При входе на терминал Win3k/TS в %systemroot% мапится (вернее в %systemroot% подсовывается ссылка) в %userprofile%, получается как-бы свой %systemroot% для каждого юзера, соответственно все изменяетые/добавляемые файлы в %systemroot% могут использоваться только этим юзером. Соответственно не копируется чистый "system32\smss.exe" в карантин, поскольку он есть в базе безопасных.Сообщение от Зайцев Олег
PS: Забыл я про эту мелкую пакость на TS.
Последний раз редактировалось RiC; 01.12.2005 в 00:54.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Во всех, т.е. вообще.
P.S. Кстати, о кнопках речь шла о двух окнах infected и карантин. Кнопки большие до безобразия.
Ещё похоже глючёк - http://virusinfo.info/showpost.php?p=60795&postcount=1
Раздел "Модули расширения проводника"
да, я уже заметил - там аналогичное в BHO наблюдается - как будто нет прав доступа к некоторым разделам реестра или к диску ... странно.
Олег! Предложение - имеет ли смысл проработать в AVZ функции монитора потенциально уязвимых участков системы, по принципу проги WinPatrol? Конечно это утяжелит программу, да и оперативку тоже. Но можно оставить выбор : включение, отключение монитора. Я не програмист, поэтому с позиции программирования может быть мое пожелание неверное или невыполнимое. Кроме того в концепции дальнейшего развития программы функции монитора не предусмотрены или наоборот?
Интересно получить ответ.
Тут подход двоякий ... все зависит от того, как строить монитор.
1. Монитор на основе периодического опроса списка загруженных процессов и DLL. Достоинства - нет вмешательства в систему (перехвата функций и т.п.) и как следствие исключены конфликты с другими мониторами, тормоза и пожирание ресурсов невелики. Такой монитор существует, могу дать желающим его потестировать. Но в таком случае регистрация происходит после запуска зловредной программы;
2. Монитор на основе перехвата ряда функций системы - проверка производится до выполнения операции. Тут все с точностью до наоброт с п.п. 1 - возможны конфликты с мониторами, возможны тормоза - зато проверка производится до выполнения операции, с возможностью блокировки.
Путь номер 1 реализуется в любой операционной системе, путь номер 2 - специфичен для каждой платформы (по крайней мере для 9x и 2k/XP). Если надобность в в мониторе есть, то довести до ума его не проблема. Просто сейчас я дописываю новый эвристический анализатор - сейчас завершаются его тесты, на финальной стадии я наверное попрошу желающих потестировать эту штуку на виртуалке.
Олег спасибо за ответ. На мой взгляд п.2 "проверка производится до выполнения операции, с возможностью блокировки" более предпочтителен, хотя конфликты и тормоза и вмешательство в систему могут отпугнуть пользователей. Кстати я приводил пример принцип работы мониторинга WinPatrol, пользуюсь ей давно, глюков, тормозов и конфликтов с другими мониторами не замечал, может быть стоит взять у нее полезное для монитора AVZ, если вопрос с ним решится.
Ведётся ли детектирование по косвенному признаку "большой трафик по 25 порту"?
По признаку прослушки порта 25 - да, есть детект. А вот трафик не измеряется - я не отслеживаю обмен приложений с Инет
зачем прослушка? Я имел в виду спам-бота, который ничего не слушает, а только отсылает, отсылает. Если отвлечься от номера порта, то можно регистрировать факт распространения виря. Ведь чтобы распространяться, вирь должен постоянно коннектиться к другим компам, слать им пакеты на один и тот же порт (с целью воспользоваться уязвимостью) (сколько вирей так делает?). Спам-бот отличается тем, что использует порт 25 и фиксированные адреса типа yandex.ru, mail.ru, gmail.com и т.п. (эти три он точно будет юзать... или их айпишники, можно ограничиться одним gmail'ом).
Имеет ли смысл реализовывать снифер с целью отслеживания распространения вирей по сети? Ведь это фактически реакция уже после запуска виря.
Последний раз редактировалось maXmo; 02.12.2005 в 13:17.
Как детектор заразы сниффер и программы типа моего APS очень полезны. Они конечно уже выступают в роли детектора, т.е. заражение уже должно месть место ... Я могу встроить простейший сниффер в AVZ (хотя-бы для отлова автивности имеющихся приложений, тот-же бот часто бомбит пакеты со страшной силой), или отлов кучи конекций по портам типа 25 у неопознанных программ
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082480)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559480
KiST = 804E26A8 (284)
Функция ZwConnectPort (1F) перехвачена (805894AD->81AE6F1, перехватчик не определен
Проверено функций: 284, перехвачено: 1, восстановлено: 0
-----------------------------------------------------------------
Олег,поясните пожалуста, в качестве ликбеза ,что означает эта запись.
Это не похоже на руткит, но в принципе по исследованию системы можно попытаться сказать, что это такое. Я где-то уже встречал похожий перехват1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082480)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559480
KiST = 804E26A8 (284)
Функция ZwConnectPort (1F) перехвачена (805894AD->81AE6F1
Проверено функций: 284, перехвачено: 1, восстановлено: 0
-----------------------------------------------------------------
Олег,поясните пожалуста, в качестве ликбеза ,что означает эта запись.
Посылаю архив.
Последний раз редактировалось kozakoff; 11.03.2006 в 13:57.
Олег, если avz 4.01 напустить на некую папку, то сканируется все дерево каталогов "снизу вверх", кроме корня. Вроде ты говорил, что этот баг уже поправлен.
судя по логу единственный "подозреваемый" - это Norton AntiVirusСкорее всего перехват именно от него, поскольку перехваченная функция не специфична для руткита
Олег , благодарю за консультацию.
AVZ , удаляет этот перехват , но после перезагрузки появляеться вновь.
Нортон, так Нортон , главное что бы не зверьё.
Удачи Всем.
Попалось вот это:
avpi32.dll:
This is a report processed by VirusTotal on 12/04/2005 at 22:33:29
(CET) after scanning the file "avpi32.dll" file.
Antivirus Version Update Result
AntiVir 6.32.1.63 12.04.2005 no virus found
Avast 4.6.695.0 12.03.2005 no virus found
AVG 718 12.02.2005 no virus found
Avira 6.32.1.63 12.04.2005 no virus found
BitDefender 7.2 12.04.2005 no virus found
CAT-QuickHeal 8.00 12.03.2005 no virus found
ClamAV devel-20051108 12.04.2005 no virus found
DrWeb 4.33 12.04.2005 no virus found
eTrust-Iris 7.1.194.0 12.04.2005 Win32/Haxdoor.37152!DLL!Trojan
eTrust-Vet 11.9.1.0 12.02.2005 Win32.Haxdoor.AP
Fortinet 2.48.0.0 12.03.2005 suspicious
F-Prot 3.16c 12.02.2005 no virus found
Ikarus 0.2.59.0 12.02.2005 no virus found
Kaspersky 4.0.2.24 12.04.2005 no virus found
McAfee 4642 12.02.2005 no virus found
NOD32v2 1.1311 12.02.2005 a variant of Win32/Haxdoor
Norman 5.70.10 12.02.2005 no virus found
Panda 8.02.00 12.04.2005 no virus found
Sophos 4.00.0 12.04.2005 Troj/Haxdor-Fam
Symantec 8.0 12.04.2005 no virus found
TheHacker 5.9.1.048 12.04.2005 no virus found
VBA32 3.10.5 12.04.2005 suspected of Malware.Agent.44
Прописано было в реестре тут:
--------------------------------
REGEDIT4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\MPRServices\TestService]
"DllName"="avpi32.dll"
--------------------------------
Возможно, стоило бы добавить в проверку автозагрузок.
Про работу с архивами (в частности, RAR) возникла такая извратная мысль: незачем встраивать распаковщики известных архиваторов в AVZ.
Если на машине нету соответствующего архиватора, то и троян в архиве ей не страшен. А если есть - убедиться по базе безопасных, что это именно он, и вызывать его, пусть он распаковывает
1. вызов внешних программ ЗНАЧИТЕЛЬНО замедлит работу, т.к.Про работу с архивами (в частности, RAR) возникла такая извратная мысль: незачем встраивать распаковщики известных архиваторов в AVZ.
Если на машине нету соответствующего архиватора, то и троян в архиве ей не страшен. А если есть - убедиться по базе безопасных, что это именно он, и вызывать его, пусть он распаковывает
а) лишние дисковые операции - проверяемый файл считывается в память не только AVZ, но и архиватором
б) архиватор при загрузке инициализирует кучу констант и проверяет кучу условий, которые занимают время но для нашей задачи совершенно не нужны
2. AVZ не знает и никогда не узнает все существующие версии архиватора (того же RAR). это хорошо заметно хотя бы по тому, что rarext.dll фигурирует почти в каждом втором исследовании системы AVZ
3. у пользователя может отсутствовать архиватор RAR, но он хорошо распакует архива WinZip'ом, WinAce'ом и подобными
4. как использовать GUI-версию архиватора для распаковки?
продолжать?
Ваши права в разделе
