AVZ 4.30

**Зайцев Олег** · 20.05.2008, 10:29

Сообщение от Jef239

В запароленных? Ну как-то не верится. Разве что на пароль Virus проверять могут. Уж больно оно накладно по времени - пароль вскрывать.

Многие почтовые антивирусы содержат фичу - блокировать запароленные архивы. Т.е. если антивирус не может вскрыть архив и проверить его, то он прибивает письмо с ним (или на корпоративном почтаре отправляет в отстойник). У меня в сети так KAV почтовый настроен ... и это разумная мера, так как юзеры получив письмо из Зимбабве от Васи Пупкина с запароленным архивом и подсказкой по паролю типа "пароль на архив является числом, которое вычисляется по формуле 15+162*9" вооружаются куркулятором, вычисляют пароль, сохраняют архив, распаковывают его и запускают содержащийся там файл с именем типа "Запусти меня, если ты не лох.exe". Разъяснительная работа бесполезна (один юзер у меня так запускал несколько раз подряд подобные вещи, раз за разом ему чистили компьютер и впроводили внушение, и раз за разом ответ один - "а вдруг там что-то важно или интересное ?"). Поэтому я думаю или отказаться от архивов (и пересылать карантин AVZ в каком-то бинарном формате, который не будет восприниматься как архив), или вообще отказаться от приема семплов по почте, заменив их на форму на сайте (тогда в форме придется сделать выдачу некоего тикета, чтобы его можно было включить в письмо)

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Макcим** · 20.05.2008, 10:36

Сообщение от Зайцев Олег

или вообще отказаться от приема семплов по почте, заменив их на форму на сайте (тогда в форме придется сделать выдачу некоего тикета, чтобы его можно было включить в письмо)

Очень хорошая идея, тогда и максимально допустимый размер файлы увеличьте, только что хотел прислать AdWare, а он оказался на 500 Кб больше допустимого.

**Alex_Goodwin** · 20.05.2008, 17:59

Олег, может добавить такую фичу: при удалении библиотеки проводить ее дерегистрацию, аля regsvr32 /u .

**Зайцев Олег** · 20.05.2008, 18:04

Сообщение от Alex_Goodwin

Олег, может добавить такую фичу: при удалении библиотеки проводить ее дерегистрацию, аля regsvr32 /u .

Такой функционал бых по умолчанию в старых версиях - при удалении DLL проводился анализ, есть ли в ней функция дерегистрации - если есть, то она выполнялась. Но оказалось, что у некоторых зловредов код дерегистрации весьма зловредный и вместо удаления выполняет заражение.

**kps** · 20.05.2008, 19:03

файл с именем типа "Запусти меня, если ты не лох.exe".

Да, социальная инженерия

**PavelA** · 22.05.2008, 13:08

http://virusinfo.info/showthread.php?t=23208 - успешное лечение base*.dll при помощи AVZ 4.30. Это не может не радовать.

**Karlson** · 22.05.2008, 15:09

Сообщение от PavelA

http://virusinfo.info/showthread.php?t=23208 - успешное лечение base*.dll при помощи AVZ 4.30. Это не может не радовать.

кстати, раньше эти base*32.dll жили в основном в \system32\drivers\ а сейчас просто в \system32\..

**kps** · 22.05.2008, 16:09

Сообщение от Karlson

кстати, раньше эти base*32.dll жили в основном в \system32\drivers\ а сейчас просто в \system32\..

Никогда их в папке drivers не видел. Только в %system32%.

**Karlson** · 22.05.2008, 16:31

Сообщение от kps

Никогда их в папке drivers не видел. Только в %system32%.

пардон... абсдался...

попутал я..

**SuperBrat** · 25.05.2008, 10:17

Можно поправить? При работе с карантином после сортировки по размеру, например, удаляем любой (любые) файл(ы). И вот:

**tnn** · 26.05.2008, 17:38

AhnLab-V3 2008.5.22.1 2008.05.23 -
AntiVir 7.8.0.19 2008.05.23 -
Authentium 5.1.0.4 2008.05.23 -
Avast 4.8.1195.0 2008.05.23 -
AVG 7.5.0.516 2008.05.23 -
BitDefender 7.2 2008.05.24 -
CAT-QuickHeal 9.50 2008.05.24 -
ClamAV 0.92.1 2008.05.24 -
DrWeb 4.44.0.09170 2008.05.24 -
eSafe 7.0.15.0 2008.05.22 -
eTrust-Vet 31.4.5817 2008.05.23 -
Ewido 4.0 2008.05.23 -
F-Prot 4.4.4.56 2008.05.23 -
F-Secure 6.70.13260.0 2008.05.23 -
Fortinet 3.14.0.0 2008.05.24 -
GData 2.0.7306.1023 2008.05.23 -
Ikarus T3.1.1.26.0 2008.05.24 Trojan-PWS.Win32.Lmir.bey
Kaspersky 7.0.0.125 2008.05.24 -
McAfee 5302 2008.05.23 -
Microsoft 1.3520 2008.05.24 -
NOD32v2 3128 2008.05.23 -
Norman 5.80.02 2008.05.23 -
Panda 9.0.0.4 2008.05.23 -
Prevx1 V2 2008.05.24 -
Rising 20.45.42.00 2008.05.23 -
Sophos 4.29.0 2008.05.24 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.24 -
TheHacker 6.2.92.318 2008.05.23 -
VBA32 3.12.6.6 2008.05.24 -
VirusBuster 4.3.26:9 2008.05.23 -
Webwasher-Gateway 6.6.2 2008.05.24 - Я посылал на Virustotal - он блокировал AVZ 4.30 , блокировал и много другие проверки и тесты ! Всего хорошего....

**PavelA** · 26.05.2008, 19:20

@tnn Отправь этот файл Олегу на анализ, глядишь и картинка изменится.

**Зайцев Олег** · 26.05.2008, 19:40

Сообщение от PavelA

@tnn Отправь этот файл Олегу на анализ, глядишь и картинка изменится.

Конечно изменится - у меня есть 3 штуки Trojan-PWS.Win32.Lmir.bey, этот имеет шансы стать четвертым

**PavelA** · 27.05.2008, 18:04

Олег! Вот такая строчка в логе:
\FileSystem\ntfs[IRP_MJ_CREATE] = F59E1BA3 -> C:\WINDOWS\system32\sywtdxaz.sys, драйвер опознан как безопасный

По многим признакам это руткит, или все-таки кто-то под него подделывается?

**Зайцев Олег** · 27.05.2008, 18:15

Сообщение от PavelA

Олег! Вот такая строчка в логе:
\FileSystem\ntfs[IRP_MJ_CREATE] = F59E1BA3 -> C:\WINDOWS\system32\sywtdxaz.sys, драйвер опознан как безопасный

По многим признакам это руткит, или все-таки кто-то под него подделывается?

Чисто теоретически может быть, что при обращении к файлу выдается не его содержимое, а содержимое чего-то типа Beep.Sys. Можно попробовать закарантинить его через BC - посмотрим, что за зверь

**PavelA** · 27.05.2008, 18:21

Попробовал взять обычным Quarantine с послед. включением ВС_ImportAll.
В ВС завершение копирования = 0, но в карантине его нет.
М.б. его убил Доктор Веб, если пользователь не отключил.

Теперь уже поздно. V_Bond убил файл скриптом.

С этим именем в паре тем в разделе "Помогите!" у нас эти файлики проскакивали. В ответах из ЛК было что нашли что-то новое, но непонятно на этом файле или нет.

**aldares** · 29.05.2008, 06:09

Просьба к Олегу - сделать в следующих версиях AVZ ключ запуска AVZ для обновления баз, чтобы можно было делать это из зашедуленного батника. У меня так каждый день wget-ом качается cureit и база для SpybotSD (если обновилась) .
А может, он уже есть, и я что-то не знаю ?

**anton_dr** · 29.05.2008, 12:44

Есть. Читать хелп полезно бывает

Задача: выполнить обновление базы в "тихом" режиме (без отображения GUI) с протоколированием успешности операций. Это в частности удобно в случае размещения AVZ на сервере - в этом случае процедуру обновления баз можно включить в планировщик и в результате на сервере будет находиться AVZ с актуальной базой.

Скрипт имеет вид:

var
S : string;
begin
// Обновление баз
if ExecuteAVUpdate then S := 'Обновление прошло успешно'

else S := 'Ошибка обновления баз AVZ';
// Протоколирование
AddLineToTxtFile(GetAVZDirectory + 'avz_upd.log', DateTimeToStr(Now)+' '
+S);
// Завершение работы AVZ
ExitAVZ;
end.

Запуск AVZ в данном случае должен производиться с параметрами:
avz.exe HiddenMode=1 script=update.txt

В данном случае предполагается, что скрипт сохранен в папке AVZ в файле с именем update.txt. Параметр HiddenMode=1 предписывает AVZ запуститься свернутым в трей. В качестве усовершенствования в данном скрипте можно применить функцию ExecuteAVUpdateEx

AVZ, (C) Зайцев О.В., http:

Добавлено через 5 часов 41 минуту

Олег, по моему предыдущему сообщению - в таком виде копируется из справки АВЗ.
URL не дописывается. Бага вроде как

**mike2100** · 29.05.2008, 12:47

AVZ часто запускается в безопасном режиме. А на некоторых машинах именно в безопасном режиме разрешение экрана больше, чем 640х480 не поставить. Неудобность в том, что интерфейс явно не расчитан на 640х480

Там ведь, наверное, совсем чуть-чуть поправить ...

**PavelA** · 29.05.2008, 13:05

+10
Надо это обязательно поправить. Как же мы такое пропустили?

AVZ 4.30

Опции темы

Метки для этой темы

Ваши права в разделе