Вышла новая версия антивирусной утилиты AVZ - 4.41

[Зайцев Олег]

Вышла новая версия антивирусной утилиты AVZ - 4.41. Архив с утилитой содержит базу вирусов от 12.07.2013 - 297614 сигнатур, 2 нейропрофиля, 56 микропрограмм лечения, 403 микропрограммы эвристики, 9 микропрограмм ИПУ, 236 микропрограммы поиска и устранения проблем, 565706 подписей безопасных файлов. Новая версия содержит ряд доработок и усовершенствований.

Основные модификации:
[++] Менеджер планировщика заданий - поддержка планировщика v2 ( Vista, Win7, Win8 )
[++] Новый парсер сложной командной строки, выделяющий требующие внимания исполняемые файлы
[++] Новый набор команд скрипт-языка для выполнения произвольных WMI запросов
[++] Подключена возможность просмотра данных о файле в системе Kaspersky Application Advisor
[++] В исследовании системы введена поддержка дополнительных проверок, хранящихся в обновляемой БД
[++] В скрипт-языке новые функции AddFileInfoToXML, AddDataToXML, WMI_Init, WMI_Query, WMI_Fetch, WMI_GetField, WMI_Free, SleepMS, GetComputerIP, ClearXMLData
[+] Изменена логика работы команды удаления файла - появился второй параметр, указывающий, в каком режиме редиректора следует выполнить удаление
[+] Вывод в протокол исследования системы данных о расшаренных ресурсах (опционально, по умолчанию выключено)
[+] Вывод в XML протокол данных о всех запущенных процессах, без фильтрации (опционально, по умолчанию выключено)
[+] В мастере поиска и устранения проблем добавлено всплывающее меню, позволяющее выбрать все пукты, снять и инвертировать выделение
[+] Добавлен режим шифрования файлов в карантине для исключения их удаления антивирусом
[+/-] В скриптязыке изменена логика работы ExecuteScript - скриптам любого уровня разрешено изменять настройки AVZ
[-] Исправлена проблема с тем, что в описание файла в карантине не попадали сведения о его атрибутах

http://www.z-oleg.com/secur/avz/download.php

[akok]

[++] Подключена возможность просмотра данных о файле в системе Kaspersky Application Advisor

C этого места поподробнее, пожалуйста. Это расширение функционала связки с VirusDetector или отдельная фича?

- - - Добавлено - - -

[++] В исследовании системы введена поддержка дополнительных проверок, хранящихся в обновляемой БД

БД "в облаке" или обновляется вместе с базами?

[Зайцев Олег]

1 C этого места поподробнее, пожалуйста. Это расширение функционала связки с VirusDetector или отдельная фича?
2.БД "в облаке" или обновляется вместе с базами?

1. VirusDetector - сам по себе. Т.е. пользователь может выполнить скрипт номер 8, все не опознанные по файлы соберутся в карантин, далее его загружаем в VirusDetector и формируется лог, в котором для каждого файла есть ссылочка. Теперь плюс к этому в AVZ во всех (ну или пока в большинстве - потом будет во всех) менеджерах появилась кнопочка с логотипом ЛК, позволяющая посмотреть данные Kaspersky Application Advisor по текущему файлу. Принцип работы аналогичный - открывается браузер, в нем отчет по файлу (сам файл при этом никуда не передается)
2. Обновляется вместе с базами. Это пока прототип, логика в том, что я не люблю часто обновлять AVZ и пытаюсь по максимуму все вытащить в обновляемые базы. В облаке было бы лучше, но тогда нужно передавать много данных в облако, а это не всегда возможно (интернета нет, вопросы безопасности и т.п.)

[thyrex]

Олег, разъясните, пожалуйста, особенности логов на Windows 7
Пример темы http://virusinfo.info/showthread.php?t=141920

Берем секцию Автозапуск. Вся информация о файлах между записями

C:\Windows\system32\wuaueng.dll

c:\Program Files (x86)\Microsoft SQL Server\90\Shared\dw15.exe

идет со странно урезанным путем к файлу

Аналогично в секции Планировщик заданий
Во многих заданиях указано только имя исполняемого файла

[Зайцев Олег]

Олег, разъясните, пожалуйста, особенности логов на Windows 7
Пример темы http://virusinfo.info/showthread.php?t=141920

Берем секцию Автозапуск. Вся информация о файлах между записями
идет со странно урезанным путем к файлу

Аналогично в секции Планировщик заданий
Во многих заданиях указано только имя исполняемого файла

Некорректность работы парсера имен. Там путь вида %ProgramFiles%\Windows Defender\mpsvc.dll почему-то некорректно обработался.
Проверил - бага, воспроизводится... через неделю новая сборка выйдет, в ней будет пофикшено (я собираю мелкие баги, которые неизбежны и правлю их).

[thyrex]

Тоже самое идет и с путем к папке Windows и Windows\system32

Исправлению поддается быстро или потребуется время?

[akok]

Теперь плюс к этому в AVZ во всех (ну или пока в большинстве - потом будет во всех) менеджерах появилась кнопочка с логотипом ЛК, позволяющая посмотреть данные Kaspersky Application Advisor по текущему файлу. Принцип работы аналогичный - открывается браузер, в нем отчет по файлу (сам файл при этом никуда не передается)

Это интересно, есть статистика насколько активно этими менеджерами пользуются? Намного продуктивнее было бы добавить ссылки на результаты Kaspersky Application Advisor в html лог.

я не люблю часто обновлять AVZ

Мы знаем. Интеграция нового антируткит модуля отложена или можно и не надеется?

[Зайцев Олег]

Тоже самое идет и с путем к папке Windows и Windows\system32

Исправлению поддается быстро или потребуется время?

Пофиксил - после обновления баз ошибка должна пропасть (базы уже заряжены на сервера апдейта). Перед релизом как-то кривовато собралась база парсера, вот и получилась ошибка...

Добавлено через 7 минут

1. Это интересно, есть статистика насколько активно этими менеджерами пользуются? Намного продуктивнее было бы добавить ссылки на результаты Kaspersky Application Advisor в html лог.


2. Мы знаем. Интеграция нового антируткит модуля отложена или можно и не надеется?

1. Статистика в явном виде не по менеджерам пишется, так как Kaspersky Application Advisor не требует авторизации и никак не идентифицирует пользователя и то, чем именно от запросил данные. Если ссылка в логе будет востребована - добавлю.
2. Отложена - коллеги сильно загружены, но вопрос будет решен.

[regist]

Продублирую своё предложение отсюда.

http://virusinfo.info/showthread.php?t=141834

6.1.7600

можно спутать с 7-кой.
Я уже молчу про XP x64 (5.2.3790) путается с сервером 2003, Windows Vista (6.0.6002) можно спутать с Windows Server 2008. Windows 8 наверно опять таки можно будет спутать с server 2012. А ведь это легко исправить, если считать из реестра параметр ProductName REG_SZ из той же ветки и добавить его в XML лог.

[Зайцев Олег]

Продублирую своё предложение отсюда.

http://virusinfo.info/showthread.php?t=141834
можно спутать с 7-кой.
Я уже молчу про XP x64 (5.2.3790) путается с сервером 2003, Windows Vista (6.0.6002) можно спутать с Windows Server 2008. Windows 8 наверно опять таки можно будет спутать с server 2012. А ведь это легко исправить, если считать из реестра параметр ProductName REG_SZ из той же ветки и добавить его в XML лог.

Логичное предложение, внес такое изменение. Полиморф обновлен, можно на нем посмотреть (вывод сделан и в лог, и в качестве параметра OS_ProductName в рутовом теге XML отчета)

[regist]

1) Олег, возможно ли как-то улучшить (исправить) парсинг путей на сервере, когда логи сделаны Session="Console", но системная папка всё равно проецируется в профиль юзера. Вот пример темы, версия AVZ 4.41. Как по такому логу удалять зловредов в случае если он запускается из системной папки? На всякий случай перезалил лог сюда.

2) Вы всегда рекомендуете для просмотра XML лога блокнот, как самый надёжный способ, которым всегда корректно можно посмотреть этот лог. А что делать с XML логами в которые даже блокнотом нельзя посмотреть, вот

скрин

Скрыть

из выше упомянутого лога (на скрине правда Notepad++). В случае французской и других локализаций ситуация ещё хуже и даже по HTML логу нельзя нормально написать скрипт, вот пример темы.

скрин

Скрыть

Будут ли исправления по этим пунктам ?
PS. и можно ли ждать в ближайшее время исправление для редактора скриптов ? (а то если нужно скопировать целиком скрипт без оформления шаблоном, то очень удобно без этого хоткея).

[Зайцев Олег]

1) Олег, возможно ли как-то улучшить (исправить) парсинг путей на сервере, когда логи сделаны Session="Console", но системная папка всё равно проецируется в профиль юзера. Вот пример темы, версия AVZ 4.41. Как по такому логу удалять зловредов в случае если он запускается из системной папки? На всякий случай перезалил лог сюда.

2) Вы всегда рекомендуете для просмотра XML лога блокнот, как самый надёжный способ, которым всегда корректно можно посмотреть этот лог. А что делать с XML логами в которые даже блокнотом нельзя посмотреть, вот

скрин

Скрыть

из выше упомянутого лога (на скрине правда Notepad++). В случае французской и других локализаций ситуация ещё хуже и даже по HTML логу нельзя нормально написать скрипт, вот пример темы.

скрин

Скрыть

Будут ли исправления по этим пунктам ?
3. PS. и можно ли ждать в ближайшее время исправление для редактора скриптов ? (а то если нужно скопировать целиком скрипт без оформления шаблоном, то очень удобно без этого хоткея).

3. Уже исправлено. Копирует/вырезает/вставляет по всем типовым сочетаниям клавиш и без глюка с зависимостью копированию русских букв от раскладки на момент копирования. Обновление выйдет на этих выходных
2. можно переключить логи на режим Unicode (это есть, включается из скрипта недокументированным битом 8 в параметрах формирования отчетов) или переключить представление строк в XML на Base64 недокументированным ключом XMLBase64Mode=Y. толку от этого сильно много не будет, так как сам AVZ не юникодный.
1. Исправить можно, но есть риск, что где-то это не сработает (в самом AVZ испрвить несложно, но например всякие API типа ExpandEnvironmentStrings могут работать некорректно

[regist]

3)

3. Уже исправлено. Копирует/вырезает/вставляет по всем типовым сочетаниям клавиш и без глюка с зависимостью копированию русских букв от раскладки на момент копирования. Обновление выйдет на этих выходных

Олег, это не совсем баг редактора, но можете посмотрите ещё насчёт проблем с кодировками описанных здесь. Я понимаю, что в данном случае это глюк не редактора, а утилиты которая используется в паре с ним, но по словам разработчика исправление глюка упирается в редактор скриптов AVZ.
PS. если что тема с этой утилитой на этом форуме здесь.

1)

1. Исправить можно, но есть риск, что где-то это не сработает (в самом AVZ испрвить несложно, но например всякие API типа ExpandEnvironmentStrings могут работать некорректно

Если можно поясните подробней, чем грозит если эти (этот) API отработают некорректно ? Как я понимаю мы просто вместо нормального пути типа: C:\Windows получим %windir%
Если да, то имхо, это лучше, чем как сейчас.

[Зайцев Олег]

3)
Олег, это не совсем баг редактора, но можете посмотрите ещё насчёт проблем с кодировками описанных здесь. Я понимаю, что в данном случае это глюк не редактора, а утилиты которая используется в паре с ним, но по словам разработчика исправление глюка упирается в редактор скриптов AVZ.
PS. если что тема с этой утилитой на этом форуме здесь.

1)
Если можно поясните подробней, чем грозит если эти (этот) API отработают некорректно ? Как я понимаю мы просто вместо нормального пути типа: C:\Windows получим %windir%
Если да, то имхо, это лучше, чем как сейчас.

1. Грозит то тем, что AVZ уже может от системы получить неверный путь к файлу. И получится еще большая каша ...
3. http://z-oleg.com/avz_se.exe - пофикшенный редактор, его можно скачать и заменить им такой-же EXE из дистрибутива, и попробовать...

[Vvvyg]

Олег, с путями в логах на серверных системах надо всё же что-то делать, ясно, что не к фиксу 4.41. В качестве аргумента - дважды наблюдал, как по таким логам убивали систему с тяжёлыми последствиями. В одном случае - удалив какие-то файлы "не на месте", во втором - пытались исправить "ошибки" SPI\LSP 14-й, а затем 15-й таблетками и вынесли напрочь сеть. В обоих случаях порезвились не хелперы, а админы, но предпосылок для такого, имхо, лучше не давать. Да и чисто с эстетической точки зрения такие логи не смотрятся

[regist]

Олег ещё немного по мелочам.

1)Думаю вам не очень сложно будет добавить в меню редактора скриптов AVZ ещё один пункт для ассоциации файлов с расширением .avz с редактором скриптов.

2) В продолжение темы с форума ЛК. Периодически получаем битый XML при этом ошибка всегда проявляется только в секциях <RK_IRP> и <RK_KM_IDT>. Если в этой секции есть тег HookPtr и за ним следует тег CheckResult то почти всегда между ними нет пробела. Вот примеры тем с такими логами:
http://virusinfo.info/showthread.php?t=133662
http://virusinfo.info/showthread.php?t=133185
http://safezone.cc/forum/showthread.php?t=20899

Вот как выглядит "битый" кусок лога.

Код HTML:

 <RK_IRP>
  <ITEM File="C:\WINDOWS\System32\Drivers\aswSP.SYS" DeviceName="\FileSystem\ntfs" IRP="0" HookPtr="B5DD3974"CheckResult="0" Size="361032" Attr="rsAh" CreateDate="19.05.2008 13:25:06" ChangeDate="31.10.2012 02:51:58" MD5="67B558895695545FB0568B7541F3BCA7" Vendor="AVAST Software" Product="avast! Antivirus" OFN="aswSP.sys"/>
  <ITEM File="C:\WINDOWS\System32\Drivers\aswSP.SYS" DeviceName="\FileSystem\ntfs" IRP="2" HookPtr="B5DD39B4"CheckResult="0" Size="361032" Attr="rsAh" CreateDate="19.05.2008 13:25:06" ChangeDate="31.10.2012 02:51:58" MD5="67B558895695545FB0568B7541F3BCA7" Vendor="AVAST Software" Product="avast! Antivirus" OFN="aswSP.sys"/>
  <ITEM File="C:\WINDOWS\System32\Drivers\aswSP.SYS" DeviceName="\FileSystem\ntfs" IRP="4" HookPtr="B5DD3A7C"CheckResult="0" Size="361032" Attr="rsAh" CreateDate="19.05.2008 13:25:06" ChangeDate="31.10.2012 02:51:58" MD5="67B558895695545FB0568B7541F3BCA7" Vendor="AVAST Software" Product="avast! Antivirus" OFN="aswSP.sys"/>
  <ITEM File="C:\WINDOWS\System32\Drivers\aswSP.SYS" DeviceName="\FileSystem\ntfs" IRP="6" HookPtr="B5DD3ABC"CheckResult="0" Size="361032" Attr="rsAh" CreateDate="19.05.2008 13:25:06" ChangeDate="31.10.2012 02:51:58" MD5="67B558895695545FB0568B7541F3BCA7" Vendor="AVAST Software" Product="avast! Antivirus" OFN="aswSP.sys"/>
 </RK_IRP>

[Зайцев Олег]

Олег ещё немного по мелочам.

1)Думаю вам не очень сложно будет добавить в меню редактора скриптов AVZ ещё один пункт для ассоциации файлов с расширением .avz с редактором скриптов.

2) В продолжение темы с форума ЛК. Периодически получаем битый XML при этом ошибка всегда проявляется только в секциях <RK_IRP> и <RK_KM_IDT>. Если в этой секции есть тег HookPtr и за ним следует тег CheckResult то почти всегда между ними нет пробела.

1. Проблема в том, что редактор то работает без установки ... Я могу сделать пару пунктов меню, типа "Зарегистрировать ассоциацию с *.avz" и "Удалить ассоциацию с *.avz"
2. Пофиксил, полиморфная версия обновлена

[regist]

1. Проблема в том, что редактор то работает без установки ... Я могу сделать пару пунктов меню, типа "Зарегистрировать ассоциацию с *.avz" и "Удалить ассоциацию с *.avz"

да, я это и имел ввиду. Аналогично как раз и реализовано в утилите: Помощник редактора avz

[Зайцев Олег]

да, я это и имел ввиду. Аналогично как раз и реализовано в утилите: Помощник редактора avz

Ок, добавил такую фичу к редактору.

[regist]

Зайцев Олег, пользуясь случаем ещё хочется обратить ваше внимание, что иногда невозможно штатным образом отключить AVZPM, это наглядно видно по этой теме. Также хочется спросить, как правильно в таком случае его отключить (удалить) ? Пробовал на виртуалке удалить его через диспетчер устройств перед этим включив отображение скрытых устройств - он всё равно остался включённым.
PS. на виртуалке просто тестил альтернативный способ отключения.