Спасибо! А чё то раньше не получалось.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Всё-таки очень хочется, чтобы AVZ выдавала как минимум предупреждение, если при проверке vbs-файла обнаруживала в нём команду Execute, а то наблюдается эволюция с шифрованием этих зловредов. Раньше они прятали деструктивные операторы просто в виде ascii-кодов символов, вчера я наткнулся на файл уже с попыткой шифрования. При переводе в удобочитаемый вид получилось:
ExeString="здесь был якобы мусор"
For i=1 To Len(ExeString)
TempNum = Asc(Mid(ExeString,i,1))
If TempNum = 28 Then
TempNum = 13
ElseIf TempNum = 29 Then
TempNum = 10
elseif TempNum=18 Then
TempNum = 34
elseif TempNum>96 and TempNum<110 then
TempNum=TempNum+13
elseif TempNum>109 and TempNum<123 then
TempNum=TempNum-13
elseif TempNum>47 and TempNum<53 then
TempNum=TempNum+5
elseif TempNum>52 and TempNum<58 then
TempNum=TempNum-5
End If
ThisText = ThisText & chr(TempNum)"
Next
Execute(ThisText)
Распространяется эта зараза на флэшках, насколько перспективно ловить через сигнатуры - не знаю
Расшифрованный код начинается так:
ver="3.0"
tile="daxian"&ver
about="daxianbiyeliunian 2007.7.10"
Мда, всё новое - хорошо забытое старое
Последний раз редактировалось Oyster; 21.11.2008 в 05:14. Причина: Увидел результаты расшифровки
Вопрос: как быть со зловредом TDSServ, идет почти эпидемия, AVZ его видит только в реж. с включенным AVZM (хоть в правила вписывай), причем только один модуль, удаление этого модуля скриптом проблему решает (обычно эта проблема с открытием поисковых сайтов и сайтов антивирусных компаний, проблема с блокировкой антивирусов), sdfix, combofix, MBAM с этим зловредом справляются (удаляют сервис и модули).
Добавлю, на зловредных файлах присутcвует подп. Microsoft Corporation (и в лога AVZ тоже, м.б. проблема в этом), у меня есть экземпляры TDSSrfdc.sys, TDSSedrm.dll (отправил вчера для добавления на z-oleg), по VT зловреда видят почти все антивирусы 27/36
Скачал AVZ за 21.11.2008.
При апдейте случилась сказка.
Пишет Automatic Update error - Loaded file is damaged - main013.avz В чём проблемаИ как мне теперь быть без апдейтов
Всё разрешилась проблема.У меня по каким-то причинам в трее AVZ был.А когда новый пустил под апдейт он и ругнулся.С трея убрал - без проблем апдейт прошёл.
Последний раз редактировалось Vagon; 22.11.2008 в 22:41. Причина: решил проблему
У меня на ВинХР почему-то не обновляется - пишет повреждён main057.avz.
С другого источника обновления все обновляеться. Проблема подтверждаеться.Сообщение от Nick222
попробуй обновить с другого источника. у меня так было.(zerocorporated обогнал с ответом)
Это был злобный глюкСейчас все исправлено
На системе с установленным Antivir AVZ всегда показывает подобное
Функция NtCreateThread (35) перехвачена (80586C45->F7F6D31C), перехватчик не определен
Функция NtOpenProcess (7A) перехвачена (80581702->F7F6D308), перехватчик не определен
Функция NtOpenThread (80) перехвачена (805E1939->F7F6D30D), перехватчик не определен
Функция NtTerminateProcess (101) перехвачена (8058E695->F7F6D317), перехватчик не определен
Функция NtWriteVirtualMemory (115) перехвачена (805885C4->F7F6D312), перехватчик не определен
Но, в любом режиме, не показывает кому/чему принадлежат эти перехваты. Хотя они от антируткита Antivir'а. Было бы здорово, если бы в будущей версии AVZ корретно распознавались не только эти перехваты, но и драйвера, которым они принадлежат, с их указанием.
Было бы не плохо ввести в АВЗ что-то типа набора "отпечатков пальцев" перехватов. Т.е. что бы по характерному набору перехватов АВЗ выдавал предположение о программе/зловреде которой/ому они принадлежат. Это могло бы сильно облегчить жизнь хелперам, и вообще уникальная фича
Эта идея уже в работеБыло бы не плохо ввести в АВЗ что-то типа набора "отпечатков пальцев" перехватов. Т.е. что бы по характерному набору перехватов АВЗ выдавал предположение о программе/зловреде которой/ому они принадлежат. Это могло бы сильно облегчить жизнь хелперам, и вообще уникальная фича
Добавлено через 1 минуту
Драйвера и опознаются ... но ничто не мешает выделить в памяти ядра кусок, поместить туда код перехватчиков, после чего выгрузить сотворивший это драйвер. В результате мы имеет в памяти кусок кода, но ассоциировать его с конкретным драйвером не можем. Другой пример - если драйвер маскируется, то получим аналогичную картинуНа системе с установленным Antivir AVZ всегда показывает подобное
Функция NtCreateThread (35) перехвачена (80586C45->F7F6D31C), перехватчик не определен
Функция NtOpenProcess (7A) перехвачена (80581702->F7F6D30, перехватчик не определен
Функция NtOpenThread (80) перехвачена (805E1939->F7F6D30D), перехватчик не определен
Функция NtTerminateProcess (101) перехвачена (8058E695->F7F6D317), перехватчик не определен
Функция NtWriteVirtualMemory (115) перехвачена (805885C4->F7F6D312), перехватчик не определен
Но, в любом режиме, не показывает кому/чему принадлежат эти перехваты. Хотя они от антируткита Antivir'а. Было бы здорово, если бы в будущей версии AVZ корретно распознавались не только эти перехваты, но и драйвера, которым они принадлежат, с их указанием.
Последний раз редактировалось Зайцев Олег; 25.11.2008 в 13:20. Причина: Добавлено
В справке по AVZGuard написано следующее:Правильно ли я понимаю, что таким образом (т.е. используя AVZGuard) можно пробовать новые программы, не беспокоясь за те изменения, которые те могут внести в систему? Т.е. что-то вроде Sandboxie?Особенностью блокировки операций с реестром является то, что операция блокируется, но приложение получает статус успешного выполнения и считает, что реестр был изменен. Это сделано специально для совместимости с рядом программ, которые в случае ошибки записи в реестр начинают работать неадекватно.
не правильно, AVZGuard только для лечения, когда всё лишнее выгружено.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Но ведь в той же справке написано, что;На самом деле экспериментально установлено, что большинство приложений сохраняют свою функциональность, так как не совершают блокируемых системой действий. В частности, Internet Explorer, Outlook Express, TheBat продолжают нормально работать в качестве недоверенных приложений
не оптимизировано для этого,Олег не пошёл в направлении постройки полноценного Sandbox.
как сказал maxmo, и я с этим согласен: микроскопом тоже можно гвоздь забить
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Микроскоп может сломаться. А что можно повредить в данном случае? Систему вряд ли. Самое неприятное - если устанавливаемая программа откажется запускаться. Или есть еще какие-то минусы?
Запускаться будет нечему
spoq.sys проблемы с этим файлом появились сразу после обновления, последнее было 27 августа 2008. определяет как Пepexвaтчик KerneIMode Пoдoзpeниe нa RootKit, без пути к файлу тока имя?!, и все время находит C:\Program Files\Agnitum\Outpost FirewalI\kerneI\Sandbox.SYS и C:\Program Files\Agnitum\Outpost FirewalI\kerneI\FILTNT.SYS, как добавить в исключения?
Никак, это нормально... spoq.sys -драйвер эмулятора дисков, его положено руткитом обзывать, так было и раньше, драйвера аутпоста тоже обязаны так определяться...
Олег, команда ExecuteSysClean не очищает задания планировщика задач Task Scheduler?
http://virusinfo.info/showpost.php?p=300091&postcount=2
Ваши права в разделе
