AVZ 3.75 - тестирование, обсуждение, предложения по доработке

Вышла новая новая версия AVZ - 3.75. Версия доступна для загрузки тут: [url="http://z-oleg.com/secur/avz-dwn.htm"]http://z-oleg.com/secur/avz-dwn.htm[/url] ([url="http://z-oleg.com/avz3.zip"]http://z-oleg.com/avz3.zip[/url])
Радикальные новшества и пределки:

[++] Добавлена поддержка CHM архивов и файлов аналогичного формата (MS ITSF файлов). Кроме проверки содержимого CHM добавлен анализ эвристика - реагирование на подозрительные EXE внутри CHM файла. Это новшестно позволит ловить современных троянов, многие из которых размещаются в CHM
[++] Проверка и лечение потоков NTFS. Тестовый вариант появился в промежуточном билде 3.70, теперь поддерживается официально.
[++] Новый менеджер - "менеджер расширений проводника". Соответственно, новая позиция в исследовании системы и автокарантине
[++] Новая функция - карантин по списку. Позволяет добавить в карантин несколько файлов, сделано специально для упрощения получения от пользователя подозрительных образцов. В списке допустимо указание масок*.
[+] К иконке в трее добавлено меню (с пунктами "Пуск", "Стоп", "Выход")
[+] Доработан анализатор автозапуска - в частности, копирование в карантин и проверка по базе безопасных строк вида "c:\program.exe /param", "cmd.exe trojan.exe", "explorer.exe c:\trojan.exe"
и т.п.
[+] Доработан антируткит. В частности, сбой загрузки базы не приводит к отключению проверки антируткита
[+] Параметр Unpack_Archives=Y|N - по умолчанию N, если задать Y, то в папке AVZ создается папка Unpacked, в ней папки по типам архивов - в них копируются распакованные в ходе проверки файлы

----
В новой версии существенно расширена базы вирусов - добавлено около 500 новых "зверей", большие передалки эвристика. У версии 3.75 в базе 16232 сигнатуры, 1 нейропрофиль, 55 микропрограмм лечения, 354 микропрограмы эвристики, 5 микропрограмм восстановления настроек системы, 34357 подписей безопасных файлов
----
*Примечание:
Карантин по списку доступен из меню "Файл" и из окна "Карантин". Список задается в виде строк, по одной строке на файл. Сделано специально для облегчения хелперов (и пользователей, которых просят прислать кучу файлов).
Формат строки: [i][b]имя файла[>примечание][/b][/i]
Если указано примечание (оно отделяется от имени знаком >), то это примечание помещается в описание файла в карантине.
Имя файла может иметь вид:
c:\folder1\trojan.exe - полное абсолютное имя
c:\folder1\*.exe - маска. В карантин будут помещены все файлы *.exe из папки c:\folder1\. В маске допустимы символы * и ?.
/SYSTEM32\worm.exe - файл в папке System32
%System32%\worm.exe - файл в папке System32
/WINDOWS\worm.exe - файл в папке Windows
%WinDir%\worm.exe - файл в папке Windows
backdoor.exe - файл без указания пути, ищется в системных папках (System32 и Windows)

В логе расширений проводника обнаружены чёрные дыры которые не удаляются :)

Положил еще чистых файлов на ФТП

[QUOTE=Geser]В логе расширений проводника обнаружены чёрные дыры которые не удаляются :)[/QUOTE]
Не удаляются, если удалять из менеджера ?? У меня аналогичные, кстати, причем на эталонном ПК - наверное, какие-то системные записи. Я изучу это явление подробнее ..
А файлики я в понедельник утащу, спасибо !

[QUOTE=Зайцев Олег]Не удаляются, если удалять из менеджера ?? [/QUOTE]
Угу...

'Менеджер расширений IE' работает некорректно, вот [URL=http://aintrust.narod.ru/images/avz-ie-extensions.png]пример[/URL]. Такая же история с 'Менеджером расширений проводника'.

У меня в софте та же ерунда наблюдается, хоть ПК и далеко не эталонный, но идет сбой чтения на некоторых ключах.

А можно сделать ключик командной строки так что бы АВЗ отрабатывал тихо не открывая GUI и писал результаты в файл?

[QUOTE=Geser]А можно сделать ключик командной строки так что бы АВЗ отрабатывал тихо не открывая GUI и писал результаты в файл?[/QUOTE]
Можно конечно и даже нужно. Можно сделать два варианта:
1. Чисто консольный AVZ. Текущее ядро позволяет такое сделать
2. Ключ у текущей версии, который приведет к полностью скрытому запуску или свертыванию в трей в момент старта и выходу после завершения.
-----
Путь номер 2 проще - я сегодня его реализую.

[QUOTE=aintrust]'Менеджер расширений IE' работает некорректно, вот [URL=http://aintrust.narod.ru/images/avz-ie-extensions.png]пример[/URL]. Такая же история с 'Менеджером расширений проводника'.[/QUOTE]
Ага, причина ясна - подправлю

Да, кстати, благодаря предложению Geser-а вспомнил кое-что в дополнение к списку "моих" пожеланий :) ([URL=http://virusinfo.info/showpost.php?p=53296&postcount=188]список 1[/URL] и [URL=http://virusinfo.info/showpost.php?p=53296&postcount=191]список 2[/URL]):
14) неплохо бы, чтобы AVZ запоминал на выходе свое состояние, т.е. расположение и размер окна (а то сейчас каждый раз приходится его увеличивать при запуске - для моего экранного разрешения 1600x1200 начальный размер окна AVZ слишком мал :(), установки ключей, выбранные ранее для проверки диски/каталоги (а то каждый раз ползать по дереву просто утомительно!) и пр. Там же (в реестре) вместе с этим "состоянием" можно запоминать номер последней версии AVZ, и при загрузке новой версии спрашивать пользователя, хочет ли он использовать установки старой версии. Для случая же с инсталлятором поступать как обычно: при деинсталляции все за собой подчищать.

И еще... Я уже [URL=http://virusinfo.info/showpost.php?p=53340&postcount=200]предлагал[/URL] вынести предложения по доработке AVZ в отдельную тему, чтобы они не "терялись" при создании новой ветки в случае выхода новых версий и чтобы не смешивать вопросы функционирования AVZ с предложениями по его доработке, и там же помещать все опросы. Так будем или нет?

[QUOTE=Зайцев Олег]
...
2. Ключ у текущей версии, который приведет к полностью скрытому запуску или свертыванию в трей в момент старта и выходу после завершения.
...
[/QUOTE]
Мне больше нравится вариант (2)... :)

Также поддерживаю 2-й вариант

[QUOTE=aintrust]Мне больше нравится вариант (2)... :)[/QUOTE]
Ну вот, готово - по варианту 2. Версия 3.75.04 на штатном месте, у нее:
[+] Добавлен ключ, управляющий видимостью GUI. Ключ имеет вид HiddenMode=0|1|2|3. По умолчанию - 0. (0-главное окно
отображается в момент запуска; 1 - главное окно при запуске свернуто в трей; 2 - аналог 1, но заблокирована возможность
развернуть окно или использовать меню иконки в трее; 3-полностью невидимый режим, нет окон и иконки в трее). Особенность - при выборе режима реакции "спросить пользователя" запросы выводятся независимо от режима работы. Режим сделан специально для применения AVZ для работы в пакетном режиме.
[+] Добавлен ключ, управляющий приоритетом AVZ. Возможно два варианта записи ключа Priority=-1|0|+1 (-1 - пониженный приоритет, 0-нормальный, 1-повышенный) или Priority=LOW|NORMAL|HIGH (LOW - пониженный, NORMAL - нормальный, HIGH - повышенный)
Плюс в базу безопасных внесены полеченные за последние два дня безопасные файлы ...

А с расширениями оболочки не выяснилось в чем был баг?

[QUOTE=Xen]А с расширениями оболочки не выяснилось в чем был баг?[/QUOTE]
да, конечно, правда руки не дошли исправить ... см. картинку, которую скинул aintrust в посте №6

Кстати, проверку потоков не плохо бы включить по умолчанию

[QUOTE=Geser]Кстати, проверку потоков не плохо бы включить по умолчанию[/QUOTE]
Да, наверное - я думал, она будет тормозить скаирование - но оказалось, что почти не влияет.

Ну так, наведём критику
Есть некоторые проблемы с копированием в карантин. при исследовании системы вижу сервис C:\Program Files\VMware\VMware Workstation\vmware-authd.exe не найден в базе чистых. При этом при выполнении автодобавления в карантин он не попадает. Так же драйверы
\??\C:\Program Files\Vba32\Vba32mNT.sys
\??\C:\Program Files\WinFast\WFTVFM\WFIOCTL.SYS
В карантин не попадают.
Такое дело в реестре C:\WINDOWS\system32\dumprep 0 -u не находится в базе безопасных, хоть и есть там.
В списке открытых портов тоже не плохо бы помечать файлы найденные в базе безопасных. А лучше помечать их только в том случае если все подгруженные ими длл тоже в базе безопасных.

В списке сервисов по анализу реестра сервисов и драйверов больше чем по данным АПИ. Все дополнительные в карантин не добавляются при автодобавлении. Статус отсутствует.

Прошу извинить, вроде везде посмотрел, но не уяснил- что AVZ делает в трее?
И простите за офтоп, уважаемый Олег, а APS развивается?

Здравствуйте господа вирособорцы! Собсвенно это мой первый пост на этом форуме, поэтому прошу не пинать. История такова, некоторое время назад проникся AVZ... :) Использовал версию 3.50. Сегодня скачал и установил 3.75. При сканировании собственно возникли множественные ошибки с архивными файлами. Лог прилагается...Только вот так криво к сожалению...Прикреплялка нихт функционирен :embarasse
В версии 3.50 такого не было.
[quote][SIZE=1]Протокол антивирусной утилиты AVZ версии 3.75.04
Сканирование запущено в 23.08.2005 21:36:24
Загружена база: 16273 сигнатуры, 1 нейропрофиль, 55 микропрограмм лечения
Загружены микропрограммы эвристики: 354
Загружены цифровые подписи системных файлов: 34746
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08A500)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80561500
KiST = 804E48B0 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 30
Количество загруженных модулей: 351
Проверка памяти завершена
3. Сканирование дисков
C:\Distrib\Microsoft Office XP Pro Rus\FILES\OSP\1049\IE5\RU\VMX86_01.CAB Access violation at address 00402680 in module 'avz.exe'. Read of address 01774000
C:\Distrib\miranda_nightly3103.zip Cannot create file "C:\DOCUME~1\D4F2~1\LOCALS~1\Temp\avz_1400_1.tmp". Процесс не может получить доступ к файлу, так как этот файл занят другим процессом
C:\Distrib\Outpost\Outpost\ac-weo10.zip Cannot create file "C:\DOCUME~1\D4F2~1\LOCALS~1\Temp\avz_1400_1.tmp". Процесс не может получить доступ к файлу, так как этот файл занят другим процессом
C:\Distrib\Outpost\Outpost\Tauscan.1.65.0.1212_CRKEXE-FFF.zip Cannot create file "C:\DOCUME~1\D4F2~1\LOCALS~1\Temp\avz_1400_1.tmp". Процесс не может получить доступ к файлу, так как этот файл занят другим процессом
...............................................................................................
C:\Program Files\Mozilla Firefox\chrome\toolkit.jar Cannot create file "C:\DOCUME~1\D4F2~1\LOCALS~1\Temp\avz_1400_1.tmp". Процесс не может получить доступ к файлу, так как этот файл занят другим процессом
C:\WINDOWS\Mozilla\Profiles\default\vt5a45qs.slt\multiviews.jar Cannot create file "C:\DOCUME~1\D4F2~1\LOCALS~1\Temp\avz_1400_1.tmp". Процесс не может получить доступ к файлу, так как этот файл занят другим процессом
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\nview.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\nview.dll>>> Нейросеть: файл с вероятностью 0.22% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\NVWRSRU.DLL --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\NVWRSRU.DLL>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\nvwddi.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\nvwddi.dll>>> Нейросеть: файл с вероятностью 0.70% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 29 TCP портов и 18 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 21345, извлечено из архивов: 2889, найдено вирусов 0
Сканирование завершено в 23.08.2005 21:44:41
Сканирование длилось 00:08:17
[/SIZE]
[/quote]

ЗЫ: Позднее лог "правильный" вставил, с характерной строкой
[quote]C:\Distrib\Microsoft Office XP Pro Rus\FILES\OSP\1049\IE5\RU\VMX86_01.CAB Access violation at address 00402680 in module 'avz.exe'. Read of address 01774000[/quote]

[QUOTE=Granat]При сканировании собственно возникли множественные ошибки с архивными файлами. Лог прилагается...[/QUOTE]
Я тоже уже описывал такой баг. При проверке архива VMX86_01.CAB из дистрибутива MS Office XP Pro Rus в AVZ возникает ошибка: "Access violation at address 00402680 in module 'avz.exe'. Read of address 01774000" и все последующие архивы перестают проверяться из-за проблем с временным файлом...

[QUOTE=DenZ]Я тоже уже описывал такой баг. При проверке архива VMX86_01.CAB из дистрибутива MS Office XP Pro Rus в AVZ возникает ошибка: "Access violation at address 00402680 in module 'avz.exe'. Read of address 01774000" и все последующие архивы перестают проверяться из-за проблем с временным файлом...[/QUOTE]
Я одну ошибку в этом районе поймал и пофиксил ... значит, что-то еще осталось - надо будет еще разок проанализировать работу распаковщика. Тут, к сожалению, есть доля моей вины - извлечение из CAB я доверил системе, штатному распаковщику Windows ...
Сейчас мне удалось найти этот архив, он действительно падает, за пределами AVZ - вызывается системная API FDICopy, и ошибка проходит внутри нее (спотыкается он на последнем файле этого архива - wfcclean.exe. Как следствие, проверяемый CAB и временный файл остаются открытыми (т.к. открывает их FDICopy). Наверное, придется писать распаковщик CAB (короче говоря, повтор ситуации с CHM). А сам по себе CAB нормальный, тот-же RAR его открывает

[QUOTE=Granat]
ЗЫ: Позднее лог "правильный" вставил, с характерной строкой[/QUOTE]
Спасибо, лог помог в охоте на ошибку ...

было еще такое пожелание. Может быть, "термометр" сканирования переместить вниз, в статусную область, где показаны сканируемые объекты и прочее? (как в spybot&destroy? или так уже было?)

Не плохо бы в отчёте писать версию операционки

Олег, при установлении "Отчет о чистых обектах" и сканировании большого объема инфы, объем памяти занимаемой AVZ очень сильно растет, у меня было больше 200 метров. В обем то понятно почему, т.к. лог выводится в Мемо, при том полностью весь. Может быть в таком случае кешировать частично лог в файл, а в Мемо отображать только его часть? Или хотя бы сделать опцию "Писать лог о чистых обектах в файл"

[QUOTE=Geser]Не плохо бы в отчёте писать версию операционки[/QUOTE]
Логично, добавляю.
[B]to Grey[/B]
Да, есть такой баг - я тоже как-то недавно нарвался. вариант с кешированием когда-то был, но AVZ ожно пускать с CD или по сети - там кешировать некуда. Сейчас я думаю сделать порог - при достижении логом некоторого объема (скажем, 1 мб), автмоатом начинать кеширование в папку temp

[QUOTE=santy]было еще такое пожелание. Может быть, "термометр" сканирования переместить вниз, в статусную область, где показаны сканируемые объекты и прочее? (как в spybot&destroy? или так уже было?)[/QUOTE]
Это было в одном из приватных вариантов, но получалось немного кривовато - в статусной области места мало, градусник получался короткий по длинне

[QUOTE=Зайцев Олег]Логично, добавляю.
Сейчас я думаю сделать порог - при достижении логом некоторого объема (скажем, 1 мб), автмоатом начинать кеширование в папку temp[/QUOTE]
Неплохой вариант, пускай будет так, там посмотрим.

Насчет градусника, как по мне, так и в текущем варианте для него подобранно подходящее место

Олег, вот это можно поправить?
[QUOTE]При копировании (автодобавлении) подозрительных файлов в Карантин неплохо бы сохранять их даты создания (модификации) в avzXXXXX.ini (и присваивать avzXXXXX.dta дату оригинального файла).
По этим датам можно отличить вирус от "хорошего" файла, например, когда новый софт в этот период не ставился, т.к. обычно дата вирусного файла совпадает с датой попадания в систему.[/QUOTE] До AVZ 3.65 даты avzXXXXX.dta были правильными...

Что-то не понятно с обновлением баз, каждый раз полностью скачивать всю прогу?

[QUOTE=Гость]Что-то не понятно с обновлением баз, каждый раз полностью скачивать всю прогу?[/QUOTE]
Да - я по мере совершенствования программы периодически меняю формат базы, и часть ядра находится в главном EXE. Если вынести ядро в базу, то полученный объем изменений будет примерно равен объему текущего архива с программой. Поэтому пока отдельное обновление баз нецелессобразно (исключение - daily.avz для оперативного лечения заразы, обнаруженной у пользователей)

[QUOTE=Geser]Не плохо бы в отчёте писать версию операционки[/QUOTE]
И версию IE по аналогии с hijackthis.

Вот еще лог, спотыкнулся опять...

почему md5 в даунлоаде неверные?

[QUOTE=Гость]почему md5 в даунлоаде неверные?[/QUOTE]
Пардон - локально я у себя их паменял, а обновить сраничку забыл ... - поправлено

Тут в соседнем топике подняли бучу из-за софтинки, которая юзает порт с номером, использующимся ЛейзиАдмином. Вот чисто ИМХО, нафиг не нужна эта база открытых портов в АВЗ. Вы давно вживую видели BackOrifice, GirlFriend, DeepThroat и прочие старые добрые listener'ы? А на портах по умолчанию? Большая часть здесь присутствующих даже не знает, что это вообще за названия такие... а юзеры пугаются почем зря =)

угу.. имхо намного лучше просто писать статистику по соединениям ака нетстат... полезней :)

Если делать статсы по открытым портам - то с привязкой к процессу.