Результаты опроса: Как стоит организовать настройки AVZ ?

Голосовавшие
39. Вы ещё не голосовали в этом опросе
  • Как сейчас - на главном окне, на закладках

    2 5.13%
  • Основные (связанные с сканированием) - на главном, остальное - в настройках

    1 2.56%
  • Все в настройках (отдельное окно настройки)

    1 2.56%
Опрос с выбором нескольких вариантов ответа.
Страница 9 из 11 Первая ... 567891011 Последняя
Показано с 161 по 180 из 209.

Бетта тестирование AVZ 3.65

  1. #161
    Boba
    Guest
    Добрый день. Упал тут на сервер страшный зверь по имени BackDoor.HackDef.100. А поскольку к серверу физический доступ затруднён, да и диск из него не выковыряешь, то приходится лечить прямо на живой системе. Посоветовали AVZ - попробовал, неплохо на первый взгляд.

    Только вот есть одна закавыка. Гадский руткит прячет файл rootkit.avz. То есть, положил его на шару на сервер - он там есть. Смотрю с самого сервера - нету. Соответственно, AVZ не может искать руткиты в памяти, ну и всё такое. Причём, прячет именно по имени, поскольку после переименовывания оно видно.

    Вот вопрос - как бы с этим разобраться? Просто переименовать - нехорошо, следующая вариация стелса может новое имя прятать. Может сделать какой-то механизм? Самое простое - файл настроек, в котором прописываются алиасы для файлов баз?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #162
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3416
    Цитата Сообщение от Boba
    Добрый день. Упал тут на сервер страшный зверь по имени BackDoor.HackDef.100. А поскольку к серверу физический доступ затруднён, да и диск из него не выковыряешь, то приходится лечить прямо на живой системе. Посоветовали AVZ - попробовал, неплохо на первый взгляд.

    Только вот есть одна закавыка. Гадский руткит прячет файл rootkit.avz. То есть, положил его на шару на сервер - он там есть. Смотрю с самого сервера - нету. Соответственно, AVZ не может искать руткиты в памяти, ну и всё такое. Причём, прячет именно по имени, поскольку после переименовывания оно видно.

    Вот вопрос - как бы с этим разобраться? Просто переименовать - нехорошо, следующая вариация стелса может новое имя прятать. Может сделать какой-то механизм? Самое простое - файл настроек, в котором прописываются алиасы для файлов баз?
    Значит, кто-то додумался до того, чтобы включить Rootkit.avz в список маскируемых. Неплохой тактический ход, но обмануть его можно - и достаточно просто. Значит так - по адресу http:\\z-oleg.com\avz.exe лежит новый exe файл от AVZ (приватная сборка, специально для решения данной проблемы). Он пытается загрузить файл rootkit.avz, если не удается - то пытается искать файл rk.avz, если и такого нет - checkrk.avz. Т.е. файл rootkit.avz можно переименовать в rk.avz или checkrk.avz и после этого провести лечение.
    А для решения проблемы в чистом виде я в новой версии введу поддержку алиасов, задаваемых в командной строке.

  4. #163
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1320
    Цитата Сообщение от Зайцев Олег
    А для решения проблемы в чистом виде я в новой версии введу поддержку алиасов, задаваемых в командной строке.
    И, желательно, в интерактивном диалоге. Причём факт потери баз надо отслеживать уже при запуске и в случае чего выкидывать этот диалог принудительно.

  5. #164
    Boba
    Guest
    Так, огромное спасибо, новая версия вроде зацепилась. Кстати, "rk.avz" не помог, его тоже прятало ;-). Второй сработал.

    Пока результаты такие вот

    >> Опасно ! Обнаружена маскировка сервисов и драйверов на уровне API
    >>>> Подозрение на RootKit AtapiDriver C:\WINNT\system32\ATAPI.DRV
    >> Опасно ! Обнаружена маскировка сервисов и драйверов на уровне реестра
    >>>> Подозрение на RootKit AtapiDriver C:\WINNT\system32\ATAPI.DRV
    >> Опасно ! Обнаружена маскировка процессов
    >>>> Подозрение на маскировку процесса 1172 c:\winnt\system32\ntlmos.exe
    >>>> Подозрение на маскировку процесса 1216 c:\winnt\system32\nwlnkfsx.sys


    Файлы скопированы, отосланы дрвебу (каспер их видит, веб нет, что очень странно :-)).
    NewVirus.rar/ATAPI.DRV - инфицирован Backdoor.Win32.HacDef.ai
    NewVirus.rarntlmos.exe.no - инфицирован not-a-virus:Server-FTP.Win32.Serv-U.gen
    NewVirus.rar/nwlnkfsx.drv - в порядке
    NewVirus.rar/nwlnkfsx.sys - инфицирован Backdoor.Win32.Sjak.a
    Тебе они нужны?

  6. #165
    Junior Member Репутация
    Регистрация
    03.03.2005
    Сообщений
    55
    Вес репутации
    75
    О-го! Вирусописатели стали опасаться AVZ !!! Значит, огромное спасибо Зайцеву Олегу за хорошую программу!

    А что будет, если Rootkit-ы начнут прятать avz.exe или другие важные компоненты AVZ? С этим как-то надо бороться...

  7. #166
    Geser
    Guest
    Цитата Сообщение от Boba
    Тебе они нужны?
    Всё нужно
    Всё что АВЗ не знает присылайте

  8. #167
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    322
    Цитата Сообщение от DenZ
    ...
    А что будет, если Rootkit-ы начнут прятать avz.exe или другие важные компоненты AVZ? С этим как-то надо бороться...
    Да, бороться, конечно, неплохо было бы... Но, на самом деле, тяжелая это война, с переменным перевесом в ту или иную сторону. В настоящий момент AVZ вообще никак не защищен, более того, к примеру, драйвер AVZ (при "умелом" его использовании вирусописателем - достаточно всего лишь нескольких инструкций на языке C) легко вызывает синий экран. И таких потенциально узких мест в AVZ пока что множество, а их "исправление" потребует довольно значительных временных затрат.

    А может действительно уже пришло для этого время, особенно в связи с предстоящим выходом утилиты на международный рынок? Что думаешь по этому поводу, Олег?

  9. #168
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3416
    Цитата Сообщение от aintrust
    Да, бороться, конечно, неплохо было бы... Но, на самом деле, тяжелая это война, с переменным перевесом в ту или иную сторону. В настоящий момент AVZ вообще никак не защищен, более того, к примеру, драйвер AVZ (при "умелом" его использовании вирусописателем - достаточно всего лишь нескольких инструкций на языке C) легко вызывает синий экран. И таких потенциально узких мест в AVZ пока что множество, а их "исправление" потребует довольно значительных временных затрат.

    А может действительно уже пришло для этого время, особенно в связи с предстоящим выходом утилиты на международный рынок? Что думаешь по этому поводу, Олег?
    Я поэтому и не хотел выходить на международный рынок ...
    Насчтет защиты - нужно подумать - просто исходно AVZ адумывался как утилита, подмога для антивиря/антиспайвера - в этом слечае защита была не нужна. А по мере роста получается, что необходимость в защите возникает - в данный тип HackDef тому пример (как оказалось, авторы этого зверя не поленились забить в конфиг множество масок для подавления видимости компонент разных антируткитов).

  10. #169
    Geser
    Guest
    Цитата Сообщение от Зайцев Олег
    А по мере роста получается, что необходимость в защите возникает - в данный тип HackDef тому пример (как оказалось, авторы этого зверя не поленились забить в конфиг множество масок для подавления видимости компонент разных антируткитов).
    А создавать драйвер каждый раз с рандомальным именем?

  11. #170
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    322
    Цитата Сообщение от Geser
    А создавать драйвер каждый раз с рандомальным именем?
    Да, такой метод "борьбы" многими применяется на практике (для случаев, когда драйвер "прошивается" в ресурсном разделе программы), хотя в данном конкретном случае речь идет не о драйвере, а о файле анти-руткитовых сигнатур, т.н. rootkit.avz. На самом деле описанная выше "проблема" вполне решаема, и, насколько я знаю, Олег уже нашел решение...

  12. #171
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    84
    Уточни свои заключения...
    Уточняю. АВЗ нашла примерно половину спайваря, прописанного у меня на машине, но ни одного прятавшегося в НТФС потоках. Наверно, эти образчики просто не внесены в базу. Ближе к выходным буду посвободнее и протестирую еще раз. Олег, наверно, будет не против махнуться ITW экземплярами...

  13. #172
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3416
    Обмен ITW - это всегда полезно ... а в потоках обязан эвристик находить. Но с одной оговоркой - это в текущей версии AVZ, которая лежит на сайте - там как раз был баг в том, что не проверялись потоки каталогов (т.е. если зверь в потоке папки System32, то он не находился). В текущей версии это есть ...

  14. #173
    Junior Member Репутация
    Регистрация
    12.05.2005
    Адрес
    Siberian
    Сообщений
    7
    Вес репутации
    74

    Question

    скажите пожалуйста, как реагировать на подобное сообщение
    Код:
    Функция user32.dll:DrawIconEx (173) перехвачена, метод CodeHijack (метод не определен)
    Функция user32.dll:GetCursor (253) перехвачена, метод CodeHijack (метод не определен)
    Функция user32.dll:GetIconInfo (271) перехвачена, метод CodeHijack (метод не определен)
    Функция user32.dll:SetWindowPos (609) перехвачена, метод CodeHijack (метод не определен)
    временные трудности закончились...начинаются трудные времена

  15. #174
    Full Member Репутация
    Регистрация
    30.07.2005
    Сообщений
    82
    Вес репутации
    73
    Цитата Сообщение от bearcat
    скажите пожалуйста, как реагировать на подобное сообщение...
    Это стандартные вызовы ''законных'' функций Windows API...
    A где ты получил эти строки?

  16. #175
    Junior Member Репутация
    Регистрация
    12.05.2005
    Адрес
    Siberian
    Сообщений
    7
    Вес репутации
    74
    Цитата Сообщение от DimaT
    A где ты получил эти строки?
    фрагмент avz_log
    Код:
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
     Анализ kernel32.dll, таблица экспорта найдена в секции .text
     Анализ ntdll.dll, таблица экспорта найдена в секции .text
     Анализ user32.dll, таблица экспорта найдена в секции .text
    Функция user32.dll:DrawIconEx (173) перехвачена, метод CodeHijack (метод не определен)
    Функция user32.dll:GetCursor (253) перехвачена, метод CodeHijack (метод не определен)
    Функция user32.dll:GetIconInfo (271) перехвачена, метод CodeHijack (метод не определен)
    Функция user32.dll:SetWindowPos (609) перехвачена, метод CodeHijack (метод не определен)
     Анализ advapi32.dll, таблица экспорта найдена в секции .text
     Анализ ws2_32.dll, таблица экспорта найдена в секции .text
     Анализ wininet.dll, таблица экспорта найдена в секции .text
     Анализ rasapi32.dll, таблица экспорта найдена в секции .text
     Анализ urlmon.dll, таблица экспорта найдена в секции .text
     Анализ netapi32.dll, таблица экспорта найдена в секции .text
    временные трудности закончились...начинаются трудные времена

  17. #176
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3416
    Цитата Сообщение от bearcat
    скажите пожалуйста, как реагировать на подобное сообщение
    Код:
    Функция user32.dll:DrawIconEx (173) перехвачена, метод CodeHijack (метод не определен)
    Функция user32.dll:GetCursor (253) перехвачена, метод CodeHijack (метод не определен)
    Функция user32.dll:GetIconInfo (271) перехвачена, метод CodeHijack (метод не определен)
    Функция user32.dll:SetWindowPos (609) перехвачена, метод CodeHijack (метод не определен)
    Нужно искать перехватчик. Судя по набору функций перехвачено то, что имееет отношение к рисованию. Какие-либо укашательства системы установлены ? Система не загружена после серьезного сбоя ? Сохраняется ли этот эффект после перезагрузки ?
    В любом случае стоит создать тему в разделе "помогите" с приложением указанных там логов - по ним можно сказать определенно.

  18. #177
    Светослав
    Guest
    Последная версия 3.70 репортовала что UmxSbxExw.dll и UmxSbxw.dll с вероятности више 99% шпиони, keyloger. По поиску и според меня ето компонент Tiny Firewall, которим я пользуюс.

  19. #178
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1320
    Пришлите их Олегу для включения в базу безопасных.

  20. #179
    Geser
    Guest
    Кстати, навеяно Kerish Doctor 2005
    Олег, может добавиш в АВЗ опцию поиска ссылок на несуществующие файлы с возможностью чистки. Полезно после удаления ручками всяких "зверей"

  21. #180
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3416
    Цитата Сообщение от Geser
    Кстати, навеяно Kerish Doctor 2005
    Олег, может добавиш в АВЗ опцию поиска ссылок на несуществующие файлы с возможностью чистки. Полезно после удаления ручками всяких "зверей"
    Ссылки на несуществующие файлы искать можно, вот удалять их весьма опасно ... а если эта ссылка ведет на CD ? на сетевой диск ? В папку, недоступную текущему юзеру ? прививка от SPYWARE ? или этот CLSID создает некое приложение для некоей привязки/защиты ... - тот-же FineReader создает кучу CLSID в реестре, применяя для целей защиты - он в этом плане не одинок, есть сотни таких программ. Поэтому можно так начистить, что потом концов не найти.
    А остальное есть - это микропрограммы эвристики, эвристическая чистка системы. Но там подход немного другой - в момент удаления файла удаляются явные ссылки на него.

Страница 9 из 11 Первая ... 567891011 Последняя

Похожие темы

  1. NANO Antivirus Бетта-тестирование
    От legion107 в разделе Публичное бета-тестирование
    Ответов: 27
    Последнее сообщение: 24.06.2011, 23:14
  2. Ответов: 1
    Последнее сообщение: 28.04.2011, 00:03
  3. Провел тестирование
    От kires в разделе Оффтоп
    Ответов: 9
    Последнее сообщение: 12.03.2007, 02:54
  4. Тестирование AVZ
    От Tra1toR в разделе Тестирование
    Ответов: 52
    Последнее сообщение: 05.12.2005, 11:51
  5. Бетта тестирование AVZ 3.60
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 119
    Последнее сообщение: 18.07.2005, 08:38

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00975 seconds with 19 queries