Бетта тестирование AVZ 3.65

[Boba]

Добрый день. Упал тут на сервер страшный зверь по имени BackDoor.HackDef.100. А поскольку к серверу физический доступ затруднён, да и диск из него не выковыряешь, то приходится лечить прямо на живой системе. Посоветовали AVZ - попробовал, неплохо на первый взгляд.

Только вот есть одна закавыка. Гадский руткит прячет файл rootkit.avz. То есть, положил его на шару на сервер - он там есть. Смотрю с самого сервера - нету. Соответственно, AVZ не может искать руткиты в памяти, ну и всё такое. Причём, прячет именно по имени, поскольку после переименовывания оно видно.

Вот вопрос - как бы с этим разобраться? Просто переименовать - нехорошо, следующая вариация стелса может новое имя прятать. Может сделать какой-то механизм? Самое простое - файл настроек, в котором прописываются алиасы для файлов баз?

[Зайцев Олег]

Добрый день. Упал тут на сервер страшный зверь по имени BackDoor.HackDef.100. А поскольку к серверу физический доступ затруднён, да и диск из него не выковыряешь, то приходится лечить прямо на живой системе. Посоветовали AVZ - попробовал, неплохо на первый взгляд.

Только вот есть одна закавыка. Гадский руткит прячет файл rootkit.avz. То есть, положил его на шару на сервер - он там есть. Смотрю с самого сервера - нету. Соответственно, AVZ не может искать руткиты в памяти, ну и всё такое. Причём, прячет именно по имени, поскольку после переименовывания оно видно.

Вот вопрос - как бы с этим разобраться? Просто переименовать - нехорошо, следующая вариация стелса может новое имя прятать. Может сделать какой-то механизм? Самое простое - файл настроек, в котором прописываются алиасы для файлов баз?

Значит, кто-то додумался до того, чтобы включить Rootkit.avz в список маскируемых. Неплохой тактический ход, но обмануть его можно - и достаточно просто. Значит так - по адресу http:\\z-oleg.com\avz.exe лежит новый exe файл от AVZ (приватная сборка, специально для решения данной проблемы). Он пытается загрузить файл rootkit.avz, если не удается - то пытается искать файл rk.avz, если и такого нет - checkrk.avz. Т.е. файл rootkit.avz можно переименовать в rk.avz или checkrk.avz и после этого провести лечение.
А для решения проблемы в чистом виде я в новой версии введу поддержку алиасов, задаваемых в командной строке.

[pig]

А для решения проблемы в чистом виде я в новой версии введу поддержку алиасов, задаваемых в командной строке.

И, желательно, в интерактивном диалоге. Причём факт потери баз надо отслеживать уже при запуске и в случае чего выкидывать этот диалог принудительно.

[Boba]

Так, огромное спасибо, новая версия вроде зацепилась. Кстати, "rk.avz" не помог, его тоже прятало ;-). Второй сработал.

Пока результаты такие вот

>> Опасно ! Обнаружена маскировка сервисов и драйверов на уровне API
>>>> Подозрение на RootKit AtapiDriver C:\WINNT\system32\ATAPI.DRV
>> Опасно ! Обнаружена маскировка сервисов и драйверов на уровне реестра
>>>> Подозрение на RootKit AtapiDriver C:\WINNT\system32\ATAPI.DRV
>> Опасно ! Обнаружена маскировка процессов
>>>> Подозрение на маскировку процесса 1172 c:\winnt\system32\ntlmos.exe
>>>> Подозрение на маскировку процесса 1216 c:\winnt\system32\nwlnkfsx.sys


Файлы скопированы, отосланы дрвебу (каспер их видит, веб нет, что очень странно :-)).

NewVirus.rar/ATAPI.DRV - инфицирован Backdoor.Win32.HacDef.ai
NewVirus.rarntlmos.exe.no - инфицирован not-a-virus:Server-FTP.Win32.Serv-U.gen
NewVirus.rar/nwlnkfsx.drv - в порядке
NewVirus.rar/nwlnkfsx.sys - инфицирован Backdoor.Win32.Sjak.a

Тебе они нужны?

[DenZ]

О-го! Вирусописатели стали опасаться AVZ !!! Значит, огромное спасибо Зайцеву Олегу за хорошую программу!

А что будет, если Rootkit-ы начнут прятать avz.exe или другие важные компоненты AVZ? С этим как-то надо бороться...

[Geser]

Тебе они нужны?

Всё нужно
Всё что АВЗ не знает присылайте

[aintrust]

...
А что будет, если Rootkit-ы начнут прятать avz.exe или другие важные компоненты AVZ? С этим как-то надо бороться...

Да, бороться, конечно, неплохо было бы... Но, на самом деле, тяжелая это война, с переменным перевесом в ту или иную сторону. В настоящий момент AVZ вообще никак не защищен, более того, к примеру, драйвер AVZ (при "умелом" его использовании вирусописателем - достаточно всего лишь нескольких инструкций на языке C) легко вызывает синий экран. И таких потенциально узких мест в AVZ пока что множество, а их "исправление" потребует довольно значительных временных затрат.

А может действительно уже пришло для этого время, особенно в связи с предстоящим выходом утилиты на международный рынок? Что думаешь по этому поводу, Олег?

[Зайцев Олег]

Да, бороться, конечно, неплохо было бы... Но, на самом деле, тяжелая это война, с переменным перевесом в ту или иную сторону. В настоящий момент AVZ вообще никак не защищен, более того, к примеру, драйвер AVZ (при "умелом" его использовании вирусописателем - достаточно всего лишь нескольких инструкций на языке C) легко вызывает синий экран. И таких потенциально узких мест в AVZ пока что множество, а их "исправление" потребует довольно значительных временных затрат.

А может действительно уже пришло для этого время, особенно в связи с предстоящим выходом утилиты на международный рынок? Что думаешь по этому поводу, Олег?

Я поэтому и не хотел выходить на международный рынок ...
Насчтет защиты - нужно подумать - просто исходно AVZ адумывался как утилита, подмога для антивиря/антиспайвера - в этом слечае защита была не нужна. А по мере роста получается, что необходимость в защите возникает - в данный тип HackDef тому пример (как оказалось, авторы этого зверя не поленились забить в конфиг множество масок для подавления видимости компонент разных антируткитов).

[Geser]

А по мере роста получается, что необходимость в защите возникает - в данный тип HackDef тому пример (как оказалось, авторы этого зверя не поленились забить в конфиг множество масок для подавления видимости компонент разных антируткитов).

А создавать драйвер каждый раз с рандомальным именем?

[aintrust]

А создавать драйвер каждый раз с рандомальным именем?

Да, такой метод "борьбы" многими применяется на практике (для случаев, когда драйвер "прошивается" в ресурсном разделе программы), хотя в данном конкретном случае речь идет не о драйвере, а о файле анти-руткитовых сигнатур, т.н. rootkit.avz. На самом деле описанная выше "проблема" вполне решаема, и, насколько я знаю, Олег уже нашел решение...

[Xen]

Уточни свои заключения...

Уточняю. АВЗ нашла примерно половину спайваря, прописанного у меня на машине, но ни одного прятавшегося в НТФС потоках. Наверно, эти образчики просто не внесены в базу. Ближе к выходным буду посвободнее и протестирую еще раз. Олег, наверно, будет не против махнуться ITW экземплярами...

[Зайцев Олег]

Обмен ITW - это всегда полезно ... а в потоках обязан эвристик находить. Но с одной оговоркой - это в текущей версии AVZ, которая лежит на сайте - там как раз был баг в том, что не проверялись потоки каталогов (т.е. если зверь в потоке папки System32, то он не находился). В текущей версии это есть ...

[bearcat]

скажите пожалуйста, как реагировать на подобное сообщение

Код:

Функция user32.dll:DrawIconEx (173) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:GetCursor (253) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:GetIconInfo (271) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:SetWindowPos (609) перехвачена, метод CodeHijack (метод не определен)

[DimaT]

скажите пожалуйста, как реагировать на подобное сообщение...

Это стандартные вызовы ''законных'' функций Windows API...
A где ты получил эти строки?

[bearcat]

A где ты получил эти строки?

фрагмент avz_log

Код:

1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:DrawIconEx (173) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:GetCursor (253) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:GetIconInfo (271) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:SetWindowPos (609) перехвачена, метод CodeHijack (метод не определен)
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text

[Зайцев Олег]

скажите пожалуйста, как реагировать на подобное сообщение

Код:

Функция user32.dll:DrawIconEx (173) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:GetCursor (253) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:GetIconInfo (271) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:SetWindowPos (609) перехвачена, метод CodeHijack (метод не определен)

Нужно искать перехватчик. Судя по набору функций перехвачено то, что имееет отношение к рисованию. Какие-либо укашательства системы установлены ? Система не загружена после серьезного сбоя ? Сохраняется ли этот эффект после перезагрузки ?
В любом случае стоит создать тему в разделе "помогите" с приложением указанных там логов - по ним можно сказать определенно.

[Светослав]

Последная версия 3.70 репортовала что UmxSbxExw.dll и UmxSbxw.dll с вероятности више 99% шпиони, keyloger. По поиску и според меня ето компонент Tiny Firewall, которим я пользуюс.

[pig]

Пришлите их Олегу для включения в базу безопасных.

[Geser]

Кстати, навеяно Kerish Doctor 2005
Олег, может добавиш в АВЗ опцию поиска ссылок на несуществующие файлы с возможностью чистки. Полезно после удаления ручками всяких "зверей"

[Зайцев Олег]

Кстати, навеяно Kerish Doctor 2005
Олег, может добавиш в АВЗ опцию поиска ссылок на несуществующие файлы с возможностью чистки. Полезно после удаления ручками всяких "зверей"

Ссылки на несуществующие файлы искать можно, вот удалять их весьма опасно ... а если эта ссылка ведет на CD ? на сетевой диск ? В папку, недоступную текущему юзеру ? прививка от SPYWARE ? или этот CLSID создает некое приложение для некоей привязки/защиты ... - тот-же FineReader создает кучу CLSID в реестре, применяя для целей защиты - он в этом плане не одинок, есть сотни таких программ. Поэтому можно так начистить, что потом концов не найти.
А остальное есть - это микропрограммы эвристики, эвристическая чистка системы. Но там подход немного другой - в момент удаления файла удаляются явные ссылки на него.