AVZ 4.15 + AVZGuard - тестирование, обсуждение, предложения по доработке

[Зайцев Олег]

Какая она у тебя ненасытная, эта нейросеть... хочет все новых и новых сигналов!
Я правильно понял - ты написал "вредоносности"? Т.е. теперь ты будешь выводить информацию о том, "вредный" это кейлоггер или "полезный"?

Именно ... первый раз НС была обучена классифицировать "похож на типичный перехватчик"/"не похож не типичный перехватчик". Толку от этого было не очень много. Теперь иначе - "опасен"/"не опасен". Следовательно, на входы подаются сигналы, несущие косвенные данные о вредоносности - например, передает ли "подследственный" кому-то собранную информацию, пишет ли ее в файл, производит ли уточнение (какое окно в фокусе ввода, какой ASCII код соответствует нажатой клавише, каково состояние остальных клавиш и т.п.) ... правда, если старый антикейлоггер был простой и мелкий, этот куда более громоздкий ...

[aintrust]

Именно ... первый раз НС была обучена классифицировать "похож на типичный перехватчик"/"не похож не типичный перехватчик". Толку от этого было не очень много.

Естественно - толку было бы на порядок больше, если бы AVZ мог определить, кто этот логгер установил, что было бы возможно при наличии монитора с функцией перехвата "подозрительных" вызовов - т.е. так, как это делают проактивные/поведенческие анализаторы. Нужна ли такая функция AVZ (монитор) - это уже другой вопрос.

Теперь иначе - "опасен"/"не опасен". Следовательно, на входы подаются сигналы, несущие косвенные данные о вредоносности - например, передает ли "подследственный" кому-то собранную информацию, пишет ли ее в файл, производит ли уточнение (какое окно в фокусе ввода, какой ASCII код соответствует нажатой клавише, каково состояние остальных клавиш и т.п.)

Это понятно - таких "косвенных" критериев (с различными весовыми характеристиками) немало, и задействовать их для "скармливания" нейросети, в принципе, представляет определенный интерес. Мне, однако, пока не очень понятно, как можно провести все перечисленные тобой "уточнения" статически/одномоментно (т.е. в безмониторном варианте) - ведь большинство перечисленных тобой характеристик имеют динамическую природу...

[Зайцев Олег]

Естественно - толку было бы на порядок больше, если бы AVZ мог определить, кто этот логгер установил, что было бы возможно при наличии монитора с функцией перехвата "подозрительных" вызовов - т.е. так, как это делают проактивные/поведенческие анализаторы. Нужна ли такая функция AVZ (монитор) - это уже другой вопрос.

Это понятно - таких "косвенных" критериев (с различными весовыми характеристиками) немало, и задействовать их для "скармливания" нейросети, в принципе, представляет определенный интерес. Мне, однако, пока не очень понятно, как можно провести все перечисленные тобой "уточнения" статически/одномоментно (т.е. в безмониторном варианте) - ведь большинство перечисленных тобой характеристик имеют динамическую природу...

Без поведенческого монитора вообще такой анализ не сделать - поэтому я написал такой монитор. Но я делаю так - кратковременно активирую поведенческий монитор примерно на 2 сек, в течении этого времени аггрессивно дразню потенциальные кейлоггеры разными событиям и потом монитор снимаю. Монитор пишет в базу данных зафиксированные поведенческие особенности 14-ти типов - а затем уже идет расшифровка записанного и скармливание нейросети ... но при таком подходе есть минус - AVZ может понять, что это кейлоггер, но не может понять, кто и когда его установил - т.к. мониторинга в момент установки естественно нет ...

[aintrust]

...Но я делаю так - кратковременно активирую поведенческий монитор примерно на 2 сек, в течении этого времени аггрессивно дразню потенциальные кейлоггеры разными событиям и потом монитор снимаю...

Ага. В общем, если в течение этих 2-х секунд никаких подозрительных действий логгер не провел (или не прореагировал нужным для AVZ образом), то... все будет, как и раньше.

[Зайцев Олег]

Ага. В общем, если в течение этих 2-х секунд никаких подозрительных действий логгер не провел (или не прореагировал нужным для AVZ образом), то... все будет, как и раньше.

именно так - это так сказать первый шаг в данном направлении, следующим по логике лдолжен стать непрерывный мониторинг. Но изучение 20-ти распространенных кейлоггеров показало, что таким образом почти все они ловятся (исключние систавил логгер, который тупо опрашивает клавиатуру по таймеру).

[Iceman]

Олег, моё почтение!
Вопрос, связанный с Менеджером Winsock: Возможно ли увеличение текущей функциональности данного раздела AVZ в соответствии со статьёй Microsoft "Проверка целостности конфигурации Winsock2 и ее восстановление при повреждении" (Article ID : 811259 ), как в утилите WinsockXPFix?

[aintrust]

именно так - это так сказать первый шаг в данном направлении, следующим по логике лдолжен стать непрерывный мониторинг.

"Должен стать" или "станет"? Ведь, насколько я понял по твоей реакции на обсуждение достоинств/недостатков AVZGuard, ты придерживался (как и большинство обсуждавших, впрочем) позиции, что монитор в AVZ не нужен.

[Зайцев Олег]

Олег, моё почтение!
Вопрос, связанный с Менеджером Winsock: Возможно ли увеличение текущей функциональности данного раздела AVZ в соответствии со статьёй Microsoft "Проверка целостности конфигурации Winsock2 и ее восстановление при повреждении" (Article ID : 811259 ), как в утилите WinsockXPFix?

Да, можно конечно. Я уже думал об этом, я введу пункт в "восстановление системы" для пересоздания ключей с настройкой Winsock

[Зайцев Олег]

"Должен стать" или "станет"?

Если точно - то "может быть станет". Монитор сделать не очень трудно, но есть несколько "но" требования к постоянно висящему драйверу больше, чем к сервисному, который загружается, что-то делает и выгружается
----
Сегодня очередное обновление баз AVZ прошло - как всегда, пополнились базы зверей и чистых объектов.
Обновленная база содержит: 21362 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, 357 микропрограмм эвристики, 48467 подписей безопасных файлов.

[Iceman]

Да, можно конечно. Я уже думал об этом, я введу пункт в "восстановление системы" для пересоздания ключей с настройкой Winsock

Спасибо.

[blackcat]

Сегодня обнаружил, что AVZ не определяет замечательный белорусский вирус Neshta. Если очень нужно, то покопаюсь и наковыряю, может быть, парочку зараженных им файлов. (базы обновлял сегодня, версия утилиты 4.15)

[AndreyKa]

Сегодня обнаружил, что AVZ не определяет замечательный белорусский вирус Neshta. Если очень нужно, то покопаюсь и наковыряю, может быть, парочку зараженных им файлов. (базы обновлял сегодня, версия утилиты 4.15)

На данный момент AVZ не ищет классические файловые вирусы.

[MOCT]

Сегодня обнаружил, что AVZ не определяет замечательный белорусский вирус Neshta. Если очень нужно, то покопаюсь и наковыряю, может быть, парочку зараженных им файлов. (базы обновлял сегодня, версия утилиты 4.15)

ждем-с! интересно на него посмотреть. насколько я знаю по рассказам - что-то типа Mrak.

[MedvedD]

Куда прислать "нешту"? Имеется в архивчике.

[AndreyKa]

Куда прислать "нешту"? Имеется в архивчике.

[email protected]
в архиве с паролем virus

[MedvedD]

ушло

[blackcat]

Я так понимаю, что он уже не нужен?
Вообще сей белорусский вирус присоединяет свое тело к exe файлам (~40Кб). Причем заражает все доступные, кроме содержащихся в папках Windows, WinNT и Program Files. В реестре прописывается в ключе [HKEY_CLASSES_ROOT\exefile\shell\open\command]. В результате при удалении файла svchost.com (не путать со стандартным виндовским svchost.exe), коий и является телом вируса, перестают запускаться программы. У меня касперский 3.5.1 его лечил, но удалить само тело вируса (svchost.com) не мог даже после перезагрузки. Пришлось качать дрвеб-лайт, чтобы убить его и вручную в реестре ключ править. Нод32 лечить отказывался напрочь, только удалять. Симантек на соседнем компе вообще отказался его находить, хотя базы двухнедельной давности всего лишь.

P.S. Детектируется как W i n 3 2 / N e s h t a . A v i r u s.

[Sanja]

3.5.1 (который уже может что-то неловить или нелечить) это не 6.0 (который реестр чистит)

[Паладин]

Пишется :
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана

или :

1. Поиск RootKit и программ, перехватывающих функции API
Ошибка в работе антируткита [Out of memory], шаг [2]

[Зайцев Олег]

Пишется :
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана

или :

1. Поиск RootKit и программ, перехватывающих функции API
Ошибка в работе антируткита [Out of memory], шаг [2]

Какая версия операционки ? Какая версия AVZ ? Есть ли правиа админа ? Как ведется запуск (локально, через терминалку) ? Где размещен сам AVZ (локальный диск, сетевой диск, CD/DVD, Flash) ?