AVZ 4.25

[Макcим]

Предлагаю сделать сигнатурный детект на пакеры и крипторы, которыми пакуются преимущественно malware.

[aintrust]

...CRC проверяется по базе чистых. Если файл там обнаруживается, то он признается безопасным и процесс проверки завершается. Если нет, то производится проверка по базе MS.

Я всегда (наивно) полагал, что зеленым цветом отображаются только те файлы, что находятся в базе безопасных AVZ, а оказалось, что совсем даже и нет! Я бы, наверное, в таком случае предложил показывать файлы из каталога Майкрософта цветом, отличным от зеленого (синим?), т.к., полагаю, при желании можно обмануть AVZ при проверке файла только по каталогу (надо будет подумать над этим на досуге).

PS. Попробуй смоделировать ситуацию с этим багом у себя, исключив пару-тройку системных файлов из базы безопасных и включив режим AVZGuard.

[krserv]

Олег, я поставил версию 4.25 (пробовал и русскую и английскую), но почему-то не идет обновление файл main028.avz. - пробовал два раза на разных языковых версиях, а вот сейчас смотрю на русской прошло, идет main030.avz Что это может быть, отсутствие доступа к файлу обновления из-за перегрузки сервера обновлений? Вот сейчас написал, что загрузочный файл 031 - поврежден? Запущу еще. Вот все обновления установились. Ошибка возникает из-за перегрузки?
Базу обновлений можно использовать в разных языковых версиях, или нужно обновлять на англоязычную повторно уже из ее интерфейса?

[Зайцев Олег]

Олег, я поставил версию 4.25 (пробовал и русскую и английскую), но почему-то не идет обновление файл main028.avz. - пробовал два раза на разных языковых версиях, а вот сейчас смотрю на русской прошло, идет main030.avz Что это может быть, отсутствие доступа к файлу обновления из-за перегрузки сервера обновлений? Вот сейчас написал, что загрузочный файл 031 - поврежден? Запущу еще. Вот все обновления установились. Ошибка возникает из-за перегрузки?
Базу обновлений можно использовать в разных языковых версиях, или нужно обновлять на англоязычную повторно уже из ее интерфейса?

Я заливал базы на сервер не так давно - канал тормозил и процесс этот шел долго. Если запустить обновление в такой момент - будет ошибка, потом она самоустранится. На всякий случай я перезалью сейчас базы еще разок - в логах автоматики сообщение о проблемах с файлом main031, передача возобновлялась после таймаута.
База общая для en/ru, поэтому можно обновиться один раз и затем подсунуть базу (т.е. всю папку Base) в другую версию.

[Muffler]

Предлагаю сделать сигнатурный детект на пакеры и крипторы, которыми пакуются преимущественно malware.

Предлагаю сделать сигнатурный детект на все пакеры и крипторы в расширеном анализе эвристика.

[Макcим]

Muffler, как Вы понимаете слово "все"? Вам нужна информация о том упакован файл или нет?

[Muffler]

Вам нужна информация о том упакован файл или нет?

Да, упакован или нет, если да то каким пакером или криптором, но только эту проверку делать в расширеном анализе эвристика...

[Макcим]

Тогда к названию пакера\криптора добавить информацию, например что он часто используется в malware.

[Mad Scientist]

Вчера столкнулся с runtime2.sys - "Win32/Rootkit.Agent.EY" троян по классификации от Eset - помоем драйвер себя еще и маскировал.
Но главной особенностью было то, что когда AVZ пытается его обнаружить (детектировать работу rootkit, не снимая перехваты), руткит генерит бсод. Еще это было дополнено одним процессом, который тож нельзя было прибить, который загружал процессор на 98%, так что окошки открывались минуты по две, хотел сформатнуть все).

[XL]

Вчера столкнулся с runtime2.sys - "Win32/Rootkit.Agent.EY" троян по классификации от Eset - помоем драйвер себя еще и маскировал.
Но главной особенностью было то, что когда AVZ пытается его обнаружить (детектировать работу rootkit, не снимая перехваты), руткит генерит бсод. Еще это было дополнено одним процессом, который тож нельзя было прибить, который загружал процессор на 98%, так что окошки открывались минуты по две, хотел сформатнуть все).

Это еще что. Я как-то во второй день после отпуска в мае наткнулся на машинку, в которой прижились оба runtime'ма (1 и 2), poof$proof.sys$еще_какая-то_третьекомпонетная_хрень, патченный ndis.sys и еще пара-тройка троянских низкоуровневых модулей (названия щас не помню уже). Я просидел там часа полтора, а ребутился раз 20 вынужденным образом и не по своей воле. В bsod комп кидал не только доход AVZ до кернелмода, но и запуск gmer. А не сняв хуки кернелмода, делать что-либо на такой машине бессмысленно. Включаешь avz guard и руками чистишь автозапуск, обновляешь страницу и ключики убитые восстанавливаются на глазах. Веселуха...
Кое-что обезвредил при помощи RKU (его запуск и снятие хуков не бсодили, видимо, он их аккуратнее снимает), кое-что путем вычисления через менеджер служб и драйверов с последующим ручным написанием скрипта. Звери эволюционируют и становятся агрессивными.

[Макcим]

Звери эволюционируют и становятся агрессивными.

AVZ тоже не стоит на месте. Будем надеятся, что в AVZ 4.26 таких проблем не будет.

[Зайцев Олег]

Вчера столкнулся с runtime2.sys - "Win32/Rootkit.Agent.EY" троян по классификации от Eset - помоем драйвер себя еще и маскировал.
Но главной особенностью было то, что когда AVZ пытается его обнаружить (детектировать работу rootkit, не снимая перехваты), руткит генерит бсод.

Видимо, стоит тупой детект загрузки драйвера ... это устранимо

[Jef239]

В начале следующей недели пойдут тесты 4.26,

Олег, а можно бета-версию скачать?

Кстати, что там с ошибкой в хелпе насчёт сервиса "прислать чистые"?

[aintrust]

Я просидел там часа полтора, а ребутился раз 20 вынужденным образом и не по своей воле.

Пару недель назад имел похожий "секс". Первое желание было вообще не связываться, а сделать полную переустановку, однако "клиент" чуть ли не на коленях упрашивал обойтись без переустановки - слишко много всего "нажитого". Убил всех зверей только связкой RkU + AVZ (RkU - для правильной оценки ситуации с руткитами и для снятия хуков, а AVZ, руки и мозги - для остального)... =)

[santy]

смотрел недавно, 27.06.2007 по логам на одной из машин: вначале IMON(nod32) задетектил "probably unknown NewHeur_PE virus", юзер не нажал кнопку "дисконнект", через несколько секунд монитор прибил в системе файл:
C:\WINNT\System32\drivers\netdtect.sys - Win32/Rootkit.Agent.DP trojan - quarantined - deleted

Интересно, есть ли какие-то данные по тестированию технологии NOD Anti-Stealth?

[Geser]

Кстати, очень давно уже говорилось об обнаружении руткитов путём сравнения сканирования диска обычным способом и через драйвер прямого доступа. Я так понимаю это до сих пор не реализовано. Почему?

[Зайцев Олег]

Кстати, очень давно уже говорилось об обнаружении руткитов путём сравнения сканирования диска обычным способом и через драйвер прямого доступа. Я так понимаю это до сих пор не реализовано. Почему?

Это медленно (нужно сначала просканировать через API, затем - напрямую, разбирая файловую систему вручную), и в случае новых зловредов не поможет - они просто не маскируются, так как куда проще и надежнее ограничить доступ к файлу, чем маскировать его.

[drongo]

В последнее время участились случаи в разделе "помогите" , заражения серверов 2000, 2003. Очень нужны скрипты лечения "Настройки SPI/LSP" .

[Geser]

Это медленно (нужно сначала просканировать через API, затем - напрямую, разбирая файловую систему вручную), и в случае новых зловредов не поможет - они просто не маскируются, так как куда проще и надежнее ограничить доступ к файлу, чем маскировать его.

Медленно это не аргумент. Это всёравно что сказать что не нужно в антивирусах делать полное сканирование, потому что это медленно. Функция нужна. А тратить время или нет, это уж пусть каждый решает сам.

А если уж новые зловреды ограничивают доступ, то автоматически напрашивается добавление в протокол сканирования всех файлов доступ к которым ограничен.

[Зайцев Олег]

В последнее время участились случаи в разделе "помогите" , заражения серверов 2000, 2003. Очень нужны скрипты лечения "Настройки SPI/LSP" .

Уже сдалано, лечение и бекап LSP, помогает в 99.99% случаев. Для определенности начинаем приватные тесты альфы AVZ 4.26 завтра, в закрытом разделе ...