Вышла новая версия антивирусной утилиты AVZ - 4.43
Вышла новая версия антивирусной утилиты AVZ - 4.43. Архив с утилитой содержит базу вирусов от 23.02.2014 - 297614 сигнатур, 2 нейропрофиля, 56 микропрограмм лечения, 405 микропрограммы эвристики, 9 микропрограмм ИПУ, 236 микропрограммы поиска и устранения проблем, 649446 подписей безопасных файлов.
Основные модификации:
[++] Новый функционал - диагностика сети для выявления проблем, создаваемых вредоносными программами (диагностические операции находятся в обновляемой БД)
[++] Добавлена эвристика для обнаружения вредоносных заданий планировщика
[++] Редактор скриптов - подсветка синтаксиса, всплывающее меню редактора и поддержка типовых горячих клавиш
[++] Фильтр в менеджере автозапуска (отображение всех или только неопознанных по БД чистых)
[++] Окно редактирования и выполнения скрипта : добавлена подсветка синтаксиса, выделение цветом специфических команд скрипт-языка AVZ, отображение строки и столбца курсора, поддерживаются стандартные клавиатурные сочетания типа Ctrl+A)
[+] Вывод MD5 по процессам в HTML отчет
[+] Вывод полного названия версии ОС в протокол и XML
[+] Доработана стратегия карантина (повышение качества карантина на x64, улучшен парсер)
[+] В просмотре карантина добавлено отображения сведений по выделенным файлам (количество и суммарный размер)
[+/-] Работа параметра spoollog изменена (если не указан полный путь, то он отсчитывается от каталога AVZ)
[+/-] В XML версия файлов выведена в формате x.x.x.x
[+/-] В описании задания планировщика в XML выведены все поля (ранее часть была доступна только в HTML логе, новые поля JobName, Status и FullCmd)
[+/-] XML: добавлено экранирование символов 0x00 (NUL), такие символы заменяются на пробелы для устранения проблем с парсерами протоколов
[-] Исправлена ошибка парсера имени файла в автозапуске и диспетчере процессов (было доступно в 4.41 через обновление баз)
[-] XML: Исправлена ошибка с дублирование имени параметра в XML, из за чего лог не проходил верификацию парсеров XML
[-] XML: Исправлена ошибка с отсутствием пробелов между параметрами в XML, из за чего лог не проходил верификацию парсеров XML
[-] Исправлена ошибка с локализацией MessageDlg (в английской локализации были русские надписи на кнопках)
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
После выполнения стандартного скрипта №3 на Windows 8.1 32 битная с медиа центром компьютер начинает немного подтормаживать и в конце концов падает в BSOD. Выполнение 2 стандартного скрипта проходит нормально.
После выполнения стандартного скрипта №3 на Windows 8.1 32 битная с медиа центром компьютер начинает немного подтормаживать и в конце концов падает в BSOD. Выполнение 2 стандартного скрипта проходит нормально.
Олег, как ваша программа реагирует на насильственно-маркетиговые внедрения? Когда сами собой подвешиваются подписки? Или в данном случае все зависит от самого пользователя? (Для примера - мегафон.про. Появляется совершенно независимо от клиента, а потом очень неприятные разборки с провайдером). На такие фокусы сети она реагирует?
Олег, как ваша программа реагирует на насильственно-маркетиговые внедрения? Когда сами собой подвешиваются подписки? Или в данном случае все зависит от самого пользователя? (Для примера - мегафон.про. Появляется совершенно независимо от клиента, а потом очень неприятные разборки с провайдером). На такие фокусы сети она реагирует?
Подписки - это же сотовый телефон и услуги оператора, тут AVZ не поможет.
1. Это легитимная в общем-то программа, ставится с легальным софтом - а по сути адварь. Я выкинул ее из БД чистых AVZ, она будет появляться в логах...
2. Это нормально - сложный путь с кучей точек, вот парсер и перестарался. Я совершенствую его, чтобы свести к минимуму подобные эффекты
Последний раз редактировалось Зайцев Олег; 25.02.2014 в 11:21.
Причина: Добавлено
По прежнему не понятно, откуда в этом логе берётся File=".dll" экспорт этого ключа есть здесь (в пункте №5).
Если это поможет вот ещё лог сделанный версий 4.42.152 private build
Как видим почти у всех процессов в секции <PROCESS> у параметра CmdLine="" сдвоенные (не экранированные) кавычки.
3) Ключ автозапуска в реестре на запуск браузера с командной строки по прежнему не видит баг воспроизвёлся на 7 х64, 8.1 x64 при этом браузер успешно стартует. Лог выложенный мной в предыдущем пункте с windows 8.1 как раз сделан с системы, где добавлен этот ключ. Как видим этот ключ который создаётся малварой ("babakan" сейчас очень популярен) AVZ не (всегда ?) видит на этих системах.
4) AVZ также не видит ярлык в автозагрузке указывающий на такое расположение
Пример темы где подобный способ был использован вирусописателями здесь.
5) Баг с завершения процесса на х64 системах у меня больше не воспроизводится.
Но остался вопрос, что за команда KillProcess ? Она по прежнему у меня выдаёт ошибку Ошибка [2, KILLPROCESS].
6) SpoolLog лог тоже теперь отрабатывает нормально.
7) regedit из менеджера автозагрузки теперь как и нужно открывается на просматриваемом ключе.
8 ) Хотелось бы чтобы в справку было добавлено описание с примерами команды Ping.
В частности я относительно часто использую вот такой слегка модифицированные скрипт от Vvvyg
С учётом появления команды Ping его можно было бы обновить, да и в других места она думаю нашла бы применение.
9) AVZ проверяет и выводит в лог информацию запущено AVZ с учетки пользователя с правами администратора или нет. С помощью команд AVZ скриптом это можно посмотреть/проверить? Если такой команды нет, то хотелось бы чтобы она была добавлена.
Последний раз редактировалось regist; 26.02.2014 в 20:12.
1,2. Ерунда какая-то, буду проверять, в чем дело. Двойные кавычки видны где - в XML при просмотре блокнотом, или IE ? Если в IE, то это не баг, а фича - он при отображении XML экранированные символы показывает как надо, но выделяет цветом - кавычки в тексте строки вокруг нее отличаются. При копировании из IE цветовое выделение теряется и визуально выглядит как неэкранированный символ.
По ".dll" все просто - когда идет поиск файла, там задается ожидаемое расширение, которое используется в качестве дефолтного. При пустом пути они не должно применяться, проверю
3. Нужны примеры таких ключей, чтобы мне не искать (чем больше, тем лучше), настрою парсер на их обнаружение
4. Изменил. Базы обновлены, можно пробовать
5. Это хорошо, помечу его как пофикшенный
6. KillProcess - мертвая команда. Когда-то была, для внутренних целей, сейчас в документации она не описана, и оставлена для совместимости. При попытке вызова пишет в лог ошибку
7. Это глюк, причем регедита (там же ключ нельзя открыть документированным путем. Можно только "проиграть" окну процесса последовательность нажатий клавиш и надеяться, что откроется что надо. Любое несоответствие по задержкам, наличие утилит типа Punto - и все, сбой
8. Сейчас она пока недокументированная, не факт, что в ней ничего не поменяется. К следующей версии она будет описана в справке в своем итоговом виде.
9. Такой команды скрипта нет, добавить ее можно, толку будет мало. Дело в том, что скажем Win7 + UAC сообщает любому приложению, что права админа есть (а на деле или виртуализация записи в реестр, или блокировка)
2) Двойные кавычки в приложенном логе отобразились нормально, значит действительно из-за браузера ошибся. Но ещё понаблюдаю за логами.
3) Ключ выкладывал в том посте, на всякий случай дублирую
Код:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Babakan"="cmd.exe /k if %date:~6,4%%date:~3,2%%date:~0,2% LEQ 20131017 (exit) else (start http://virusinfo.info && exit)"
Повторюсь, что на х86 нормально видит. Баг только на х64. Насчёт других ключей не проверял, аналогичную запись (просто с другим сайтом) очень часто вижу в разделе помогите поэтому её и протестировал.
7) Я имел ввиду что в версии 4.43 он у меня нормально открылся - исправлено, а на 4.42.152 private build баг у меня воспроизводился.
9) Хотелось, чтобы добавили. А для обхода UAC при необходимости можно вставить запрос на элевацию прав.
И ещё забыл спросить, вот такая строка в логе, это нормально?
.... P.S. и по добавлению новых фич. Хотелось бы ещё добавление работы с ZIP архивом и команду для получения информации о дате обновления баз.
2. я так и думал - так как вроде всюду есть экранирование, на указанных параметрах точно есть и кавычки пролезть не могли
3. Базы обновились, можно попробовать - в теории такие ключи должны гарантировано попадать в логи и помечаться цветом как подозрительные
9. Хорошо, добавлю
Про "\\?\": в начале пути он должен отрезаться, в текущих правилах такое прописано. Но есть важная тонкость - если парсер видит, что путь корректный и позволяет открыть файл на диске, то парсинг не проводится и парсер не трогает имя и не обрабатывает его правилами, возможно как раз мы видим работу этой логики
3. Базы обновились, можно попробовать - в теории такие ключи должны гарантировано попадать в логи и помечаться цветом как подозрительные
да, теперь попадают даже на х64 системах и ярлыки про которые писал выше тоже попали в лог и подсвечиваются.
По ярлыкам вопрос
Код HTML:
<ITEM File="C:\WINDOWS\system32\regsvr32.exe /n /i /s miqiomjx.uwy" CheckResult="3" Enabled="1" Type="LNK" X1="C:\Documents and Settings\User\Start Menu\Programs\Startup\" X2="C:\Documents and Settings\User\Start Menu\Programs\Startup\regsvr32.exe.lnk" X3="" X4="" Is64="0"
Type="LNK" - означает ли это, что если у этой записи в логе HTML нажать удалить, то будет удалён этот ярлык? Если нет, то можно добавить кнопку удалить аналогично, как это сделано у ключей реестра?
Последний раз редактировалось regist; 28.02.2014 в 08:06.
1) А исправить экранирование VAL="<local>" возможно будет только выпустив новую версию AVZ ?
2) Заметил ещё, что в XML логе параметр Is64="" присутствует только в секции <AUTORUN>, а в остальных секциях его нет .
1) А исправить экранирование VAL="<local>" возможно будет только выпустив новую версию AVZ ?
2) Заметил ещё, что в XML логе параметр Is64="" присутствует только в секции <AUTORUN>, а в остальных секциях его нет .
1. А где этот параметр неправильный ? Нужен пример ... если в диагностике сети, то там установлено экранирование. Не исключено, что файл базы не попал в апдейт, обновил принудительно.
2. Он есть в списке процессов (где точно известна разрядность процесса) и главное, в автозапуске - там сканируются ключи как x32, так и x64 (за счет включения и выключения редиректора)
1) Да, в диагностике сети. После сегодняшнего обновления баз ошибка ушла.
2) Перепроверил в XML логе есть только в секции автозапуск, в секции процессы параметра Is64 нету. И в HTML при генерации команды удаления для скрипта этот параметр вставляется для файлов из любой секции. Почему тогда это не отображать и во всех секциях XML лога?