Бетта тестирование AVZ 3.65

[Зайцев Олег]

Вышла новая новая версия AVZ - 3.65.0. Версия доступна для загрузки тут: http://z-oleg.com/secur/avz-dwn.htm (http://z-oleg.com/avz-betta3.zip)
Радикальные новшества и пределки:

[-] В ходе проверки архива не работала кнопка "Стоп" - останов происходил только после завершения проверки текущего архива - исправлено
[-] На максимуме эвристики шло ложное срабатывание на каждый файл, извлеченный из архива (сообщение из-за того, что PE файл имеет расширение TMP) - исправлено
[++] Переделан GUI - он стал поддерживать стили XP, вроде бы решились проблемы с копированием лога в буфер обмена
[+] Задание порога размера архива для проверки (по умолчанию - 10 МБ)
[+] Добавлена поддержка архивов формата GZIP и TAR
[+] Добавлена поддержка архивов MHT
[++] Добавлена поддержка проверки писем электронной почты (EML, MSG и все производные от них, в частности вложенные письма, письма с альтернативными фрагментами и т.п.)
[+] Добавлена работа с INI файлами win.ini и System.ini для менеджера автозапуска
[++] Эвристическое удаление файлов. Суть его состоит в том, что если в ходе лечения удалялись вредоносные файлы и включена эта опция, то производится автоматическое исследование системы, охратывающее классы, BHO, расширения IE и Explorer, все доступные AVZ виды автозапуска, Winlogon, SPI/LSP и т.п.
Все найденные ссылки на удаленный файл автоматически вычищаются с занесением в протокол информации о том, что конкретно и где было вычищено. Для этой чистки активно применяется движок микропрограмм лечения системы
[+] Вывод данных о безопасности процесса в анализаторе портов TCP/IP, если процесс опознан по базе
безопасных
----
В новой версии обновлена базы вирусов - добавлено около 430 новых "зверей", усовершенствован эвристик. Я провел работу над ложными срабатываниями и пополнил базу "правильных" файлов примерно на 3 тыс. образцов. У версии 3.65 в базе 15098 сигнатур, 1 нейропрофиль, 55 микропрограмм лечения, 289 микропрограммы эвристики, 5 микропрограмм восстановления настроек системы, 33802 подписей безопасных файлов

[Geser]

Только вот теперь я не вижу русских букв. Одни вопросики Хоть и стоит использовать русские фонты для не юникод программ

[Зайцев Олег]

Только вот теперь я не вижу русских букв. Одни вопросики Хоть и стоит использовать русские фонты для не юникод программ

Это полохо - значит, я что-то перемудрил - сейчас попробую это воспроизвести у себя

[Geser]

Может всётаки вытащиш в ресурсы все надписи? Мы бы помогли перевести...

[Зайцев Олег]

Может всётаки вытащиш в ресурсы все надписи? Мы бы помогли перевести...

Я работаю над переводом ... вынести строки в ресурсы нереально, очень много строки собираются в динамике (несколько сотен). Сейчас я делаю переводчик, он почти готов - он по базе переводит фразы. Т.е. если, например, в AVZ встречается фраза "Сохранить протокол", то она певодится и перевод "Save log" один раз заносится в базы. И затем переводчик автоматом переведет ее во всех местах программы

[Arkadiy]

Я сейчас запустил АВЗ и она нашла какой-то вирус, но удалять его нехочет, несмотря на то что галочку рядом с "выполнять лечение" я поставил. Может потому что это он в архиве?

[pig]

C:\WINDOWS\webdlg32.cab/{CAB}/webdlg32.inf>>>>> Вирус !! AdvWare.ToolBar.SBSoft.g
C:\WINDOWS\webdlg32.cab/{CAB}/webdlg32.dll>>>>> Вирус !! AdvWare.ToolBar.SBSoft.g

Да, в архиве. Надо найти сам архив (C:\WINDOWS\webdlg32.cab) и прибить.

[Arkadiy]

Да, в архиве. Надо найти сам архив (C:\WINDOWS\webdlg32.cab) и прибить.

Найден и удалён

[Зайцев Олег]

Кстати, в тему (в хелпе пока этого нет) - при обнаружении в архиве чего-то AVZ форматирует имя как .../{тип архива}/... Если архив содержит вложенные архивы, то в "пути" соответственно будет развернута вся цепочка. При этом если просмотреть список найденных вредоносных файлов, то туда попадет именно архив верхнего уровня - это позволяет при желании прибить его вручную.

[Geser]

И еще, как насчет опубликовать утилитку для создания файлов с сигнатурами что бы сисадмины могли быстро добавлять безопасные файлы?

[Geser]

И еще одна вещь нужна. Возможность писать в протокол все проверенные файлы с указанием находится файл в списке безопасных или нет. удобно когда присылают файлы на проверку быстро отсеять безопасные.

[Зайцев Олег]

И еще, как насчет опубликовать утилитку для создания файлов с сигнатурами что бы сисадмины могли быстро добавлять безопасные файлы?

Чисто технически это сделать можно, я нечто похожее как-то уже пробовал - но приведет это к тому, что по Инет начнут гулять "левые" базы "правильных" файлов. Плюс когда мне присылают чистые файлы для базы, то нередко в их рядах вылавливается 2-3 трояна (хотя присылает их сисадмин)... Хотя подумать об этом можно - я уже давно думаю о том, чтобы сделать нечто типа локального списка безопасных файлов (база открытого вида, в TXT или MD5 формате).

[Зайцев Олег]

И еще одна вещь нужна. Возможность писать в протокол все проверенные файлы с указанием находится файл в списке безопасных или нет. удобно когда присылают файлы на проверку быстро отсеять безопасные.

вот это нужно непременно нужно сделать - прямо сейчас немедленно и сделаю, а то забуду ... (я уже хотел такое сделать и забыл ... - именно для экспресс проверки присылаемых файлов, поскольку сейчас AVZ умеет проверять только один файл за раз ... что естественно неудобно. Только сразу вопрос - включить это в AVZ или сделать небольшую консолькую/GUI утилитку ? Напрашивается утилита ...

[Geser]

вот это нужно непременно нужно сделать - прямо сейчас немедленно и сделаю, а то забуду ... (я уже хотел такое сделать и забыл ... - именно для экспресс проверки присылаемых файлов, поскольку сейчас AVZ умеет проверять только один файл за раз ... что естественно неудобно. Только сразу вопрос - включить это в AVZ или сделать небольшую консолькую/GUI утилитку ? Напрашивается утилита ...

В идеале возможность добавления в контекстное меню правой кнопки Если нет, то типа утилитки

[santy]

Добрый день!

1. MD5 таки нет еще на сайте с avz.
2. Сканировали машину с опцией проверять архивы.... при включенном мониторе drweb. Drweb ругнулся на файл avz992_1.tmp размещенный в папке ...documents and settings\...\local settings\temp. (файл вам отправил, это из семейства Istbar-ов (Trojan-Downloader.Win32.IstBar.ki)
Эффект распаковки зараженного архива?

[Зайцев Олег]

Добрый день!

1. MD5 таки нет еще на сайте с avz.
2. Сканировали машину с опцией проверять архивы.... при включенном мониторе drweb. Drweb ругнулся на файл avz992_1.tmp размещенный в папке ...documents and settings\...\local settings\temp. (файл вам отправил, это из семейства Istbar-ов (Trojan-Downloader.Win32.IstBar.ki)
Эффект распаковки зараженного архива?

1. MD5 нет, моя вина, сегодня положу ...
2. Да, avz992_1.tmp - это файлы, порождаемые при распаковке. avz - префикс имени, 992 - PID процесса AVZ, _1 - уровень вложения - в случае вложенного архива будет 2 и т.п. Значит, монитор учуял вынутый из архива файл и сработал ... это нормально, и AVZ не боится ситуации, связанной с тем, что монитор удалит или заблокирует доступ к такому временному файлу.

[vegass]

taze baida znaki voprosov krugom , chto delat?

[Зайцев Олег]

taze baida znaki voprosov krugom , chto delat?

Пока идет поиск пути решения - выходом станет версия, нормально работающая в Unicode или англоязычный вариант. Прочто я пока не могу воспроизвести у себя эту ситуацию (все системы, имеющиеся под рукой, такому багу не подвержены. К примеру, у меня на W-2003 Server в региональных настройках для not-Unicode программ стоит Russian и отображение русских букв идет нормально).
to santy
Я поместил MD5 сумму (после описания версии)

[Grey]

У меня что на русской что на английской WinXP SP2 тоже с русским все в норме.

[Гость]

И еще одна вещь нужна. Возможность писать в протокол все проверенные файлы с указанием находится файл в списке безопасных или нет. удобно когда присылают файлы на проверку быстро отсеять безопасные.

Для админов,безусловно,удобно.А персональщикам оно не всегда и надо. За отдельную утиль! Кому надо- сольют.