AVZ 4.27

[Jef239]

Там AdvWare сидит, всё правильно.

Ну когда на тебя комар сядет, я его тоже могу топором убить (с тобой вместе). Как там у Ленина было "по форме правильно, а на деле - издевательство". Или это не у Ленина?

В общем есть такой класс программ, за которые денег платить не надо, но зато нужно смотреть рекламу. FlashGet - самый известный из них.

Более того, он честно предупреждает, что или плати деньги или смотри рекламу... Одно хорошо, что 1.40 - это старая версия, её не жалко...

Понимаешь разницу между показом рекламы без желания пользователя и по желанию пользователя?

[anton_dr]

И всегда сидел раньше. И старые версии тоже его вроде бы удаляли.

[anton_dr]

В общем есть такой класс программ, за которые денег платить не надо, но зато нужно смотреть рекламу. FlashGet - самый известный из них.

Более того, он честно предупреждает, что или плати деньги или смотри рекламу... Одно хорошо, что 1.40 - это старая версия, её не жалк

А галочку тогда слабо убрать? Если они нужны.

[Jef239]

А галочку тогда слабо убрать? Если они нужны.

А мне не нужны ADWare, которые привешиваются к каждому окну браузера...

[Зайцев Олег]

И всегда сидел раньше. И старые версии тоже его вроде бы удаляли.

Все верно - весьма старые версии FG ставили AdvWare.Win32.Cydoor без спросу. Причем если убить Cydoor-а, то FG от казывался работать. Потом они от этой ерунды отказались - последние версии чистые, причем давно уже ...

[Jef239]

И всегда сидел раньше. И старые версии тоже его вроде бы удаляли.

Нет, не удаляли. Во всяком случае предыдущий прогон по всем дискам был полгода назад и этот файл тогда уцелел.

Плохо, что нет варианта "Спрашивать перед удалением". Или я его просмотрел...

[Зайцев Олег]

Нет, не удаляли. Во всяком случае предыдущий прогон по всем дискам был полгода назад и этот файл тогда уцелел.

Плохо, что нет варианта "Спрашивать перед удалением". Или я его просмотрел...

Как нет ? У AVZ по умолчанию только лог, если включить лечение, то можно выбрать действие (только лог, прибить, спросить у пользователя)

[Jef239]

F:\Software\Systemautomatic\OMRON CD\SYSWIN\3_0\DISK1.rar - PE файл с нестандартным расширением(степень опасности 5%)
Файл успешно помещен в карантин (F:\Software\Systemautomatic\OMRON CD\SYSWIN\3_0\DISK1.rar)

Это уже придирки пошли... Можно было понять, что это самораспаковывающийся RAR-архив. Просто при передаче по почте их часто из EXE переименовывают в RAR. Чтобы сильно параноидальные системы не удаляли.

Добавлено через 51 секунду

Как нет ? У AVZ по умолчанию только лог, если включить лечение, то можно выбрать действие (только лог, прибить, спросить у пользователя)

Значит это я дурак, что не увидел.... А сейчас ещё сканирование идёт, так что не посмотреть....

[SuperBrat]

Поиск потенциальных уязвимостей
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)

Не боитесь перейти в категорию riskware после таких советов? В корпоративных сетях эти две службы очень часто используются. Теперь придется присматривать за "активными" пользователями и убрать AVZ c ftp.

[Зайцев Олег]

Это уже придирки пошли...

Рассуждаем вслух: Уровень анализа какой ? Предельный. А по умолчанию какой ? Средний ... Птичка "Расширенный анализ" плюс к этому установлена ? Да ... А она по умолчанию включена ? Нет, отключена ... Какое в самораспаковывающегося архива расширение ? *.exe. Возникает последний вопрос - что неправильного в том, что программа пишет в лог о том, о чем ее принудительно попросили ? (вообще это описано в разделе 12.2 справки - http://www.z-oleg.com/secur/avz_doc/term_ha.htm)

[Jef239]

Рассуждаем вслух: Уровень анализа какой ? Предельный. А по умолчанию какой ? Средний ... Птичка "Расширенный анализ" плюс к этому установлена ? Да ... А она по умолчанию включена ? Нет, отключена ... Какое в самораспаковывающегося архива расширение ? *.exe. Возникает последний вопрос - что неправильного в том, что программа пишет в лог о том, о чем ее принудительно попросили ? (вообще это описано в разделе 12.2 справки - http://www.z-oleg.com/secur/avz_doc/term_ha.htm)

А всё просто.... Можно посмотреть, что это не просто EXE, а самораспаковывающийся архив. И не просто архив - а именно RAR. И тип архива с расширением совпадает... Я же говорю - это придирка....

То есть "Неправильного" - НИЧЕГО НЕТ. Но теоретически можно действовать тоньше...

[Зайцев Олег]

Не боитесь перейти в категорию riskware после таких советов? В корпоративных сетях эти две службы очень часто используются. Теперь придется присматривать за "активными" пользователями и убрать AVZ c ftp.

Тут очень важный момент - AVZ не устраняет ничего, найденного ИПУ - просто пишет в лог. А устранение глубоко запрятано и вызывается через скрипт. Именно на случай того, что шустрый юзер нажмет кнопку "Пофиксить", если таковая будет ...

Добавлено через 1 минуту

Я же говорю - это придирка....

Еще раз - http://www.z-oleg.com/secur/avz_doc/term_ha.htm, цитирую сам себя:

Код:

"Имя файла >>> PE файл с нестандартным расширением" - это означает, 
что обнаружен программный файл, но вместо типичного расширения EXE, DLL, SYS он имеет другое, 
нестандартное расширение. Это не опасно, но многие вирусы маскируют свои PE файлы, 
давая им расширения PIF, COM. Данное сообщение выводится в любом уровне эвристики для PE 
файлов с расширением PIF, COM , для остальных - только при максимальном уровне эвристики.

Т.е. на среднем уровне (по умолчанию) файл проверится как SFX архив и ничего в лог не запишется (и автокарантина не будет), определение типа архива идет по содержимому файла. А вот если уровень эвристики максимальный - то получим текущую ситуацию, т.е. это уже будет рассматриваться как аномалия

[SuperBrat]

Тут очень важный момент - AVZ не устраняет ничего, найденного ИПУ - просто пишет в лог. А устранение глубоко запрятано и вызывается через скрипт. Именно на случай того, что шустрый юзер нажмет кнопку "Пофиксить", если таковая будет ...

Буду молиться, чтобы "шустрые юзеры" не нашли так же быстро как и я прочитав whatsnew на сайте.

[Jef239]

Данное сообщение выводится в любом уровне эвристики для PE
файлов с расширением PIF, COM , для остальных - только при максимальном уровне эвристики.

Могу только принести свои извинения. Был неправ.

А одна из причин установки максимального уровня эвристики - сообщение "Процесс Имя файла может работать с сетью", оно весьма информативно при анализе неизвестных вирусов. У меня вообще дефоолтные настройки рассчитаны на сканирование памяти. И система такая, что если вирусы и появляются - то в основном неизвестные (примерно 80% неизвестных зверей на 20% известных).

[Макcим]

Все верно - весьма старые версии FG ставили AdvWare.Win32.Cydoor без спросу. Причем если убить Cydoor-а, то FG от казывался работать. Потом они от этой ерунды отказались - последние версии чистые, причем давно уже ...

Поспорю, в новых уже идёт spyware. Эволюция однако

8. Поиск потенциальных уязвимостей
>> Безопасность: разрешен автозапуск программ с CDROM

По какому критерию AVZ выносит вердикт? Я давно отрубил автозапуск всех дисков кроме диска C с помощью Powertoys for Windows XP. Где в справке можно прочитать про "Поиск потенциальных уязвимостей"?

[SuperBrat]

По какому критерию AVZ выносит вердикт? Я давно отрубил автозапуск всех дисков кроме диска C с помощью Powertoys for Windows XP. Где в справке можно прочитать про "Поиск потенциальных уязвимостей"?

Вот этого "кроме" и хватило, имхо.

[Зайцев Олег]

Буду молиться, чтобы "шустрые юзеры" не нашли так же быстро как и я прочитав whatsnew на сайте.

Все в наших руках
Завтра я планирую завести отдельную тему "что должен искать ИПУ", пообсуждаем, что и когда считать опасным ... я составлю сегодня описание, что ищет AVZ в ИПУ, и пообсуждаем - тема серьезная, есть что обсудить

Добавлено через 3 минуты

Поспорю, в новых уже идёт spyware. Эволюция однако

По какому критерию AVZ выносит вердикт? Я давно отрубил автозапуск всех дисков кроме диска C с помощью Powertoys for Windows XP. Где в справке можно прочитать про "Поиск потенциальных уязвимостей"?

Автозапуск на диске C: нужно отключить в первую очередь ... Это же автозапуск файлов типа autorun.inf, а не системы ! А файлу autorun.inf в корне системного диска делать точно нечего. Автозапуск с CDROM отключается в двух местах, PowerToys явно правит одно из их (где задается маска дисков), а AVZ смотрит на глобальный флаг. Про описание ИПУ (что проверяет и где) будет отдельная ветка обсуждения и отдельное описание

[Макcим]

Автозапуск на диске C: нужно отключить в первую очередь ... Это же автозапуск файлов типа autorun.inf, а не системы !

А как же будет запускаться Касперской? Или я чего-то не понимаю?

PowerToys явно правит одно из их (где задается маска дисков)

Не только

[Jef239]

8. Поиск потенциальных уязвимостей
>> разрешена потенциально опасная служба TlntSvr (Telnet)
>> разрешена потенциально опасная служба TlntSvr (Telnet)

Повторение - мать учения?

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
F:\WINNT\system32\RICHED20.dll --> Подозрение на Keylogger или троянскую DLL
F:\WINNT\system32\RICHED20.dll>>> Поведенческий анализ:
1. Реагирует на события: клавиатура
2. Опрашивает состояние клавиш
F:\WINNT\system32\RICHED20.dll>>> Нейросеть: файл с вероятностью 0.53% похож на типовой перехватчик событий клавиатуры/мыши

Всё бы хорошо, но этот RichEdit используется самим AVZ. Просто из того, что запущено, никто его сейчас больше не использует... Странно, что AVZ его не знает и зелёным не пометил. Впрочем у меня Win2k, а не XP.

Вот именно для таких вещей и хотелось бы локальный список чистых файлов. Ну и для проверки уязвимостей - тоже. Можно - под пяток подтверждений юзера, что он понимает, что делает, включая файл в чистые.

Добавлено через 51 секунду

Вдогонку... Интересно, а почему он не нашёлся по базе чистых Microsoft?

[Зайцев Олег]

Поспорю, в новых уже идёт spyware. Эволюция однако

Если он ничего шпионского в систему не устанавливает, и крутит рекламу / собирает данные о загруженные файлах только в рамках своего процесса - то его классификация в качестве spyware спорная. А вот если вылезет за пределы - другое дело. Кстати популярный в многих качалках сбор статистики о загружаемых файлах анонимный и его можно очень просто отключить небольшим хакерским приемом

Добавлено через 3 минуты

8. Поиск потенциальных уязвимостей
>> разрешена потенциально опасная служба TlntSvr (Telnet)
>> разрешена потенциально опасная служба TlntSvr (Telnet)

Повторение - мать учения?

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
F:\WINNT\system32\RICHED20.dll --> Подозрение на Keylogger или троянскую DLL
F:\WINNT\system32\RICHED20.dll>>> Поведенческий анализ:
1. Реагирует на события: клавиатура
2. Опрашивает состояние клавиш
F:\WINNT\system32\RICHED20.dll>>> Нейросеть: файл с вероятностью 0.53% похож на типовой перехватчик событий клавиатуры/мыши

Всё бы хорошо, но этот RichEdit используется самим AVZ. Просто из того, что запущено, никто его сейчас больше не использует... Странно, что AVZ его не знает и зелёным не пометил. Впрочем у меня Win2k, а не XP.

Вот именно для таких вещей и хотелось бы локальный список чистых файлов. Ну и для проверки уязвимостей - тоже. Можно - под пяток подтверждений юзера, что он понимает, что делает, включая файл в чистые.

Добавлено через 51 секунду

Вдогонку... Интересно, а почему он не нашёлся по базе чистых Microsoft?

Повтор в логе - глюк, ИПУ будет отстраиваться и обсуждаться ... с RICHED20.dll странно, нужно проверить. С локальной базой подумаю, в принципе можно и привернуть.