AVZ 3.80 - тестирование, обсуждение, предложения по доработке

[QUOTE]В исследовании системя я применил новый подход на примере DLL - при нажании на ссылку, которой является имя DLL выводится окошко с информацией о файле[/QUOTE]
Лучше всплывающей подсказкой ссылки title="..."

Я перебросил часть постов из [url]http://virusinfo.info/showthread.php?goto=newpost&t=3708[/url] помоему возникшее обсуждение имеет прямое отношение к доработкам АВЗ, а не к левому трояну.

Все равно не хочет у меня AVZ опознавать KAV, ZA и Alcohol как безопасные :(

Кстати, для борьбы с бутовыми вирусами наверное не помешает возможность делать дамп бут секторов системного диска?

[quote=Зайцев Олег]Я добавлю в AVZ смотрелку потоков, но беда в том, что у потока то на лбу не написано, правильный он или нет ... - в этом и вся беда. У того-же Explorer.exe потоков штук 5-7 как минимум. Другое дело в том, что потоко кто-то создавать должен - значит, в авторане что-то должно быть левое.[/quote]
а такие штуки, как запуск через шедулер, кто-нибудь обрабатывает? процесс запустился, отработал, потом его снова нет. и ни в автозагрузке, нигде.

[QUOTE=MOCT]а такие штуки, как запуск через шедулер, кто-нибудь обрабатывает? процесс запустился, отработал, потом его снова нет. и ни в автозагрузке, нигде.[/QUOTE]
Поддержку шедуллера надо будет прикрутить - я недавно видел трояна, который так запускался.
----
Попробуйте кто-нибудь плагин к TheBAT - интересно, заработает он или нет ...

[quote=Зайцев Олег]Поддержку шедуллера надо будет прикрутить - я недавно видел трояна, который так запускался[/quote]
и я такое видел, потому и говорю.
и еще на тему потоков - может их опционально дампить в карантин?

Кстати, как на счёт настоящей проверки памяти. Т.е. не проверка на диске файлов находящихся в памяти, а именно проверка их содержимого в памяти?

[B]to Geser, MOCT[/B]
Да, сканер памяти и дамперы делаются, причем активно - это одна из проблем, над которой я активно работаю

Ну всё, кирдец всем остальным продуктам ;-))).
Это уже даже не автомат - это карманная реакитвная установка с самонаведением ;-)))))
Удачи!

Плагин работает. Bat! 2.12

[U]В AVZ 3.83 по-прежнему жив баг в "Драйверах" и "Автокарантине":[/U]

В "Драйверах" не опознаются (AVZ не может найти, хотя они есть на диске) файлы без пути и расширений ([URL=http://virusinfo.info/showpost.php?p=54560&postcount=33]см. лог здесь[/URL]), хотя они есть в базе безопасных AVZ. Имена этих файлов совпадают с названиями драйверов (значениями в поле "Служба"), имеют расширения *.SYS, лежат в стандартных местах и благополучно запускаются системой.

Соответственно, эти файлы не добавляются в Карантин, потому что AVZ не знает, где их искать! Поэтому скрипты для исследования системы будут бесполезны!

Чтобы спрятать вирус от AVZ, достаточно записать его в "Драйвера" без пути и расширения и AVZ его никогда не найдет, зато система будет исправно запускать! Очень жаль... :(

P.S. Похоже, это волнует только меня одного, потому что мои сообщения об этом баге игнорируются уже третий месяц... :(

[quote=DenZ]
P.S. Похоже, это волнует только меня одного, потому что мои сообщения об этом баге игнорируются уже третий месяц... :([/quote]
Этот баг ловился и был отловлен - я для пробы внес ключик для атозапуска с текстом "C:\WINDOWS\system32\dumprep 0 -k" и у меня в диспетчере автозапуска все отработало как положено - процесс "зеленый", опознался нормально.
А вот при указании в качестве имени драйвера скажем "beep" avz действительно его не находит - это исправлено ... (имя формируется как beep.sys, но путь не приделывался)

Похоже, я сегодня вообще "не в струе" - пропустил столько новостей.
Много работать - вредно ;-)))
2Олег: Олег, я увидел примочку к Бату - это круто!!!! Завтра погоняю на своих (около 6-8Гб) массивах почтовых баз. У меня вопрос - а какие-то логи ведутся? Посмотреть что, где, когда?
В общем, спасибо.

[quote=Iceman]Похоже, я сегодня вообще "не в струе" - пропустил столько новостей.
Много работать - вредно ;-)))
2Олег: Олег, я увидел примочку к Бату - это круто!!!! Завтра погоняю на своих (около 6-8Гб) массивах почтовых баз. У меня вопрос - а какие-то логи ведутся? Посмотреть что, где, когда?
В общем, спасибо.[/quote]
Логи где - в батовской примочке ?? Нет, в ней логов нет (если надо - легко прикрутить) - логи сам bat ведет, плюс он же перекладывает зараженные письма в отдельную папку - их все сразу видно.

[QUOTE=Зайцев Олег]Логи где - в батовской примочке ?? Нет, в ней логов нет (если надо - легко прикрутить) - логи сам bat ведет, плюс он же перекладывает зараженные письма в отдельную папку - их все сразу видно.[/QUOTE]

Понятно, я так просто спросил ;-)). В общем, конечно, в Карантин Батовский не проблема заглянуть.

[QUOTE=Зайцев Олег]Вышла версия 3.83
Начиная с версии 3.83 сканер AVZ может подключаться как антивирусный плагин к TheBat. Плагин качается отдельно с [URL="http://z-oleg.com/avz3thebat.zip"]http://z-oleg.com/avz3thebat.zip[/URL] (размер около 230 кб), после распаковки avz_thebat.bav нужно положить в папку AVZ и подключить к TheBat. Краткая инструкция есть в архиве. Плагин применяет те-же базы, что и сканер AVZ
---------
[/QUOTE]
Олег, отключил у NOD EMON, IMON, переслал systray.rar(так как знаю, что АВЗ определяет его как Theals), в ящик. Нет реакции. NTVisible.dll (неупакованный) действительно был перемещен в карантин. Вопросы. Почта проверяется плагином, или сканером? Проверяет ли плагин архивы?
Еще... будет ли плагин для firefox?

[QUOTE=santy]Олег, почта проверяется плагином, или сканером? Проверяет ли плагин архивы?[/QUOTE]
рискну предположить, что он проверяет даже архивы с ПАРОЛЕМ

[QUOTE=MOCT]рискну предположить, что он проверяет даже архивы с ПАРОЛЕМ[/QUOTE]
:) угу, выполняется. Выполняется ли распаковка вложенных архивов? :)

Рассказываю по порядку:
1. Архивы поддерживаются, но не поддерживается rar, 7-zip. Причина - распаковщики для них громоздкие, их поддержка увеличивает размер avz на 100 кб
2. Запароленный архив не проверяется
3. Проверка идет на произвольную глубину вложенности, составные файлы рассматриваются как архивы. Т.е. например zip, внутри chm, внутри - cab - все это будет рекурсивно распаковано и проверено
4. Почту проверяет плагин - загрузка сканера съедает много времени, посэтому движек размещен в плагине.
5. firefox - можно сделать проверку, если формат плагина под него документирован (просто под бат я неоднократно писал разные примочки, по firefox еще не пробовал)
6. Если насчет firefox я не уверен, в вот для eserv такой плагин вполне может выйти - он кстати делался именно для него, просто для отладки мне было удобнее подогнать плагин под Bat - его тестировать можно наглядно ...

[QUOTE=Зайцев Олег]Рассказываю по порядку:
Архивы поддерживаются, но не поддерживается rar, 7-zip. Причина - распаковщики для них громоздкие, их поддержка увеличивает размер avz на 100 кб
[/QUOTE]
А это разве сильно страшно?

[QUOTE=Зайцев Олег]..........
4. Почту проверяет плагин - загрузка сканера съедает много времени, посэтому движек размещен в плагине.
..............
6. Если насчет firefox я не уверен, в вот для eserv такой плагин вполне может выйти - он кстати делался именно для него, просто для отладки мне было удобнее подогнать плагин под Bat - его тестировать можно наглядно ...[/QUOTE]

2Олег: Невозможно добавить плагин к Бату (3.61.07) - выдаёт следующее:
"Exception EFOpenError in module AVZ_thebat.bav at 0001675E".

Эх... а когда же будет английская версия :(

[QUOTE=Iceman]2Олег: Невозможно добавить плагин к Бату (3.61.07) - выдаёт следующее:
"Exception EFOpenError in module AVZ_thebat.bav at 0001675E".[/QUOTE]
А плагин лежит в папке AVZ ?? Подобная ошибка может возникнуть, если плагин не смог увидеть папку Base

[QUOTE=anton_dr]А это разве сильно страшно?[/QUOTE]
Это не сильно страшно ... Но в rar и 7-zip архивах Spyware не водятся и открыть их автоматом система не может - это пока являлось определяющим фактором против них

[QUOTE=Geser]Эх... а когда же будет английская версия :([/QUOTE]
Я потихоньку реорганизую код - но это процесс медленный, так как рутинный. Зато плагин bat уже полностью изъясняется на английском, поскольку я уже вытравил из движка все русскоязычные сообщения.

[QUOTE=Зайцев Олег]А плагин лежит в папке AVZ ?? Подобная ошибка может возникнуть, если плагин не смог увидеть папку Base[/QUOTE]

Сам плагин лежит в директории АВЗ. Но Бат копирует его в свою папку ""Mail" - бат выступает в роли сервера.
Дома всё работает. Сейчас на работе - нет.

[QUOTE=Iceman]Сам плагин лежит в директории АВЗ. Но Бат копирует его в свою папку ""Mail" - бат выступает в роли сервера.
Дома всё работает. Сейчас на работе - нет.[/QUOTE]
Тогда все ясно - нужно найти, куда скопировал его bat и подсунуть туда папку Base с базами AVZ - и все заработает

Кстати, так и не приведены в нормальный вид строки вида \SystemRoot\System32\ati2drad.dll

[QUOTE=Iceman]2Олег: Невозможно добавить плагин к Бату (3.61.07) - выдаёт следующее:
"Exception EFOpenError in module AVZ_thebat.bav at 0001675E".[/QUOTE]

У меня версия Бата 3_60_07. Плагин добавлен и работает. Плагин подгружается в память при загрузке Бата?

[QUOTE=santy]У меня версия Бата 3_60_07. Плагин добавлен и работает. Плагин подгружается в память при загрузке Бата?[/QUOTE]

Он вообще не добавляется. Попробую, как Олег сказал, базы в почтовую директорию кинуть.

Я симулировал такую ситуацию - это ошибка инициализации из-за проблемя с загрузкой баз. Лечится копированием папки Base в ту-же папку, что и Plugin.

[QUOTE=Зайцев Олег]Я симулировал такую ситуацию - это ошибка инициализации из-за проблемя с загрузкой баз. Лечится копированием папки Base в ту-же папку, что и Plugin.[/QUOTE]

Спасибо, попробую сегодня.

RAR вообще-то активно используется спайварем

[QUOTE=Xen]RAR вообще-то активно используется спайварем[/QUOTE]
а пример можно?

Поддержка RAR и 7-zip нужна. А то, что программа станет тяжелее так в этом нет ничего страшного. Сейчас вообще многие используют 7-zip (и я тоже), так как программа хорошая и бесплатная.
Вопрос к Олегу: Вот есть плагин к Bat, а к Outlook Express или к Thunderbird нельзя ли что нибудь подобное. Чтобы полученная почта проверялась. И как насчет плагинов к IE и Firefox ?! Было бы здорово !!!

Олег, в "Модулях расширений Internet Explorer" AVZ не находит плагины, запускаемые скриптами.

В реестре по CLSID, указанном AVZ, такие строки:
[code][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{34F8C0D0-06F7-4f71-9E8E-190337851167}]
"Script"="C:\\Program Files\\SaveChm\\SaveChm.vbs"
"ButtonText"="SaveChm"
"HotIcon"="C:\\Program Files\\SaveChm\\SaveChm.dll,207"
"Icon"="C:\\Program Files\\SaveChm\\SaveChm.dll,206"
"MenuStatusBar"="SaveChm"
"MenuText"="SaveChm"
"DefaultVisible"="Yes"
"ClSid"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"[/code]

А скрипт [B]SaveChm.vbs[/B] запускает уже сам плагин:
[code]<SCRIPT language="VBScript">
Set SaveChm = CreateObject("SaveChm.SaveChmX")
SaveChm.Run external.menuArguments
</SCRIPT>[/code]

В связи с этим, может есть смысл включать скрипты *.VBS в базу безопасных?! Не разбирать же что они там запускают...

[B]Oлег[/B], мой вопрос остался без ответа: намечается ли встроенный (и автономный) апдейтер баз?

[quote=DimaT][B]Oлег[/B], мой вопрос остался без ответа: намечается ли встроенный (и автономный) апдейтер баз?[/quote]
Да, планируется - по крайней мере получение оперативного обновления. Причем планируется в самое ближайшее время

при сканировании AVZ нашел :
C:\Program Files\NewDotNet\newdotnet6_38.dll >>>>> Spy.NewDotNet удаление запрещено настройкой
C:\Program Files\NewDotNet\uninstall6_38.exe >>>>> AdvWare.NewDotNet удаление запрещено настройкой

Проблема в том,что если попытаться удалить их,то вырубается и-нет полностью, ни востановление системы, ни что то еще не спасают. Единстенное решение - переустановка ОС.
Что делать?