Вот улучшенная и полностью переделанная версия. Исправлена эвристика, добавлена возможность выбрать способ иммунизации системы, появились запросы на удаление, сканер реестра, два или один новый вид червя + список поддерживаемых программой версий вируса. В общем качайте, проверяйте. Кстати, хотел еще добавить White List, куда можно заносить диски, с которых ничего удалять не надо, но вот времени нет, поэтому сделаю потом.
Если есть какие ошибки - не пинайте, лучше описывайте багу и предлагайте способ ее исправления.
Последний раз редактировалось The Bulka; 30.10.2008 в 12:31.
Причина: Исправление ошибок :)
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
А что там тестировать - это же типовой студента первого курса ВТ
Если по существу:
1. Нельзя безальтернативно перезагружать ПК. Т.е. или должна быть птичка в GUI "Автоматически перезагрузить после завершения проверки" (неактивная по умолчанию), или в диалоге перезагрузки альтернативы "Да", "Нет". А иначе получается констатация факта, типа "Хочу и перезагружусь".
2. Нельзя удалять файлы по именам, даже если очень хочется ! Никто не знает, вредный файл скажем C:\WINDOWS\system32\desktop.dll или полезный (быть может он жизненно нужен кому-то зачем-то, заранее сказать это не может никто, не изучив содержимое файла). У меня например сохранялка позиции иконок на рабочем столе содержит именно такую DLL, именно с таким именем и именно в таком месте. Что получаем ? Получаем то, что убили полезную программу без запроса...
3. Про двухкратное удаление я уже писал (типа удалили + контрольный выстрел ). Если файл не удалился с первого раза, то он не удалится и со второго ...
4. Запрос появился, но собственно он не информативен - что за файл, что предполагается удалять, неясно
5. Лечение активного заражения естественно нет. Проверить это просто - берем флешку, кладем туда autirun.inf следующего вида
[AutoRun]
open=JAWCU.exe
shell\open\Command=JAWCU.exe
shell\open\Default=1
shell\explore\Command=JAWCU.exe
В корень флешки кладем тулзу и запускаем ее. Она честно пытается убить собственный запущенный EXE (аж 6 раз подряд), результат ясно дело нулевой ... Причем в результате и EXE не удаляется, и INF остается (а со второго захода inf удалился все таки, EXE остался). Реальный зверь обычно через небольшой интервал времени пересоздает свои файлы, поэтому обычное стирание эффекта не дает ...
6. Неясно, почему поиск 12 файлов идет 15 секунд (50 мс - допускаю, но 15 сек. - крайне странный показатель)
Про поиск файлов по именам, может эти цифры дадут некоторое представление о положении вещей - я смеха ради отдал команду моему анализатору "написать тулзу для поиска Flash червей по именам". Он выполнил задачу секунд за пять, и результат поразителен - для детекта одной тысячи уникальных зверей семейства Worm.Win32.AutoRun база имен оказалась на 1056 записей. Если брать с повторами - 2413. Вот такие вот цифры ...
Насчет 1: без перезагрузки лечение пройдет безпонтово.
Насчет 2: Утилита лечит АКТИВНОЕ заражение, все файлы полезных программ будут зловредом НАХРЕН удалены, так что ничего страшного от того, что удалится файл вируса я думаю не будет.
Насчет 3: Там нет 2-ух кратного удаления вообще-то, у вас плохой дизассемблер.
Насчет 4: Жду Ваших предложений! Что говорить пользователю?? CRC32, размер, автора??
Насчет: 5: А зачем так делать?? Никто не говорил, что будет Autorun.inf с имененм на мою прогу. Копируй на какой-нибудь диск и запускай, У МЕНЯ ПОВТОРЮСЬ, ВСЕ ПРЕКРАСНО ЛЕЧИТ, у вас может что-то с руками при всем уважении к вам.
Насчет 6: Вообще-то сперва идет выгрузка зловредных DLL, если такие есть, причем не из одного процесса, а из нескольких, поскольку новая версия червя может инжектить DLL в любой процесс другой. Потом завершение вирусных процессов, если есть, а затем эвристическая проверка на наличие автозапуска + подозрительных ключей автозагрузки, затем только удаление вирусных файлов. Если вставить какой сканер по CRC, то вообще эта прога нахрен не нужна тогда, так как допись одного байта изменит таковую.
И что-то я вообще не понял, при чем тут тулза, и для каких там 1056 червей она там сгенерировала имена?! Может поподробней??
Я вижу во конкретно против моей проги, ну так не используйте, кто ж просит.
Вам в самом начале топика объяснили, почему использованный Вами метод поиска вирусов и лечения компьютера не имеет права на жизнь. Поэтому в первую очередь прочтите топик про Антивирус Калинина и попытайтесь осмыслить данные советы. Ознакомьтесь также с конкурентом: Kerish Antivirus.
Или пересматривайте свое отношение к обеспечению информационной безопасности, или готовьтесь к патентным войнам с этими двумя антивирусными гуру
Последний раз редактировалось DVi; 30.10.2008 в 16:23.
И что-то я вообще не понял, при чем тут тулза, и для каких там 1056 червей она там сгенерировала имена?! Может поподробней??
Я вижу во конкретно против моей проги, ну так не используйте, кто ж просит.
А при том, что мои системы "знают" поведение зверей (причем не 10-15, а сотен тысяч), и я могу могу без проблем поставить задачу, скажем, сделать детектор чего-то по именам или по иному аспекту поведения, или наоборот - оценить эффективность метода, скажем, поиска зверя по именам файлов/ключей/служб/окон или чего-то еще. И я вижу, что эффективность будет почти нулевая ...
Это раз, второе - я не против "конкретной проги", я против конкретной идеологии "убивать файлы по именам", есть большая разница ... Так нельзя !! Не изучив содержимое файла ни при каких условиях нельзя его удалять, как бы его имя не казалось подозрительным ... DVi привел примеры подобных "продуктов", которые отличались от обсуждаемого "крутизной" в плане количества имен файлов в своей базе, нетрудно сравнить мой вердикт по тем продуктам и по этому - он не поменялся. Вывод - поиск файлов по именам, CLSID, названиям ключей реестра, служб, именам окон и множеству иных косвенных признаком имеет право на жизнь, но не более как отдельная форма эвристики ... и не как основной критерий для удаления.
Последний раз редактировалось Alexey P.; 30.10.2008 в 18:50.
Причина: орфография
Сообщение от The Bulka
