-
AVZ 3.75 - тестирование, обсуждение, предложения по доработке
Вышла новая новая версия AVZ - 3.75. Версия доступна для загрузки тут: http://z-oleg.com/secur/avz-dwn.htm (http://z-oleg.com/avz3.zip)
Радикальные новшества и пределки:
[++] Добавлена поддержка CHM архивов и файлов аналогичного формата (MS ITSF файлов). Кроме проверки содержимого CHM добавлен анализ эвристика - реагирование на подозрительные EXE внутри CHM файла. Это новшестно позволит ловить современных троянов, многие из которых размещаются в CHM
[++] Проверка и лечение потоков NTFS. Тестовый вариант появился в промежуточном билде 3.70, теперь поддерживается официально.
[++] Новый менеджер - "менеджер расширений проводника". Соответственно, новая позиция в исследовании системы и автокарантине
[++] Новая функция - карантин по списку. Позволяет добавить в карантин несколько файлов, сделано специально для упрощения получения от пользователя подозрительных образцов. В списке допустимо указание масок*.
[+] К иконке в трее добавлено меню (с пунктами "Пуск", "Стоп", "Выход")
[+] Доработан анализатор автозапуска - в частности, копирование в карантин и проверка по базе безопасных строк вида "c:\program.exe /param", "cmd.exe trojan.exe", "explorer.exe c:\trojan.exe"
и т.п.
[+] Доработан антируткит. В частности, сбой загрузки базы не приводит к отключению проверки антируткита
[+] Параметр Unpack_Archives=Y|N - по умолчанию N, если задать Y, то в папке AVZ создается папка Unpacked, в ней папки по типам архивов - в них копируются распакованные в ходе проверки файлы
----
В новой версии существенно расширена базы вирусов - добавлено около 500 новых "зверей", большие передалки эвристика. У версии 3.75 в базе 16232 сигнатуры, 1 нейропрофиль, 55 микропрограмм лечения, 354 микропрограмы эвристики, 5 микропрограмм восстановления настроек системы, 34357 подписей безопасных файлов
----
*Примечание:
Карантин по списку доступен из меню "Файл" и из окна "Карантин". Список задается в виде строк, по одной строке на файл. Сделано специально для облегчения хелперов (и пользователей, которых просят прислать кучу файлов).
Формат строки: имя файла[>примечание]
Если указано примечание (оно отделяется от имени знаком >), то это примечание помещается в описание файла в карантине.
Имя файла может иметь вид:
c:\folder1\trojan.exe - полное абсолютное имя
c:\folder1\*.exe - маска. В карантин будут помещены все файлы *.exe из папки c:\folder1\. В маске допустимы символы * и ?.
/SYSTEM32\worm.exe - файл в папке System32
%System32%\worm.exe - файл в папке System32
/WINDOWS\worm.exe - файл в папке Windows
%WinDir%\worm.exe - файл в папке Windows
backdoor.exe - файл без указания пути, ищется в системных папках (System32 и Windows)
Последний раз редактировалось Зайцев Олег; 20.08.2005 в 23:47.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В логе расширений проводника обнаружены чёрные дыры которые не удаляются
Последний раз редактировалось Geser; 24.01.2007 в 23:06.
-
-
Положил еще чистых файлов на ФТП
-
-
Сообщение от
Geser
В логе расширений проводника обнаружены чёрные дыры которые не удаляются
Не удаляются, если удалять из менеджера ?? У меня аналогичные, кстати, причем на эталонном ПК - наверное, какие-то системные записи. Я изучу это явление подробнее ..
А файлики я в понедельник утащу, спасибо !
-
-
Сообщение от
Зайцев Олег
Не удаляются, если удалять из менеджера ??
Угу...
-
-
'Менеджер расширений IE' работает некорректно, вот пример. Такая же история с 'Менеджером расширений проводника'.
-
-
У меня в софте та же ерунда наблюдается, хоть ПК и далеко не эталонный, но идет сбой чтения на некоторых ключах.
-
А можно сделать ключик командной строки так что бы АВЗ отрабатывал тихо не открывая GUI и писал результаты в файл?
-
-
Сообщение от
Geser
А можно сделать ключик командной строки так что бы АВЗ отрабатывал тихо не открывая GUI и писал результаты в файл?
Можно конечно и даже нужно. Можно сделать два варианта:
1. Чисто консольный AVZ. Текущее ядро позволяет такое сделать
2. Ключ у текущей версии, который приведет к полностью скрытому запуску или свертыванию в трей в момент старта и выходу после завершения.
-----
Путь номер 2 проще - я сегодня его реализую.
-
-
Сообщение от
aintrust
'Менеджер расширений IE' работает некорректно, вот
пример. Такая же история с 'Менеджером расширений проводника'.
Ага, причина ясна - подправлю
-
-
Да, кстати, благодаря предложению Geser-а вспомнил кое-что в дополнение к списку "моих" пожеланий (список 1 и список 2):
14) неплохо бы, чтобы AVZ запоминал на выходе свое состояние, т.е. расположение и размер окна (а то сейчас каждый раз приходится его увеличивать при запуске - для моего экранного разрешения 1600x1200 начальный размер окна AVZ слишком мал ), установки ключей, выбранные ранее для проверки диски/каталоги (а то каждый раз ползать по дереву просто утомительно!) и пр. Там же (в реестре) вместе с этим "состоянием" можно запоминать номер последней версии AVZ, и при загрузке новой версии спрашивать пользователя, хочет ли он использовать установки старой версии. Для случая же с инсталлятором поступать как обычно: при деинсталляции все за собой подчищать.
И еще... Я уже предлагал вынести предложения по доработке AVZ в отдельную тему, чтобы они не "терялись" при создании новой ветки в случае выхода новых версий и чтобы не смешивать вопросы функционирования AVZ с предложениями по его доработке, и там же помещать все опросы. Так будем или нет?
Последний раз редактировалось aintrust; 21.08.2005 в 13:18.
-
-
Сообщение от
Зайцев Олег
...
2. Ключ у текущей версии, который приведет к полностью скрытому запуску или свертыванию в трей в момент старта и выходу после завершения.
...
Мне больше нравится вариант (2)...
-
-
Junior Member
- Вес репутации
- 69
Также поддерживаю 2-й вариант
-
Сообщение от
aintrust
Мне больше нравится вариант (2)...
Ну вот, готово - по варианту 2. Версия 3.75.04 на штатном месте, у нее:
[+] Добавлен ключ, управляющий видимостью GUI. Ключ имеет вид HiddenMode=0|1|2|3. По умолчанию - 0. (0-главное окно
отображается в момент запуска; 1 - главное окно при запуске свернуто в трей; 2 - аналог 1, но заблокирована возможность
развернуть окно или использовать меню иконки в трее; 3-полностью невидимый режим, нет окон и иконки в трее). Особенность - при выборе режима реакции "спросить пользователя" запросы выводятся независимо от режима работы. Режим сделан специально для применения AVZ для работы в пакетном режиме.
[+] Добавлен ключ, управляющий приоритетом AVZ. Возможно два варианта записи ключа Priority=-1|0|+1 (-1 - пониженный приоритет, 0-нормальный, 1-повышенный) или Priority=LOW|NORMAL|HIGH (LOW - пониженный, NORMAL - нормальный, HIGH - повышенный)
Плюс в базу безопасных внесены полеченные за последние два дня безопасные файлы ...
-
-
А с расширениями оболочки не выяснилось в чем был баг?
-
Сообщение от
Xen
А с расширениями оболочки не выяснилось в чем был баг?
да, конечно, правда руки не дошли исправить ... см. картинку, которую скинул aintrust в посте №6
-
-
Кстати, проверку потоков не плохо бы включить по умолчанию
-
-
Сообщение от
Geser
Кстати, проверку потоков не плохо бы включить по умолчанию
Да, наверное - я думал, она будет тормозить скаирование - но оказалось, что почти не влияет.
-
-
Ну так, наведём критику
Есть некоторые проблемы с копированием в карантин. при исследовании системы вижу сервис C:\Program Files\VMware\VMware Workstation\vmware-authd.exe не найден в базе чистых. При этом при выполнении автодобавления в карантин он не попадает. Так же драйверы
\??\C:\Program Files\Vba32\Vba32mNT.sys
\??\C:\Program Files\WinFast\WFTVFM\WFIOCTL.SYS
В карантин не попадают.
Такое дело в реестре C:\WINDOWS\system32\dumprep 0 -u не находится в базе безопасных, хоть и есть там.
В списке открытых портов тоже не плохо бы помечать файлы найденные в базе безопасных. А лучше помечать их только в том случае если все подгруженные ими длл тоже в базе безопасных.
В списке сервисов по анализу реестра сервисов и драйверов больше чем по данным АПИ. Все дополнительные в карантин не добавляются при автодобавлении. Статус отсутствует.
-
-
Прошу извинить, вроде везде посмотрел, но не уяснил- что AVZ делает в трее?
И простите за офтоп, уважаемый Олег, а APS развивается?
-