-
У меня предложение. Сделать включенной по умолчанию птичку напротив опции «Добавить протокол последнего сканирования AVZ» в диалоге "Исследование системы".
Уже пару раз приходили логи исследования системы без лога сканирования.
Предлагаю также сохранять последний лог сканирования AVZ в папке программы и добавлять его в протокол исследования системы, если в текущей сессии сканирование не проводилось.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Предлагаю сделать AVZ опен сурс и выложить на sourceforge.net =)
-
Сообщение от
Зайцев Олег
Да, согласен. Тут есть еще один моментик (важный для пользователя) - приходят к юзеру сети "люди в черном" и говорят - "служба безопасности ! Отвечайте, в интернет не выходил ? Порнуху/кректи/троянов не качал ?". Пользователь конечно "никак нет" - а те смотрят - а в кеше IE куча файлов + тьма кукизов - по ним сразу видно, что и в порнуху ходил, и креки качал ... и каюк
(естественно, имеются в виду неподконтрольные ПК, типа ноутбуков ... - где есть возможность выхода в инет через модем). Вот отсюда, мне кажется, и культ "чистки следов"
Я бы предложил в будущем добавить нахождение и удаление кукиз по желанию пользователя и ууж точно не по умолчанию, но это далеко не первоочередная задача.
-
-
Сообщение от
dima26
Я бы предложил в будущем добавить нахождение и удаление кукиз по желанию пользователя, но это далеко не первоочередная задача.
Для чистки кукизоф и временных файлов полно бесплатных программ.
-
-
Full Member
- Вес репутации
- 74
Олег, может быть можно снова начать выкладывать обновления баз отдельно?
-
Full Member
- Вес репутации
- 69
Сообщение от
Зайцев Олег
Детектировать кукизы AVZ не будет ... а зачем они в других продуктах - объясню...
Я занимаю радикальную позицию в этом вопросе, в моей статье КомпьютерПресс 7'2005 я довольно резко прошелся по этому поводу - по ловле кукизов в целов и по Ad-Aware + кукизы в частности
Позиция понятная и аргументированная...
А под руками ссылки на эту статью нет?
-
Сообщение от
DimaT
Позиция понятная и аргументированная...
А под руками ссылки на эту статью нет?
КомпьютерПресс кажется не публикует статьи в Инет (или публикует с существенной задержкой)
-
-
Сообщение от
userr
Олег, может быть можно снова начать выкладывать обновления баз отдельно?
Сейчас апдейты идут 1 раз в 10 дней - за это время накапливаются переделки самой программы. Другое дело в том, что я пытаюсь уменьшить размер баз - вроде, получается ...
-
-
Full Member
- Вес репутации
- 69
Сообщение от
Зайцев Олег
Сейчас апдейты идут 1 раз в 10 дней - за это время накапливаются переделки самой программы. Другое дело в том, что я пытаюсь уменьшить размер баз - вроде, получается ...
А пытаешься уменьшить размер баз за счет чего?
Когда планируется выпустить перевод на английский?
-
Сообщение от
DimaT
Когда планируется выпустить перевод на английский?
Да, народ требует английского Может помочь с переводом?
-
-
Вчера тестировал AVZ в боевых условиях - чужая "запущенная" машина плюс жесткая нехватка времени. Симптомы: сильно грузит сеть, периодически дохнет taskmgr. netstat -a -n -o показал, что процесс с определенным ID (отсутствующим в taskmgr) сканит 445-й порт.
Качаю AVZ, запускаю сканирование памяти (на сканирование дисков времени нет). При сканировании памяти обнаруживается парочка известных зверей, штук пять подозрений, наличие API-rootkit (сорри за отсутствие лога) и два скрытых процесса. Запускаю встроенный в AVZ диспетчер процессов, вижу оба этих процесса. Выделяю, жму "копировать в карантин". Файлы скопировались, но процессы остались. Убиваю процессы. Смотрю на наличие файлов в SYSTEM32 - нету (тут я тормознул: rootkit-то все еще активен).
Перезагружаю систему - оба процеса опять присутствуют. Соображаю, что так и должно быть - ведь "Копировать в карантин" это именно копировать, а не переместить. На том я и остановился - на перезагрузку в safe mode времени уже не было (да и не было уверенности, что она поможет).
Кстати, заметил такую проблему в диспетчере процессов: после убиения процесса он на некоторое время все еще остается в списке. Если попытаться убить его повторно - в AVZ возникает access violation.
Выслал эти файлы (вместе с подозрительными) на newvirus@z-oleg.
В связи с вышенаписанным у меня возникли следующие пожелания по развитию:
1. При обнаружении скрытого процесса выводить не только имя, но и полный путь исполняемого файла.
2. В диспетчер процессов добавить кнопку... как же ее лучше назвать? "Убить процесс и переместить исполняемый файл в карантин"? Или просто "Переместить в карантин"?
3. Исправить access violation при попытке убить уже убитый процесс.
-
-
В дополнение к вышенаписанному: просканил все 6 файлов на www.virustotal.com.
В результате обнаружилось, что первый и третий - это (по классификации symantec) backdoor.berbew.n, второй (по symantec) - w32.ifbo.a, четвертый - вообще не вирус, а часть софтины Mercury QuickTest. Пятый определяется касперским как not-a-virus:porn-dialer.win32.minidial.a, шестой им же как Trojan-Downloader.Win32.Axload.a.
-
-
Full Member
- Вес репутации
- 69
Сообщение от
RobinFood
...заметил такую проблему в диспетчере процессов: после убиения процесса он на некоторое время все еще остается в списке. Если попытаться убить его повторно - в AVZ возникает access violation.
В связи с вышенаписанным у меня возникли следующие пожелания по развитию:
1. При обнаружении скрытого процесса выводить не только имя, но и полный путь исполняемого файла.
2. В диспетчер процессов добавить кнопку... как же ее лучше назвать? "Убить процесс и переместить исполняемый файл в карантин"?
Или просто "Переместить в карантин"?
3. Исправить access violation при попытке убить уже убитый процесс.
Толковое предложение.
ИМХО, будет удобно...
А в моем случае как раз помогла только перезагрузка в safe mode...
Олег, а как ты умудряешься удалить ''особо-коварных'' без safe mode?
-
Сообщение от
DimaT
Толковое предложение.
ИМХО, будет удобно...
А в моем случае как раз помогла только перезагрузка в safe mode...
Олег, а как ты
умудряешься удалить ''особо-коварных'' без safe mode?
Если процесс защищается от убиения, то прибить без SafeMode (а иногда и отключения HDD для его подключения к здоровому ПК; или загрузки с CD, на которой Linux или урезанный XP) не выходит. Путей много - иногда удается переименовать файл (тогда он не загрузится), иногда - отложенное удаление. Эвристическое удаление часто помогает - файл прибить нелья, а ссылки удается. Плюс конечно антируткит.
to RobinFood
Я изучил маскирующегося "зверя" - это сетевой червяк Net-Worm.Win32.Padobot.z по классификации AVP. И он неплохо маскируется - файлы и процессы не видны.
-
-
Full Member
- Вес репутации
- 69
Сообщение от
Зайцев Олег
Если процесс защищается от убиения, то прибить без SafeMode не выходит. Путей много - иногда удается переименовать файл (тогда он не загрузится), иногда - отложенное удаление. Эвристическое удаление часто помогает - файл прибить нелья, а ссылки удается. Плюс конечно антируткит.
Ну и как реальное состояние знает менее ''продвинутый юзер'' AVZ (в log, скорее всего, он ''не пойдёт'')?
Я несколько раз вручную удалял в SafeMode.
Иногда действительно достаточно переименовать файл и перезагрузиться...
-
Сообщение от
DimaT
Ну и как реальное состояние знает менее ''продвинутый юзер'' AVZ (в log, скорее всего, он ''не пойдёт'')?
Я несколько раз вручную удалял в SafeMode.
Иногда действительно достаточно переименовать файл и перезагрузиться...
Обычно AVZ пробует все методы - попробовал один, если не срабоатло - другой и т.п. Если простое удаление не работает, то файл обязательно ставится на отложенное удаление - вот об этом информация попадает в лог и в хвосте обязательно пишется, что обязательна перезагрузка.
-
-
Только что убедился в том, что у AVZ первоклассный эвристик.
Просканировал один "больной" комп и эвристик среагировал на
intelii32.exe>>> подозрение на Trojan.Win32.Agent.ba
NHelper.dll>>> подозрение на AdvWare.NavExcel.h
Проверка на вирустотале показала, что эти два файла действительно "звери".
-
-
Сообщение от
Geser
Это удобнее делать по логу исследования системы
Интересо - как? Вот сейчас на машие живет зверюга - Trojan-Downloader.Win32.Swizzor.dp (KAV). Зверюга активна, торчит из пространства iexplorer.exe, сам iexplorer.exe - зеленого цвета в диспетчере задач. В протоколе ничего нету.
-
-
Сообщение от
Гость
Интересо - как? Вот сейчас на машие живет зверюга - Trojan-Downloader.Win32.Swizzor.dp (KAV). Зверюга активна, торчит из пространства iexplorer.exe, сам iexplorer.exe - зеленого цвета в диспетчере задач. В протоколе ничего нету.
В логе исспедования системы видны все dll. Там можно найти все неизвестнте.
-
-
Вышла версия 3.70. Радикальные переделки:
[++] Переделан формат AV баз. В результате объем баз уменьшился примерно на 120 кб. Это пожалуй самое радикальное изменение. Усилен эвристик, переработаны имеющиеся микропрограммы.
[++] Эвристическое удаление - усовершенствован алгоритм
[++] Эвристическое удаление подключено к расширенному протоколу и поиску файлов - выводится запрос о том, как удалять файлы
[+] В исследовании системы добавлена опция, позволяющая автоматически архивировать протокол в ZIP архив
[+] Доработана поддержка ключей командной строки с учетом новых возможностей программы
[+] Интрефейс: Доработана панель статуса (ее размеры меняются при масштабировании окна)
[+] Обновлена справка по работе с программой
---------
База в новой версии содержит 15727 сигнатур, 1 нейропрофиль, 55 микропрограмм лечения, 299 микропрограмм эвристики, 5 микропрограмм восстановления настроек системы, 34126 подписей безопасных файлов
---------
На очереди - добавление в карантин по списку, поиск файлов с поиском не толкьо подстроки, но и сигнатуры - это войдет на подверсии 3.70
-