 2008.05.23 -
F-Secure 6.70.13260.0 2008.05.23 -
Fortinet 3.14.0.0 2008.05.24 -
GData 2.0.7306.1023 2008.05.23 -
Ikarus T3.1.1.26.0 2008.05.24 Trojan-PWS.Win32.Lmir.bey
Kaspersky 7.0.0.125 2008.05.24 -
McAfee 5302 2008.05.23 -
Microsoft 1.3520 2008.05.24 -
NOD32v2 3128 2008.05.23 -
Norman 5.80.02 2008.05.23 -
Panda 9.0.0.4 2008.05.23 -
Prevx1 V2 2008.05.24 -
Rising 20.45.42.00 2008.05.23 -
Sophos 4.29.0 2008.05.24 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.24 -
TheHacker 6.2.92.318 2008.05.23 -
VBA32 3.12.6.6 2008.05.24 -
VirusBuster 4.3.26:9 2008.05.23 -
Webwasher-Gateway 6.6.2 2008.05.24 - Я посылал на Virustotal - он блокировал AVZ 4.30 , блокировал и много другие проверки и тесты ! Всего хорошего....

@tnn Отправь этот файл Олегу на анализ, глядишь и картинка изменится.

[quote=PavelA;232148]@tnn Отправь этот файл Олегу на анализ, глядишь и картинка изменится.[/quote]
Конечно изменится - у меня есть 3 штуки Trojan-PWS.Win32.Lmir.bey, этот имеет шансы стать четвертым :)

Олег! Вот такая строчка в логе:
\FileSystem\ntfs[IRP_MJ_CREATE] = F59E1BA3 -> C:\WINDOWS\system32\sywtdxaz.sys, драйвер опознан как безопасный

По многим признакам это руткит, или все-таки кто-то под него подделывается?

[quote=PavelA;232607]Олег! Вот такая строчка в логе:
\FileSystem\ntfs[IRP_MJ_CREATE] = F59E1BA3 -> C:\WINDOWS\system32\sywtdxaz.sys, драйвер опознан как безопасный

По многим признакам это руткит, или все-таки кто-то под него подделывается?[/quote]
Чисто теоретически может быть, что при обращении к файлу выдается не его содержимое, а содержимое чего-то типа Beep.Sys. Можно попробовать закарантинить его через BC - посмотрим, что за зверь

Попробовал взять обычным Quarantine с послед. включением ВС_ImportAll.
В ВС завершение копирования = 0, но в карантине его нет.
М.б. его убил Доктор Веб, если пользователь не отключил.

Теперь уже поздно. V_Bond убил файл скриптом.

С этим именем в паре тем в разделе "Помогите!" у нас эти файлики проскакивали. В ответах из ЛК было что нашли что-то новое, но непонятно на этом файле или нет.

Просьба к Олегу - сделать в следующих версиях AVZ ключ запуска AVZ для обновления баз, чтобы можно было делать это из зашедуленного батника. У меня так каждый день wget-ом качается cureit и база для SpybotSD (если обновилась) .
А может, он уже есть, и я что-то не знаю ?

Есть. Читать хелп полезно бывает :)

[quote]Задача: выполнить обновление базы в "тихом" режиме (без отображения GUI) с протоколированием успешности операций. Это в частности удобно в случае размещения AVZ на сервере - в этом случае процедуру обновления баз можно включить в планировщик и в результате на сервере будет находиться AVZ с актуальной базой.

Скрипт имеет вид:

var
S : string;
begin
// Обновление баз
if ExecuteAVUpdate then S := 'Обновление прошло успешно'

else S := 'Ошибка обновления баз AVZ';
// Протоколирование
AddLineToTxtFile(GetAVZDirectory + 'avz_upd.log', DateTimeToStr(Now)+' '
+S);
// Завершение работы AVZ
ExitAVZ;
end.

Запуск AVZ в данном случае должен производиться с параметрами:
avz.exe HiddenMode=1 script=update.txt

В данном случае предполагается, что скрипт сохранен в папке AVZ в файле с именем update.txt. Параметр HiddenMode=1 предписывает AVZ запуститься свернутым в трей. В качестве усовершенствования в данном скрипте можно применить функцию ExecuteAVUpdateEx

AVZ, (C) Зайцев О.В., http:[/quote]

[size="1"][color="#666686"][B][I]Добавлено через 5 часов 41 минуту[/I][/B][/color][/size]

Олег, по моему предыдущему сообщению - в таком виде копируется из справки АВЗ.
URL не дописывается. Бага вроде как :)

AVZ часто запускается в безопасном режиме. А на некоторых машинах именно в безопасном режиме разрешение экрана больше, чем 640х480 не поставить. Неудобность в том, что интерфейс явно не расчитан на 640х480 :( Там ведь, наверное, совсем чуть-чуть поправить ...

+10
Надо это обязательно поправить. Как же мы такое пропустили? :(

Является ли наличие процесса с системным именем (например lsass.exe) и запущеного не из системной папки, подозрительным?

Проведём эксперимент.
1. Возьмем файл отсутствующий в базе безопасных, положим в c:\temp или %APPDATA% или %USERPROFILE%. Обзовем его lsass.exe или svchost.exe и запустим.
2. Возьмем АВЗ и проведём сканирование.
Результат пуст, предупреждений нет.
Не должна ли эвристическая проверка выдать чего нибудь угрожающе-информативного?
Или современные зловреды так не прячутся.

[B]XiTri[/B], прячутся. Хорошая идея. У AVZ уже кое-какие проверки есть подобного рода, но маловато - не проверяет большиство имен системных файлов, только некоторые и не во всех наиболее возможных директориях.

[QUOTE=kps;233655] Хорошая идея. [/QUOTE]

Если честно не ожидал что несработает. Хотел показать другу и облажалси :)

C:\WINDOWS\svchost.exe - это звучит подозрительно.

[QUOTE=XiTri;233680]Если честно не ожидал что несработает. Хотел показать другу и облажалси :)

C:\WINDOWS\svchost.exe - это звучит подозрительно.[/QUOTE]

:) кстати Олег бы мог постараться и улучшить эвристик по именам - такая идея у меня в голове летали недавно. Вот и чем суть: Например имя файла [B]svchost.exe[/B] заметьте что с ним зловред делает, заменяет 1 букву или добавляет букву в слове. Можно цикл написать в котором каждое имя файла сравнивалось бы с системным и в этом цикле проверялось на добавление/замену буквы...

Чтоб вы меня поняли вот пример:
svshost.exe

AVZ будет проверять примерно так: avchost.exe bvchost.exe cvchost.exe и т.д. пока не найдет подставу...

А также, так как буквы добавляют можно прибавлять буквы: asvchost.exe bsvchost.exe и т.д. И конечно же совместить этот метод.

Правда такой "прогон" может замедлить проверку...

[quote=zerocorporated;233872]:) кстати Олег бы мог постараться и улучшить эвристик по именам - такая идея у меня в голове летали недавно. Вот и чем суть: Например имя файла [B]svchost.exe[/B] заметьте что с ним зловред делает, заменяет 1 букву или добавляет букву в слове. Можно цикл написать в котором каждое имя файла сравнивалось бы с системным и в этом цикле проверялось на добавление/замену буквы...

Чтоб вы меня поняли вот пример:
svshost.exe

AVZ будет проверять примерно так: avchost.exe bvchost.exe cvchost.exe и т.д. пока не найдет подставу...

А также, так как буквы добавляют можно прибавлять буквы: asvchost.exe bsvchost.exe и т.д. И конечно же совместить этот метод.

Правда такой "прогон" может замедлить проверку...[/quote]


Слишком большой перебор получается,:
В англ языке 26 букв? ну плюс ещё цифрами могут буквы подменять, но пока цыфры в расчет не будем брать.
Итак, [B]svchost.exe - 7[/B] букв не считая расширения, одна правильная, и ещё 25 вариантов подмены, итого, перебор первой буквы - 25 шагов, второй, ещё 25 шагов, 7*25=175 шагов, а если две буквы менять? ил три ? Там получается геометрическая прогрессия :)

Брутфорс имен это перебор, не надо доводить идею до абсурда.

[quote=XiTri;234078]Брутфорс имен это перебор, не надо доводить идею до абсурда.[/quote]
В теории можно сделать так -
1. создать базу визуально похожих букв
2. Создать базу букв латинского и русского алфавита
Далее берем имя файла, считаем в нем количество латинских/нелатинских букв. Если есть нелатинские - подозрительно, но не сильно. Затем производим сравнение с именами системных объектов, вычисляя процесн похожести с учетом той самой таблицы визуальной похожести. И получаем вердикт типа "имя процесса svch[B]о[/B]st.exe на 70% похоже на имя системного объекта, при этом визуально оно 99% похоже на системное имя svchost.exe. Ну а далее пороги, алармы и т.п.
Т.е. делать не тупой брутфорс, а расчитывать степень похожести имени подозреваемого на системное. Соответственно системных имен немного - зловреды маскируют свои имена под имена системных процессов, которые по умолчанию запущены (и юзер не может соответственно визуально отличить зверя от легитимного в стандартном диспетчере процессов).

Такая проверка мне нравится. Причем, думаю, в случае обнаружения svchоst.exe с русской буквой о можно смело выдавать степень опасности 99%, ИМХО.

[QUOTE=Зайцев Олег;234089]Затем производим сравнение с именами системных объектов, вычисляя процесн похожести с учетом той самой таблицы визуальной похожести. И получаем вердикт типа "имя процесса svch[B]о[/B]st.exe на 70% похоже на имя системного объекта, при этом визуально оно 99% похоже на системное имя svchost.exe.[/QUOTE]

Вот такие вещи меня всегда интересовали.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Кстати в слове процент опечатка - "процесн"

уважаемый Зайцев Олег .что сие есть? и с чем его едят? какие меры принять? FileSystem\ntfs[IRP_MJ_CREATE] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_CLOSE] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_WRITE] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_QUERY_EA] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_SET_EA] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileS stem\ntfs IRP MJ PN = 82F671E8 -> пe exвaтчик нe oп eдeлeн

[quote=rdog;235512]уважаемый Зайцев Олег .что сие есть? и с чем его едят? какие меры принять? FileSystem\ntfs[IRP_MJ_CREATE] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_CLOSE] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_WRITE] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_QUERY_EA] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_SET_EA] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileS stem\ntfs IRP MJ PN = 82F671E8 -> пe exвaтчик нe oп eдeлeн[/quote]
Если несерьезно: если вырезать кусочек на 5 см из кардиограммы, показать ее врачу и спросить - "Доктор, а у меня есть камни в почках" - что ответит доктор ? :)
Если серьезно: нужно сделать исследование системы (котороче говоря, все, что прописано в правилах "Помогите"), и нужно искать причину. В общем это перехват IRP драйвера NTFS - он может применяться антивирусом (мониторинг обращений к файлам), зловредом (маскировка и блокировка), и некоторым "псевдоруткитам" - типа пряталок каталогов и эмуляторов дисков.

Зайцев Олег-доктор)) не серчайте) просто я в этой ветке встретил похожий вопрос. Спасибо за ответ!

Баги и пожелания принимаются ?

В менеджере автозапуска кликаешь правой кнопкой на строчке в списке ключей, выбираешь "Открыть в Regedit", то:
1. Если регедит не открыт, то он открывается, но на нужный ключ не перебегает, ну это фих с ним, второй раз вызываешь "Открыть в Regedit" - и всё нормально.
2. Уже несколько раз замечал, что вместо раздела HKLM\[B]SYSTEM[/B]\<и т.д.> ищется почему-то раздел HKLM\[B]SOFTWARE[/B]\<и т.д.> - соответственно, нужный параметр не находится.

Хорошо бы добавить в окне менеджера автозапуска строку для хинтов внизу, чтобы выводить там имя раздела. Хорошо бы иметь возможность скопировать имя раздела в буфер обмена

Здравствуйте Олег.Воспользовался Вашей утилитой AVZ,провел проверку компьютера-вирусов не обнаружено.Затем,не разобравшись,доку не почитав,включил AVZ Guard,думал появится диалог с пользователем,погляжу(из любопытства) и выключу.:OТеперь у меня проблемы с загрузкой Windows XP SP2 RUS.Вот как дело было, по порядку:1) запустил AVZ Guard 2) Выключил AVZ Guard-пишет,что будет активен до перезагрузки 3) перезагрузился 4) вылазит сообщение Windows(не удалось выполнить загрузку системы,возможно это является следствием изменения в настройках оборудования или програмного обеспечения...)варианты загрузки...5) выбираю обычный режим 6) система загружается нормально 7) появляется рабочий стол и сообщение: обнаружено новое устройство, устр-во не опознано или не готово, (что то типа того, точно уже не помню), удалил это устр-во,через некоторое время, в диспетчере устройств.Теперь, при каждой загрузке Windows, выходит сообщение( не удалось выполнить загрузку...),выбираю обычный режим загрузки, загружается нормально. Подскажите,как теперь вернуть загрузку в нормальное состояние.Хотел сделать откат системы,но точки восстановления оказались недоступны. Выполнил стандартный скрипт пункт6(удаление всех ключей и драйверов AVZ),перезагрузился-не помогло.Проверки утилитами Windows и Acronis говорят, что повреждений секторов и ошибок файловой системы нет.
Загрузочного диска Windows нет, Live CD нет и загруз. образов типа Acronis тоже нет.Но могу взять другой лицензионный диск,тоже Windows XP SP2 RUS,если это нужно.Пожалуйста, подскажите как решить проблему,ведь никто кроме Вас не знает лучше о работе AVZ.Заранее благодарен.

[quote=Pavel1;237288]Здравствуйте Олег.Воспользовался Вашей утилитой AVZ,провел проверку компьютера-вирусов не обнаружено.Затем,не разобравшись,доку не почитав,включил AVZ Guard,думал появится диалог с пользователем,погляжу(из любопытства) и выключу.:O[/quote]
Вот вот - дока важная вещь в такой ситуации. Попробуем ее разрешить - для начала следует запустить AVZ и выполнить стандартный скрипт номер 6, после чего перезагрузиться и посмотреть, исправится проблема или нет

Олег!Спасибо,что ответили.:>Скрипт выполнил,не помогло.Знакомый програмист сказал,что слетели драйвера (материнской платы например) и надо их переустановить.Можит ли в этом быть проблема,как считаете?

предлагаю рассматривать автозагрузку из "C:\Documents and Settings" как подозрительную.

[quote=tar;238121]предлагаю рассматривать автозагрузку из "C:\Documents and Settings" как подозрительную.[/quote]

Тогда уж ещё из %userprofile%, %HomeDrive%%HomePath%

Это я к тому,что не у всех система на С стоит.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 22 минуты[/I][/B][/color][/size]

Олег, строчка из протокола исследования системы
[CODE]F:\WINNT\System32\ntoskrnl.exe
80400000 19CD00 (1690880) ‘Ёб⥬*л© ¬®¤г«м п¤а NT (C) Љ®аЇ®а жЁп Њ ©Єа®б®дв (Microsoft Corp.), 1981-1999[/CODE]
Похоже, что ты не в той кодировке выводишь.:) Да, у меня Win2k preSP5

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Я к [URL="http://virusinfo.info/showthread.php?t=24031"]http://virusinfo.info/showthread.php?t=24031[/URL]

Посмотрел, что там вживую. В логе про службы есть замечательная строчка
[code]Обнаружено - 40, опознано как безопасные - 32[/code]Так вот, кто-то (скорее AVAST, чем AVZ) нашёл зловреда в процессе SVCHost. И ничтоже сумнящися, удалил как svchost.exe, так и ВСЕ службы, ссылающиеся на него.

Посему у меня есть набор предложений. Вероятно это к анализатору проблем:

1) Проверять наличие некоторых обязательных системных файлов.
2) Проверять наличие некоторых обязательных системных сервисов (в первую очередь RPCSS).

Pavel1 можно так же попробовать выполнить "win+r" (аналог- Пуск/выполнить) далее вставить диск с win и выполнить sfc /scannow . Или запустив avz, Сервис/системные утилиты/sfc

[QUOTE=tar;238121]предлагаю рассматривать автозагрузку из "C:\Documents and Settings" как подозрительную.[/QUOTE]

Есть программы, которые туда прописываются и оттуда стартуют, причем вполне легетимные. Ваше предложение может только увеличить лог и не дать никакой полезной установки.