Бетта тестирование AVZ 3.65

[Зайцев Олег]

1. Зачистка реестра не работает при удалении файла в результатах поиска файлов, а надо бы.
2. А почему нет возможности удалять BHO, а только возможность отключить?

А вообще, нашел у меня на рабочем компе адварь BHO эвристиком
Он, конечно был уже отключен в ИЕ, т.к. давно показался мне подозрительным, но как-то забыл покопать дальше. В общем хорошая программа выходит

1. Да, это я обязательно сделаю
2. Упущение, обазательно добавлю такую кнопочку

Адварь я посмотрел - ее обнаружение внесено в эвристик недавно, оказалось, это действительно "зверь"

[Dandy]

Запуск из сетевых папок опять "поломатый"

[pig]

В том то и дело, что я не имею в виду вариант:

В версиях W2K и WinXP необходимо в настройках системы поставить, что программы, не поддерживающие Unicode - кирилица...

, а по крайней мере англоязычную версию, обещанную Олегом...

Так ведь и я об этом.

[VEGASS]

AVZ ver 3.65.07
s ETOI NADPISI VSE OK , NAKONEC TO

[Зайцев Олег]

Запуск из сетевых папок опять "поломатый"

Моя вина - причина найдена, исправляю ...

[dima26]

При сканировании в одном файле "подозрение на троян .... " Я почти уверен, что это ложное срабатывание. Нужно ли прислать этот файл и если да, то куда.

[Iceman]

Конечно отправить!
Как: самое простое ;-)) - запустить программу АВЗ ->справка->о программе. Там написано.
Удачи.

[dima26]

Конечно отправить!
Как: самое простое ;-)) - запустить программу АВЗ ->справка->о программе. Там написано.
Удачи.

Отправил.

[Гость]

А можно в диспетчере процессов выделять цветом еще одну категорию процессов? i.e. хочется, если процесс проходит по базе как безопасный, но у его подгружены dllки, которые по базе безопасных файлов не проходят - выделять скажем красным цветом? А то сейчас пол часа рылся, в попытках найти из какого процесса была загружена вирусяка.

[Geser]

А можно в диспетчере процессов выделять цветом еще одну категорию процессов? i.e. хочется, если процесс проходит по базе как безопасный, но у его подгружены dllки, которые по базе безопасных файлов не проходят - выделять скажем красным цветом? А то сейчас пол часа рылся, в попытках найти из какого процесса была загружена вирусяка.

Это удобнее делать по логу исследования системы

[DimaT]

Олег, Geser
В инете появилась ''устрашающая'' инфа:

В российском сегменте Интернета обнаружен новый вирус, активно распространяющийся по популярной системе интернет-пейджинга ICQ. Обычно вирус первично проявляется в виде сообщения от кого-либо знакомого (по всей видимости, уже зараженного) из контакт-листа ICQ, сообщение содержит вопрос о том, нет ли у получателя webmoney ("Есть webmoney?", "Привет, у тебя случайно нету webmoney?" и другие).
Затем обычно следует призыв посмотреть "прикольный флешь" или фраза "Смотри флашка прикольная!" (возможны другие варианты), которая сопровождается ссылкой на лежащий на одном из сайтов в российском Интернете исполняемый файл (зафиксировано название "chipes.exe", размер 22 308 байт).

Получатели, открывшие этот файл, подвергаются заражению. В настоящее время, после звонка корреспондента "Ленты.Ру" хостинг-провайдеру сайта, где был размещен файл с фирусом, (российской компании в одном из крупных городов) изначальный источник распространения вредоносной программы был нейтрализован. В то же время, существует вероятность, что вирус распространяется еще через какие-либо сайты.

Пока неизвестно, что именно делает вирус на зараженном компьютере помимо дальнейшей рассылки себя по ICQ. Известно, что некоторые пользователи ICQ-аккаунтов, которыми воспользовался вирус, не могут получить доступ к своей "аське". По всей видимости, работающие в области компьютерной безопасности компании вирус еще не изучили, так как популярные антивирусные средства его не опознают. Подробной информации специалистов об особенностях его поведения на уже зараженных машинах пока нет (в "диспетчере задач" процесс chipes.exe отсутствует, в процедурах автозапуска не прописывается). Всем пользователям ICQ рекомендуется ни в коем случае не открывать подозрительные .exe и другие исполняемые файлы из Интернета.

Хотелось бы услышать Ваш комментарий.
Дружит ли он с AVZ?

[Зайцев Олег]

Олег, Geser
В инете появилась ''устрашающая'' инфа:
Хотелось бы услышать Ваш комментарий.
Дружит ли он с AVZ?

Пока информация и образец вируса лично мне не поступал, появится - внесу в базы. Мне кажется, что слухи об "супевирусе" в Инет существенно преувеличены. Для запуска вируса нужно иметь ICQ, полезть по присланной непонятно кем ссылке, выбрать запуск Exe (а не его сохранение) - слишком все сложно для эпидемии. Но пострадавшие явно будут

[Зайцев Олег]

Данный "ICQ вирус" изучен, его поймали разработчики VBA и поделились образцом для анализа. Вот описание вируса http://virusinfo.info/showthread.php?p=52533#post52533, а в аттаче - обновление AVZ для его поиска
Вирус, как оказалось, детектируется эвристиком AVZ, т.к. обладает руткит-механизмом.
Вот пример лога AVZ
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559B80
KiST = 804E2D20 (284)
Функция ZwQuerySystemInformation (AD) перехвачена (8057CC27->FCB3E300), перехватчик C:\WINDOWS\system32\drivers\SYSpnch.sys

[DimaT]

...в аттаче - обновление AVZ для его поиска
Вирус, как оказалось, детектируется эвристиком AVZ, т.к. обладает руткит-механизмом.

Aй да Зайцев! Ай да молодец!
Вот это заслуживает особой похвалы!
А куда ложить daily.avz? В подпапку Base без переименований?
И когда планируется обновление AVZ с автоматическим его удалением?
Тем более, ты собирался сделать несколько поправок...

[DimaT]

Для интереса сразу после AVZ с daily.avz запустил Ad-Aware SE с definitions file:SE1R60 04.08.2005:

Ad-Aware SE Build 1.05
Logfile Created on:4 августа 2005 г. 19:37:52
Using definitions file:SE1R60 04.08.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »
References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
AlertSpy(TAC index:1):1 total references
MRU List(TAC index:0):34 total references
Tracking Cookie(TAC index:3):20 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

04.08.2005 19:37:52 - Scan started. (Smart mode)

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
#:1 [smss.exe]
FilePath : \SystemRoot\System32\
#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS5\system32\
#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS5\system32\
#:4 [services.exe]
InternalName : services.exe
#:5 [lsass.exe]
OriginalFilename : lsass.exe
#:6 [svchost.exe]
InternalName : svchost.exe
#:7 [svchost.exe]
#:8 [svchost.exe]

@@@@@@@@@@@@@@@@@@@@@@@@@@@ - ОБРЫВАЮ

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0

Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
AlertSpy Object Recognized!
Type : Regkey
Category : Misc
Rootkey : HKEY_USERS
Object : S-1-5-21-343818398-1682526488-1343024091-1003\software\local appwizard-generated applications\alertspy

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 1
Objects found so far: 1

Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 1

Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : [email protected][1].txt
Category : Data Miner
Comment : Hits:38
Value : Cookie: ккккк@ad4.bannerbank.ru/
Expires : 03.09.2005 23:12:46
LastSync : Hits:38
UseCount : 0
Hits : 38
,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,\\ ОБРЫВАЮ

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : [email protected][1].txt
Category : Data Miner
Comment : Hits:3
Value : @ad9.bannerbank.ru/
Expires : 04.09.2005 5:55:02
LastSync : Hits:3
UseCount : 0
Hits : 3

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : @revenue[2].txt
Category : Data Miner
Comment : Hits:2
Value : Cookie:@revenue.net/
Expires : 10.06.2022 7:05:42
LastSync : Hits:2
UseCount : 0
Hits : 2

Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 20
Objects found so far: 21

Deep scanning and examining files...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\WINDOWS5
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 21

Disk Scan Result for C:\WINDOWS5\System32
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 21

Disk Scan Result for C:\DOCUME~1\MISHAT~1\LOCALS~1\Temp\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 21


Scanning Hosts file......
Hosts file location:"C:\WINDOWS5\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New critical objects:0
Objects found so far: 21
....................................
Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 55

19:44:02 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:06:10.783
Objects scanned:68679
Objects identified:21
Objects ignored:0
New critical objects: 21

На эти 21 critical objects (Data Miner) AVZ не заточен?

[Geser]

Для интереса сразу после AVZ с daily.avz запустил Ad-Aware SE с definitions file:SE1R60 04.08.2005:

На эти 21 critical objects (Data Miner) AVZ не заточен?

Куки детектить смысла нет. Никакой опасности они не представляют.

[DimaT]

Куки детектить смысла нет. Никакой опасности они не представляют.

Ну не от скуки ведь это делает Ad-Aware?

[Зайцев Олег]

Aй да Зайцев! Ай да молодец!
Вот это заслуживает особой похвалы!
А куда ложить daily.avz? В подпапку Base без переименований?
И когда планируется обновление AVZ с автоматическим его удалением?
Тем более, ты собирался сделать несколько поправок...

Да, daily.avz нужно положить в папку Base - после этого AVZ видит сможет детектировать и удалять зверя. Тут еще нужно специалистов VBA поблагодарить - без их помощи "зверь" появился бы у меня только к вечеру.

Ну не от скуки ведь это делает Ad-Aware?

Детектировать кукизы AVZ не будет ... а зачем они в других продуктах - объясню. Во первых для объема базы (вот, в тестах антиспайверов - ловить некая программа X ничего не умеет, а база - 100 тыс. сигнатур), во вторых - для рекламы работы - типа никто ничего не поймал, а вот наша программа X - штук 50 разных паразитов нашла и удалила.
Техническая справка - кукиз IE - это небольшой текстовый файлик, он не может быть запущен или каким-то образом выполнен и опасности по сути не несет. Охота на кукизы многих антиспайверов доходит до паранои, один из лидеров - Ad-Aware SE - они к примеру ловят куки от Rambler, download.ru и т.п. Я занимаю радикальную позицию в этом вопросе, в моей статье КомпьютерПресс 7'2005 я довольно резко прошелся по этому поводу - по ловле кукизов в целов и по Ad-Aware + кукизы в частности

[pig]

Права человека вообще и Privacy в частности - это пунктик у западных граждан. Священная корова, не приносимая в жертву даже антитеррористической кампании. Так что tracking cookies - это не технический вопрос, а идеологический.

[Зайцев Олег]

Права человека вообще и Privacy в частности - это пунктик у западных граждан. Священная корова, не приносимая в жертву даже антитеррористической кампании. Так что tracking cookies - это не технический вопрос, а идеологический.

Да, согласен. Тут есть еще один моментик (важный для пользователя) - приходят к юзеру сети "люди в черном" и говорят - "служба безопасности ! Отвечайте, в интернет не выходил ? Порнуху/кректи/троянов не качал ?". Пользователь конечно "никак нет" - а те смотрят - а в кеше IE куча файлов + тьма кукизов - по ним сразу видно, что и в порнуху ходил, и креки качал ... и каюк (естественно, имеются в виду неподконтрольные ПК, типа ноутбуков ... - где есть возможность выхода в инет через модем). Вот отсюда, мне кажется, и культ "чистки следов"