Порция чистых *.dll и *.vxd, к-рую я присылал, пока не добавлена
Порция чистых *.dll и *.vxd, к-рую я присылал, пока не добавлена
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Да, есть такое дело - добавлю (я судя по всему загнал в базы первые две порции, а третью забыл)Сообщение от kps
Порция чистых *.dll и *.vxd, к-рую я присылал, пока не добавлена
По ходу вопрос на обсуждение - тесты антикейлоггера в AVZ не только существенно обогатили мою коллекцию драйверов от Logitech и PuntoSwitcher (зафиксировано примерно 700 "ложных" срабатываний на 270 разновидностей безопасных DLL-перехватчиков), но и позволили наловить около 100 штук реальных кейлоггеров. Антивири видят из них процентов 20, не более, причем имеет место разброд в классификации - Trojan, Trojan-Spy, RiskWare, Riskware.Keylogger, Riskware.Perflogger и т.п. - причем название зачастую не отражает сути (пример KeyLogger "FamilyKeyLogger" называется not-a-virus:RiskWare.Monitor.HomeKeyLogger.170 у Касперского, not a virus Program.FamKeylog у DrWeb, Win32:Trojan-gen у Avast и Win32.Keylogger.HomeKeyLogger у VBA).
Выношу на суд общественности - а не разумнее ли создать новую категогию "Keylogger" для таких зверей ??
[quote author=Зайцев Олег link=board=28;threadid=857;start=180#msg10947 date=1113929875]
Выношу на суд общественности - а не разумнее ли создать новую категогию "Keylogger" для таких зверей ??
[/quote]
В принципе можно сделать отдельную категорию. Пугать народ
Олежка, а АВЗ теперь будет в вариантах бетки? ;D
Наверное нет - просто по инерции тянется название архива betta-2 ... короче говоря, решено - с версии 3.20 снимаю статус Betta, вроде явные/опасные баги все переловили, а мелкие можно ловить до бесконечности (ведь, как известно, устранение одного бага порождает два новых).
[quote author=Зайцев Олег link=board=28;threadid=857;start=180#msg10958 date=1113935874]
Наверное нет - просто по инерции тянется название архива betta-2 ... короче говоря, решено - с версии 3.20 снимаю статус Betta, вроде явные/опасные баги все переловили, а мелкие можно ловить до бесконечности (ведь, как известно, устранение одного бага порождает два новых).
[/quote]
3.20 english version too , please :
Во во3.20 english version too , please :
Менеджер автозапуска не работает ни дома ни на работе
Да, менеджер автозапуска – вещь нужная. По-моему, лучше всех он организован в SpyBot – S&D: можно не только удалять или временно отменять автозагрузку программ, но и создавать новые записи автозагрузки.
Кроме того, полезным будет наличие контекстного меню для каждого элемента автозапуска со следующими пунктами:
«открыть папку, содержащую данный файл»,
«просмотреть свойства файла»,
«перейти в regedit» (к ключу, через который запускается данный файл),
«копировать в карантин».
Протокол антивирусной утилиты AVZ версии 3.19
Сканирование запущено в 4/20/2005 7:22:19 PM
Загружена база: 12870 сигнатур, 1 нейропрофиль, 42 микропрограммы лечения
Загружены микропрограммы эвристики: 221
Загружены цифровые подписи системных файлов: 29159
Режим эвристического анализатора: Максимальный уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:ControlTraceA (69) перехвачена, метод ProcAddressHijack.GetProcAddress ->77FAF47D<>77DC474E
Функция advapi32.dll:ControlTraceW (70) перехвачена, метод ProcAddressHijack.GetProcAddress ->77F6FFF6<>77DC4765
Функция advapi32.dll:CreateTraceInstanceId (104) перехвачена, метод ProcAddressHijack.GetProcAddress ->77FAFFB9<>77DC477C
Функция advapi32.dll:EnableTrace (203) перехвачена, метод ProcAddressHijack.GetProcAddress ->77F7038B<>77DC479B
Функция advapi32.dll:EnumerateTraceGuids (215) перехвачена, метод ProcAddressHijack.GetProcAddress ->77FB006A<>77DC47B0
Функция advapi32.dll:FlushTraceA (222) перехвачена, метод ProcAddressHijack.GetProcAddress ->77FB021B<>77DC47CD
Функция advapi32.dll:FlushTraceW (223) перехвачена, метод ProcAddressHijack.GetProcAddress ->77FB0C6C<>77DC47E2
Функция advapi32.dll:GetTraceEnableFlags (284) перехвачена, метод ProcAddressHijack.GetProcAddress ->77F71810<>77DC47F7
Функция advapi32.dll:GetTraceEnableLevel (285) перехвачена, метод ProcAddressHijack.GetProcAddress ->77F717CD<>77DC4814
Функция advapi32.dll:GetTraceLoggerHandle (286) перехвачена, метод ProcAddressHijack.GetProcAddress ->77F7174F<>77DC4831
Функция advapi32.dll:QueryAllTracesW (441) перехвачена, метод ProcAddressHijack.GetProcAddress ->77FB0BF8<>77DC4868
Функция advapi32.dll:RegisterTraceGuidsA (51перехвачена, метод ProcAddressHijack.GetProcAddress ->77F6D87F<>77DC48AB
Функция advapi32.dll:RegisterTraceGuidsW (519) перехвачена, метод ProcAddressHijack.GetProcAddress ->77F6CF12<>77DC48C8
Функция advapi32.dll:StartTraceA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->77FB0576<>77DC48E5
Функция advapi32.dll:StartTraceW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->77F704B7<>77DC48FA
Функция advapi32.dll:StopTraceA (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->77FB01DD<>77DC490F
Функция advapi32.dll:StopTraceW (582) перехвачена, метод ProcAddressHijack.GetProcAddress ->77FB0C2E<>77DC4923
Функция advapi32.dll:TraceEvent (621) перехвачена, метод ProcAddressHijack.GetProcAddress ->77F6E0FF<>77DC4937
Функция advapi32.dll:TraceEventInstance (622) перехвачена, метод ProcAddressHijack.GetProcAddress ->77FAFAE3<>77DC494B
Функция advapi32.dll:TraceMessage (623) перехвачена, метод ProcAddressHijack.GetProcAddress ->77FB0432<>77DC4967
Функция advapi32.dll:TraceMessageVa (624) перехвачена, метод ProcAddressHijack.GetProcAddress ->77FB04B2<>77DC497D
Функция advapi32.dll:UnregisterTraceGuids (632) перехвачена, метод ProcAddressHijack.GetProcAddress ->77FAFCA7<>77DC4995
Функция advapi32.dll:UpdateTraceA (633) перехвачена, метод ProcAddressHijack.GetProcAddress ->77FB01FC<>77DC49B3
Функция advapi32.dll:UpdateTraceW (634) перехвачена, метод ProcAddressHijack.GetProcAddress ->77FB0C4D<>77DC49C9
Функция advapi32.dll:WmiNotificationRegistrationA (652) перехвачена, метод ProcAddressHijack.GetProcAddress ->77FB0C8B<>77DC49DF
Функция advapi32.dll:WmiNotificationRegistrationW (653) перехвачена, метод ProcAddressHijack.GetProcAddress ->77F6DE00<>77DC4A02
Функция advapi32.dll:WmiReceiveNotificationsW (667) перехвачена, метод ProcAddressHijack.GetProcAddress ->77F7376E<>77DC4A44
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Эталонная KeServiceDescriptorTable найдена (FC=087580, RVA=089980)
2. Проверка памяти
Количество найденных процессов: 36
Процесс c:\progra~1\micros~1\mssql\binn\sqlservr.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
Процесс c:\progra~1\micros~1\mssql\binn\sqlagent.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\progra~1\micros~1\mssql$~1\binn\sqlservr.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
Процесс c:\program files\common files\system\mssearch\bin\mssearch.exe может работать с сетью (netapi32.dll)
Процесс c:\progra~1\micros~1\mssql$~1\binn\sqlagent.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\program files\microsoft antispyware\gcasserv.exe может работать с сетью (netapi32.dll,wininet.dll,rasapi32.dll,ws2_32.dll, ws2help.dll,tapi32.dll)
Процесс c:\program files\microsoft sql server\80\tools\binn\sqlmangr.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\program files\microsoft antispyware\giantantispywaremain.exe может работать с сетью (netapi32.dll)
Процесс c:\program files\borland\starteam server 6.0\starteamserver.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\program files\microsoft antispyware\gcasserv.exe может работать с сетью (netapi32.dll,wininet.dll,rasapi32.dll,ws2_32.dll, ws2help.dll,tapi32.dll)
Процесс c:\program files\microsoft sql server\80\tools\binn\sqlmangr.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\documents and settings\administrator\desktop\avz-betta2\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,rasapi32.dll, tapi32.dll)
Количество загруженных модулей: 412
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 78 TCP портов и 14 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 448, найдено вирусов 0
Сканирование завершено в 4/20/2005 7:22:41 PM
Сканирование длилось 00:00:21
Вот такой лог. Мысли будут?
OS: Win2003 Server
Блокировку руткита включать не могу - боюсь уложить сервер (он боевой).
Кстати, с сетевого readonly ресурса сканирование все равно не запускается.
Правда ошибка теперь немного другая: "Cannot open file \bas\downloads\Dust\avz-betta2\bases\main.avz"
Перед bas именно один слэш.
Теперь понятно, в чем баг ... - при открытии файла происходит нормализация пути к нему - в часности, все все двойные слеши заменяются одинарными. Теперь роблема понятна ... постараюсь ее обойти.
Posted by: HEKTO
Я проверил - у меня на одном из W3K серваков аталогичное явление. Похоже, эти функции перехватывает сама система - для какой-то трассировки или иных целей. Или второй вариант - может применяться не та версия advapi32.dll, что лежит в System32. Лечить это не нужно и на руткит это не похоже (сервер от "лечения" скорее всего не ляжет, но ставить такие опыты на боевом сервере конечно нельзя - я поставлю опыты на своем экспериментальном W3K)
Кстати, подумал. При тестировании на троянские dll(кейлоггеры) вроде создаётся какой-то процесс. Нужно бы создавать его с рандомальным именем, а то популярность АВЗ увеличится - начнут делать что бы в этот процесс длл не внедрялся. Да и сам АВЗ лучше каждый раз запускать с рандомальным именем.
Логично ...
От запуска внешнего процесса для отлова кейлоггеров/троянских DLL я отказался - были проблемы с Firewall и антивирями - они видели, что AVZ создает некий процесс и ругались на это ... а вот имя AVZ вероятно придется менять случайным образом - иначе возможна защита от внедрения. Кроме того, у меня появилась идея запускать IE (или, что лучше, просить пользователя запустить IE перед сканированием и анализировать, какие DLL загружены в его адресное пространство - я реально знаю несколько троянов, которые внедряют DLL только в IE и explorer.exe
А для отлова типовых кейлоггеров такая борьба не нужна - они ставят штатный HOOK, и DLL в GUI процессы внедряет не кейлоггер, а уже сама система - по мере необходимости
[quote author=Зайцев Олег link=board=28;threadid=857;start=180#msg11096 date=1114080418]
А для отлова типовых кейлоггеров такая борьба не нужна - они ставят штатный HOOK, и DLL в GUI процессы внедряет не кейлоггер, а уже сама система - по мере необходимости
[/quote]
Типовых- может быть. Но кейлоггер может работат и на уровне драйвера, и через GetAsyncKeyState. Это уже отловить на порядок тяжелее.
А может анализировать все активные драйверы на предмет использования этой функции, и писать в лог предупреждение?
Естественно - на уровне драйвера кейлоггер поймать очень трудно, особенно если он подменит штатный ... Единственный способ - это мониторинг загруженных драйверов и поиск посторонних. GetAsyncKeyState можно поймать мониторингом (это я наверное сделаю). Но это - примерно 3-5% от известных кейлоггеров, подавляющее большинство остальных - банальный hook ...
А как насчет проблемы с портами?
> Наблюдается проблема, когда не
> открыто ни одного порта. Щелкаю
> "Открытые порты TCP/UDP", выскакивает
> диалог с ошибкой "Access violation at
> address 00405547 in module 'AVZ.EXE'.
> Read of address FFFFFFFF."
> P.S. ОС Windows 98 SE
> AVZ версия 3.11 от 18.03.2005
Та же самая проблема проявилась в Windows 2000 и XP. Не было открыто ни одного UDP порта. Щелкаем "Открытые порты TCP/UDP", переходим на закладку "Порты UDP", выскакивает диалог с той же ошибкой "Access violation at address 00405547 in module 'AVZ.EXE'. Read of address FFFFFFFF."
P.S. AVZ версия 3.19 от 19.04.2005
А как насчет проблемы с портами?
> Наблюдается проблема, когда не
> открыто ни одного порта. Щелкаю
> "Открытые порты TCP/UDP", выскакивает
> диалог с ошибкой "Access violation at
> address 00405547 in module 'AVZ.EXE'.
> Read of address FFFFFFFF."
> P.S. ОС Windows 98 SE
> AVZ версия 3.11 от 18.03.2005
Та же самая проблема проявилась в Windows 2000 и XP. Не было открыто ни одного UDP порта. Щелкаем "Открытые порты TCP/UDP", переходим на закладку "Порты UDP", выскакивает диалог с той же ошибкой "Access violation at address 00405547 in module 'AVZ.EXE'. Read of address FFFFFFFF."
P.S. AVZ версия 3.19 от 19.04.2005
Sorry за дубль.
P.S. кнопка "Посмотреть" форума в Опере работает достаточно не адекватно. :-)
Ваши права в разделе
