AVZ 4.25

[drongo]

Я за пост номер 399
Олег, на эти 2 опции стоит потратить время ;-)

[aintrust]

Для определенности начинаем приватные тесты альфы AVZ 4.26 завтра, в закрытом разделе ...

Олег, не забудь, пожалуйста, про отладочную печать для выявления бага с "почернением" безопасных файлов в режиме AVZGuard.

[Зайцев Олег]

Олег, не забудь, пожалуйста, про отладочную печать для выявления бага с "почернением" безопасных файлов в режиме AVZGuard.

Уже поздно - полчаса назад тестовая версия положена в приватный раздел. Но я пересоберу ее с добавленных отладочным логом и пришлю ...

[aintrust]

Но я пересоберу ее с добавленных отладочным логом и пришлю ...

Да-да, т.к. бета 4.26 подвержена аналогичной "болезни"...

[XL]

Господа, мне в последнее время просто везет на новых зверей. Сегодня наткнулся на интересный случай, я бы даже сказал на очень интересный. Аналогичная фигня рассмотрена здесь:
http://virusinfo.info/showthread.php?p=121596
Итак, что мы имеем:
по адресу C:\WINDOWS\system32\simp_dll.dll лежит библиотека, инжектящаяся в (зеленый в логе) svchost.exe. Детектится библиотека как NOD32v2 2389 07.10.2007 Win32/Spabot.NAH (последние три буквы очень символичны )
Библиотека залочена и проверяется только прямым чтением. ЕЕ можно удалить файловым монитором НОДА и она до перезагрузки не появляется вновь, т.е. исчезает визуально из папки.
Идем далее. При проверке системы сканером по требованию (или файловым монитором при наведении мышью и выделении файла) в C:\WINDOWS\temp всплывают еще 2 NAH'а с расширением *.tmp, которые тоже детектятся антивирусом . Один из них удаляется и не появляется более, а второй удаляется и тут же появляется с другим именем, снова удаляется и снова появляется, и т.д.
Глядя на эту вакханалию, сразу хочется ее прекратить через AVZ Guard, но не тут то было! Предварительно снимаем хуки (которых не видно) антируткитом, вырубаем НОД, включаем Guard, удаляем через отложенное удаление регенирирующийся *.tmp, а он-гад снова появляется, несмотря на включенный avz_guard!!! Наступает первая стадия удивления.
Вторая стадия приходит, когда мы пишем скрипт вида:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
BC_DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
DeleteFile('C:\WINDOWS\temp\*.tmp');
BC_DeleteFile('C:\WINDOWS\temp\*.tmp');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

и после его выполнения видим все на своих местах, а также не видим линков на автозапуск *.tmp и C:\WINDOWS\system32\simp_dll.dll в менеджере автозапуска.
Хочу заметить, что восстановление системы отключено заранее.
Avenger'ом пробовал делать аналогичное удаление - эффект тот же, т.е. нулевой. Я в растерянности....
Клиенту пообещал, что если до завтрашнего вечера решение не найду, будем сносить винду (она со вторым SP...)
Идеи?
Если нужен лог, то он есть, правда чуть разбавлен Jeefo'й.

[Muffler]

Давайте лог...

Лучше всего после вот такого скрипта:

Код:

begin
ExecuteAVUpdate;
if true then
 AddToLog('[Log][OK]=====>>> AV Update -> Done!')
else
 AddToLog('[Log][Error]=====>>> AV Update -> Error!');

SetupAVZ('UseQuarantine=Y');
SetupAVZ('SCANDRIVE=HDD');
SetupAVZ('ScanAllFiles=Y');
SetupAVZ('CheckArchives=Y');
SetupAVZ('EvLevel=3');
SetupAVZ('ExtEvCheck=Y');
 AddToLog('[Log][Info]=====>>> AVZ SetUp -> Done!');
SearchRootkit(true, true);
 AddToLog('[Log][Info]=====>>> AVZ Anti-Rootkit -> Done!');
 RunScan;
AddToLog('[Log][Info]=====>>> AVZ Scan -> Done!');
ExecuteSysCheck(GetAVZDirectory + 'ext_syscheck.zip');
AddToLog('[Log][Info]=====>>> AVZ Syscheck -> Done!');
CreateQurantineArchive(GetAVZDirectory + 'ext_qurantine.zip');
if true then
   begin
AddToLog('[Log][OK] =====>>> AVZ QrArchive -> OK');
RebootWindows(false);
   end
else
    begin
AddToLog('[Log][Error] =====>>> AVZ QrArchive -> Error');
AddToLog('[Log][Info] =====>>> AVZ -> Try to run this script in SafeMode.');
SetAVZGuardStatus(false);
AddToLog('[Log][Info] =====>>> AVZ -> AVZ Guard OFF');
ExitAVZ;
   end;

end.

Нужны файлы ext_syscheck.zip и ext_qurantine.zip.

[Зайцев Олег]

После бета-тестирования выпущен редактор скриптов AVZ. Страница описания и загрузки - http://z-oleg.com/secur/avz/avz_se.php, документация - http://z-oleg.com/secur/avz_se_doc/

[Geser]

Олег, у меня вопрос по комманде BC_QrSvc
В примере аргументом является название сервиса. Можно ли в качестве аргумента указывать имя файла сервиса или драйвера?

[Зайцев Олег]

Олег, у меня вопрос по комманде BC_QrSvc
В примере аргументом является название сервиса. Можно ли в качестве аргумента указывать имя файла сервиса или драйвера?

Нет - такое не поддерживается - BC_QrSvc ищет в реестре ключ с указанным именем в разделе регистрации служб и драйверов. Для карантина файла можно применить BC_QrFile(' '); - карантин файла по имени. Но он сработает только в случае указания полного имени файла.

[PavelA]

Олег! В этой теме в конце лога есть подозрение вполне оправданное на ip6fw.sys, но в модулях ядра его не видно
http://virusinfo.info/showthread.php?t=10925

В чем тут проблема?

[Макcим]

Хотелось бы ещё услышать комментарий по поводу детекта или определения пакера.

Добавлено через 2 часа 38 минут
Можно AVZ запустить с диска, сделанным в PE Builder? С помощью ревизора можно не плохо искать руткиты.

[Зайцев Олег]

Хотелось бы ещё услышать комментарий по поводу детекта или определения пакера.

Добавлено через 2 часа 38 минут
Можно AVZ запустить с диска, сделанным в PE Builder? С помощью ревизора можно не плохо искать руткиты.

По поводу пакеров - для запущенных процессов есть эвристический поиск пакера, чаще всего он угадывает. Детект пакера по сигнатуре возможен, но это замедление сканирования, причем ощутимое. Компромисное решение - можно делать такую проверку для всех файлов, попавших в исследование системы. Но тогда возникает вопрос - кто будет выиискивать пакеры разных версий и брать сигнатуры ? Сигнатуру положим я могу взять, но для этого нужно упаковать 2-3 "дрозофилы" (скажем блокнот и regedit) каждым из пакеров, причем повторить эту операцию в разных режимах пакера.
Запустить AVZ с диска PE Builder можно, я видел реализации подобных дисков с AVZ на борту.

[Макcим]

Сигнатуру положим я могу взять, но для этого нужно упаковать 2-3 "дрозофилы" (скажем блокнот и regedit) каждым из пакеров, причем повторить эту операцию в разных режимах пакера.

То есть, точного результата все равно не будет? Искать пакер во всех файлах на диске конечно не зачем. Другое дело отдельный файл. Скачал из сети какой-нибудь кейген, проверил антивирусом и AVZ. Предположим антивирус ни чего не нашел, а AVZ определил чем упакован файл и тенденцию использования этого пакера в malware.

Запустить AVZ с диска PE Builder можно, я видел реализации подобных дисков с AVZ на борту.

А как это сделать? Можете рассказать в "Чаво"? При подозрении на неуловимый руткит в самый раз.

[Зайцев Олег]

То есть, точного результата все равно не будет? Искать пакер во всех файлах на диске конечно не зачем. Другое дело отдельный файл. Скачал из сети какой-нибудь кейген, проверил антивирусом и AVZ. Предположим антивирус ни чего не нашел, а AVZ определил чем упакован файл и тенденцию использования этого пакера в malware.

Точный результат и детект будет, но:
1. Существует туча пакеров и их разновидностей (т.е. для более-менее нормального детекта нужна база на 200-500 сигнатур минимум)
2. Существуют обфускаторы, задача которых - покорежить код распаковщика настолько, чтобы его не узнали антивирусы и прочие анализаторы
3. Множество пакеров применяется как для упаковки полезных программ, так и для зловредов (самый распространенный пример - UPX). Т.е. судить о зловредности файла по его упаковщику - нехорошо. Самый распространенный пример - альтернативная обновлялка баз для DrWEB, на нее AVZ постоянно ругается. Причина - пакер, причем нарушающий формат PE файла ... а программа эта сама по себе не опасна.

[Макcим]

Теперь понял бесполезность задумки. А что по PE Builder?

[drongo]

Ссылка на подробную инструкцию изготовления была бы кстати, я как раз решил заняться изготовлением диска с кис 7

[XL]

Давайте лог...

Глядя на то как развивались события, в итоге все сделал аналогично тому, как в ВЫ в той теме в "Помогите" отписались. Действительно, все дело было в пропатченном ntoskrnl.exe... Лог очень похож (разве что менее насыщенный), поэтому цеплять его не буду. Век живи - век учись! Теперь буду с большей осторожностью относиться к незеленым системным файлам в отчете.
Другое дело, что когда подсунул винде здоровый ntoskrnl.exe, та начала зависать при запуске. Пришлось стартануть в last good configuration, затем прогрузиться в безопасном режиме и только после этого система начала загружаться в нормальном режиме. После всего в отчет при проверке по базе безопасных ntoskrnl.exe попадать перестал.

Сорри за оффтоп и спасибо за подсказку!

Детект зверя в ntoskrnl.exe

File avz00002.dta received on 07.11.2007 21:00:35 (CET)
Current status: finished

Print results Antivirus Versiуn Last Update Result
AhnLab-V3 2007.7.11.1 20070711 no virus found
AntiVir 7.4.0.39 20070711 no virus found
Authentium 4.93.8 20070710 no virus found
Avast 4.7.997.0 20070711 no virus found
AVG 7.5.0.476 20070711 no virus found
BitDefender 7.2 20070711 no virus found
CAT-QuickHeal 9.00 20070711 no virus found
ClamAV devel-20070416 20070711 no virus found
DrWeb 4.33 20070711 no virus found
eSafe 7.0.15.0 20070710 Suspicious Trojan/Worm
eTrust-Vet 30.8.3779 20070711 no virus found
Ewido 4.0 20070711 no virus found
FileAdvisor 1 20070711 no virus found
Fortinet 2.91.0.0 20070711 no virus found
F-Prot 4.3.2.48 20070710 no virus found
Ikarus T3.1.1.8 20070711 no virus found
Kaspersky 4.0.2.24 20070711 no virus found
McAfee 5072 20070711 no virus found
Microsoft 1.2704 20070711 no virus found
NOD32v2 2393 20070711 no virus found
Norman 5.80.02 20070711 no virus found
Panda 9.0.0.4 20070711 no virus found
Sophos 4.19.0 20070706 no virus found
Sunbelt 2.2.907.0 20070711 VIPRE.Suspicious
Symantec 10 20070711 no virus found
TheHacker 6.1.6.144 20070709 no virus found
VBA32 3.12.0.2 20070710 no virus found
VirusBuster 4.3.23:9 20070711 no virus found
Webwasher-Gateway 6.0.1 20070711 Win32.Malware.gen!90 (suspicious)
Aditional information
File size: 2283008 bytes
MD5: b4779402ab349a8581e20da6b30de774
SHA1: 1f7451cce855a72a23ea8457a534a64003ffaf67
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

[Muffler]

Касперский его будет детектить после апдейта баз.

[Макcим]

Ссылка на подробную инструкцию изготовления была бы кстати, я как раз решил заняться изготовлением диска с кис 7

KIS 7 это хорошо, но говорю о возможности создания такого диска с AVZ...

[PavelA]

@Олег
Можно такое использовать?

DeleteFile('C:\WINDOWS\temp\*.tmp');

Есть мнение, что удаление по маске не работает.