Безопасные с точки зрения юзера файлы можно не прятать в логе, а просто омечать цветом или отметкой "файл безопасен по мнению пользователя"Сообщение от Maxim
--------
Пришел ответ от саппорта AVG:
The file that you sent us is a false detection. This detection willl be removed in the next AVG update. Please keep your AVG updated to be safe against the newest threats.
Thank you for your cooperation. It is highly appreciated.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
А какой тогда смысл? Файлы юзера всё равно будут в логе.
Ну с хелпером всё просто - он должен получать в отчёте список файлов, присутствующих на машине и отмеченных юзером как доверенных.
Насчёт добавления всего подряд - вряд ли... Что сейчас происходит? Юзер шлют мне лог AVZ. После этого я спрашиваю про каждый файл, а что это за чудо. Юзер мне отвечает, что это мол похоже драйвер от Алкоголь 120%, а вот это вот файлрвол, а вот это неизвестно что... То есть та же самая база передаётся, просто не файликом, а описанием (через агент или телефон).
Понимаешь, ну не надо рассчитывать на сильно дурных юзеров.... Сильно дурные могут и AVZшную базу чистых расковырять и подправить. И сильно дурные вирусы тоже могут в неё залезть. А обычные юзеры - не лезут.
Мне собственно что нужно... Нужно, чтобы я мог сказать юзеру, что если мол есть красная строчка - не трогай комп и срочно вызывай меня, у тебя там вирус. А сечас что? Сейчас я говорю, что мол сравни список красных строчек с ЛИСТОЧКОМ, и если что-то новенькое - тогда зови. То есть явно менее надёжная процедура.
Кстати, насчёт расковырять формат базы чистых AVZ - это мысль. Надо будет попробовать. По крайней мере свою локальную проблему я этим решу. Просто это не красиво по отношению к Автору. Да и показ жёлтым (найдено в локальной базе) лучше, чем показ зелёным (найдено в хакнутой базе чистых AVZ).
Я понимаю, что AVZ - бесплатная утилита. Поэтому наладить БЫСТРОЕ добавление в базу чистых и не прошу. Тем более, что у меня версии FireWall скоро раз в неделю начнут меняться...
Гм... Ещё одна идея - платное оперативное добавление в базу чистых. С платой через WebMoney. Тоже устраивает.
Ещё идея в жанре полного бреда - добавление в базу чистых с контролем через VirusTotal.....
И ещё. Вот есть такой зверь - PopCarLoader. Ну играют мои дети в игрушки от рамблеровской аськи. И вреда от этого зверя я не вижу. Но AVZ его детектит. Просить, чтобы не детектил - глупо. А вот в локальную базу запихать - вполне...
Да, подтверждаю - есть такое дело в новой версии 4.27; Win2000, SP4
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=080820)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80400000
SDT = 80480820
KiST = 80472128 (24
Функция NtBuildNumber (8046CCDC) - модификация машинного кода. Метод не определен., внедрение с байта 4
Проверено функций: 248, перехвачено: 0, восстановлено: 0
вопросик, а возможно сделать так что бы подчищались ссылки из "установка и удаление программ" тех программ которые удалялись, типа mywebsearch и т.д.
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
Сорри за оффтоп, но ситуация с нодом повторяется из раза в раз, пока ситуация не приобретёт массовый характер(как в этом случае) они и пальцем не пошевелят.
Делаем выводы.
Я пофиксил баг... после обновления баз он пропадет.Да, подтверждаю - есть такое дело в новой версии 4.27; Win2000, SP4
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=080820)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80400000
SDT = 80480820
KiST = 80472128 (24
Функция NtBuildNumber (8046CCDC) - модификация машинного кода. Метод не определен., внедрение с байта 4
Проверено функций: 248, перехвачено: 0, восстановлено: 0
А трояны будут добавлять по каким расценкам?
Чем отчет для хелпера должен отличаться от остальных? Ну будут Ваши файлики другого цвета, но они все равно будут!
Я бы не стал настолько доверять юзерам, во всяком случае те с которыми сталкивался я, начинали паниковать что у них руткит, при виде перехватчиков Касперского.
Очень сомневаюсь...
То что нужно Вам, не слишком безопасно для остальных.
Ну и что, что он его детектит? Если Вам этот "зверь" не мешает своим присутствием в системе, то как Вам может помешать строчка в логе?
В теории - можно. Но только по команде скрипта ... я думал сделать автоматическую зачистку (по принципу - ссылка битая, значит удалить. Но оказывается масса ссылок на CD, отключенный в текущий момент диск и т.п.), но пока воздержался от этого. В слудующей версии думаю добавить ее
А я вот тоже не получил ответа от нод .Странная политика компании. Авг прислала ответ, что исправят
Код:Dear Sir/Madam, Thank you for your email. Please let us inform you, that this false positive will be fixed in the upcoming virus update. We are sorry for the inconvenience. Best regards, Daniel Urminsky AVG Technical Support website: http://www.grisoft.com mailto: [email protected]
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
А чем ты лучше остальных? SCNR
Попросите Синауридзе Александра, ему отвечают.
Отчёт для хелпера - это "исследование системы". В нём много дополнительной информации. В том числе, можно туда добавить и список чистых файлов. Он отличается от обычного протокола.
И причина этого в том, что Олегу ВСЕ варианты драйверов Касперского в базу чистых не включить. Я бы тоже прелдпочёл чтобы мои юзеры понаковали при виде руткита, а не лезли бы смотреть по бумашке, какой "рутки" безопасен, а какой - нет.Я бы не стал настолько доверять юзерам, во всяком случае те с которыми сталкивался я, начинали паниковать что у них руткит, при виде перехватчиков Касперского.
Ну самое БЕЗОПАСНОЕ поведение сейчас демонстрирует NOD32. Оно настолько БЕЗОПАСНОЕ, что даже не даёт закачать AVZ на комп. Ты представляешь, какая анархия бы получилась, если бы NOD32 имел эту самую локальную базу?! Это же каждый юзер мог себе поставить тот антивирус, какой хочется ему, а не авторам NOD32. И даже страшно сказать - могу бы сменить FireWall. Представляешь, как это было бы ужасно?То что нужно Вам, не слишком безопасно для остальных.А сейчас всё ПРАВИЛЬНО и БЕЗОПАСНО, что авторы NOD32 не разрешают, то юзеры и не ставят. И чего это вы письма-то им пишете?
У меню детёнышей за компом полно бывает. И я могу объяснить ребёнку (даже шестилетнему) "ткни сюда, если будет красное - ничего не трогай и зови меня". А вот проверять по списку... Это даже взрослых сложно обучить...Ну и что, что он его детектит? Если Вам этот "зверь" не мешает своим присутствием в системе, то как Вам может помешать строчка в логе?
На самом деле есть компромис под названием "фиксация чистого состояния". Выдаётся команда "фиксировать чистое состояние". Все драйвера, "руткиты" (то есть антивирус и FireWall), автозапуск, внедрённые dll, расширения IE и так далее, работающие в этот момент считаются чистыми. В логах они отмечаются жёлтым цветом и только при максимальном уровне анализа. Дополнительно в логе пишется дата фиксации чистого состояния.
Для невозможности распространения с машины на машину, в слепке чистого состояния фиксируются особенности системы. Например - номер винчестера.
Ещё один момент. В слепке чистого состояния (или в локальном списке чистых, если он будет), хорошо бы фиксировать не только MD5, но и полный путь. То есть я доверяю не любому файлу с этим MD5, а только лежащему на своём месте.
Добавлено через 13 минут
Так... Для тормозов - медленно и подробно.... Оплачивается АНАЛИЗ присланного файла в оговоренные сроки. Не "Когда руки дойдут, а рак на горе свиснет", а в течение 5 рабочих дней (например).А трояны будут добавлять по каким расценкам?
А уж если он не чистый - гарантированный ответ, что файл не может быть включён в базу чистых по таким-то основаниям.
Последний раз редактировалось Jef239; 01.09.2007 в 00:16. Причина: Добавлено
Мне представляется это наиболее верным вариантом, но возможны трудности реализации..
Напр. номер HDD не так просто считать (вроде как только из r0), серийник тома //в противоположность// - доступен всем и каждому.
То, что локальная база "безопасных" нужна, подтверждается (в том числе) .net-программами.
Сборок библиотек для нэт-фреймворк оч. много
и далеко не все из них занесены в баэу безопасных.
The worst foe lies within the self...
Видишь ли, если привязывать этот слепок к "МАШИНЕ", то его можно храниь не в папке AVZ, а в %WINNT%\system32 или реестре. Тогда можно вообще никаких привязок не делать.
Смысл всех этих привязок - не допустить копирование вместе с папкой AVZ в случае, если AVZ работает с флэшки.
Jef239, шутки тоже надо понимать (не в обиду..)
В "идеологии" AVZ - быть _утилитой_, т.е. не оставлять после себя в машине ничего лишнего, ни в реестре ни в сис. директориях..
Где гарантия, что тот-же юзер не будет распространять вместе с AVZ файл-экспорт реестра с исключениями или файл исключений со скриптом атвокопирования в %system32% (если захочет, к примеру).
Добавлено через 9 минут
Если-бы все так просто было с защитой от копирования, не появился-бы старфорс, алкоголь, деймон-тулс и т.д...
В идеале каждая копия Windows должна иметь уникальный идентификатор, но и здесь встречаются 2 проблемы:
1. Пиратство. Сколько копий проинсталено с одного _оригинального_ диска..
2. Образы установленной системы.
Добавлено через 50 минут
Зайцев Олег, можно ли внести скрипты удаления "сложных" руткитов (вроде runtime.sys&runtime2.sys и PE386) в скрипты "Восстановление системы"?
Последний раз редактировалось Kuzz; 01.09.2007 в 01:43. Причина: Добавлено
The worst foe lies within the self...
Можно - добавлю.
--------
Не знаю, что с NOD32 делать - детект до сих пор идет, я получил более 500 рапортов - видимо, придется вешать объявление на сайте ...
Добавлено через 26 минут
Я повесил у меня на сайте объявление следующего содержания:
Уважаемые пользователи AVZ! С момента выхода новой версии AVZ 4.27 антивирус NOD32 детектирует исполняемый файл avz.exe как "вероятно модифицированный Win32/Genetik" (в англоязычном варианте "probably a variant of Win32/Genetik trojan") и уничтожает его. В техподдержку NOD32 отправлено сообщение о данном ложном срабатывании (по почте и средствами самого NOD), однако накакой реакции за прошедшие два дня не последовало и ложное срабатывание сохраняется до сих пор.
Поскольку отвечать на шквал сообщений о ложняке NOD32 уже нет физической возможности
Последний раз редактировалось Зайцев Олег; 01.09.2007 в 11:12. Причина: Добавлено
Я тоже пнул суппорт. Кстати, помимо NOD32 детект также у eSafe и Webwasher-Gateway
Добавлено через 19 минут
Также отписался на тамошнем форуме. Нюхом чую, что скоро меня там забанят
Последний раз редактировалось ALEX(XX); 01.09.2007 в 12:28. Причина: Добавлено
Left home for a few days and look what happens...
Изменения в ложном детекте на сегодня:
Сравните с этим. AVG исправил.File avz.exe received on 09.01.2007 10:55:13 (CET)
Antivirus Version Last Update Result
eSafe 7.0.15.0 2007.08.29 suspicious Trojan/Worm
NOD32v2 2495 2007.09.01 probably a variant of Win32/Genetik
Webwasher-Gateway 6.0.1 2007.08.31 Worm.Win32.ModifiedUPX.gen!90 (suspicious)
Additional information
File size: 726016 bytes
MD5: 8499121440521062210cfd1b09357764
SHA1: 1a7d94fc83049f0e8b6d5af9e1f8f768dd73b8f6
packers: UPX
packers: UPX
packers: UPX
Опыт — это слово, которым люди называют свои ошибки.
Ваши права в разделе
