Скрипт AVZ для обнаружения опасных уязвимостей

Многие из обращающихся в раздел "Помогите!" имеют те или иные опасные уязвимости в ПО, установленном на их компьютерах. Вылечить такой компьютер сложно из-за того, что после удаления вредоносной программы он снова заражается через несколько минут или, если повезет, дней.
Некоторые уязвимости видны в логах, но не все. Поэтому я написал скрипт, обнаруживающий уязвимости, часто используемые для заражения компьютера, и предлал выполнить его тем посетителям раздела "Помогите!", на компьютерах которых имеются соответствующие симптомы:
[url=http://virusinfo.info/showthread.php?t=69276]файлы в папке system32 с названиями от 00 до 99[/url]
[url=http://virusinfo.info/showthread.php?t=71914]постоянные обрывы интернета[/url]
[url=http://virusinfo.info/showthread.php?t=72227]Пропадает звук[/url]
И теперь, когда скрипт отлажен и показал свою эффективность, я предлагаю всем желающим проверить свой компьютер для профилактики от заражения.

Детектируются часто используемые уязвимости в:
[list][*]Microsoft Windows.[*]Microsoft Office XP-2003.[*]Internet Explorer.[*]Устаревшие версии Mozilla Firefox.[*]Adobe Flash Player для Internet Explorer и альтернативных браузеров.[*]Adobe Acrobat Reader и Adobe Acrobat.[*]Sun Java JDK и JRE.[/list]
Примечания:
1. Для работы скрипта требуется антивирусная утилита [url=http://z-oleg.com/secur/avz/download.php]AVZ[/url] версии не ниже 4.32.
2. Скрипт сохраняет результат проверки в файле avz_log.txt в подпапке AVZ: [B]log[/B]. Если это сделать не удалось, то в корень диска C:.
3. Для устранения уязвимостей пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
4. Перезагрузите компьютер и повторно выполните скрипт для проверки.

Текст скрипта тут: [url]http://df.ru/~kad/ScanVuln.txt[/url]

эммм.. а как понять результат выполнения скрипта? :?
в окне AVZ
[CODE]Поиск критических уязвимостей
Протокол сохранён в под-папке log[/CODE]

[CODE]C:\Program Files\avz4\LOG>type avz_log.txt
Поиск критических уязвимостей
[/CODE]

и как бы всё
маловато как-то информации в логе.. если ничего не найдено, то хоть бы намекнул :smile2:
а так, нипанятна

Хорошо, добавлю счётчик найденных уязвимостей в следущей версии скрипта.

а нельзя ли этот полезняшный скриптик вложить в стандартную поставку AVZ и может как-то сделать чтобы он и обновлялся стандартной обновлялкой AVZ? :blush:

Не думаю, что это осуществимо. Продукты ЛК, кажется, используют базу уязвимостей, предоставляемую Secunia. Но если каким-то образом запихнуть ее в базы AVZ, то объем этих баз получится очень большим. Надо учесть, что база уязвимостей Secunia обновляется очень часто. Хотя этот вопрос лучше задать в [URL=http://virusinfo.info/showthread.php?t=52648]теме про AVZ[/URL].

Сделал новую версию. Изменения:
1. Добавлен счётчик найденных уязвимостей.
2. Добавлено детектирование [url=http://www.microsoft.com/rus/technet/security/bulletin/MS08-041.mspx] уязвимости элемента ActiveX средства просмотра снимков Microsoft Access[/url]. Она довольно старая, но всё еще используется.
3. Замена ссылок на более близкие к нужным файлам. Если исправление мультиязычное, то выводится прямая ссыка на файл, иначе на страницу с русской версией. Для Windows, русифицированного через MUI, должны скачиваться английские версии обновлений.

Текст скрипта тут: [url]http://df.ru/~kad/ScanVuln.txt[/url]

Замена бюллетеня [B]Накопительное обновление безопасности для браузера Internet Explorer[/B] MS10-002 на [url=http://www.microsoft.com/rus/technet/security/bulletin/MS10-018.mspx]MS10-018[/url].

Минимально допустимые версии Java увеличены до 1.6.0_15, 1.5.0_20 и 1.4.2_22.

Спасибо вам огромное!

На заражённых сайтах начали размещаться эксплойты [url=http://www.kaspersky.ru/viruswatchlite?search_virus=Exploit.Java.CVE-2009-3867]Exploit.Java.CVE-2009-3867[/url], использующие [url=http://www.securitylab.ru/vulnerability/387303.php]уязвимость Java[/url].
Поэтому, требования скрипта к минимальным версиям Java увеличены до: 6 Update 17, 5.0 Update 22 и 1.4.2_24.
Скрипт: [url=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url]

Спасибо. Хороший скриптик - нашёл у себя 3 уязвимости.

а что вот это за уязвимость и как работает?

отчет скрипта
[QUOTE][микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E543-0000-0000-C000-000000000046}
и т.п.[/QUOTE]

- разрешён запуск элементов управления ActiveX в Internet Explorer, что уже само по себе чревато... в данном случае речь об уязвимости связанной с запуском библиотек веб-компонентов Microsoft Office в IE, дробности смотреть на [url]http://support.microsoft.com/kb/240797/ru[/url] и на [url]http://www.microsoft.com/rus/technet/security/bulletin/ms09-043.mspx[/url]


ЗЫ очевидно, микропрограмма лечения отключает запуск библиотеки веб-компонентов Office в IE, согласно предложенного Microsoft временного решения по закрытию уязвимости, связанной с выделением памяти веб-компонентами Office...

Пять штук уязвимостей. :2jump: Спасибо.
Однако... У меня СП2 с единственным обновлением, который был необходим для установки ИЭ8 (установлен месяц назад). Если б учитывалось наличие обновлений, я сидел бы (сижу) в уязвимостях по горло. :)

[I]"Уязвимость службы сервера делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=0D5F9B6E-9265-44B9-A376-2067B73D6A03"[/I]. Но у меня служба вовсе отключена...

Добавлено детектирование устаревшей версии Opera.
Минимальная версия Adobe Reader и Acrobat увеличена до 8.2.1/9.3.1.

хорошо бы в текст скрипта добавить ссылку на последнюю версию скрипта, или автоматом проверить в инете при выполнении

Изменения:[list][*]Замена бюллетеня "Накопительное обновление для системы безопасности, устанавливающее флаг блокировки для элемента ActiveX" MS10-008 на MS10-034.[*]Замена бюллетеня "Накопительное обновление безопасности для браузера Internet Explorer" MS10-018 на MS10-035.[*]Минимальная под-версия Java 6 увеличена с Update 17 до Update 20. Причина: на заражённых сайтах распространяются эксплойты, использующие [url=http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0886]уязвимость Java[/url]. [*]Согласно рекомендации [url]http://www.adobe.com/support/security/advisories/apsa10-01.html[/url] 0-day уязвимость в Adobe Reader 9 и Acrobat 9 нейтрализуется переименованием файла authplay.dll[*]В текст скрипта добавлен адрес, по которому можно скачать актуальную версию: [url]http://dataforce.ru/~kad/ScanVuln.txt[/url][/list]

Изменения:[list][*]Минимальная версия Adobe Reader и Acrobat увеличенна до 8.2.3/9.3.3.[*]Уязвимость в Центре справки и поддержки Windows (CVE-2010-1885) нейтрализуется по [url=http://www.microsoft.com/technet/security/advisory/2219475.mspx]рекомендации Microsoft[/url].[/list]

А почему при выполнении скрипта 1.16 не создаётся Backup HKEY_CLASSES_ROOT\HCP ?

Потому что, он у всех один и тот же.
Если хотите восстановить как было, выполните скрипт:
[code]begin
if not RegKeyExists('HKCR','HCP\shell') then RegKeyParamWrite('HKCR','HCP\shell\open\command','','REG_EXPAND_SZ','%SystemRoot%\PCHEALTH\HELPCTR\Binaries\HelpCtr.exe -FromHCP -url "%1"');
end.[/code]
Или используйте утилиту Microsoft для отмены этого исправления: [url]http://go.microsoft.com/?linkid=9735565[/url]

А чем грозит удаление "HCP\shell". Ну кроме не подверженности уязвимости.
Перестанут открываться help файлы или chm файлы или еще что откажется работать?

Не будут работать ссылки, начинающиеся с hcp:// Они обычно используются для запуска [B]Центра справки и поддержки Windows [/B]из других программ, например вызов Мастера поиска и устранения проблем.

[QUOTE='AndreyKa;665282']например вызов Мастера поиска и устранения проблем.[/QUOTE]
Какой то нафик не нужный функционал. И ссылок на hcp:// я не видел.
ИМХО hcp не нужен

Изменения:[list][*]Уязвимость в Центре справки и поддержки Windows предлагается исправить с помощью бюллетеня MS10-042. [*] Определяется устаревшая версия Apple QuickTime.[*] Уязвимость в RealPlayer блокируется через KillBit.[/list]

скриптик не отображает необходимость обновления Java до последней Version 6 Update 21.. так задумано? :scratch_one-s_head:

[URL="http://www.java.com/ru/download/installed.jsp"]проверилась на сайте java[/URL]
[QUOTE]Проверка версии Java
Ой! У вас установлена версия Java, отличная от рекомендованной.
Установленная версия Java - Version 6 Update 20. Нажмите на кнопку, расположенную ниже, чтобы скачать версию Java, рекомендованную для вашего компьютера.

ПРИМЕЧАНИЕ: Если вы недавно установили программное обеспечение Java, вам может потребоваться перезапустить браузер (закрыть и открыть все окна браузера) перед проверкой установки.
Скачать бесплатное ПО Java для Windows
Windows Vista, XP и 2000 Server Version 6 Update 21 [/QUOTE]

[B]Юльча[/B], в версии Java 6 Update 21 никаких уязвимостей исправленно не было.

Эта версия содержит самые существенные изменения за всю его историю:
[list][*]Пользователям Windows XP SP2 теперь предлагается установить SP3.[*]Пользователям Windows Vista без пакетов обновления предлагается установить SP1 и SP2.[*] Определяется уязвимость оболочки Windows при обработке ярлыков и pif файлов - [url=http://www.microsoft.com/rus/technet/security/bulletin/MS10-046.mspx]MS10-046[/url].[/list]
Вместе с отказом от анализа состояния Windows XP SP2, закрывается несколько опасных уязвимостей, которые скрипт не замечал.

Не лучше ли пользоваться Secunia PSI?

Преимущества скрипта над Secunia PSI:
1) Может запускаться без наличия подключения к Internet.
2) Может запускаться без наличия прав Администратора, не требует установки.
3) Не отвлекает внимание пользователя на мнимые угрозы.

Запустил Secunia PSI на Windows XP SP2:
[quote]Эта установка Microsoft Windows XP Professional была определена, как имеющая все необходимые исправления.[/quote]Что тут можно сказать? Лучше промолчу...

Изменения:[list][*]Замена бюллетеня "Накопительное обновление безопасности для браузера Internet Explorer" с MS10-035 на MS10-053.[*]Замена бюллетеня "Уязвимости в сервере SMB делают возможным удаленное выполнение кода" с MS10-012 на MS10-054.[*]Пользователям Windows 2000 сообщается, что закончился жизненный цикл этой ОС.[/list]

Вышла очередная версия скрипта. Информацию о ней и о последующих версиях смотрите на странице [url]http://dataforce.ru/~kad[/url]

[b]AndreyKa[/b], есть надежда на дальнейшее развитие скрипта?

Здесь он не появляется.

[QUOTE=Vvvyg;1246566][b]AndreyKa[/b], есть надежда на дальнейшее развитие скрипта?[/QUOTE]
Лучше на форум DrWeb писать ему там он хоть иногда появляется.

Он и здесь периодически появляется и отвечает.

Так как, скрипт ещё используется и в инете много на него ссылок, решил обновить по минимуму.
Изменения:[list][*]Минимальные версии Adobe Flash Player увеличены до 13.0.0.296 и 18.0.0.194 .[*]Замена бюллетеня MS14-052 "Накопительное обновление для системы безопасности браузера Internet Explorer" на MS15-056.[*]KB2718704 убрал для Win7 из-за ложных срабатываний.[/list]

Минимальная версия Adobe Flash Player увеличена до 18.0.0.209.

[QUOTE=AndreyKa;1292558]Так как, скрипт ещё используется и в инете много на него ссылок, решил обновить по минимуму.[/QUOTE]
А по максимуму уже не будет ? :O

[QUOTE=grobik;1303524]А по максимуму уже не будет ? :O[/QUOTE]

А попробуйте поддерживать анализ минимум 7 поколений систем в двух вариантах - x86 и x64. Забибикаешься :?

[QUOTE=Vvvyg;1303540]А попробуйте поддерживать анализ минимум 7 поколений систем в двух вариантах - x86 и x64. Забибикаешься :?[/QUOTE]

А предыдущие версии скрипта сами писались, не бибикая ? Автор совершенно справедливо заметил, что ссылок на его скрипт в Инете довольно много.
Например, поколения осей можно и ограничить, варианты всегда есть...