AVZ 4.30

[XiTri]

Является ли наличие процесса с системным именем (например lsass.exe) и запущеного не из системной папки, подозрительным?

Проведём эксперимент.
1. Возьмем файл отсутствующий в базе безопасных, положим в c:\temp или %APPDATA% или %USERPROFILE%. Обзовем его lsass.exe или svchost.exe и запустим.
2. Возьмем АВЗ и проведём сканирование.
Результат пуст, предупреждений нет.
Не должна ли эвристическая проверка выдать чего нибудь угрожающе-информативного?
Или современные зловреды так не прячутся.

[kps]

XiTri, прячутся. Хорошая идея. У AVZ уже кое-какие проверки есть подобного рода, но маловато - не проверяет большиство имен системных файлов, только некоторые и не во всех наиболее возможных директориях.

[XiTri]

Хорошая идея.

Если честно не ожидал что несработает. Хотел показать другу и облажалси

C:\WINDOWS\svchost.exe - это звучит подозрительно.

[zerocorporated]

Если честно не ожидал что несработает. Хотел показать другу и облажалси

C:\WINDOWS\svchost.exe - это звучит подозрительно.

кстати Олег бы мог постараться и улучшить эвристик по именам - такая идея у меня в голове летали недавно. Вот и чем суть: Например имя файла svchost.exe заметьте что с ним зловред делает, заменяет 1 букву или добавляет букву в слове. Можно цикл написать в котором каждое имя файла сравнивалось бы с системным и в этом цикле проверялось на добавление/замену буквы...

Чтоб вы меня поняли вот пример:
svshost.exe

AVZ будет проверять примерно так: avchost.exe bvchost.exe cvchost.exe и т.д. пока не найдет подставу...

А также, так как буквы добавляют можно прибавлять буквы: asvchost.exe bsvchost.exe и т.д. И конечно же совместить этот метод.

Правда такой "прогон" может замедлить проверку...

[Rimlyanin]

кстати Олег бы мог постараться и улучшить эвристик по именам - такая идея у меня в голове летали недавно. Вот и чем суть: Например имя файла svchost.exe заметьте что с ним зловред делает, заменяет 1 букву или добавляет букву в слове. Можно цикл написать в котором каждое имя файла сравнивалось бы с системным и в этом цикле проверялось на добавление/замену буквы...

Чтоб вы меня поняли вот пример:
svshost.exe

AVZ будет проверять примерно так: avchost.exe bvchost.exe cvchost.exe и т.д. пока не найдет подставу...

А также, так как буквы добавляют можно прибавлять буквы: asvchost.exe bsvchost.exe и т.д. И конечно же совместить этот метод.

Правда такой "прогон" может замедлить проверку...

Слишком большой перебор получается,:
В англ языке 26 букв? ну плюс ещё цифрами могут буквы подменять, но пока цыфры в расчет не будем брать.
Итак, svchost.exe - 7 букв не считая расширения, одна правильная, и ещё 25 вариантов подмены, итого, перебор первой буквы - 25 шагов, второй, ещё 25 шагов, 7*25=175 шагов, а если две буквы менять? ил три ? Там получается геометрическая прогрессия

[XiTri]

Брутфорс имен это перебор, не надо доводить идею до абсурда.

[Зайцев Олег]

Брутфорс имен это перебор, не надо доводить идею до абсурда.

В теории можно сделать так -
1. создать базу визуально похожих букв
2. Создать базу букв латинского и русского алфавита
Далее берем имя файла, считаем в нем количество латинских/нелатинских букв. Если есть нелатинские - подозрительно, но не сильно. Затем производим сравнение с именами системных объектов, вычисляя процесн похожести с учетом той самой таблицы визуальной похожести. И получаем вердикт типа "имя процесса svchоst.exe на 70% похоже на имя системного объекта, при этом визуально оно 99% похоже на системное имя svchost.exe. Ну а далее пороги, алармы и т.п.
Т.е. делать не тупой брутфорс, а расчитывать степень похожести имени подозреваемого на системное. Соответственно системных имен немного - зловреды маскируют свои имена под имена системных процессов, которые по умолчанию запущены (и юзер не может соответственно визуально отличить зверя от легитимного в стандартном диспетчере процессов).

[kps]

Такая проверка мне нравится. Причем, думаю, в случае обнаружения svchоst.exe с русской буквой о можно смело выдавать степень опасности 99%, ИМХО.

[XiTri]

Затем производим сравнение с именами системных объектов, вычисляя процесн похожести с учетом той самой таблицы визуальной похожести. И получаем вердикт типа "имя процесса svchоst.exe на 70% похоже на имя системного объекта, при этом визуально оно 99% похоже на системное имя svchost.exe.

Вот такие вещи меня всегда интересовали.

Добавлено через 1 минуту

Кстати в слове процент опечатка - "процесн"

[rdog]

уважаемый Зайцев Олег .что сие есть? и с чем его едят? какие меры принять? FileSystem\ntfs[IRP_MJ_CREATE] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_CLOSE] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_WRITE] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_QUERY_EA] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_SET_EA] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileS stem\ntfs IRP MJ PN = 82F671E8 -> пe exвaтчик нe oп eдeлeн

[Зайцев Олег]

уважаемый Зайцев Олег .что сие есть? и с чем его едят? какие меры принять? FileSystem\ntfs[IRP_MJ_CREATE] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_CLOSE] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_WRITE] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_QUERY_EA] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_SET_EA] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 82F671E8 -> пepexвaтчик нe oпpeдeлeн
FileS stem\ntfs IRP MJ PN = 82F671E8 -> пe exвaтчик нe oп eдeлeн

Если несерьезно: если вырезать кусочек на 5 см из кардиограммы, показать ее врачу и спросить - "Доктор, а у меня есть камни в почках" - что ответит доктор ?
Если серьезно: нужно сделать исследование системы (котороче говоря, все, что прописано в правилах "Помогите"), и нужно искать причину. В общем это перехват IRP драйвера NTFS - он может применяться антивирусом (мониторинг обращений к файлам), зловредом (маскировка и блокировка), и некоторым "псевдоруткитам" - типа пряталок каталогов и эмуляторов дисков.

[rdog]

Зайцев Олег-доктор)) не серчайте) просто я в этой ветке встретил похожий вопрос. Спасибо за ответ!

[mike2100]

Баги и пожелания принимаются ?

В менеджере автозапуска кликаешь правой кнопкой на строчке в списке ключей, выбираешь "Открыть в Regedit", то:
1. Если регедит не открыт, то он открывается, но на нужный ключ не перебегает, ну это фих с ним, второй раз вызываешь "Открыть в Regedit" - и всё нормально.
2. Уже несколько раз замечал, что вместо раздела HKLM\SYSTEM\<и т.д.> ищется почему-то раздел HKLM\SOFTWARE\<и т.д.> - соответственно, нужный параметр не находится.

Хорошо бы добавить в окне менеджера автозапуска строку для хинтов внизу, чтобы выводить там имя раздела. Хорошо бы иметь возможность скопировать имя раздела в буфер обмена

[Pavel1]

Здравствуйте Олег.Воспользовался Вашей утилитой AVZ,провел проверку компьютера-вирусов не обнаружено.Затем,не разобравшись,доку не почитав,включил AVZ Guard,думал появится диалог с пользователем,погляжу(из любопытства) и выключу.Теперь у меня проблемы с загрузкой Windows XP SP2 RUS.Вот как дело было, по порядку:1) запустил AVZ Guard 2) Выключил AVZ Guard-пишет,что будет активен до перезагрузки 3) перезагрузился 4) вылазит сообщение Windows(не удалось выполнить загрузку системы,возможно это является следствием изменения в настройках оборудования или програмного обеспечения...)варианты загрузки...5) выбираю обычный режим 6) система загружается нормально 7) появляется рабочий стол и сообщение: обнаружено новое устройство, устр-во не опознано или не готово, (что то типа того, точно уже не помню), удалил это устр-во,через некоторое время, в диспетчере устройств.Теперь, при каждой загрузке Windows, выходит сообщение( не удалось выполнить загрузку...),выбираю обычный режим загрузки, загружается нормально. Подскажите,как теперь вернуть загрузку в нормальное состояние.Хотел сделать откат системы,но точки восстановления оказались недоступны. Выполнил стандартный скрипт пункт6(удаление всех ключей и драйверов AVZ),перезагрузился-не помогло.Проверки утилитами Windows и Acronis говорят, что повреждений секторов и ошибок файловой системы нет.
Загрузочного диска Windows нет, Live CD нет и загруз. образов типа Acronis тоже нет.Но могу взять другой лицензионный диск,тоже Windows XP SP2 RUS,если это нужно.Пожалуйста, подскажите как решить проблему,ведь никто кроме Вас не знает лучше о работе AVZ.Заранее благодарен.

[Зайцев Олег]

Здравствуйте Олег.Воспользовался Вашей утилитой AVZ,провел проверку компьютера-вирусов не обнаружено.Затем,не разобравшись,доку не почитав,включил AVZ Guard,думал появится диалог с пользователем,погляжу(из любопытства) и выключу.

Вот вот - дока важная вещь в такой ситуации. Попробуем ее разрешить - для начала следует запустить AVZ и выполнить стандартный скрипт номер 6, после чего перезагрузиться и посмотреть, исправится проблема или нет

[Pavel1]

Олег!Спасибо,что ответили.Скрипт выполнил,не помогло.Знакомый програмист сказал,что слетели драйвера (материнской платы например) и надо их переустановить.Можит ли в этом быть проблема,как считаете?

[tar]

предлагаю рассматривать автозагрузку из "C:\Documents and Settings" как подозрительную.

[Jef239]

предлагаю рассматривать автозагрузку из "C:\Documents and Settings" как подозрительную.

Тогда уж ещё из %userprofile%, %HomeDrive%%HomePath%

Это я к тому,что не у всех система на С стоит.

Добавлено через 1 час 22 минуты

Олег, строчка из протокола исследования системы

Код:

F:\WINNT\System32\ntoskrnl.exe
80400000	19CD00 (1690880)	‘Ёб⥬*л© ¬®¤г«м п¤а  NT	(C) Љ®аЇ®а жЁп Њ ©Єа®б®дв (Microsoft Corp.), 1981-1999

Похоже, что ты не в той кодировке выводишь. Да, у меня Win2k preSP5

Добавлено через 8 минут

Я к http://virusinfo.info/showthread.php?t=24031

Посмотрел, что там вживую. В логе про службы есть замечательная строчка

Код:

Обнаружено - 40, опознано как безопасные - 32

Так вот, кто-то (скорее AVAST, чем AVZ) нашёл зловреда в процессе SVCHost. И ничтоже сумнящися, удалил как svchost.exe, так и ВСЕ службы, ссылающиеся на него.

Посему у меня есть набор предложений. Вероятно это к анализатору проблем:

1) Проверять наличие некоторых обязательных системных файлов.
2) Проверять наличие некоторых обязательных системных сервисов (в первую очередь RPCSS).

[Jolly Rojer]

Pavel1 можно так же попробовать выполнить "win+r" (аналог- Пуск/выполнить) далее вставить диск с win и выполнить sfc /scannow . Или запустив avz, Сервис/системные утилиты/sfc

[PavelA]

предлагаю рассматривать автозагрузку из "C:\Documents and Settings" как подозрительную.

Есть программы, которые туда прописываются и оттуда стартуют, причем вполне легетимные. Ваше предложение может только увеличить лог и не дать никакой полезной установки.