AVZ 4.18 + AVZGuard - тестирование, обсуждение, предложения по доработке

Вышла новая версия AVZ - 4.18 + AVZGuard ( [URL="http://z-oleg.com/secur/avz/download.php"]http://z-oleg.com/secur/avz/download.php[/URL] ).
Список доработок и модификаций:
[++] Поведенческий анализатор в антикейлоггере. Изучает, что конкретно делает каждая из заподозренных DLL и описывает это в протоколе
[++] Ревизор диска. Позволяет создавать базы с описанием заданных дисков и папок и в последствие производить сравнение текущего состояния диска с базой. Базы ревизора имеют небольшой размер, что позволяет хранить их на Flash диске. РЕвизор подробно описан в справке и в документации
[+] Предусмотрен ключ для задания пароля к ZIP архивам (см. справку), что упрощает проверку и автораспаковку архивов со стандартным паролем
[+] Проведен ряд модификаций KernelMode компонент AVZ
[-] Исправлена проверка архивов ZIP ( в некотором случае после проверки возникала ошибка деления на 0)
[-] Подстроены цвета в таблицах для повышенния читаемости данных (ранее сливался цвет маркера и текста)
[+] Отображение командной строки для процессов (в диспетчере процессов и соответственно в отчете)

[B]База:[/B] Обновленная версия содержит базу от 15.05.2006 (25329 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, 359 микропрограмм эвристики, 9 микропрограмм восстановления системы, 49778 подписей системных и безопасных файлов)

На сайте обновлена документация по AVZ, в самом AVZ обновленная справка.

По поводу поведенческого антикейлоггера - в случае его срабатывания получается примерно такой результат анализа:

[SIZE=2][QUOTE][SIZE=2]
C:\Program Files\ASMonitor\hk.dll>>> Поведенческий анализ:
1. Реагирует на события: клавиатура
2. Передает данные процессу: 2024 C:\Program Files\ASMonitor\ASMonitor.exe (окно = "Actual Spy - НЕЗАРЕГИСТРИРОВАННАЯ ВЕРСИЯ")
C:\Program Files\ASMonitor\hk.dll>>> Нейросеть: файл с вероятностью 99.91% похож на типовой перехватчик событий клавиатуры/мыши
[/SIZE][/QUOTE]
или такой:
[SIZE=2][QUOTE][SIZE=2]
C:\WINDOWS\system32\keylogger.dll>>> Поведенческий анализ:
1. Реагирует на события: клавиатура
2. Работает с файлом: c:\program files\all-in-one spy\temp
3. Работает с файлом: c:\program files\all-in-one spy\200669\log.txt
4. Определяет имя файла для модуля: keylogger.dll
5. Опрашивает состояние клавиатуры
6. Опрашивает активную раскладку клавиатуры
7. Определяет ASCII коды по кодам клавиш
C:\WINDOWS\system32\keylogger.dll>>> Нейросеть: файл с вероятностью 99.98% похож на типовой перехватчик событий клавиатуры/мыши
[/SIZE][/QUOTE]
[/SIZE][/SIZE]

При наведении курсора на вкладке "типы файлов" - на любом из трех вариантов высвечивается всплывающее пояснение для "потенциально опасных файлов". Во второй сегодняшней версии - аналогично, только с поправкой на язык :)



И кнопки "пауза" при сканировании так и нет... :(

Олег, а почему ''перескочили'' :) через версию AVZ 4.17 ?
И поправь в своем посте первую строку: ''версия AVZ - 4.16''...

[IMG]http://virusinfo.info/attachment.php?attachmentid=2555&stc=1&d=1150379050[/IMG]Что то много нашел разных подозрительных файлов ?

[QUOTE=Nikollay]Что то много нашел разных подозрительных файлов ?[/QUOTE]
Все нормально - ни один из файлов в менеджере внедренных DLL самим AVZ не грузится и не применяется. А логика тут простая - раз файл загрузился без моего ведома, значит - кандидат на исследование...
[B]to DimaT[/B]
Версию в посте сейчас поправлю, в перескок правильный - 4.17 - версия с новым антикейлоггером, она не вышла за пределы Смоленскэнерго, а 4.18 - это 4.17 + ревизор диска.
[B]to Anton dr[/B]
Всплывающий хинт надо подделать - он кривой что по русски, что по английски и не меняется. А кнопку пауза я приделаю к версии 4.19

При остановке во время сканирования сейчас выскакивает [I]грозная[/I]:
[QUOTE]---------------------------
Антивирусная утилита AVZ.Идет проверка, 5% осталось 00:50:55
---------------------------
Invalid floating point operation.
---------------------------
OK [/QUOTE]
С какой целью добавил?

При запуске последней версии программы с активацией пункта "Блоктровать работу RootKit Kernel-Mode", во время проверки системы комп перезагружается. Проверенно - несколько раз. Далее - сканирование дисков, и "система восстановлена после серьёзного збоя...". Что-бы это значило?
Фаер и т.д. были заблаговременно отключены.
Дежавю:)

[QUOTE=Pick]При запуске последней версии программы с активацией пункта "Блоктровать работу RootKit Kernel-Mode", во время проверки системы комп перезагружается.
...
[/QUOTE]
Мини-дампы, плиз, в студию! :P

[QUOTE=aintrust]Мини-дампы, плиз, в студию! :P[/QUOTE]
И плюс к минидампам нужен лог без блокирования руткитов - интересно, что перехвачено, как и чем.

Один коллега походил по инету...
Я перепробовал разные варианты лечения антивирусами: доктором, дефендером, авастом и конечно avz. Все браво рапартуют об исцелении компутера, но... каждый раз запуская другой антивирус находятся теже трояны, задние двери и т.д.
Антивирус после лечения повторно ничего не находит. А avz, правда, находит каждый раз, удаляет, и опять находит... Прямо какой-то замкнутый круг. Давно не видел такого неизлечимого изобилия.
Прямо "формат С:" какой-то.

[QUOTE=Зайцев Олег]И плюс к минидампам нужен лог без блокирования руткитов - интересно, что перехвачено, как и чем.[/QUOTE]
Завтра пришлю.

[QUOTE=Pick]Я перепробовал разные варианты лечения антивирусами....[/QUOTE]
Может с этим случаем в раздел "Помогите" со всеми требуемыми логами?

[QUOTE=Shu_b]Может с этим случаем в раздел "Помогите" со всеми требуемыми логами?[/QUOTE]
Точно! ;)

[QUOTE]
У меня______________________________________________ ___
После снятия протекта AVZGuard в 9 из 10 случиях завись ПК
причём при попытки перезагрузить комп, появляется окно с просбой завершения Explorer.EXE (может и чтонибуть другое всплыть) иногда
всё это заканчивается жёсткой перезагрузкой.[/QUOTE]

В новой версии ситуация та же.

Такое чуство что AVZGuard ... после отключения
сводит с ума систему!

[QUOTE=Cool Cat]В новой версии ситуация та же.

Такое чуство что AVZGuard ... после отключения
сводит с ума систему![/QUOTE]
Вот тут интересны подробности - т.е. AVZGuard не отключается или в процессе отключения возникает сбой ?

Вот тут интересны подробности.....

Примерно так:

1. Настройки АВЗ по максимому
2. Включение AVZGuard (кстати баг со включением вроде у меня исчез)
3. Пуск (работа и скан АВЗ)
4. Результаты работы.... и остановка АВЗ
5. Анализ (мной в АВЗ )
6. Отключение AVZGuard

Далее всевозможные глюки как писалось выше
(OS WinXP)

Но тут прикол... Я точно не могу понять отключяется AVZGuard при нажатии на его отключение или нет, так как систему глючит

и здраво проанализировать и изучить ситуацию трудно, всё сводится к перезагрузки :)

PS. На днях, попробую более тщятельно и побольше погонять AVZ .....

Уважаемый Олег!
Может подскажите, что это за "глюк":

Протокол антивирусной утилиты AVZ версии 4.18
Сканирование запущено в 22.06.2006 12:31:28
Загружена база: 25358 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 16.06.2006 12:48
Загружены микропрограммы эвристики: 359
Загружены цифровые подписи системных файлов: 49780
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (C:\WINXPSP2\P2\system32\ntoskrnl.exe)
2. Проверка памяти

Интересует строка "Ошибка - не найден файл (C:\WINXPSP2\P2\system32\ntoskrnl.exe)"

[quote=Randol]Уважаемый Олег!
Может подскажите, что это за "глюк":
....
Интересует строка "Ошибка - не найден файл (C:\WINXPSP2\P2\system32\ntoskrnl.exe)"[/quote]
Это означает, что операционка почему-то рапортует неправильный путь к своей папке (или AVZ не совсем корректно это понимает). Интересны слудующие моменты:
1. В какой папке находится система
2. Желателен протокол исследования системы AVZ - может быть, он что-то позволит прояснить

[QUOTE=Зайцев Олег]Это означает, что операционка почему-то рапортует неправильный путь к своей папке (или AVZ не совсем корректно это понимает). Интересны слудующие моменты:
1. В какой папке находится система
2. Желателен протокол исследования системы AVZ - может быть, он что-то позволит прояснить[/QUOTE]
вот в логах от этой темы таких глюков ВАГОН:
[url]http://virusinfo.info/showthread.php?p=75103[/url]

Там глюки от терминальной сессии, надо полагать.

А у меня почему то ща не сохраняется протокол(лог), кликаю а там "Найденных объектов нет".
Приходится через "Файл" сохранять себе на раб. стол протокол. Кстати что это за файл каждый раз он ловит FOPN.sys ?

[QUOTE=Shredinger]А у меня почему то ща не сохраняется протокол(лог), кликаю а там "Найденных объектов нет".
Приходится через "Файл" сохранять себе на раб. стол протокол. Кстати что это за файл каждый раз он ловит FOPN.sys ?[/QUOTE]
Судя по сообщению "Найденных объектов нет" речь идет о кнопке, вызывающей список найденных объектов. Сохранение лога - кнопка с дискетой чуть выше ...

в INI-файл карантина попала вот такая строка:
Virus=Подозрение на Keylogger или троянскую DLL, A=
видимо это какой-то глюк, не думаю, что так и было задумано

(прислано в теме [URL="http://virusinfo.info/showthread.php?t=5782"]http://virusinfo.info/showthread.php?t=5782[/URL] )

[QUOTE=MOCT]в INI-файл карантина попала вот такая строка:
Virus=Подозрение на Keylogger или троянскую DLL, A=
видимо это какой-то глюк, не думаю, что так и было задумано

(прислано в теме [URL="http://virusinfo.info/showthread.php?t=5782"]http://virusinfo.info/showthread.php?t=5782[/URL] )[/QUOTE]
Видимо так и было задумано - после "A=" должен идти текст с описанием результатов поведенческого анализа. А вот почему его нет - надо будет посмотреть


Кстати, AVZ перешел на ежедневное обновление AV баз ...

Ежедневное обновление это круто. Вот если бы еще было ежедневное скачивание и добавление чистых файлов :)

[QUOTE=Geser]Ежедневное обновление это круто. Вот если бы еще было ежедневное скачивание и добавление чистых файлов :)[/QUOTE]
Это кстати тоже налаживается. Меня сейчас только трафик удерживает от этого - технические возможности проверки, классификации и внесения в базу чистых объектов уже есть.
Кстати, в дейсвие вступила еще одна технология - при внесении зверя в базу он автоматом сопоставляется со всеми чистыми и если есть похожесть, то теоретически возможное ложное срабатывание давится на корню.

Вот, кстати:
Функция ws2_32.dll:WSAConnect (33) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:WSAStartup (115) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:connect (4) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:getpeername (5) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:getsockname (6) перехвачена, метод CodeHijack (метод не определен)

Перехватывает вполне безобидная банерорезалка AdMuncher ([url]www.admuncher.com)[/url]. Смущает фраза "метод не определен"...

[QUOTE=qbs2001]Вот, кстати:
Функция ws2_32.dll:WSAConnect (33) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:WSAStartup (115) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:connect (4) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:getpeername (5) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:getsockname (6) перехвачена, метод CodeHijack (метод не определен)

Перехватывает вполне безобидная банерорезалка AdMuncher ([url]www.admuncher.com)[/url]. Смущает фраза "метод не определен"...[/QUOTE]
[I]метод CodeHijack (метод не определен)[/I] означает, что перехват идет методом модификации машинного кода, но анализ записанных перехватчиком команд не позволяет точно установить методику (в некоторых случаях первые команды опознаются как JMP адрес, или PUSH + ret или иной известный AVZ метод передачи управления перехватчику)

Всем привет :)
Просто хотела сообщить о маленькой ошибке AVZ, при выполнении функции восстановлении системы (если кто-либо о ней уже упоминал - заранее извиняюсь; хотя в этом случае она навряд ли бы до сих пор еще имела место).
Речь идет о сбросе настроек префиксов протоколов Internet Explorer на стандартные. Префикс параметра "home" AVZ скидывает на следующее:
home://

И спасибо за отличного помощника в борьбе с компьютерной заразой.
Удачки :)

[QUOTE=Saule]Всем привет :)
Просто хотела сообщить о маленькой ошибке AVZ, при выполнении функции восстановлении системы (если кто-либо о ней уже упоминал - заранее извиняюсь; хотя в этом случае она навряд ли бы до сих пор еще имела место).
Речь идет о сбросе настроек префиксов протоколов Internet Explorer на стандартные. Префикс параметра "home" AVZ скидывает на следующее:
home://

И спасибо за отличного помощника в борьбе с компьютерной заразой.
Удачки :)[/QUOTE]
Спасибо - я подправил микропрограммку для этого восстановления, обновленная версия уже попала в сегодняшний апдейт баз.

Олег, а как с обновлением через прокси?

[B]anton_dr[/B]

В 4.16 версии были проблемы с прокси , и в 4.18 если устанавливать параметры прокси как написано у Олега в примере, то же ничего не получается, обновление не происходит. Я попробовал установил прямое подключение, и к моему удивлению программа скачала обновления. Выход в Интеренет через прокси - это точно. Единственное программа не запоминает во вкладке выхода заданное положение, и каждый раз перед обновлением приходиться устанавливать какое соединение. С Уважением, Sel.

2 Sel, проблема имеет место быть для тех у кого выход через ISA c NTLM.
пока так и не работает...

С новой версией появилась ещё одна небольшая проблемка. Может это только у меня. Ситуация.
У меня на компьютере стоит программа для дозвона и тарификации интернет соединений [COLOR="Blue"]MuxaSoft Dialer версии 4.1[/COLOR] теперь когда AVZ проверяет компьютер и начинает делать проверку
[COLOR="Blue"]4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\RocketDock\MouseHook2.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\RocketDock\MouseHook2.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 319 описаний портов
На данном ПК открыто 244 TCP портов и 73 UDP портов
>>> Обратите внимание: Порт 31 TCP - Trojan Master Paradise, Trojan Agent 31 (d:\distrib\Программы Зайцева\aps\aps\aps.exe - опознан как безопасный процесс)
>>> Обратите внимание: Порт 555 TCP - Backdoor.PhaseZero, INI-Killer, Stealth Spy[/COLOR] и т.д. у меня запускается программа MuxaSoft Dialer версии 4.1 и начинается дозвон в Интернет. Как избавиться от этой небольшой проблемы. Спасибо. С Уважением, Sel.

Подскажите, плиз, как запустить AVZ и в ком.строке указать стандартный скрипт сбора информации...
хотелось бы из батника сразу отчет создать...

[B]Прикладываю лог сканирования системы[/B]
[B]Интересна ругань AVZ на панель быстрого запуска ноутбука HP
Если надо пришлю файлы [/B]

Всё подозрительное прислать, как написано в правилах. После внесения в базу безопасных ругани быть не должно.

[QUOTE=pig]Всё подозрительное прислать, как написано в правилах. После внесения в базу безопасных ругани быть не должно.[/QUOTE]
Ok отсылаю

При попытке запуска AVZ Guard из терминальной сессии выдается сообщение "Ошибка активации AVZ Guard !" (см. приложение).
В меню остается доступным только первый пункт "Включить AVZGuard". Пункты "Запустить приложение как доверенное" и "Отключть AVZGuard" остаются неактивными. Никакие приложения запустить невозможно. Лечится, кажется, только перезагрузкой системы.

Если нельзя корректно запустить AVZ Guard в терминальной сессии, то может быть, хотя бы, возможно запретить это делать вообще?

[QUOTE=GrAnd]При попытке запуска AVZ Guard из терминальной сессии выдается сообщение "Ошибка активации AVZ Guard !" (см. приложение).
В меню остается доступным только первый пункт "Включить AVZGuard". Пункты "Запустить приложение как доверенное" и "Отключть AVZGuard" остаются неактивными. Никакие приложения запустить невозможно. Лечится, кажется, только перезагрузкой системы.

Если нельзя корректно запустить AVZ Guard в терминальной сессии, то может быть, хотя бы, возможно запретить это делать вообще?[/QUOTE]
Запуск AVZ Guard из терминальной сессии - это конечно из разряда экстрима. Я пропишу в FAQ и справке, что это не следует делать. И быть может поставлю блокировку ... Плюс запись в логе - запущен из терминальной сессии