Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Можно ли в утилиту "Ревизор" добавить игнорирование симлинков, то есть пропуск файлов с атрибутами FILE_ATTRIBUTE_REPARSE_POINT | FILE_ATTRIBUTE_SPARSE_FILE ?
А то сейчас при сравнении с базой в лог выводит:
Если изменена кодовая страница (язык для неюникодных программ стоит English), AVZ не может получить доступ процессам (и не только), в пути к которым есть русские символы. Как результат - вешает на них подозрение на руткит.
И только по логу Check Browser's LNK видно в чем причина.
Подтверждаю.
+
С последними базами в разных логах разных систем видим:
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Протокол антивирусной утилиты AVZ версии 4.46
Сканирование запущено в 21.07.2016 09:30:43
Загружена база: сигнатуры - 229835, нейропрофили - 2, микропрограммы лечения - 51, база от 21.07.2016 04:00
Доброго времени.
Обнаружил глюк парсера. Объясню на примере.
1) Находим драйвер, не значащийся как безопасный. Условие: Название файла образа отличается от имени сервиса.
Например дров от Асуса. Имя - "ATP", имя файла - "AsusTP.sys".
2) Сносим все права на ветку АТР.
3) Даем права текущему пользователю.
4) Копируем в \system32\drivers avz.exe, переименовываем в "atp.sys" (по имени сервиса).
5) Запускаем AVZ нормальный, и видим, что по данным АПИ файл образа "atp.sys", и опознан как безопасный.
Ругани на странные "права" нет.
После перезагрузки, правда, SCM этот сервис в упор не видит ))
PS: Я знаю причину глюка. Судя по методам обозначения путей к файлам в этом разделе, винду писали, покуривая турбокальян.
У меня будет свой Internet, без MMORPG и порно-див!
и исправить ведь это не сложно. В правом нижнем углу цифры обрезаются. Надо немного увеличить размер поля.
Скрин сделан на ноуте с разрешением экрана 1024х768.
http://virusinfo.info/attachment.php...4&d=1476304061 отзеркалил сюда/
В XML логе продублированы секци <NET_DIAG> и <WMI_INFO> и при этом ещё у первой секции <NET_DIAG> нет закрывающего тега
Ранее писал о подобном тут, да и после несколько раз встречал такое. Так что это какая-то ошибка в AVZ которая периодически повторяются из-за которой получаются битые XML логи.
Зайцев Олег, здесь в карантине пример задания для запуска браузера с рекламной ссылкой, которое не видит AVZ.
Если возможно, то желательно для браузеров хотя бы для основных при запуске с такими аргументами подсвечивать CheckResult="3" по аналогии как происходит при запуске CMD с такими параметрами.
The domain name you have entered is not available. It has been taken down because the email address of the domain holder (Registrant) has not been verified.
If you are the Registrant of this domain name, please contact your domain registration service provider to complete the verification and activate the domain name.
NOTE: It may take upto 48 hours after verification for the domain name to start resolving to its website again.
Увы лежит ... хотсер agava, которые домен мой поддерживал и предоставлял услуги хостинга в течении 12 лет, взял и передал всех своих клиентов в REG.RU. Причем передали криво, забив в моем случае вместо актуального и подтвержденного e-mail выкопанный где-то мой старый адрес. В итоге возник определенный глюк, хотя я владелец домена и все оплачено. Техподдержка REG.RU естественно в курсе (так как проблема массовая для клиентов agava), есть пошаговый регламент действий, я естественно необходимые документы для верификации направил и они уже в работе, процесс идет. Но я подозреваю, что как минимум те самые 48 часов процесс будет тянуться. Резервный домен в зоне RU проблема перехода не затронула, так что по адресу http://z-olegcom.420.com1.ru сайт доступен. Равно как работает зеркало обновления баз на VirusInfo.
Мастер устранения проблем AVZ почему-то выявил нарушение ассоциации REG-файлов, который и в помине нет. Они открываются редактором реестра, как им и полагается. Никто не сталкивался с таким глюком утилиты?
Matias,
То что открываются это не значит, что в реестре значение соответствует эталону. Может там отличается на кавычки или другую мелочь в результате и находит эту проблему. Сравните текущее значение со значением после исправления и поймёте из-за чего.
Зайцев Олег, задания на запуск браузера до сих пор не отображается в логе, если исполняемый файл браузера проходит по базе безопасных.
И полиморф не обновлялся уже почти год.
По свежему полиморфу, то что успел пока протестировать.
1) Пишем скрипт
Код:
procedure IsTermSession;
begin
ShowMessage('Проверка терминальной сессии');
end;
begin
IsTermSession;
end.
Проверяем редактором скриптов либо текущей релизной версией AVZ и убеждаемся, что ошибок нет.
Затем проверяем скрипт свежим полиморфом и получаем ошибку.
5) Слишком агресивен стал к системным файлам, ругаясь на них "Подозрение на RootKit". Смотреть внизу лога из пункта №4.
В автокарантин при выполнение стандартного скрипта №8 эти файлы не попали.
6) По прежнему на x64 слишком у многих системных файлов "ошибка получения информации о файле", при том что на x32 такой ошибки нет. Так что похоже бага с редиректором при доступе к системным файлам.
7) Не знаю считать за багу или нет, но 7-ке система берёт путь к файлу Hosts не из реестра, а системной библиотеки. А AVZ даже в менеджере файла Hosts предлагает редактировать тот файл к которому указан путь в реестре (при том, что это получается фейк если изменить путь в реестре).
- - - - -Добавлено - - - - -
По первому пункту похоже это не бага, а пасхальное яйцо в ввиде новой скриптовой команды