Бетта тестирование AVZ 3.65

Добрый день. Упал тут на сервер страшный зверь по имени BackDoor.HackDef.100. А поскольку к серверу физический доступ затруднён, да и диск из него не выковыряешь, то приходится лечить прямо на живой системе. Посоветовали AVZ - попробовал, неплохо на первый взгляд.

Только вот есть одна закавыка. Гадский руткит прячет файл rootkit.avz. То есть, положил его на шару на сервер - он там есть. Смотрю с самого сервера - нету. Соответственно, AVZ не может искать руткиты в памяти, ну и всё такое. Причём, прячет именно по имени, поскольку после переименовывания оно видно.

Вот вопрос - как бы с этим разобраться? Просто переименовать - нехорошо, следующая вариация стелса может новое имя прятать. Может сделать какой-то механизм? Самое простое - файл настроек, в котором прописываются алиасы для файлов баз?

[QUOTE=Boba]Добрый день. Упал тут на сервер страшный зверь по имени BackDoor.HackDef.100. А поскольку к серверу физический доступ затруднён, да и диск из него не выковыряешь, то приходится лечить прямо на живой системе. Посоветовали AVZ - попробовал, неплохо на первый взгляд.

Только вот есть одна закавыка. Гадский руткит прячет файл rootkit.avz. То есть, положил его на шару на сервер - он там есть. Смотрю с самого сервера - нету. Соответственно, AVZ не может искать руткиты в памяти, ну и всё такое. Причём, прячет именно по имени, поскольку после переименовывания оно видно.

Вот вопрос - как бы с этим разобраться? Просто переименовать - нехорошо, следующая вариация стелса может новое имя прятать. Может сделать какой-то механизм? Самое простое - файл настроек, в котором прописываются алиасы для файлов баз?[/QUOTE]
Значит, кто-то додумался до того, чтобы включить Rootkit.avz в список маскируемых. Неплохой тактический ход, но обмануть его можно - и достаточно просто. Значит так - по адресу http:\\z-oleg.com\avz.exe лежит новый exe файл от AVZ (приватная сборка, специально для решения данной проблемы). Он пытается загрузить файл rootkit.avz, если не удается - то пытается искать файл rk.avz, если и такого нет - checkrk.avz. Т.е. файл rootkit.avz можно переименовать в rk.avz или checkrk.avz и после этого провести лечение.
А для решения проблемы в чистом виде я в новой версии введу поддержку алиасов, задаваемых в командной строке.

[quote=Зайцев Олег]А для решения проблемы в чистом виде я в новой версии введу поддержку алиасов, задаваемых в командной строке.[/quote]
И, желательно, в интерактивном диалоге. Причём факт потери баз надо отслеживать уже при запуске и в случае чего выкидывать этот диалог принудительно.

Так, огромное спасибо, новая версия вроде зацепилась. Кстати, "rk.avz" не помог, его тоже прятало ;-). Второй сработал.

Пока результаты такие вот

>> Опасно ! Обнаружена маскировка сервисов и драйверов на уровне API
>>>> Подозрение на RootKit AtapiDriver C:\WINNT\system32\ATAPI.DRV
>> Опасно ! Обнаружена маскировка сервисов и драйверов на уровне реестра
>>>> Подозрение на RootKit AtapiDriver C:\WINNT\system32\ATAPI.DRV
>> Опасно ! Обнаружена маскировка процессов
>>>> Подозрение на маскировку процесса 1172 c:\winnt\system32\ntlmos.exe
>>>> Подозрение на маскировку процесса 1216 c:\winnt\system32\nwlnkfsx.sys


Файлы скопированы, отосланы дрвебу (каспер их видит, веб нет, что очень странно :-)).
[QUOTE] NewVirus.rar/ATAPI.DRV - инфицирован Backdoor.Win32.HacDef.ai
NewVirus.rarntlmos.exe.no - инфицирован not-a-virus:Server-FTP.Win32.Serv-U.gen
NewVirus.rar/nwlnkfsx.drv - в порядке
NewVirus.rar/nwlnkfsx.sys - инфицирован Backdoor.Win32.Sjak.a [/QUOTE]

Тебе они нужны?

О-го! Вирусописатели стали опасаться AVZ !!! Значит, огромное спасибо [b]Зайцеву Олегу[/b] за хорошую программу!

А что будет, если Rootkit-ы начнут прятать [b]avz.exe[/b] или другие важные компоненты AVZ? С этим как-то надо бороться...

[QUOTE=Boba]
Тебе они нужны?[/QUOTE]
Всё нужно :)
Всё что АВЗ не знает присылайте :)

[QUOTE=DenZ]
...
А что будет, если Rootkit-ы начнут прятать [b]avz.exe[/b] или другие важные компоненты AVZ? С этим как-то надо бороться...[/QUOTE]
Да, бороться, конечно, неплохо было бы... :) Но, на самом деле, тяжелая это война, с переменным перевесом в ту или иную сторону. В настоящий момент AVZ вообще никак не защищен, более того, к примеру, драйвер AVZ (при "умелом" его использовании вирусописателем - достаточно всего лишь нескольких инструкций на языке C) легко вызывает синий экран. И таких потенциально узких мест в AVZ пока что множество, а их "исправление" потребует довольно значительных временных затрат.

А может действительно уже пришло для этого время, особенно в связи с предстоящим выходом утилиты на международный рынок? Что думаешь по этому поводу, Олег?

[QUOTE=aintrust]Да, бороться, конечно, неплохо было бы... :) Но, на самом деле, тяжелая это война, с переменным перевесом в ту или иную сторону. В настоящий момент AVZ вообще никак не защищен, более того, к примеру, драйвер AVZ (при "умелом" его использовании вирусописателем - достаточно всего лишь нескольких инструкций на языке C) легко вызывает синий экран. И таких потенциально узких мест в AVZ пока что множество, а их "исправление" потребует довольно значительных временных затрат.

А может действительно уже пришло для этого время, особенно в связи с предстоящим выходом утилиты на международный рынок? Что думаешь по этому поводу, Олег?[/QUOTE]
Я поэтому и не хотел выходить на международный рынок ...
Насчтет защиты - нужно подумать - просто исходно AVZ адумывался как утилита, подмога для антивиря/антиспайвера - в этом слечае защита была не нужна. А по мере роста получается, что необходимость в защите возникает - в данный тип HackDef тому пример (как оказалось, авторы этого зверя не поленились забить в конфиг множество масок для подавления видимости компонент разных антируткитов).

[QUOTE=Зайцев Олег]А по мере роста получается, что необходимость в защите возникает - в данный тип HackDef тому пример (как оказалось, авторы этого зверя не поленились забить в конфиг множество масок для подавления видимости компонент разных антируткитов).[/QUOTE]
А создавать драйвер каждый раз с рандомальным именем?

[QUOTE=Geser]А создавать драйвер каждый раз с рандомальным именем?[/QUOTE]
Да, такой метод "борьбы" многими применяется на практике (для случаев, когда драйвер "прошивается" в ресурсном разделе программы), хотя в данном конкретном случае речь идет не о драйвере, а о файле анти-руткитовых сигнатур, т.н. rootkit.avz. На самом деле описанная выше "проблема" вполне решаема, и, насколько я знаю, Олег уже нашел решение...

[quote]Уточни свои заключения...[/quote]

Уточняю. АВЗ нашла примерно половину спайваря, прописанного у меня на машине, но ни одного прятавшегося в НТФС потоках. Наверно, эти образчики просто не внесены в базу. Ближе к выходным буду посвободнее и протестирую еще раз. Олег, наверно, будет не против махнуться ITW экземплярами...

Обмен ITW - это всегда полезно ... а в потоках обязан эвристик находить. Но с одной оговоркой - это в текущей версии AVZ, которая лежит на сайте - там как раз был баг в том, что не проверялись потоки каталогов (т.е. если зверь в потоке папки System32, то он не находился). В текущей версии это есть ...

скажите пожалуйста, как реагировать на подобное сообщение
[code]Функция user32.dll:DrawIconEx (173) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:GetCursor (253) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:GetIconInfo (271) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:SetWindowPos (609) перехвачена, метод CodeHijack (метод не определен)
[/code]

[QUOTE=bearcat]скажите пожалуйста, как реагировать на подобное сообщение...[/QUOTE] Это стандартные вызовы ''законных'' функций Windows API...
A где ты получил эти строки?

[quote="DimaT"]A где ты получил эти строки?[/quote]
фрагмент avz_log
[code]1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:DrawIconEx (173) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:GetCursor (253) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:GetIconInfo (271) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:SetWindowPos (609) перехвачена, метод CodeHijack (метод не определен)
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
[/code]

[QUOTE=bearcat]скажите пожалуйста, как реагировать на подобное сообщение
[code]Функция user32.dll:DrawIconEx (173) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:GetCursor (253) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:GetIconInfo (271) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:SetWindowPos (609) перехвачена, метод CodeHijack (метод не определен)
[/code][/QUOTE]
Нужно искать перехватчик. Судя по набору функций перехвачено то, что имееет отношение к рисованию. Какие-либо укашательства системы установлены ? Система не загружена после серьезного сбоя ? Сохраняется ли этот эффект после перезагрузки ?
В любом случае стоит создать тему в разделе "помогите" с приложением указанных там логов - по ним можно сказать определенно.

Последная версия 3.70 репортовала что UmxSbxExw.dll и UmxSbxw.dll с вероятности више 99% шпиони, keyloger. По поиску и според меня ето компонент Tiny Firewall, которим я пользуюс.

Пришлите их Олегу для включения в базу безопасных.

Кстати, навеяно Kerish Doctor 2005 :)
Олег, может добавиш в АВЗ опцию поиска ссылок на несуществующие файлы с возможностью чистки. Полезно после удаления ручками всяких "зверей"

[QUOTE=Geser]Кстати, навеяно Kerish Doctor 2005 :)
Олег, может добавиш в АВЗ опцию поиска ссылок на несуществующие файлы с возможностью чистки. Полезно после удаления ручками всяких "зверей"[/QUOTE]
Ссылки на несуществующие файлы искать можно, вот удалять их весьма опасно ... а если эта ссылка ведет на CD ? на сетевой диск ? В папку, недоступную текущему юзеру ? прививка от SPYWARE ? или этот CLSID создает некое приложение для некоей привязки/защиты ... - тот-же FineReader создает кучу CLSID в реестре, применяя для целей защиты - он в этом плане не одинок, есть сотни таких программ. Поэтому можно так начистить, что потом концов не найти.
А остальное есть - это микропрограммы эвристики, эвристическая чистка системы. Но там подход немного другой - в момент удаления файла удаляются явные ссылки на него.

[QUOTE=Зайцев Олег]Ссылки на несуществующие файлы искать можно, вот удалять их весьма опасно ... а если эта ссылка ведет на CD ? на сетевой диск ? В папку, недоступную текущему юзеру ? прививка от SPYWARE ? или этот CLSID создает некое приложение для некоей привязки/защиты ... - тот-же FineReader создает кучу CLSID в реестре, применяя для целей защиты - он в этом плане не одинок, есть сотни таких программ. Поэтому можно так начистить, что потом концов не найти.
А остальное есть - это микропрограммы эвристики, эвристическая чистка системы. Но там подход немного другой - в момент удаления файла удаляются явные ссылки на него.[/QUOTE]
Ну так находить, а удаление уже по выбору пользователя. Перед удалением бекап удаляемых ключей и окошко с предупреждением к чему это может привести :)

[QUOTE=Geser]Ну так находить, а удаление уже по выбору пользователя. Перед удалением бекап удаляемых ключей и окошко с предупреждением к чему это может привести :)[/QUOTE]
Ну, это можно конечно ... только есть ли смысл ? Есть туча утилит для этих целей - взять тот-же RegCleaner, например. С другой стороны, я придерживаюсь мнения, что от такой чистки вреда больше, чем пользы... в XP в среднем в реестре 260 тыс. ключей. Предположим, что удастся удалить 50 ссылающихся в пустоту ключей (именно ключей, не параметров) - это 0.019% от кол-ва ключей реестра, так что выигрыша в объеме/быстродействии/глюках не будет. А вот смахнуть что-то лишнее можно легко.
Теперь по сути - что еще из обсуждаемых доработок AVZ критично и не реализовано ? (английский интерфейс отметаем - он в процессе, постепенно делается). Новая версия выходит в районе выходных, в ней очень существенно расширена/переработана база эвристика, добавляется детектирование более 500 новых зверей ...

Олег! А как насчёт "Монитор для защиты в реальном времени" ? ;-))).

[QUOTE=Iceman]Олег! А как насчёт "Монитор для защиты в реальном времени" ? ;-))).[/QUOTE]
Если без перехатов API - то таковой готов, можно будет его пометить в этот планируемый апдейт. Тут идеалогичеcкий вопрос - делать монитор отдельной программой или сделать в AVZ триггерную кнопку "Монитор", при нажатии которой кнлючится мониторинг процессов ??

[QUOTE=Зайцев Олег]Если без перехатов API - то таковой готов, можно будет его пометить в этот планируемый апдейт. Тут идеалогичеcкий вопрос - делать монитор отдельной программой или сделать в AVZ триггерную кнопку "Монитор", при нажатии которой кнлючится мониторинг процессов ??[/QUOTE]

С идеологией проще ;-)))

"Тут идеалогичеcкий вопрос - делать монитор отдельной программой или сделать в AVZ триггерную кнопку "Монитор", при нажатии которой кнлючится мониторинг процессов " - Кнопка спасёт, ИМХО. Не нужен комбайн многофункциональный на сотню мегов, НО! В данном случае, мне кажется, это вполне уместно.

[QUOTE=Зайцев Олег]
Теперь по сути - что еще из обсуждаемых доработок AVZ критично и не реализовано ? (английский интерфейс отметаем - он в процессе, постепенно делается). Новая версия выходит в районе выходных, в ней очень существенно расширена/переработана база эвристика, добавляется детектирование более 500 новых зверей ...[/QUOTE]
Я думаю функционально уже всё есть. Далее нужно совершенствовать эвристик, антируткит, наполнять базу безопасных

[QUOTE=Зайцев Олег]Теперь по сути - что еще из обсуждаемых доработок AVZ критично и не реализовано ? [/QUOTE]

Думаю, не помешало бы сделать встроенную обновлялку. Неудобно бегать каждый раз на оф. сайт и смотреть, появились ли новые апдейты или нет. Кроме того, не каждый пользователь догадается это делать. А если учесть, что далеко не каждый знает, в какую папку распаковывать скачанные вручную апдейты, то сразу видны преимущества встроенной обновлялки, к-рая и скачает нужные апдейты и установит их или сообщит, что новых обновлений нет. И кстати, через нее можно же обновлять не только базы, но и исполняемые файлы.

[QUOTE=Зайцев Олег]
...
Теперь по сути - что еще из обсуждаемых доработок AVZ критично и не реализовано ? (английский интерфейс отметаем - он в процессе, постепенно делается). Новая версия выходит в районе выходных, в ней очень существенно расширена/переработана база эвристика, добавляется детектирование более 500 новых зверей ...[/QUOTE]
Да много еще чего! :) Из того, что помнится без заглядывания в старинные "хотелки" (не в порядке значимости):
1) разностный update через http/ftp/из локальной (сетевой) папки (как базы, так и сами модули!), с предупреждением о новой версии (не только с твоего сайта);
2) удаленное администрирование/управление (как у Symantec или Panda, к примеру) и как продолжение - возможность "невидимого"/неуправляемого режима работы (чтобы не нервировать пользователя);
2a) сделать что-то наподобие системы ABS в Касперском, т.к. на этапе проверки памяти и сканирования дисков AVZ зачастую "грузит" компьютер просто "по-черному"!
3) реализация хоть какой-то самозащиты/самопроверки, пусть даже примитивной для начала;
4) возможность работы (с некоторым незначительным ограничением функциональности) не с правами Администратора - т.е. нужен инсталлятор;
5) реализация многопоточности (GUI - в отдельный поток!!!) и нормальной многооконности (ну уже просто больше нету сил... :( - ну когда ты это сделаешь???);
6) приведение GUI к единому виду и шрифту (гриды, в частности), а лучше - проработать и написать новый, более современный фейс со скинами :), т.к. существующий уж очень сильно зависим от старинных и стандартно-туповатых Дельфийских контролов (опять же, к примеру, эти просто ужасные гриды!); мне это вообще кажется одной из основных задач, если речь идет об "интернационализации" программы;
6) кнопка "Пауза";
7) меню по right click в трее (как минимум Выход, Пуск/Стоп, Пауза).

Это так, навскидку, что сразу вспомнилось... :)

Эта... в главном протоколе ричедит используется? Или просто мемо? добавьте красок ;-)

Насчет интерфейса вообще.. да. Согласен с aintrust'ом. Надо переделывать практически все, на самом деле.

... продолжение...
8 ) контекстный html help;
9) shell extension "Проверить в AVZ";
10) вынести настройки в отдельное окно;
11) добавить звуки/схемы (с полным конфигурированием);
12) меню программы: пункты должны отражать состояние программы, т.е. динамически активироваться/деактивироваться;
13) возможность создания job-ов + встроенный планировщик для их запуска.

И много еще чего... :)

Ну и без моднявого инсталлятора точно не обойтись =))

[QUOTE=Xen]Ну и без моднявого инсталлятора точно не обойтись =))[/QUOTE]
Список внушительный :) Сейчас распечатаю его, почитаю ... Да, с интерфейсом согласен - ну не умею я рисовать интерфейсы :) У первого AVZ был интерфейс из двух кнопок - "Пуск" и "Стоп" ... с этим надо что-то делать, я подумаю что.
По инсталлятору - его конечно можно приделать, но по любому я хочу сохранить версию без инсталляции - хотя-бы для данной конференции (человек скачал, компьютер проверил, логи запостил и программу стер - а инсталлировать что-то не все захотят).
[B]to Xen[/B]
Лог - обычный Memo, надо его на RTF/HTML переводить - тогда можно будет выделять цветом информацию и а протокол втыкать гиперссылки на справку и FAQ.

[QUOTE=Зайцев Олег]Да, с интерфейсом согласен - ну не умею я рисовать интерфейсы :)
[/QUOTE]
Может кто из посетителей нарисует дизайн для AVZ, а если будет несколько вариантов - так и будет из чего выбрать :) Но насчет поддержки скинов - не думаю что стоит на это уделять внимание, в крайнем случае не сейчас.

[QUOTE]
По инсталлятору - его конечно можно приделать, но по любому я хочу сохранить версию без инсталляции - хотя-бы для данной конференции (человек скачал, компьютер проверил, логи запостил и программу стер - а инсталлировать что-то не все захотят).
[/QUOTE]
Полностью согласен, версию с инсталером при желании можно делать, но простую без всяких инсталов однозначно оставить.

[QUOTE]
в протокол втыкать гиперссылки на справку и FAQ.[/QUOTE]
А вот это отличная идей!

А еще бы кнопочку в окошке поиска по реестру - отметить все. А то утомительно штук 50 галочек ставить в некоторых случаях.

[QUOTE=anton_dr]А еще бы кнопочку в окошке поиска по реестру - отметить все. А то утомительно штук 50 галочек ставить в некоторых случаях.[/QUOTE]
Пошло позицией номер 14 к списку, который сделал aintrust - однозначно будет в новой версии.

[b]Внимание - я поменял опрос в шапке, прошу высказать мнение ... - по поводу настроек.[/b]

[b]to Gray[/b]
Насчте поддержки скинов я согласен - в антивире это хулиганство ... а вот насчет дизайна главного окна - действительно, если у кого идеи есть - предлагаю нарисовать схематично, как бы они хотели видеть структуру главного окна - будет предметная тема для размышления.

[QUOTE=Зайцев Олег]
[b]Внимание - я поменял опрос в шапке, прошу высказать мнение ... - по поводу настроек.[/b]
[/QUOTE]
Тем кто уже отвечал в этом опросе, не дает сделать это повторно :(

[QUOTE=Зайцев Олег]
По инсталлятору - его конечно можно приделать, но по любому я хочу сохранить версию без инсталляции - хотя-бы для данной конференции (человек скачал, компьютер проверил, логи запостил и программу стер - а инсталлировать что-то не все захотят).
[/QUOTE]
Одно другому никак не мешает, можно держать и версию с инсталлятором, и просто .zip, как сейчас, если этого кому-то хочется.

Инсталлятор нужен как средство, которое как минимум позволит, установив программу и драйвер под Администратором, в дальнейшем работать обычным юзером. Кроме того, установка extension тоже потребует инсталлятора. Что касается удобства работы с инсталлятором и без него - все это очень условно. По хорошему программа должна устанавливаться один раз и надолго, а потом просто обновляться без к.-л. инсталляций. И технология обновлений должна это учитывать, только и всего.

Сейчас у тебя другой подход, который мне не кажется перспективным...

[QUOTE=anton_dr]А еще бы кнопочку в окошке поиска по реестру - отметить все. А то утомительно штук 50 галочек ставить в некоторых случаях.[/QUOTE]
Поправка - это уже реализовано. В списке найденных ключей есть меню по правой кнопке ...

[QUOTE=Зайцев Олег]
[b]Внимание - я поменял опрос в шапке, прошу высказать мнение ... - по поводу настроек.[/b]
[/QUOTE]
Мне кажется, что надо создать [I]отдельную ветку[/I] для предложений относительно AVZ и все текущие предложения и опросы переместить тоже туда. А то предложения здесь появляются время от времени и потом благополучно "теряются" при переходе на новую версию и ветку, а в результате постоянно приходится возвращаться к одному и тому же. А в этой новой ветке можно было сделать что-то наподобие таблицы:
Предложение - Ссылка на пост - Реализовано/нет/когда - Если отвергнуто, то почему - и т.д.
Ведь ты создаешь "народный" продукт, устраиваешь тут голосования и пр. - народу будет интересно, как обстоят дела с предложениями - и, опять же, тебе будет глаз мозолить! :)

[QUOTE=Зайцев Олег]
Насчте поддержки скинов я согласен - в антивире это хулиганство ... а вот насчет дизайна главного окна - действительно, если у кого идеи есть - предлагаю нарисовать схематично, как бы они хотели видеть структуру главного окна - будет предметная тема для размышления.[/QUOTE]
Вот сразу в тебе виден чел, который на скины смотрит только как на средство развлечения... но ведь это не так! При чем тут хулиганство? Скин - это очень мощный механизм, который благодаря своему языку позволяет приспособить продукт под себя, под свои нужды (увеличить или уменьшить шрифты, к примеру, или перекомпоновать неудобное по-умолчанию расположение клавиш - ведь "на вкус и цвет товарища нет!"), это неотъемлемая часть любого современного интерфейса, независимо от приложения! Очень печально, что ты этого не хочешь понять!