Хотелось бы уточнить, как лучше направлять файлы в форме http://z-oleg.com/secur/avz/uploadvir.php - как есть или в архиве с паролем, как принято на virusinfo? Один и тот же файл закачивал и так, и этак, но avz по-прежнему считает его подозрительным, хотя он скорее всего чистый. И по поводу закачки заведомо чистых файлов киберхелперу - по правилам требуется оставлять работающими только резиденты, висящие в трее. Стоит ли прикладывать туда файлы, не запущенные постоянно, но используемые на компьютере?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Хотелось бы уточнить, как лучше направлять файлы в форме http://z-oleg.com/secur/avz/uploadvir.php - как есть или в архиве с паролем, как принято на virusinfo? Один и тот же файл закачивал и так, и этак, но avz по-прежнему считает его подозрительным, хотя он скорее всего чистый. И по поводу закачки заведомо чистых файлов киберхелперу - по правилам требуется оставлять работающими только резиденты, висящие в трее. Стоит ли прикладывать туда файлы, не запущенные постоянно, но используемые на компьютере?
Приоритет формы на моем сайте самый низкий, так как туда сыпется лавина всякого мусора, как правило в разнообразных форматах и с непонятными паролями. Поэтому если AVZ что-то подозревает, то необходимо
1. Включить автокарантин подозрительных и просканировать то, на что ругается AVZ
2. Далее следовать по правилам отправки файлов киберхелперу
Насчет используемых программ - то запускать их не нужно. Дело в том, что когда ведется анализ на предмет наличия всевозможного зла, то эти программы не запущены и надобности в их опознании нет
По какому принципу AVZ проверяет файлы по каталогу безопасности Microsoft? Программа не опознала LegitCheckControl.DLL, имеющий цифровую подпись, как безопасный. Файл оригинальный, скачан с сервера MS.
По какому принципу AVZ проверяет файлы по каталогу безопасности Microsoft? Программа не опознала LegitCheckControl.DLL, имеющий цифровую подпись, как безопасный. Файл оригинальный, скачан с сервера MS.
Скачан с сайта MS и опознается по каталогу MS - разные вещи.
Вы хотите сказать, что наличие цифровой подписи Microsoft не означает, что файл обязательно будет опознан как безопасный?
P.S. В окне проверки есть чекбокс "Только чтение". По умолчанию он не отмечен. Что он означает?
Последний раз редактировалось Matias; 30.04.2009 в 18:02.
Вы хотите сказать, что наличие цифровой подписи Microsoft не означает, что файл обязательно будет опознан как безопасный?
P.S. В окне проверки есть чекбокс "Только чтение". По умолчанию он не отмечен. Что он означает?
Именно так оно и есть. Т.е. условие признания файла безопасным - его наличие в каталоге MS. Просто наличия подписи мало ... По поводу <"В окне проверки есть чекбокс "Только чтение"> - не совсем понял, какое окно имеется в виду ??
По поводу <"В окне проверки есть чекбокс "Только чтение"> - не совсем понял, какое окно имеется в виду ??
Я имел в виду диалоговое окно, вызываемое командой Сервис- Проверить подлинность файла по каталогу безопасности Microsoft, внизу которого имеется упомянутый неотмеченный чекбокс. Каким условиям должен отвечать файл для успешного прохождения по каталогу безопасности Microsoft?
Последний раз редактировалось Matias; 30.04.2009 в 18:19.
Я имел в виду диалоговое окно, вызываемое командой Сервис- Проверить подлинность файла по каталогу безопасности Microsoft, внизу которого имеется упомянутый неотмеченный чекбокс. Каким условиям должен отвечать файл для успешного прохождения по каталогу безопасности Microsoft?
А, понял ... это стандартный чекбоксик диалогового окна MS, он не влияет на проверку. Условие проверки файла по каталогу безопасности MS простое - файл (точнее его хеш) должен быть в этом каталоге
Еще файлы с работы
Файл сохранён как 090501_154058_work_dov_49fadfcaf3066.zip
Размер файла 5306905
MD5 e8fdd185b81f3ed2feaac0d7e330ebbe
Всё что внутри папки incops3 гарантированно чистое. По поводу остального ничего гарантировать невозможно.
У меня возник вопрос, касающийся безопасных файлов. Вчера прислал их по правилам. Во время сбора файлов AVZ среди прочих поместил в карантин драйвер Нода epfwtdir.sys. Сейчас поискал этот файл через AVZ. Он создан 24.10.2008. Нод достаточно популярный антивирус, если судить по результатам исследований антивирусов, опубликованным на VI. Почему же файл до сих пор не числится в базе безопасных? Неужели я первый пользователь Нода, приславший безопасные файлы? В это как-то не верится. На всякий случай прикрепляю лог AVZ, созданный во время сбора файлов.
Последний раз редактировалось Matias; 06.05.2009 в 17:20.
У меня возник вопрос, касающийся безопасных файлов. Вчера прислал их по правилам. Во время сбора файлов AVZ среди прочих поместил в карантин драйвер Нода epfwtdir.sys. Сейчас поискал этот файл через AVZ. Он создан 24.10.2008. Нод достаточно популярный антивирус, если судить по результатам исследований антивирусов, опубликованным на VI. Почему же файл до сих пор не числится в базе безопасных? Неужели я первый пользователь Нода, приславший безопасные файлы? В это как-то не верится. На всякий случай прикрепляю лог AVZ, созданный во время сбора файлов.
NOD на самом деле нет так уже и популярен, его драйвера за 4 года прислали всего 67 раз (это включая карантины в ходе лечения за всю историю VI + все присланные пополнения базы чистых, включая повторы). При этом часто бывает так, что NOD пропустит вирусов, вирусы его поедят - а пользователь добивает что останется и идет в "Помогите" (это видно по логам - в логах есть данные об этом драйвере, а по факту на диске его уже нет). Из присланного выделяется 15 уникальных разновидностей, 9 из которых в базе чистых (в том числе 4.0.417, 4.0.314, 4.0.226 RC1) - то, что часто встречается. А остальное лежит, ждет своей очереди - в базы чистых попадают только часто встречаемые файлы, иначе базы чистых раздуются до невероятного размера. Если вопрос возник, то я могу поднять этому файлу приоритет вручную - это несложно
Уважаемый Олег, буткит, упомянутый тут, по-прежнему в AVZ можно только по перехватам \driver\disk[IRP_MJ_READ] / [IRP_MJ_WRITE] или же он не детектируется? Понятно по новости, что AVPTool уже его благополучно находит и лечит, а нет ли у Вас информации на счёт детектирования GMERом?
Этот, возможно, несколько сумбурный вопрос вызван желанием узнать возможные пути диагностирования буткита при заражении.
Хорошо бы, если бы AVZ тоже позволял фиксить MBR в таких случаях.
Последний раз редактировалось gjf; 10.05.2009 в 17:57.
В результате, AVZ задумывается на некоторое время, а потом выдаёт сообщение "Syntax error". Где ошибку искать, сообщение вообще не несёт никакой информации, синтаксис-то в порядке.
P.S. ***** я убрал реальный e-mail, чтобы роботы не нашли.
P.P.S. Если не в ту тему написал, прошу прощения. Не нашёл я поиском тему про скрипты AVZ.
Пытаюсь написать скрипт для AVZ, но не работает отправка сообщений через e-mail
...
P.P.S. Если не в ту тему написал, прошу прощения. Не нашёл я поиском тему про скрипты AVZ.
Отдельной темы про скрипт-язык нет, поэтому можно и сюда - не принципиально. По поводу функции - она в теории рабочая, стоит проверить:
1. Имя ПК - нет ли в нем символов, которые могут привести к сбою
2. Работает ли почтовый сервер 'mail.****.**.ru' без авторизации
Для проверки в идеале следует взять сниффер и поставив фильтр на SMTP протокол запустить скрипт и посмотреть обмен AVZ с почтарем - протокол там тривиальный, все сразу встанет на места
По поводу функции - она в теории рабочая, стоит проверить:
1. Имя ПК - нет ли в нем символов, которые могут привести к сбою
2. Работает ли почтовый сервер 'mail.****.**.ru' без авторизации
Для проверки в идеале следует взять сниффер и поставив фильтр на SMTP протокол запустить скрипт и посмотреть обмен AVZ с почтарем - протокол там тривиальный, все сразу встанет на места
1. Имя ПК убрал, сейчас пробую такой вариант (пока с тем же результатом ):
2. Сервер работает без авторизации, настройки скатывал из программы TheBAT. 3. Под рукой нет сниффера, попробую найти и посмотреть... Может у вас есть простенький, который работает без установки (как Filemon или Regmon)?
Прошу прощения за дурацкий вопрос, но на нескольких компах на работе явный троян или что-то подобное: в System32 бесконтрольно размножаются файлы типа 21(любое число).scr.
Avast и ClamWin постоянно что-то находят - каждый своё - и якобы удаляют, но реально ничего не меняется.
AVZ либо ничего особого не говорит при проверке дисков - либо подвешивается с концами (если включать драйвера расширенного мониторинга процессов и гард).
Где бы прочитать инструкцию - как грамотно провести исследование системы в такой ситуации (маловероятно, что какая-то иная утилита покажет что-то вразумительное - если AVZ не говорит - или я неправ?)?
Если это новый зловред, атакующий MBR (см.выше), то AVZ должен его детектить или пока ещё он определяется только по косвенным признакам?
Спасибо
Прошу прощения за дурацкий вопрос, но на нескольких компах на работе явный троян или что-то подобное: в System32 бесконтрольно размножаются файлы типа 21(любое число).scr.
Avast и ClamWin постоянно что-то находят - каждый своё - и якобы удаляют, но реально ничего не меняется.
AVZ либо ничего особого не говорит при проверке дисков - либо подвешивается с концами (если включать драйвера расширенного мониторинга процессов и гард).
Где бы прочитать инструкцию - как грамотно провести исследование системы в такой ситуации (маловероятно, что какая-то иная утилита покажет что-то вразумительное - если AVZ не говорит - или я неправ?)?
Если это новый зловред, атакующий MBR (см.выше), то AVZ должен его детектить или пока ещё он определяется только по косвенным признакам?
Спасибо
Действий в такой ситуации может быть несколько, полагаться на сигнатурный поиск AVZ в данной ситуации смысла нет:
1. Идти в раздел "Помогите", делать логи и т.п.
2. Выполнить http://virusinfo.info/showthread.php?t=3519, послать полученный карантин и посмотреть, что расскажет "кибер" про него
Сообщение от Oyster
Где ошибку искать, сообщение вообще не несёт никакой информации, синтаксис-то в порядке.
