AVZ 3.10 - предлагаю потестировать и обсудить

[Casper]

[quote author=Зайцев Олег link=board=28;threadid=857;start=0#msg8366 date=1110572457]
А сколько на диске файлов ?
Дело в стом, что для прогресс-бара в AVZ отдельный поток - он подсчитывает файлы, которые предстоит сканировать. Если файлов мало, то прогресс-индикатор шалит, т.к. скорость проверки у AVZ сопоставима с скоростью обхода дерева каталогов ... кстати, прогресс-индикатор может ползать назад, это тоже связано с фоновым подсчетом файлов.
[/quote]
В проверяемом каталоге было не более 100 файлов (без учета архивов, AVZ же их не берет...). Скорее всего дело и вправду в этом, т.к. время сканирования более обширных каталогов он определяет верно.

[alex31]

Заметил небольшую неточность)
в списке библиотек адрес загрузки почему-то назван PID...

Ещё хорошо бы сделать такую фичу как в RKDetector
то есть АВЗ запоминает какие библиотеки она использует и сравнивает со списком текущих библиотек..и помечает неизвесные библиотеки как подозрительные...

Извините, если не туда пишу
Прверила комп AVZ и программа выдала такое:

5.
C:\WINDOWS\System32\SynTPFcs.dll --> Подозрение на Keylogger или троянскую DLL
Результат оценки нейросетью - файл является кейлоггером с вероятностью 84.57%
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 15 TCP портов и 19 UDP портов
>>> Опасно: Порт 5000 TCP - Cервис UPNP, Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (svchost.exe)

п. 5 - это что-то опасное?

п. 6 - что с этим делать?

[drongo]

Лиль , файл послать для анализа зайцеву олегу
а по поводу портов : закрыть все не нужные службы от винды и поставить стенку .

5 - неопасное, это софт для Synaptics TouchPad/CPad, у вас, видать по всему, ноутбук. Обычное ложное срабатывание нейросетевого анализатора AVZ.
6 - или ничего не делать, или остановить "Службу обнаружения SSDP" в системных службах.

Насчет рекомендации предыдущего товарища "поставить стенку" - не слишком понятно, почему он решил, что она не поставлена... ;D

[Зайцев Олег]

Заметил небольшую неточность)
в списке библиотек адрес загрузки почему-то назван PID...

Это по инерции, должно быть "HModule" - исправлю ...

Ещё хорошо бы сделать такую фичу как в RKDetector
то есть АВЗ запоминает какие библиотеки она использует и сравнивает со списком текущих библиотек..и помечает неизвесные библиотеки как подозрительные...

Это сделано - именно поэтому в антикейлоггер выдает сообщения "подозрение на кейлоггер или троянскую DLL" - с кейлоггером все ясно, а троянская DLL - это DLL, которая внедрена в процесс AVZ, но им не используется и явно/неявно не загружалась. Это полезная фича, позволяет ловить разных "зверей", но есть много ложных срабатываний - разные украшалки Windows, примочки от Notebook ... очень любят внедрять кучу DLL во все процессы без разбора С другой стороны, моя база известных безопасных DLL растет, количество ложных срабатываний постепенно сойдет к нулю.
Posted by: Lil
SynTPFcs.dll - это почти наверняка перехватчик (скорее всего мышиный), и почти наверняка безопасный ... стоит прислать его мне для анализа.
Posted by: badGuy
А почему ложное срабатывание ? AVZ же не в состоянии сообразить, вредный это перехватчик или полезный ... и скорее всего никогда не сможет - разница между "вредоносным" и "полезным" перехватчиком только в его применении.

Кстати, о кейлоггерах - тут мне очередной SpyWare прислали на анализ - Web 3000. На него антикейлоггер AVZ завопил ... - я думал ложное срабатывание - а оказалось, что на борту этого SpyWare еще и кейхук/мышехук + хук оконных событий ! Создатели SpyWare совсем обнаглели ... правда, слежение за клавиатурой/мышом у него весьма интересное - он фиксирует время и периодичность возникновения клавиатурно/мышиных событий для анализа активности юзера.

[Fluid]

Здравствуйте.
Проверил комп(Win XP Pro, без сервиспаков) AVZ c базой вирусов от 11.03.2005
Вот лог:
3. Сканирование дисков
C:\Program Files\Opera7\Plugins\npwthost.dll>>>>> Вирус !! Spy.WildTangent
C:\Program Files\Opera7\Plugins\npwtplug.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\backup\1.5.1.26\stopwcmdr.bat>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\backup\1.5.1.26\updatenow.bat>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\backup\1.5.1.26\wcmdmgrl.exe>>> подозрение на Spy.WildTangent ( 003D4ED3 00000000 00207654 00000000 20480)
C:\WINDOWS\wt\backup\1.5.1.26\wtcpl.dll>>> подозрение на Spy.WildTangent ( 00722001 00000000 001A1B19 001EEBF1 45056)
C:\WINDOWS\wt\backup\1.5.1.36\stopwcmdr.bat>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\backup\1.5.1.36\updatenow.bat>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\backup\1.5.1.36\wcmdmgr.exe>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\backup\1.5.1.36\wcmdmgrl.exe>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\backup\1.5.1.36\wtcpl.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\updater\stopwcmdr.bat>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\updater\updatenow.bat>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\updater\wcmdmgr.exe>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\updater\wcmdmgrl.exe>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\updater\wtcpl.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\webdriver\wdengine.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\webdriver\webdriver.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\webdriver\wthost.exe>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\webdriver\wthostctl.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\webdriver\wtwmplug.ax>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\webdriver.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\wt3d.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\wtupdates\wtwebdriver\files\2.0.6.00 7\legacy\webdriver.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\wtupdates\wtwebdriver\files\2.0.6.00 7\legacy\wt3d.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\wtupdates\wtwebdriver\files\2.0.6.00 7\npwthost.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\wtupdates\wtwebdriver\files\2.0.6.00 7\npwtplug.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\wtupdates\wtwebdriver\files\2.0.6.00 7\wdengine.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\wtupdates\wtwebdriver\files\2.0.6.00 7\webdriver.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\wtupdates\wtwebdriver\files\2.0.6.00 7\wthost.exe>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\wtupdates\wtwebdriver\files\2.0.6.00 7\wthostctl.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\wtupdates\wtwebdriver\files\2.0.6.00 7\wtvh.dll>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\wtupdates\wtwebdriver\files\2.0.6.00 7\wtwmplug.ax>>>>> Вирус !! Spy.WildTangent
C:\WINDOWS\wt\wtvh.dll>>>>> Вирус !! Spy.WildTangent

5. Поиск клавиатурных шпионов (Keylogger)
C:\Program Files\Common Files\ReGet Shared\CatchOp.dll --> Подозрение на Keylogger или троянскую DLL
Результат оценки нейросетью - файл является кейлоггером с вероятностью 13.04%

7. Эвристичеcкая проверка системы
>>>C:\WINDOWS\wt\webdriver\webdriver.dll подозрение на вирус Spy.WindTangent

Проблема с C:\WINDOWS\wt... я спросил у Яндекса, и получил:
http://www.liutilities.com/products/...brary/wcmdmgr/
Там говорят, не вирус, не троян и не спайварь.

C:\Program Files\Common Files\ReGet Shared\CatchOp.dll - я приатачил к письму на [email protected],
вместе с файлами из C:\WINDOWS\wt\ и C:\Program Files\Opera7\Plugins\

Спасибо за внимание.

[Зайцев Олег]

Про WindTabgent можно почитать тут:
http://www.spyany.com/program/articl...ldTangent.html
http://www.scanspyware.net/info/WildTangent.htm
но самый заслуживающий доверия источник - это лаборатория PertPatrol (ныне CA):
http://www3.ca.com/securityadvisor/pest/emerging.aspx - согласно этим данным, WildTangent был обнаружен на 22386 компьютерах за последний месяц !
Выдержка из описания:

Код:

Will share your first and last name, address, email address, phone number, and other information. Collects system configuration information such as your computer's CPU speed, video card configuration, and DirectX version. Collects product usage information such as the number of product launches and time spent using a product ...

т.е. в переводе это понимается как - передает вашу фамилию, адрес, адрес электронной почты и другую информацию. Собирает системную конфигурацию и информацию о использовании программынх продуктов ...
Из моих исследований - в категорию "Spy" он попал из за передачи персональных данных пользователя, скрытного обмена с сайтом разработчиков, скрытного сбора системной информации, скрытной закачки и установки своих обновлений (замечу, что ядро его "живет" в папке WT внутри Windows, свое наличие он никак визуально не проявляет). У меня в сети от WT было вычищено около 15 ПК, причем о его наличие никто из пользователей не подозревал .... Папки с именами типа "2.0.6.007" - это обновления WT, которые он скрытно таскает из Инет - со временем таких папок становится все больше. Причем замечу, что категория у него именно Spy (а не AdWare), он под нее идеально подходит.

2 Зайцев Олег

А почему ложное срабатывание?

И не просто "ложное срабатывание", а "обычное ложное срабатывание" на незнакомый нейроанализатору AVZ keylogger! И вот почему. Давайте взглянем на лог AVZ:

C:\WINDOWS\System32\SynTPFcs.dll --> Подозрение на Keylogger или троянскую DLL
Результат оценки нейросетью - файл является кейлоггером с вероятностью 84.57%
C:\WINDOWS\System32\TDispVol.dll --> Подозрение на Keylogger или троянскую DLL
Результат оценки нейросетью - файл является кейлоггером с вероятностью 9.66%
>>> C:\Program Files\ABBYY Lingvo 9.0 Multilingual Dictionary\LvHook.dll --> С высокой степенью вероятности обнаружен Keylogger или троянская DLL
Результат оценки нейросетью - файл является кейлоггером с вероятностью 2.54%

Все три увиденные AVZ dll (несмотря ни на какие проценты!!! ) являются keylogger-ами чистой воды ("полезными", естественно ). Тогда как я, как пользователь, должен оценивать такой результат работы AVZ? Как бред (особенно в последнем случае, когда, с одной стороны, LvHook.dll является "с высокой степенью вероятности" keylogger-ом, а с другой - нейроанализатор дает ему только 2.5 процента из 100 на то, что это keylogger) или как попытку расписаться в бессилии нейроанализатора AVZ при распозновании keyllogger-ов? Или я чего-то не догоняю? И зачем вообще нужна эта "оценка нейросетью", эти проценты, что они мне (или кому-то другому) реально дают, кроме путаницы? Уже (прошло ведь некоторое время с тех пор, как в AVZ появился нейроанализатор) понятно, что как ни обучай нейроанализатор, он и дальше будет давать такой же разброс процентов в оценке незнакомых ему файлов (иными словами, "сколько волка ни корми - все равно в лес смотрит!")! И в чем тогда смысл его использования в AVZ? В том, что лет этак через "...дцать", когда "мировое сообщество" пришлет все мыслимые и немыслимые keylogger-ы на обучение AVZ, он все-таки чему-нибудь научится? ;D

Да и вообще, на мой взгляд, применение нейросети для поиска keylogger-ов - это, как минимум, очень и очень спорная вещь.

Это по инерции, должно быть "HModule" - исправлю ...

Термин "HModule" или "HMODULE" - это чисто программный термин, handle, и вряд ли есть смысл его применения в данном случае. Гораздо нагляднее и правильнее, на мой взгляд, использование термина "Module Base" или "Base", как у Process Explorer от SysInternals (правда, они тоже применяют термин handle, но в другом, более очевидном, контексте).

[Зайцев Олег]

2 Зайцев ОлегИ не просто "ложное срабатывание", а "обычное ложное срабатывание" на незнакомый нейроанализатору AVZ keylogger! И вот почему ...

Надо будет написать статью про нейросети ;D
По существу - нужно менять сообщение в логе (это существенно и это моя вина, т.к. путаницу вносит именно формулировка сообщения, которую я выдаю в лог). Нейросеть уже обучена и почти не дообучается ... и работает верно ! Но ей исходно не ставилась задача сказать, кейлоггер это, или нет ...
Фокус тут вот в чем - процент показывает, насколько исследуемый файл похож на некий типичный клавиатурый перехватчик (100% - ну очень похож, буквально шаблонное решение; 0% - не похож вообще - или не является перехватчиком, или применен некий нетипичный прием). Т.е. формулировка в лога AVZ должна быть:
Оценка нейросетью: файл похож на типовой перехватчик событий клавитуры/мыши на X %

Т.о. как понимать наш лог:
SynTPFcs.dll - очень похож на типичный перехватчик (84%) и скорее всего им и является, причем решение явно шаблонное;
TDispVol.dll - на стандартне решения не похож 9.66% (вывод - это или не перехватчик, или в нем что-то нетипичное)
CatchOp.dll - 13% - аналогично, почти не похож на типовой перехватчик. Я для примера провел его анализ - и действительно, он действительно совершенно не похож на типовой перехватчик ....

Аисключение ложны срабатываний произойдет очень скоро - на файлы из базы известных файлов AVZ не ругается. С момента выхода версии 2.90 мне прислали около 500 файлов - это уже закроет многие срабатывания (лидеры - Lingva, PuntoSwitcer, DLL от Opera, BitDefender, Symantec; куча DLL от ноутбуков (точпад и т.п.), DLL от мультемедиа клавиатур и мышей - тут лидеры A4 и Logitech). Размер этой базы - 1.5 кб

Аналогичный анализ скоро появится в диспетчере процессов - т.е. оценка степени похожести на типового червя, типовой TrojanDownloader ... цифры эти естественно будут говорить только об одном - о похожести исследуемого объекта на некие известные - при анализе это может пригодится

[kps]

Потестил новую версию - придраться не к чему. Да не, шутка, я всегда найду к чему придраться ;D
1) Индикатор процесса проверки иногда правда шалит. Может, все-таки имеет смысл подсчитывать кол-во проверяемых файлов перед проверкой ? Скажем, выкинуть это в отдельную опцию и чтобы при включении появлялось предупреждение типа "подсчет файлов перед проверкой может занять несколько минут.. Вы уверены?"
2) Часто, когда останавливаешь сканирование (жмешь на "Стоп") происходит такая ошибка и АВЗ зависает :


3) В большинстве случаев, когда включена эвристич. проверка системы - при сканировании появляется такая ошибка и АВЗ тоже зависает...


Тестировалось под Win98

[Зайцев Олег]

Потестил новую версию - придраться не к чему. Да не, шутка, я всегда найду к чему придраться ;D

И это правильно Самое главное - что все по существу. Итак:
1. В принципе, можно сделать чуть иначе - не ждать подсчета абсолютно всех файлов, а дать потоку подсчета "фору" в виде приоритета и таймаута на N секунд перед запуском сканирования (опционально). Это я продумываю и пробую ...
2, 3 Это баги номер 40 и 41 соотвественно - записываю в базу и начинаю над ними работать;
Что интересно - эти баги вылезают только под Win95/98. И что интересно - под Virtual PC с Win98 их нет. Явно что-то неладно с синхронизацией потоков, сейчас я все это перепроверю ...

2 Зайцев Олег

Надо будет написать статью про нейросети

Хочется добавить: "...чтобы самому наконец-то понять, зачем я вставил нейро-сетевой анализатор в AVZ?"

Фокус тут вот в чем - процент показывает, насколько исследуемый файл похож на некий типичный клавиатурый перехватчик (100% - ну очень похож, буквально шаблонное решение; 0% - не похож вообще - или не является перехватчиком, или применен некий нетипичный прием).

Так-так... Ну, давайте посмотрим на "типичность" и "нетипичность" приемов, использованных в каком-нибудь keylogger-е...

Берем тот самый присноупомянутый Lingvo. Вот лог AVZ:

>>> C:\Program Files\ABBYY Lingvo 9.0 Multilingual Dictionary\LvHook.dll --> С высокой степенью вероятности обнаружен Keylogger или троянская DLL
Результат оценки нейросетью - файл является кейлоггером с вероятностью 2.54%

Итак, нейросеть оценила, что только на 2.5% эта dll - кейлоггер. Что же, проверим, это "ложное срабатывание" или нет... С чего начнем? Ну, к примеру - со списка импортируемых функций (мы, в отличие от нейроанализатора, пользуемся алгоритмическими методами, и знаем, с чего начинать исследование). Что же импортирует LvHook.dll? Смотрим... ага! Да тут стандартный набор hook-овых функций: и CallNextHookEx, и UnhookWindowsHookEx, и GetWindowThreadProcessId, и GetKeyState. Для полного счастья не хватает только SetWindowHookEx! И этого набора хватило нейроанализатору только на 2.5%??? ;D

Полагаю, что не далее уже не стоит продолжать исследование LvHook.dll, чтобы дать однозначную оценку следующему утверждению:

Нейросеть уже обучена и почти не дообучается ... и работает верно !

А кто-то когда-то сказал, что "критерием истины является практика". ;D

1) Индикатор процесса проверки иногда правда шалит. Может, все-таки имеет смысл подсчитывать кол-во проверяемых файлов перед проверкой ? Скажем, выкинуть это в отдельную опцию и чтобы при включении появлялось предупреждение типа "подсчет файлов перед проверкой может занять несколько минут.. Вы уверены?"

Может просто на время подсчета заменять прогрессбар на надпись: "Идет сбор данных о файлах для проверки..." Или на что-то еще а этом роде.

[Geser]

"Сервисы по анализу реестра" глючит рефреш, не работает кнопка "Сохранить протокол"
И постарайся найти англоязычную винду, а то на ней почти нет зелёных драйверов, сервисов и процессов Или хотя бы кнопочку "Поместить в карантин все неизвестные", я тебе пришлю то что у меня.

[Зайцев Олег]

Я пропустил обширный кусок флейма выше - у меня HDD сгорел ...

"Сервисы по анализу реестра" глючит рефреш, не работает кнопка "Сохранить протокол"

Уже поправлено, в новой версии уже есть возможность копирования всех неизвестных в карантин, сохранение лога тоже сделано - в CSV файл. Английской версии XP у меня к сожалению нет - вероятно, придется действительно ограничиться процессами и сервисами ...
Кроме того, подтвержден баг на Win98 - вылетает ошибка при сканировании диска.

[Geser]

[quote author=Зайцев Олег link=board=28;threadid=857;start=40#msg8585 date=1110815718]
Уже поправлено, в новой версии уже есть возможность копирования всех неизвестных в карантин, сохранение лога тоже сделано - в CSV файл. [/quote]
Кстати, везде было бы не плохо добавить дату последнего изменения, и возможность сортировки по ней.

[kps]

Судя по этому

>> Опасно ! Обнаружена маскировка процессов
>>>> Подозрение на маскировку процесса 1176 c:\winnt\system32\fwagvmzk.exe

АВЗ уже умеет с большой долей вероятности обнаруживать маскирующиеся процессы руткита? Классно. Кстати, интересно- в базу безопасных перехватчиков добавлена инфа о мониторе КАВ ? На него ведь часто срабатывает антируткит.

[Зайцев Олег]

Судя по этомуАВЗ уже умеет с большой долей вероятности обнаруживать маскирующиеся процессы руткита? Классно. Кстати, интересно- в базу безопасных перехватчиков добавлена инфа о мониторе КАВ ? На него ведь часто срабатывает антируткит.

Да, это новшестно AVZ 3.10 - он умеет ловить маскирующиеся процессы. Правда, только при включенном противодействии и только один раз за сеанс - он сравнивает состояние системы до и после нейтрализации руткита. Но могут быть ложные срабатывания - если в ходе противодействия руткиту что-то запустить .... Монитор я добавлю - тут будет особый анализ - будет проверяться программный код перехватчика функции в памяти - иного пути я пока не вижу.

[Nika]

Протокол антивирусной утилиты AVZ версии 3.10
Сканирование запущено в 14.03.2005 19:54:39
Загружена база: 10116 сигнатур, 1 нейропрофиль, 17 микропрограмм лечения
Загружены микропрограммы эвристики: 154
Загружены цифровые подписи системных файлов: 24033
Режим эвристического анализатора: Средний уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dlloadLibraryA (559) перехвачена, метод APICodeHijack.JmpTo
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Эталонная KeServiceDescriptorTable найдена (FC=074C00, RVA=074C00)
2. Проверка памяти
Количество найденных процессов: 33
Количество загруженных модулей: 331
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск клавиатурных шпионов (Keylogger)
C:\WINDOWS\System32\sockspy.dll --> Подозрение на Keylogger или троянскую DLL
Результат оценки нейросетью - файл является кейлоггером с вероятностью 1.44%
C:\Program Files\Softwin\BitDefender8\bdoe.dll --> Подозрение на Keylogger или троянскую DLL
Результат оценки нейросетью - файл является кейлоггером с вероятностью 71.01%
C:\WINDOWS\System32\XCOMM.dll --> Подозрение на Keylogger или троянскую DLL
Результат оценки нейросетью - файл является кейлоггером с вероятностью 1.39%
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 10 TCP портов и 10 UDP портов
>>> Опасно: Порт 5000 TCP - Cервис UPNP, Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (svchost.exe)
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 11805, найдено вирусов 0
Сканирование завершено в 14.03.2005 19:59:55
Сканирование длилось 00:05:15
протестировала новой утилитой и вот что она выдала. Что это? спасибо. Nika.