Страница 3 из 5 Первая 12345 Последняя
Показано с 41 по 60 из 82.

Вышла новая версия антивирусной утилиты AVZ - 4.41

  1. #41
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,525
    Вес репутации
    739
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Обновил, сейчас полиморф должен нормально работать
    Зайцев Олег, в полиморфе уже довольно много накопилось исправлений, только при обычной работе в Помогите используется, не полиморф, так что эти исправления не заметны. Когда будет обновление обычной версии?

    - - - Добавлено - - -

    Цитата Сообщение от regist Посмотреть сообщение
    блокнот не закрывается.
    Проверил на нескольких системах с х64.
    и этот баг подтверждаете? Можно его как-нибудь через редирект или ещё как-то обойти?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #42
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,525
    Вес репутации
    739
    http://forum.kaspersky.com/index.php...post&p=2064048
    Полиморф обновлен, в нем чистка и отображение этой ветки должны работать
    Скачал сегодня свежую версию полиморфа ни в лог, ни в диспетчере автозапуска эта информация не выводится.

    + заодно ещё пожелание. Добавить в диспетчер автозапуска кнопку скрыть файлы (строки) прошедшие по базе безопасных AVZ.

  4. Это понравилось:


  5. #43
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,231
    Вес репутации
    920
    Олег, ошибка, которая на которую чаще всего приходится натыкаться, в текущем полиморфе так и не исправлена.
    Задания старого типа, с расширением .job и на 32-битных, и на x64 системах находятся в папке %SystemRoot%\Tasks, и нигде иначе. Поэтому в скрипте каждый раз приходится править руками удаление таких заданий, которое в скрипт вставляется с путём %SystemRoot%\System32\Tasks.

    Ну и иногда бывают проблемы с парсингом путей к файлам в заданиях.
    WBR,
    Vadim

  6. #44
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,525
    Вес репутации
    739
    Зайцев Олег, нельзя ли добавить, что бы AVZ кроме hosts файла (без расширения) также проверял файл hosts.ics
    Пример темы, где это было нужно http://virusinfo.info/showthread.php?t=150676&page=3

  7. Это понравилось:


  8. #45
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,231
    Вес репутации
    920
    Ещё по поводу заданий. В последнее время появился вариант подмены DNS с помощью такого задания:
    Код:
    "wmic.exe" nicconfig where IPEnabled=true call SetDNSServerSearchOrder (37.10.116.201, 8.8.8.8)
    Т. к. файл C:\WINDOWS\SYSTEM32\WBEM\WMIC.EXE проверенный, задание в логах не отражается.
    WBR,
    Vadim

  9. Это понравилось:


  10. #46
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,525
    Вес репутации
    739
    Сегодня с обновлением баз в AVZ появилась новая эвристика и теперь в текстовом логе есть такая запись
    7. Эвристичеcкая проверка системы
    >>> Подозрение на троянский DNS ({C3971746-8620-418F-B26B-03283928D8DB} "Local Area Connection")
    только проблема описанная в предыдущем посте всё равно актуальна. Эти троянские DNS и до этого было видно в логе hijackthis, проблема заключается в том что не видно задания, которые восстановливают эти троянские DNS после фикса

  11. #47
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,525
    Вес репутации
    739
    Зайцев Олег, если для написания эвристики для детекта этих заданий нужна примеры этих заданий, то вот темы с карантинами
    http://virusinfo.info/showthread.php?t=151766
    http://virusinfo.info/showthread.php?t=151770
    http://virusinfo.info/showthread.php?t=151937
    Если нужно можно собрать более большой список тем (карантинов).

  12. #48

  13. #49
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,231
    Вес репутации
    920
    Интересно было бы посмотреть, как это в полиморфе выглядит, там есть некоторые сдвиги в сторону улучшения. Но уже поздно. Хотя, можно и смоделировать...
    WBR,
    Vadim

  14. #50
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для antanta
    Регистрация
    27.12.2008
    Адрес
    Алматы
    Сообщений
    687
    Вес репутации
    513
    Добрый день. Пытаюсь запустить из командной строки полиморф с параметром HiddenMode=3. Игнорируется. Через CreateProcess тот же результат. При этом многострадальный Notepad.exe успешно запускается невидимым. Интересно, это баг или фича?

    В версии 4.41 (с офсайта, не упакована) проверил работу функции DownloadFile. Если файла на сервере нет (или пытаемся подключиться через https), функция возвращает true, даже создается файл с названием из второго параметра. Вот часть содержимого:
    Код:
    <!DOCTYPE html><html xmlns="http://www.w3.org/1999/xhtml"><head><!-- hotfix-13-5.201312261153 / cloud.mail.ru-f-hotfix-
    То есть, MD5 лучше проверять.
    Последний раз редактировалось antanta; 04.01.2014 в 11:35.
    У меня будет свой Internet, без MMORPG и порно-див!

  15. #51
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,238
    Вес репутации
    3394
    Цитата Сообщение от antanta Посмотреть сообщение
    Добрый день.
    1. Пытаюсь запустить из командной строки полиморф с параметром HiddenMode=3. Игнорируется. Через CreateProcess тот же результат. При этом многострадальный Notepad.exe успешно запускается невидимым. Интересно, это баг или фича?

    2. В версии 4.41 (с офсайта, не упакована) проверил работу функции DownloadFile. Если файла на сервере нет (или пытаемся подключиться через https), функция возвращает true, даже создается файл с названием из второго параметра. Вот часть содержимого:
    Код:
    <!DOCTYPE html><html xmlns="http://www.w3.org/1999/xhtml"><head><!-- hotfix-13-5.201312261153 / cloud.mail.ru-f-hotfix-
    То есть, MD5 лучше проверять.
    1. Проверю, скорее все баг
    2. Это особенность многих WEB серверов - вместо выдачи кода "файл не найден" они отвечают кодом 200 и выдают текстовую страничку с сообщением о том, что файл не найден или по каким-то причинам его невозможно загрузить. Поэтому проверка сигнатур, MD5 и так далее - единственный путь убедиться в загрузке файла. Если файл меняется, можно положить на сервере 2 файла - один текстовый с MD5 суммой второго.

  16. #52
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,685
    Вес репутации
    1039
    Олег а что с решением бага планировщика заданий? Хотелось бы чтобы в логе отображались все задания.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  17. #53
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,238
    Вес репутации
    3394
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Олег а что с решением бага планировщика заданий? Хотелось бы чтобы в логе отображались все задания.
    Полиморф обновлен, можно пробовать - должен отображать

  18. #54
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,525
    Вес репутации
    739
    Если в логе (в название программы или в учётной записи) есть символ & то XML получается битый. Вот пример лога, проверял на свежем полиморфе. Вариант фикса - экранировать этот символ таким образом &amp;

    - - - Добавлено - - -

    этот баг с х64 системой перепроверил тоже актуален. А также встречается, что AVZ не может взять в карантин файл на х64 системах.

  19. #55
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,231
    Вес репутации
    920
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Полиморф обновлен, можно пробовать - должен отображать
    Отображает, уже хорошо. Только по заданию старого типа: c:\Windows\Tasks\At1.job при нажатии "Удалить" в логе генерит код:
    Код:
     DeleteFile('C:\Windows\system32\Tasks\At1.job','64');
    Игнорирует такой код, запускаемый через ярлык в папке автозапуска:
    Код:
    C:\Windows\System32\cmd.exe /c copy "c:\Users\User\AppData\Local\Temp\dbif" "C:\Windows\system32\drivers\etc\hosts" /Y && attrib +H "C:\Windows\system32\drivers\etc\hosts"
    Реально попался такой ярлык, караннтинил по логу HijackThis.

    Хелперы уже привыкли, а вот юзеров напрягают такого рода записи в логах:
    Код:
    C:\Windows.old\Windows\Installer\92a6c1.msi/{MS-OLE}/\38 >>>>> Trojan.BAT.DelSys.ak
    Ясно, что ложное срабатывание сигнатуры, причём .msi файлы вообще, имхо, надо исключить из такой проверки. При всём при том, данные "инфицированного" файла, когда именно не подозрение, а точное срабатывание, вообще отсутствуют в xml-ном логе, и нельзя проверить по MD5
    И есть несколько сигнатур, кроме вышеупомянутой, по которым я ничего кроме фолсов не встречал:

    Trojan.Win32.Agent2.byu - особенно часто;
    Backdoor.Win32.Canvas.10
    Trojan.Win32.Menti.exn и Trojan.Win32.Delf.* - срабатывают на .exe, сделанные Delphi какой-то версии;

    И просьба, пока не забыл: раз уж в логе раздел называется "Диагностика сети" - "DNS & Ping" было бы очень неплохо там видеть DhcpNameServer для активного сетевого интерфейса, нужно в случае подмены DNS на роутере.
    WBR,
    Vadim

  20. #56
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,238
    Вес репутации
    3394
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    1. Отображает, уже хорошо. Только по заданию старого типа: c:\Windows\Tasks\At1.job при нажатии "Удалить" в логе генерит код:
    Код:
     DeleteFile('C:\Windows\system32\Tasks\At1.job','64');
    2. Игнорирует такой код, запускаемый через ярлык в папке автозапуска:
    Код:
    C:\Windows\System32\cmd.exe /c copy "c:\Users\User\AppData\Local\Temp\dbif" "C:\Windows\system32\drivers\etc\hosts" /Y && attrib +H "C:\Windows\system32\drivers\etc\hosts"
    Реально попался такой ярлык, караннтинил по логу HijackThis.

    3. Хелперы уже привыкли, а вот юзеров напрягают такого рода записи в логах:
    Код:
    C:\Windows.old\Windows\Installer\92a6c1.msi/{MS-OLE}/\38 >>>>> Trojan.BAT.DelSys.ak
    Ясно, что ложное срабатывание сигнатуры, причём .msi файлы вообще, имхо, надо исключить из такой проверки. При всём при том, данные "инфицированного" файла, когда именно не подозрение, а точное срабатывание, вообще отсутствуют в xml-ном логе, и нельзя проверить по MD5
    И есть несколько сигнатур, кроме вышеупомянутой, по которым я ничего кроме фолсов не встречал:

    Trojan.Win32.Agent2.byu - особенно часто;
    Backdoor.Win32.Canvas.10
    Trojan.Win32.Menti.exn и Trojan.Win32.Delf.* - срабатывают на .exe, сделанные Delphi какой-то версии;

    4. И просьба, пока не забыл: раз уж в логе раздел называется "Диагностика сети" - "DNS & Ping" было бы очень неплохо там видеть DhcpNameServer для активного сетевого интерфейса, нужно в случае подмены DNS на роутере.
    1. Да, есть такой глюк (там нет разницы между старыми и новыми заданиями, придумаю что-то ...
    2. Новый парсер не был подключен в всем подсистемам (в частности в анализаторе LNK/PIF файлов его не было). Постепенно это исправляется, в автозапуске прикрутил его всюду. Обновление полиморфа будет сегодня-завтра, я уже проверил, все ловится как положено (правда на всех таких вариантах кода он "расщепляется" - будет он целиком как подозрительный, плюс отдельно будут результаты парсинга (на указанном примере C:\Windows\System32\cmd.exe - легитимный, плюс c:\Users\User\AppData\Local\Temp\dbif и C:\Windows\system32\drivers\etc\hosts)
    3. После 16:00 пройдет обновление баз, должно исправиться.
    4. После пинга этого не будет. А будет так - перечень всех активных интерфейсов с детальными данными по каждому. Так пойдет ?

    Добавлено через 21 минуту

    Цитата Сообщение от regist Посмотреть сообщение
    1. Если в логе (в название программы или в учётной записи) есть символ & то XML получается битый. Вот пример лога, проверял на свежем полиморфе. Вариант фикса - экранировать этот символ таким образом &

    - - - Добавлено - - -

    2. этот баг с х64 системой перепроверил тоже актуален. А также встречается, что AVZ не может взять в карантин файл на х64 системах.
    1. Именно так оно и сделано - & экранируется по правилам XML. Только не всюду включено, мог где-то пропустить. В указанном примере это был параметр ProfileDir в корневом теге (пофиксил)
    2. Багу с остановкой процесса на x64 Win7 пофиксил

    Добавлено через 12 минут

    Полиморф обновлен, можно пробовать (исправлены: баг с формированием XML, остановкой процесса на x64, парсинг LNK, путь к заданию в генерилке скрипта, сигнатруные фолсы)
    Последний раз редактировалось Зайцев Олег; 05.02.2014 в 13:21. Причина: Добавлено

  21. #57
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,231
    Вес репутации
    920
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    4. После пинга этого не будет. А будет так - перечень всех активных интерфейсов с детальными данными по каждому. Так пойдет ?
    Увидим - поймём Жду извещение об обновленном полиморфе.

    - - - Добавлено - - -

    По парсингу заданий: сбоит на некоторых заданиях со сложной строкой запуска. Из такой задачи
    Вложение 460440

    получились два задания с одним именем:
    Вложение 460438

    Командная строка C:\Windows\system32\lldp.cpl -a C:\Windows\system32\lldp.cpl - явно лишняя.

    Ну и задание C:\Windows\system32\pcalua.exe -a "C:\Program Files\remoteAP\install_language_20070228.exe" -d "C:\Program Files\remoteAP" тоже раздуплилось. Понятно, что "C:\Program Files\remoteAP" можно в принципе рассматривать, как запускаемую программу, но дважды...
    WBR,
    Vadim

  22. #58
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,238
    Вес репутации
    3394
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    1. Увидим - поймём Жду извещение об обновленном полиморфе.
    2. По парсингу заданий: сбоит на некоторых заданиях со сложной строкой запуска. Из такой задачи
    1. Обновил, можно пробовать
    2. Глюк парсера (там лишний проход был). Поправил, сейчас должно работать нормально

  23. #59
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,525
    Вес репутации
    739
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    правда на всех таких вариантах кода он "расщепляется" - будет он целиком как подозрительный, плюс отдельно будут результаты парсинга (на указанном примере C:\Windows\System32\cmd.exe - легитимный, плюс c:\Users\User\AppData\Local\Temp\dbif и C:\Windows\system32\drivers\etc\hosts)
    надеюсь пути содержащие пробел не будут разбиваться, как это происходит в текущей версии? Например если путь будет
    Код:
    C:\Documents and Settings\User\Application Data\Local\Temp\dbif
    не будет ли он разбиваться на
    Код:
    C:\Documents and Settings\User\Application
    и
    Код:
    Data\Local\Temp\dbif

    Зайцев Олег, а по этим пунктам есть изменения или это пока не реализовывали?
    http://forum.kaspersky.com/index.php...post&p=1790531
    В новой версии появится архивация и разархивация произвольных файлов
    плюс будет функция запроса информации о базах
    AVZ стал показывать отключённый автозапуск (SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\)

    По автозапуску было бы ещё хорошо
    Цитата Сообщение от regist Посмотреть сообщение
    ещё пожелание. Добавить в диспетчер автозапуска кнопку скрыть файлы (строки) прошедшие по базе безопасных AVZ.
    - - - Добавлено - - -

    И вот это ещё посмотрите. Это само-распаковывающийся 7-zip архив собранный на базе последнего полиморфа. Скачиваем - запускаем - соглашаемся с распаковкой - нажимаем кнопку Прервать работу скрипта. На х86 скрипт успешно останавливается, на х64 кнопка игнорируется. Даже если попытаться разблокировать интерфейс скриптовой командой кнопка игнорируется.

  24. #60
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,238
    Вес репутации
    3394
    Цитата Сообщение от regist Посмотреть сообщение
    1. надеюсь пути содержащие пробел не будут разбиваться, как это происходит в текущей версии?
    2. По автозапуску было бы ещё хорошо "ещё пожелание. Добавить в диспетчер автозапуска кнопку скрыть файлы (строки) прошедшие по базе безопасных AVZ."

    3. И вот это ещё посмотрите. Это само-распаковывающийся 7-zip архив собранный на базе последнего полиморфа. Скачиваем - запускаем - соглашаемся с распаковкой - нажимаем кнопку Прервать работу скрипта. На х86 скрипт успешно останавливается, на х64 кнопка игнорируется. Даже если попытаться разблокировать интерфейс скриптовой командой кнопка игнорируется.
    1. разрывать не должен. Там и защита от разрыва стандартных путей есть, и корректно оформленный путь (кавычки и т.п.) должен распознаваться как надо. А вот если папки нет на диске, то разрыв может быть (парсер то не понимает, что этого каталога просто нет)
    2. Полиморф обновлен, в диспетчере автозапуска в правом верхнем углу кнопка, если она утоплена, то чистые файлы исключаются из списка. Кнопка работает совместно с выбором категории слева (т.е. фильтр и по чистым, и по категории)
    3. Нужна командная строка запуска, посмотрю

Страница 3 из 5 Первая 12345 Последняя

Похожие темы

  1. Вышла новая версия антивирусной утилиты AVZ - 4.43
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 223
    Последнее сообщение: 04.09.2015, 14:06
  2. Вышла новая версия PostgreSQL
    От ALEX(XX) в разделе Софт - общий
    Ответов: 0
    Последнее сообщение: 01.07.2009, 20:08
  3. Вышла новая версия MHDD
    От ALEX(XX) в разделе Софт - общий
    Ответов: 4
    Последнее сообщение: 12.07.2006, 08:17
  4. Вышла новая версия NOD 32.
    От kvit в разделе Антивирусы
    Ответов: 5
    Последнее сообщение: 23.06.2005, 12:35
  5. Вышла новая версия FireFox
    От ALEX(XX) в разделе Софт - общий
    Ответов: 0
    Последнее сообщение: 14.05.2005, 12:11

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01008 seconds with 17 queries