В исследовании системя я применил новый подход на примере DLL - при нажании на ссылку, которой является имя DLL выводится окошко с информацией о файле
Лучше всплывающей подсказкой ссылки title="..."
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Я добавлю в AVZ смотрелку потоков, но беда в том, что у потока то на лбу не написано, правильный он или нет ... - в этом и вся беда. У того-же Explorer.exe потоков штук 5-7 как минимум. Другое дело в том, что потоко кто-то создавать должен - значит, в авторане что-то должно быть левое.
а такие штуки, как запуск через шедулер, кто-нибудь обрабатывает? процесс запустился, отработал, потом его снова нет. и ни в автозагрузке, нигде.
а такие штуки, как запуск через шедулер, кто-нибудь обрабатывает? процесс запустился, отработал, потом его снова нет. и ни в автозагрузке, нигде.
Поддержку шедуллера надо будет прикрутить - я недавно видел трояна, который так запускался.
----
Попробуйте кто-нибудь плагин к TheBAT - интересно, заработает он или нет ...
Последний раз редактировалось Зайцев Олег; 19.10.2005 в 14:34.
В AVZ 3.83 по-прежнему жив баг в "Драйверах" и "Автокарантине":
В "Драйверах" не опознаются (AVZ не может найти, хотя они есть на диске) файлы без пути и расширений (см. лог здесь), хотя они есть в базе безопасных AVZ. Имена этих файлов совпадают с названиями драйверов (значениями в поле "Служба"), имеют расширения *.SYS, лежат в стандартных местах и благополучно запускаются системой.
Соответственно, эти файлы не добавляются в Карантин, потому что AVZ не знает, где их искать! Поэтому скрипты для исследования системы будут бесполезны!
Чтобы спрятать вирус от AVZ, достаточно записать его в "Драйвера" без пути и расширения и AVZ его никогда не найдет, зато система будет исправно запускать! Очень жаль...
P.S. Похоже, это волнует только меня одного, потому что мои сообщения об этом баге игнорируются уже третий месяц...
Последний раз редактировалось DenZ; 19.10.2005 в 19:44.
P.S. Похоже, это волнует только меня одного, потому что мои сообщения об этом баге игнорируются уже третий месяц...
Этот баг ловился и был отловлен - я для пробы внес ключик для атозапуска с текстом "C:\WINDOWS\system32\dumprep 0 -k" и у меня в диспетчере автозапуска все отработало как положено - процесс "зеленый", опознался нормально.
А вот при указании в качестве имени драйвера скажем "beep" avz действительно его не находит - это исправлено ... (имя формируется как beep.sys, но путь не приделывался)
Похоже, я сегодня вообще "не в струе" - пропустил столько новостей.
Много работать - вредно ;-)))
2Олег: Олег, я увидел примочку к Бату - это круто!!!! Завтра погоняю на своих (около 6-8Гб) массивах почтовых баз. У меня вопрос - а какие-то логи ведутся? Посмотреть что, где, когда?
В общем, спасибо.
Похоже, я сегодня вообще "не в струе" - пропустил столько новостей.
Много работать - вредно ;-)))
2Олег: Олег, я увидел примочку к Бату - это круто!!!! Завтра погоняю на своих (около 6-8Гб) массивах почтовых баз. У меня вопрос - а какие-то логи ведутся? Посмотреть что, где, когда?
В общем, спасибо.
Логи где - в батовской примочке ?? Нет, в ней логов нет (если надо - легко прикрутить) - логи сам bat ведет, плюс он же перекладывает зараженные письма в отдельную папку - их все сразу видно.
Логи где - в батовской примочке ?? Нет, в ней логов нет (если надо - легко прикрутить) - логи сам bat ведет, плюс он же перекладывает зараженные письма в отдельную папку - их все сразу видно.
Понятно, я так просто спросил ;-)). В общем, конечно, в Карантин Батовский не проблема заглянуть.
Вышла версия 3.83
Начиная с версии 3.83 сканер AVZ может подключаться как антивирусный плагин к TheBat. Плагин качается отдельно с http://z-oleg.com/avz3thebat.zip (размер около 230 кб), после распаковки avz_thebat.bav нужно положить в папку AVZ и подключить к TheBat. Краткая инструкция есть в архиве. Плагин применяет те-же базы, что и сканер AVZ
---------
Олег, отключил у NOD EMON, IMON, переслал systray.rar(так как знаю, что АВЗ определяет его как Theals), в ящик. Нет реакции. NTVisible.dll (неупакованный) действительно был перемещен в карантин. Вопросы. Почта проверяется плагином, или сканером? Проверяет ли плагин архивы?
Еще... будет ли плагин для firefox?
Последний раз редактировалось santy; 20.10.2005 в 09:07.
Рассказываю по порядку:
1. Архивы поддерживаются, но не поддерживается rar, 7-zip. Причина - распаковщики для них громоздкие, их поддержка увеличивает размер avz на 100 кб
2. Запароленный архив не проверяется
3. Проверка идет на произвольную глубину вложенности, составные файлы рассматриваются как архивы. Т.е. например zip, внутри chm, внутри - cab - все это будет рекурсивно распаковано и проверено
4. Почту проверяет плагин - загрузка сканера съедает много времени, посэтому движек размещен в плагине.
5. firefox - можно сделать проверку, если формат плагина под него документирован (просто под бат я неоднократно писал разные примочки, по firefox еще не пробовал)
6. Если насчет firefox я не уверен, в вот для eserv такой плагин вполне может выйти - он кстати делался именно для него, просто для отладки мне было удобнее подогнать плагин под Bat - его тестировать можно наглядно ...
Последний раз редактировалось Зайцев Олег; 20.10.2005 в 10:10.