AVZ 4.30

[Hanson]

Прошу прощения за дурацкий вопрос, но на нескольких компах на работе явный троян или что-то подобное: в System32 бесконтрольно размножаются файлы типа 21(любое число).scr.
Avast и ClamWin постоянно что-то находят - каждый своё - и якобы удаляют, но реально ничего не меняется.
AVZ либо ничего особого не говорит при проверке дисков - либо подвешивается с концами (если включать драйвера расширенного мониторинга процессов и гард).
Где бы прочитать инструкцию - как грамотно провести исследование системы в такой ситуации (маловероятно, что какая-то иная утилита покажет что-то вразумительное - если AVZ не говорит - или я неправ?)?
Если это новый зловред, атакующий MBR (см.выше), то AVZ должен его детектить или пока ещё он определяется только по косвенным признакам?
Спасибо

похожее недавно было, по Ноду это IRCBot
у меня в system были либо services.exe или 1sass.exe (в зависимости от модификации зверя) также имелся процесс с таким именем,
а в system32/drivers был sysdrv32.sys он же имелся в реестре в нескольких местах (через поиск можно посмотреть по памяти непомню)
также куча файлов вида ХХ.scr (две цифры)
зараженные машины имели большое количество соединений по 445 порту, машины Win2003 через 10 минут работы наглухо висли, помогло отключение нэтбиоса,
зверя высылал в нод, и после обновления баз он его на подлете стал прибивать.

[Nick222]

Похоже, что это то самое...
У меня стоит Avast, я им послал несколько образцов - но само ядро зловреда никак не выявлю - и он никак не блокируется.
Разве AVZ в данном случае не поможет?

[gjf]

Разве AVZ в данном случае не поможет?

Скорее сего, что поможет, если Вы выполните Правила.

[nisome]

День добрый. Странная штука отображается в менеджере автозапуска в AVZ. Может это ошибка в реестре или в алгоритме самого AVZ по разбиению на строки.

Что у меня в реестре (кавычки я сам дописал):

Код:

"AppInit_DLLs" = 
"D:\PROGRA~1\Kaspersky Lab\Kaspersky Anti-Virus 2009\mzvkbd.dll,D:\PROGRA~1\Kaspersky Lab\Kaspersky Anti-Virus 2009\mzvkbd3.dll"

Что даёт AVZ:

[PavelA]

Это болезнь такая есть у AVZ: не любит пробелы в именах файлов.

[nisome]

Соответственно в логах тоже огрызки получаются. Надо переписать разбивку параметров.

Добавлено через 6 минут

Есть ещё один вопрос, если запускать AVZ со скриптом, например:

Код:

begin
// Сканирование
ExecuteStdScr(2); 
end.

Будут ли в результатах упомянут отчёт мастера поиска проблем? Если нет, как это туда добавить?

[4r0]

Возможно, этот вопрос уже 100 раз обсуждался, но в поиске я ничего не нашёл. Я про совместимость AVZ 4.30 с 64-битными операционными системами (XP, Vista). К примеру, тот же драйвер расширенного мониторинга процессов (AVZPM) на 64-битной ОС не загружается. Будет ли добавлена полная поддержка 64-битных ОС в AVZ и как скоро это планируется сделать?

[opana]

Сегодня и Symantec начал его детектировать..

Вот форма сообщения о ложном срабатывании. Добавили в течении суток.

[Serrrgio]

не совсем по теме, но про AVZ

AVZ 4.32 (полиморфный/специальный), очень много файлов не прошедших проверку по базе безопасных, с чем связано? будут ли изменения?
просто теряешься в этой куче файлов в автозагрузке, притом этих файлов еще и физически нет на винте, такие как mssip1 mssip2 mssip3 и т.д...
с удивлением обнаружил у себя в логе в автозагрузке

Код:

C:\Documents and Settings\Администратор\Local Settings\Temp\{7229C903-67DE-4463-9DEA-6B6B2651BC75}\fsgk.sys
HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\F-Secure Gatekeeper, EventMessageFile

хотя F-Secure не устанавливал и кучу всяких *.fon...

[Зайцев Олег]

не совсем по теме, но про AVZ

AVZ 4.32 (полиморфный/специальный), очень много файлов не прошедших проверку по базе безопасных, с чем связано? будут ли изменения?
просто теряешься в этой куче файлов в автозагрузке, притом этих файлов еще и физически нет на винте, такие как mssip1 mssip2 mssip3 и т.д...
с удивлением обнаружил у себя в логе в автозагрузке

Код:

C:\Documents and Settings\Администратор\Local Settings\Temp\{7229C903-67DE-4463-9DEA-6B6B2651BC75}\fsgk.sys
HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\F-Secure Gatekeeper, EventMessageFile

хотя F-Secure не устанавливал и кучу всяких *.fon...

Полиморфная версия нужна не для использования, а для особых случаев лечения (когда зловреды узнают AVZ и борятся с ним). В остальном если он что-то показывает, то это означает, что оно есть ... почему показываем много всего ? А потому, что полиморфная версия строится на базе релиза-кандидата новой воерсии AVZ, и там значительно больше проверок в области экзотического автозапуска

[PavelA]

Вопрос по вот этой функции:
function DelAutorunByFileName(AKeyName : string)

Что она удаляет и как ее использовать?

Плюс еще один:
Если используем DeleteService('trojan',true), то попадет ли файл в задание для
ВС_ImportDelete и в задание для ExecuteSysclean

[surok]

Присоединяюсь к Павлу, но хотелось бы ещё расширить вопрос.
Если я правильно понимаю, удаление вирусов и их следов делится на два типа: удаление файлов с диска и удаление в реестре ссылок на файл. Всё. Третьего не дано. Файлы и реестр.
С удалением файлов всё ясно - каждый удаляемый файл указывается непосредственно (или используется маска).
Если мы удаляем файл, его имя передаётся функции ExecuteSysClean и она удаляет все следы в реестре. Таким образом все проявления вируса удалены.
Если же удаления файла не производится, то указываем имя файла, следы которого надо очистить, с помощью функции SysCleanAddFile. И в реестре чистятся все следы.

Получается, что функции удаления файла и функции чистки реестра достаточно, чтобы полностью удалить все проявления вируса.
Зачем тогда нужны функции: DelWinlogonNotifyByFileName, DelAutorunByFileName, DeleteService и т.д.?

[gjf]

Дополнительно также хочу добавить (из общения с Павлом в ПМ): где пропишется и как будет обработана функция автозапуска из win.ini? Этот автозапуск давно известен, лично с ним сталкивался в одном бэкдоре, который, кстати, больше нигде свой сервер не прописывал.
Вообще - довольно странно, что в разделе "Автозагрузка" логов указывается только запуск из веток реестра, а про банально папку "Автозагрузка" и тот же win.ini забыли...

[Зайцев Олег]

Дополнительно также хочу добавить (из общения с Павлом в ПМ): где пропишется и как будет обработана функция автозапуска из win.ini? Этот автозапуск давно известен, лично с ним сталкивался в одном бэкдоре, который, кстати, больше нигде свой сервер не прописывал.
Вообще - довольно странно, что в разделе "Автозагрузка" логов указывается только запуск из веток реестра, а про банально папку "Автозагрузка" и тот же win.ini забыли...

Довольно странно - это все есть в AVZ много лет как ... Менеджер автозапуска, "Автозапуск\Реестр\INI файлы" - там находятся элементы атвозапуска, найденные в win.ini и system.ini. Раздел "Автозапуск\Папки автозапуска" показывает папку автозапуска

Добавлено через 7 минут

Присоединяюсь к Павлу, но хотелось бы ещё расширить вопрос.
Если я правильно понимаю, удаление вирусов и их следов делится на два типа: удаление файлов с диска и удаление в реестре ссылок на файл. Всё. Третьего не дано. Файлы и реестр.
С удалением файлов всё ясно - каждый удаляемый файл указывается непосредственно (или используется маска).
Если мы удаляем файл, его имя передаётся функции ExecuteSysClean и она удаляет все следы в реестре. Таким образом все проявления вируса удалены.
Если же удаления файла не производится, то указываем имя файла, следы которого надо очистить, с помощью функции SysCleanAddFile. И в реестре чистятся все следы.

Получается, что функции удаления файла и функции чистки реестра достаточно, чтобы полностью удалить все проявления вируса.
Зачем тогда нужны функции: DelWinlogonNotifyByFileName,
DelAutorunByFileName, DeleteService и т.д.?

DelWinlogonNotifyByFileName, DelAutorunByFileName, DeleteService и т.п. - они крайне полезны для сложных скриптов. Например, есть необходимость удалить элемент автозапуска, не трогая исполняемый файл ... или удалить конкретную службу и ничего более. Подобные функции позволяют выполнять "прицельное" удаление, не вызывая глобальной чистки, которая происходит при SysClean (там чистится автозапуск, службы и драйвера, CLSID с всеми сопуствующими хвостами и т.п.). Еще одно применение - известно только имя файла, без пути - рисковано добавлять его в глобальную чистку, особенно если известно, что это например служба или драйвер. В этом случае SysClean ведет себя осторожно, трактуя сомнения в пользу удаляемого файла, тогда как "прицельные" функции - наоборот.

С удалением файлов не все получается ясно - команда удаления файла удаляет только файл с указанным именем (одну штуку), маски там не поддержиаются. Для удаления файлов по маске есть особая отдельная функция удаления по маске

Добавлено через 3 минуты

Вопрос по вот этой функции:
function DelAutorunByFileName(AKeyName : string)

Что она удаляет и как ее использовать?

Плюс еще один:
Если используем DeleteService('trojan',true), то попадет ли файл в задание для
ВС_ImportDelete и в задание для ExecuteSysclean

DelAutorunByFileName удаляет эмемент автозапуска по известному имени файла
DeleteService заносит удаленный файл в список удаленных для чистки
Оба ответа актуальны для пре-релиза, что-то там правилось как раз в этой области

[gjf]

Спасибо, Олег! Вероятно за счёт того, что "много лет как" - потому и не сталкивался: в пользовании AVZ я - новичок.
На самый первый вопрос Павла небольшое уточнение - например, выполнит ли "своё дело" такой скрипт:

Код:

...
 DeleteService('SMSCGISVC',true);
 DeleteService('Google Online Search Service',true);
 DeleteService('CcEvtSvc',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
...

[Зайцев Олег]

Спасибо, Олег! Вероятно за счёт того, что "много лет как" - потому и не сталкивался: в пользовании AVZ я - новичок.
На самый первый вопрос Павла небольшое уточнение - например, выполнит ли "своё дело" такой скрипт:

Код:

...
 DeleteService('SMSCGISVC',true);
 DeleteService('Google Online Search Service',true);
 DeleteService('CcEvtSvc',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
...

Сейчас (на полиморфной версии в частности) такое сработает с гарантией. На публичной версии я на 100% не уверен, это можно попробовать

[surok]

Подобные функции позволяют выполнять "прицельное" удаление, не вызывая глобальной чистки, которая происходит при SysClean.

То есть если мы хотим убрать все следы, достаточно только ExecuteSysClean?

[Зайцев Олег]

То есть если мы хотим убрать все следы, достаточно только ExecuteSysClean?

Да, как правило достаточно. Так как там выполняются все основные чистки (CLSID и все, что за ними тянется - в частности BHO и расширения IE; автозапуск; службы и драйвера; Winlogon; LSP; плюс доп. расширенные процедуры зачистки из обновляемой базы)

[surok]

Я плохо представляю, что такое CLSID, но мне казалось, что оно не замыкается только на один файл и поэтому если чистка реестра производится по одному конкретному файлу, весь CLSID не удаляется. Это так?
Или при чистке реестра функцией ExecuteSysClean удаляется весь CLSID в котором был зарегистрирован этот файл и DelCLSID уже не нужна?

[thyrex]

Добрый день
Не знаю, может где-нибудь и пробегала уже такая мысль.
У DrWeb (на прімере CureIt), gmer есть такая интересная штука при скачивании, как произвольное имя
программы. Что сделано для затруднения блокировки работы по имени.

Можно ли такое реализовать и для AVZ?