AVZ 4.29

[Иван Шацкий]

Если Firewall отсутствует, то при соединении с Инет может происходить что угодно, например ПК может атаковываться из сети эксплоитами.

В данном случае причина точно внутри компьютера. Может ли какой-то Firewall помочь определить, какой из модулей пространства ядра инициирует соединения?

MD5 даются для справки, чтобы идентифицировать файл. AVZ плюс к этому проверяет файлы по базе ЭЦП MS и собственной базе чистых. Вручную эта проверка запускается из меню для указанного файла.

Может быть, я не очень понятно спросил, попробую еще раз: AVZ хранит в собственной базе чистых файлов MD5? Рассчет MD5 может помочь мне найти модифицированный системный файл?

AVZ проверяет ADS, если включена максимальная эвристичка и расширенная проверка, то найдя ADS содержащий исполняемый файл он выдает сообщение в логе.

А возможно ли (теоретически) написать для этого (для поиска ADS) скрипт?

[Макcим]

Ваши проблемы можно решить невероятно просто. Достаточно выполнить правила оформления запроса.

[Иван Шацкий]

Хотелось разобраться самому, честно говоря. Ситуация усугубляется тем, что в ближайшее время логи с интересующего меня компьютера я получить не могу. Может, есть более подходящий топик, где можно задавать вопросы на тему методик диагностирования и возможностей AVZ?

[Макcим]

Хотелось разобраться самому, честно говоря.

Можем разобраться вместе, мне тоже интересно

Может, есть более подходящий топик, где можно задавать вопросы на тему методик диагностирования и возможностей AVZ?

Нету, но Вы можете это исправить.

[Зайцев Олег]

В данном случае причина точно внутри компьютера. 1. Может ли какой-то Firewall помочь определить, какой из модулей пространства ядра инициирует соединения?

2. Может быть, я не очень понятно спросил, попробую еще раз: AVZ хранит в собственной базе чистых файлов MD5? Рассчет MD5 может помочь мне найти модифицированный системный файл?

3.А возможно ли (теоретически) написать для этого (для поиска ADS) скрипт?

1. Не нужно этого делать. Нужно оградить ПК от атак извне, это любой Firewall сделает без проблем - отфильтрует и покажет в логе, кто и откуда ломится. Хотя это обычно не интересно - правила FW должны отсекать любую активность кроме той, что мы считаем полезной.
2. AVZ не хранит MD5 в своих базах - у него свои аглоритмы вичисления контрольной суммы, но суть от этого не меняется - изучаемый файл проверяется по базе безопасных, при этом используется контрольная сумма всего файла.
3. Нет. Скриптовой язык AVZ позволяет искать файлы, но для поиска ADS у файла или папки там команд нет

[Иван Шацкий]

Можем разобраться вместе, мне тоже интересно

Ладно, убедили, соберу логи по описанной схеме, открою тему в разделе "помогите".

Всем спасибо за ответы.

[Surfer]

Вопрос третий. Даже при включенном драйвере AVZPM мне попадались системы, где в списке модулей пространства ядра присутствовали непонятные драйвера с абракадаброй вместо имени (ну и файла такого тоже на диске не было, естественно). При каких обстоятельствах такое может быть возможно?

Возможно, если стоит alcohol, daemon tools, blind write или подобное.

[Geser]

Олег, а можно все же какие-то комментарии по постам 272,276?

[Иван Шацкий]

Возможно, если стоит alcohol, daemon tools, blind write или подобное.

Daemon Tools стоит, верно...

А с чем связано, не подскажете заради расширения кругозора? Можно попробовать угадать? Потому что и AVZPM, и sptd.sys - драйвера группы "Boot Bus Extender", и второй может загрузиться раньше первого? И для гарантированного отсутствия замаскированных модулей уровня ядра надо, чтобы в системе не было ни одного "левого" драйвера из этой группы? Или глупость сказал?

[Зайцев Олег]

Попросил меня сотрудник убрать из автозапуска ISUSPM.exe
В менеджере автозапуска я её не обнаружил. Цепляю дамп реестра. Вопрос почему эта программа не видна в менеджере автозапуска?

AVZ не показывает в менеджере OLE классы - т.е. если нечто зарегистрировано как класс и не значится как BHO или расширение IE, то оно не найдется. Это один из вариантов

Добавлено через 2 минуты

Сегодня делал автокарантин.
Получил следующие ошибки:

Код:

Ошибка карантина файла, попытка прямого чтения (rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_COMServer {00E7B358-F65B-4dcf-83DF-CD026B94BFD4})
Ошибка карантина файла, попытка прямого чтения (mscoree.dll)

Это нормально. В пеорвом случае rundll32.exe в начале, во втором - имя без пути. В случае ручного карантина идет поиск файла, в случае автокарантина поиск тоже идет, но в сокращеном виде. я проверю первый вариант - rundll32.exe в теории делжен отсекаться корректно

[Geser]

AVZ не показывает в менеджере OLE классы - т.е. если нечто зарегистрировано как класс и не значится как BHO или расширение IE, то оно не найдется. Это один из вариантов

Факт в том что эта программа запускалась при старте Винды. Т.е. это способ автозапуска который АВЗ не контролирует. Т.е. дыра.

[Karlson]

Вопрос: можно ли сделать, что бы логи сохранялись так же как карантин - в папках по датам, а не перезаписывались поверх старых. ИМХО удобнее мониторить изменения, пока ревизор не работает..

[Bugnet]

Олег

Вот начало проблемы http://virusinfo.info/showthread.php?t=16953
После того, как я по доверчивости и наивности без бэкапа системстейта (сам виноват ) выполнил предлагаемые скрипты, ситуацию это только усугубило. Выполнение скритов из бэкапа AVZ обратно всё не вернуло. Снёс всё и поставил ось (WinServer2003) заново. Запустил AVZ с драйвером расширенного мониторинга процессов и без него - всё чисто. Накатываю SP2. Запускаю AVZ без драйвера - норма. Загружаю драйвер ... и опять вижу такие же сообщения

>> обнаружена подмена PID (текущий PID=0, реальный = 32Маскировка процесса с PID=1280, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1280)Маскировка процесса с PID=1624, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1624)Маскировка процесса с PID=1812, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1812)Маскировка процесса с PID=1884, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1884)Маскировка процесса с PID=2040, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2040)Маскировка процесса с PID=268, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 26
Поиск маскировки процессов и драйверов завершен

Что это?

И ещё вопрос. На этом же компе через локальные групповые политики убираю автозапуск всего, в том числе и CDRom-а. Проверяю - автозапуск не работает. А AVZ меня продолжает предупреждать, что автозапуск с CDRom-а открыт. Кто неправ?

Спасибо.

[Зайцев Олег]

Олег

Вот начало проблемы http://virusinfo.info/showthread.php?t=16953
После того, как я по доверчивости и наивности без бэкапа системстейта (сам виноват ) выполнил предлагаемые скрипты, ситуацию это только усугубило.
Что это?
.....
И ещё вопрос. На этом же компе через локальные групповые политики убираю автозапуск всего, в том числе и CDRom-а. Проверяю - автозапуск не работает. А AVZ меня продолжает предупреждать, что автозапуск с CDRom-а открыт. Кто неправ?

Спасибо.

Нельзя так баловаться с сервером ... в указанной теме кто-то сообщил хелперам о том, что это сервер ? Я не заметил ... Естественно, что удаление политик на сервере с активным IPSec приведет к отключению Инет, в этом нет ничего удивительного.
AVZ проверяет глобальный флаг автозапуска с CDRom, потому он и сообщает о том, что автозагрузка возможна.

[Bugnet]

... в указанной теме кто-то сообщил хелперам о том, что это сервер ? Я не заметил ...

Так я ж без всяких то претензий.
(Но в каждом из логов есть строка об оси и сервис паках.
Но любой мог и не заметить).

Так а что с маскировкой процессов?
Это нормально для Win2k3 c SP2 или это мой уникальный случай?

Спасибо.

[Зайцев Олег]

Так я ж без всяких то претензий.
(Но в каждом из логов есть строка об оси и сервис паках.
Но любой мог и не заметить).

Так а что с маскировкой процессов?
Это нормально для Win2k3 c SP2 или это мой уникальный случай?

Спасибо.

Да причем тут претензии - просто перед любым шаманством с серверной осью крайне желательно забекапить ее целиком (скажем акронисом или чем-то подобным, бекап всего системного раздела). Иначе легко дойти до format c: А хелперам лучше сообщать в явном виде, что это сервер - версию в логе легко и не заметить ... а для сервера многие вещи опасны, например удаление политик для сервака чревато (скрипт номер 6 AVZ), а вот для обычной операционки безопасно.
По поводу маскировки - на сервере такое часто бывает, это не опасно. Просто там есть фоновая активность, скажем процесс X может запуститься и завершиться, а в ходе скана это будет воспринять как маскировка. Чаще всего такое проявляется на Win2k3, причем далеко не всегда - например, на моих серверах с Win2k3 такого эффекта не наблюдается.

[santy]

Олег, есть ли возможность с помощью АВЗ при перезагрузке заменить зараженный системный файл на чистую копию? (человек мне говорил, что не мог вылечить его сканерами в безопасном режиме. подменил на чистый, загрузившись с лайф-диска.)

[rubin]

Код:

begin
// Переименовываем зараженный файл
RenameFile('root\file.exe', 'root\file.bak');
// Копируем из указанного места здоровый файл
CopyFile('root\clean\file.exe', 'root\file.exe');
// Удаляем зараженный
BC_DeleteFile('%windir%\system32\file.bak');
BC_Activate;
RebootWindows(true);
end.

Не пойдет?

[mgulg]

Здравствуйте! Такая беда. После скана дисков программой AVZ перестали читаться R и RW диски (самописные, не "фабричные", так как "фабричные" читаются), которые раньше читались нормально. Такая же история на другом компе. Как быть?

[Karlson]

Вопрос: можно ли сделать, что бы логи сохранялись так же как карантин - в папках по датам, а не перезаписывались поверх старых. ИМХО удобнее мониторить изменения, пока ревизор не работает..

или может приписывать к папке номер (имя ПК).. а то если обходишь компы с флешкой или с сетевого диска зпускаешь, логи перезаписываются...