Альтернативное зеркало для скачивания: http://depositfiles.com/ru/files/1376577
дабы уменьшить нагрузку с сервера, попробуйте скачать через эту службу.Hажать на "скачать", напротив кнопки "бесплатно", подождать 100 секунд и сохранить.
Антивирусная утилита AVZ - 4.25 + AVZGuard/AVZPM/BootCleaner
Архив с утилитой содержит базу вирусов от 17.04.2007 103395 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, 369 микропрограмм эвристики, 58493 подписей безопасных файлов (Обратите внимание - базы AVZ обновляются ежедневно и могут быть загружены автоматически средствами самого AVZ - меню "Файл\Обновление баз").
Список доработок и модификаций:
[-] Исправлены ошибки, возникающие в работе антикейлоггера на различных ОС
[-] Исправлены ошибки, связанные с AVZPM
[+] В дистрибутив вошли все усовершенствования и доработки, которые были введены в 4.24r1 - 4.24r4
[++] BootCleaner - функция карантина файлов, драйверов и служб, расширенное протоколирование.
[++] Менеджер автозапуска - добавлено более десятка различных экзотических методик автозапуска. Плюс расширены проверки ключей автозапуска, выполняемые скриптами эвристики
[++] Новый менеджер - менеджер Active Setup. Данный менеджер подключен к базе безопасных, исследованию системы и автокарантину.
[++] Расширена и доработана справочная система и документация
[++] Скрипты - команда сканирование реестра и поиск заданного образца с выводом результатов в протокол, имя команды RegSearch
[+] Протокол - цветовое выделение важных событий
[+] Сортировка модулей в диспетчере процессов по всем столбцам (по умолчанию - по имени модуля)
[+] Отчет о открытых порта - добавлен PID процессов
[+] Антируткит - проверка экспортируемых функций ядра
[+] Скрипты - усовершенствована команда карантина файлов, добавлено протоколирование карантина
[+] Скрипты - команда остановки всех процессов с заданным именем
[+] Формирование кода возврата при выходе из AVZ
[+] Добавлена возможность перемещения карантина и папки Infected в отдельную папку для запуска AVZ с BootCD или иного ReadOnly носителя
[+] Добавлена возможность задания произвольной папки в качестве каталога для временных файлов
[+] Протоколирование карантина (успешность, ошибки)
[-] Скрипты, исправлена функция CreateQurantineArchive (она помещала в архив самую старую папку карантина вместо самой новой)
[-] Ключ AG=Y - исправлена ошибка в обработке ключа
[-] В профилях не сохранялась настройка действий для HackTool - исправлено
Кроме того, обновлена версия плагина для TheBat - в нем устранен сбой проверки почты, который возникал при некоторых сочетаниях настроек.
--------
Кроме того, обновился плагин для TheBat.
Начиная с версии 4.24 справка дублируется печатной документацией в PDF формате, текущая имеет размер 165 листов и размещена по адресу http://www.z-oleg.com/avz.pdf, размер файла 2 мб. Однако лучше прользоваться on-line справкой http://www.z-oleg.com/secur/avz_doc/, поскольку она оперативно обновляется и пополняется.
Последний раз редактировалось drongo; 01.08.2007 в 20:55.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Complete scanning result of "avz4.zip", received in VirusTotal at 03.06.2007, 13:02:10 (CET).
Antivirus Version Update Result
AntiVir 7.3.1.38 03.06.2007 no virus found
Authentium 4.93.8 03.05.2007 no virus found
Avast 4.7.936.0 03.05.2007 no virus found
AVG 7.5.0.447 03.05.2007 no virus found
BitDefender 7.2 03.06.2007 no virus found
CAT-QuickHeal 9.00 03.05.2007 no virus found
ClamAV devel-20060426 03.06.2007 no virus found
DrWeb 4.33 03.06.2007 no virus found
eSafe 7.0.14.0 03.05.2007 suspicious Trojan/Worm
eTrust-Vet 30.6.3458 03.06.2007 no virus found
Ewido 4.0 03.06.2007 no virus found
FileAdvisor 1 03.06.2007 no virus found
Fortinet 2.85.0.0 03.06.2007 no virus found
F-Prot 4.3.1.45 03.06.2007 no virus found
F-Secure 6.70.13030.0 03.06.2007 no virus found
Ikarus T3.1.1.3 03.06.2007 no virus found
Kaspersky 4.0.2.24 03.06.2007 no virus found
McAfee 4976 03.05.2007 no virus found
Microsoft 1.2204 03.06.2007 no virus found
NOD32v2 2097 03.05.2007 no virus found
Norman 5.80.02 03.06.2007 no virus found
Panda 9.0.0.4 03.06.2007 no virus found
Prevx1 V2 03.06.2007 no virus found
Sophos 4.15.0 03.06.2007 no virus found
Sunbelt 2.2.907.0 03.05.2007 no virus found
Symantec 10 03.06.2007 no virus found
TheHacker 6.1.6.070 03.06.2007 no virus found
UNA 1.83 03.05.2007 no virus found
VBA32 3.11.2 03.05.2007 no virus found
VirusBuster 4.3.19:9 03.05.2007 no virus found
Недоделанный у esafe эвристик, как файл запакованный , так сразу подозреваемый.Напиши eSafe,в противном случае жди писем от пользователей ))
Олег, расскажите пожалуйста про новую "подстветку". Что она означает?
Это то, о чем пишет santy в посте номер 5 - важные с точки зрения анализа события выделяются цветом. Пока все выделяется красным, поскольку AVZ еще преводится на 6-уровневую оценку событий (просто сообщение в логе, обраружен зловред, подозрение на зловред, подозрение анализаторов (например, перехват или внедренная DLL), безопасный объект, ошибка). Каждому событию со временем будет назначен отдельный цвет и будет введено подавление событий любого типа в логе. Сейчас оно уже есть - если указать ключ командной строки MiniLog=Y, то в протокол попадут только важные события.
Первое что бросилось в глаза - подсветка важных событий в протоколе... это класс! .
Респект.
У меня старая версия 4.23 обновила базы, используя файлы новой версии. По количеству скачиваемых файлов я догадался, что вышла новая версия, потом еще увидел объявление Ego1st. А вообще, это так задумывалось? Раньше более старые версии кричали, что надо скачать версию посвежее.
Опыт — это слово, которым люди называют свои ошибки.
Респект.
У меня старая версия 4.23 обновила базы, используя файлы новой версии. По количеству скачиваемых файлов я догадался, что вышла новая версия, потом еще увидел объявление Ego1st. А вообще, это так задумывалось? Раньше более старые версии кричали, что надо скачать версию посвежее.
Это сделано специально - базы не изменились по формату, поэтому жесткой блокировки обновления и требования о замене версии нет. Я включу ее недели через две. У блокировки есть минус - дикая нагрузка на сайт из-за тысяч загрузок в день.
Спасибо! Автозапуск, Active Setup, подсветка - хорош.
Зато расширения проводника, и так ограниченно показываемые в последнее время, свелись к нулю.
Небольшое замечание. Есть Trojan.Zonebac / Trojan-Downloader.Win32.Agent.awf. Пришёл в обличии "package" без расширения; есть его расплодившиеся копии-exe под разными именами. Даю на скан. Опции - максимум. Все чисты и все не опознаны как безопасные.
Это - если они лежат прямо. Если в архиве и если папка для временних файлов (не менял - Temp) занесён в исключениях антивируса, - то же самое.
Но если папку Темп предоставить антивирусу - с известными последствиями - то в таком случае имеем тот же результат, но первородный "package", несмотря на опцию проверять все файлы, по протоколу находится в базе безопасных.
Понятно, что времени на анализ не осталось, но почему (якобы) в базе?
Олег, хотелось бы ещё несколько Функций в Boot cleaner'e -
1. Copy ("Source","Target") - проcтое копирование файла - нужно, альтернатива есть - Recovery Console, но она не всегда под рукой.
2. Rename ("Source","Target") - переименование файла.
Причём здесь важен порядок выполнения - сначала Rename, потом Copy, и потом всё остальное (Qurantine, Delete ...).
3. DelServiceByFile("FileName") - удалить сервис/драйвер по имени файла - антируткит показывает имя файла, но не всегда показывает имя сервиса, в качестве "мины" может всплыть корявая регистрация сервиса. что-нибудь типа %system32%\drivers\aaa.sys
Ещё какой порядок выполнения Карантин/Удаление можно ли в одном скрипте мешать и карантин и удаление ?
Небольшое замечание. Есть Trojan.Zonebac / Trojan-Downloader.Win32.Agent.awf. Пришёл в обличии "package" без расширения ....
Понятно, что времени на анализ не осталось, но почему (якобы) в базе?
Если честно - ничего не понял Что такое "package", какой антивирус и в чем собственно проблема ?
Олег, хотелось бы ещё несколько Функций в Boot cleaner'e -
1. Copy ("Source","Target") - проcтое копирование файла - нужно, альтернатива есть - Recovery Console, но она не всегда под рукой.
2. Rename ("Source","Target") - переименование файла.
Причём здесь важен порядок выполнения - сначала Rename, потом Copy, и потом всё остальное (Qurantine, Delete ...).
3. DelServiceByFile("FileName") - удалить сервис/драйвер по имени файла - антируткит показывает имя файла, но не всегда показывает имя сервиса, в качестве "мины" может всплыть корявая регистрация сервиса. что-нибудь типа %system32%\drivers\aaa.sys
Ещё какой порядок выполнения Карантин/Удаление можно ли в одном скрипте мешать и карантин и удаление ?
1, 2 - однозначно будет к очередной версии
3 - возможно
Карантин в BC имеет жеткий приоритет над удалением - т.е. в одном скрипте их можно и нужно применять, но сначала сработают все операции карантина, затем - все операции удаления (даже если в скритпе команды удаления стоят до команд карантина) . А вот обычные DeleteFile и QuarantineFile срабатывают по месту, в порядке вызова.
Если честно - ничего не понял Что такое "package", какой антивирус и в чем собственно проблема ?
Я проблему понял так:
Если антивирус отбирает у AVZ извлекаемые из упомянутого "package" компоненты, то проверяемый макрообъект причисляется к находящимся в базе безопасных.
Непонятно, на основании чего Erekle сделал вывод о причислении. По цвету?
Нерусский я, видимо от этого.
Когда антивирус (Симантек) отбирает у AVZ извлечённые из архива файлы (один из них - под именем "package", без расширения), то этот файл в логе классифицируется (а не причисляется, сказал же: "якобы") как находящийся в базе. Хотя когда у антивируса нет такой возможности, тогда этот файл не протоколируется, само собой, как находящийся в базе.
В общем, замечание по протоколу, к тому же не имеющее большой важности, т. к. папку для темп-файлов теперь можно устанавливать; следовательно, она будет всегда исключена для антивируса.
Что же касается расширения, оно к тому, что копии этого файла (под названиями lsasss, svcipa, а также под именами приложений антивируса и файерволла, прописанных в автозагрузку и замещённых трояном), - имеющие расширение *exe и так же находящиеся в архивах, - по протоколу не были "опознаны" как находящиеся в базе безопасных.
(KAV классифицирует и "package", и exe-файлы, как ... //PE_Patch.UPX//UPX )
Последний раз редактировалось Erekle; 06.03.2007 в 22:13.
Видимо, проблема, которую упоминает Erekle, заключается в том, что Симантек антивирус обнуляет размер файла, распакованного AVZ для проверки, если находит в нем вирус. Файл нулевого размера AVZ считает безопасным.
Нерусский я, видимо от этого.
Когда антивирус (Симантек) отбирает у AVZ извлечённые из архива файлы ...
Вот теперь понятно ... видимо действительно это особенность Симантека. Фокус в том, что файлы нулевой длинны AVZ действительно считает безопасными. Видимо Симантек или не дает AVZ записать данные в файл, либо усекает его до нулевой длинны.
Похоже, не даёт? - Потому что уведомления об опасности в лице одного и того же файла AVZ появляются снова и снова, пока AVZ не закроется или не приступит к новой задаче.
Если в архиве, раскрытом AVZ, несколько зловредов, - в изоляторе Симантека можно обозреть их побайтные копии, путь и имя файла для них один и тот же темп-файл AVZ.
Последний раз редактировалось Erekle; 06.03.2007 в 23:59.