AVZ 4.32

[kps]

из мира Linux, чётные числа обозначают стабильные ревизии?

Ну, у AVZ были и 4.27 например и 4.29 вполне стабильными

[NickM]

Ну, у AVZ были и 4.27 например и 4.29 вполне стабильными

оффпост:
верно, политика изменилась с версии 4.30, 4.31 не было,

[Зайцев Олег]

оффпост:
верно, политика изменилась с версии 4.30, 4.31 не было,

Это как раз нормально ... нечетные версии для внутреннего тестирования, четные - публичные. Т.е. 4.33 - для внутренних тестов, 4.34 - реклиз и т.п.

[NickM]

Это как раз нормально ... нечетные версии для внутреннего тестирования, четные - публичные. Т.е. 4.33 - для внутренних тестов, 4.34 - реклиз и т.п.

а можно принять участие во внутреннем тестировании?

[Зайцев Олег]

а можно принять участие во внутреннем тестировании?

Оно доступно для хелперов и внешних специалистов ... плюс для энергетиков - я у себя применяю стабильные сборки, обкатывая их на ITW зверях

[Oyster]

Маленькое пожелание - раз уже менеджер автозапуска стал проверять все учётные записи, то было бы полезно к ссылкам в разделе реестра HKUS указывать имена соответствующих учёток, как это сделано в HijackThis.

[AndreyKa]

И раньше замечал, что в архивах "чистых/неопознаных" файлов попадаются явные зловреды, но не обращал особого внимания.
Сегодня вылечил компьютер в теме http://virusinfo.info/showthread.php?t=52788 и запросил прислать авторкарантин. Оказалось, что в автокарантин попадает и то, что уже находится в карантине на данный момент: http://virusinfo.info/showpost.php?p...postcount=2418
Так может добавить в начало 4-го стандартного скрипта очистку карантина?

[Зайцев Олег]

И раньше замечал, что в архивах "чистых/неопознаных" файлов попадаются явные зловреды, но не обращал особого внимания.
Сегодня вылечил компьютер в теме http://virusinfo.info/showthread.php?t=52788 и запросил прислать авторкарантин. Оказалось, что в автокарантин попадает и то, что уже находится в карантине на данный момент: http://virusinfo.info/showpost.php?p...postcount=2418
Так может добавить в начало 4-го стандартного скрипта очистку карантина?

Это было криточно, пока анализ был полуавтоматический. Сейчас это не обязательно - карантины скрипта 4 "смотрит" "кибер", а это всеядная мясорубка ... а вот в скриптах 2 и 3 чистка карантина стоит - на случай обратной ситуации (что карантиня скриптом 1 файл мы можем получить еще сотню - то, что почему-то было помещено в карантин ранее)

[rxx]

опечатка:
Disable callback - уже нейтирализованы

[Alex_Goodwin]

http://virusinfo.info/showthread.php?t=52793
Дров голдума не был виден в логах АВЗ..

[nisome]

Обнаружена проблема: при переходе с предыдущей (публичной версии) невозможно завершить удаление драйвера AVZ и всех настроек, как того требует рекомендация по обновлению.
При активации AVZPM\Удалить_и_выгрузить_драйвер, после перезагрузки драйвер по прежнему в системе.
Запуск стандартного скрипта №6 также не удаляет драйвер AVZ. Пробовал, делать, как версией 4.30, так и 4.32.

Как решил:
Файл ?:\WINDOWS\system32\drivers\uzm5mti2.sys прибил отложенным удалением, далее скрипт №6.

[gjf]

Появилась новая интересная зараза, пока, правда, только с функционалом саморазмножения. Induc.a называется, о ней весьма хорошо описано тут.

Олег, понятно, что данный тип заразы в принципе нов, да и неопасен (пока), но может быть имеет смысл включить процедуру поиска заражённого sysconst.pas/sysconst.dcu в AVZ?

[kps]

Появилась новая интересная зараза, пока, правда, только с функционалом саморазмножения. Induc.a называется, о ней весьма хорошо описано тут.

Олег, понятно, что данный тип заразы в принципе нов, да и неопасен (пока), но может быть имеет смысл включить процедуру поиска заражённого sysconst.pas/sysconst.dcu в AVZ?

AVZ не предназначен для борьбы с файловыми вирусами.

[gjf]

Коллега, вы невнимательно прочитали обзор. Индюк - не файловый вирус в прямом понимании. Вы же не будете считать какой-нибудь VkHost к примеру тоже файловым вирусом?

[kps]

Я внимательно прочитал.

В первую очередь, это способ размножения — вирус не заражает непосредственно исполняемые файлы, используя заражение файлов компилятора языка программирования.

Если он дописал свой код в текстовый или какой-либо ни было файл компилятора, то лечение файла - это удаление оттуда вредоносного кода, при этом не удаляя оригинальный файл (AVZ не предназначен для этого). По сути это лечение от файлового вируса.

Добавлено через 18 минут

Вы же не будете считать какой-нибудь VkHost к примеру тоже файловым вирусом?

Указанный троян здесь не причем, т.к. он не записывает свой вредоноcный код в другой файл для размножения и заражения других файлов. Редактирование файла hosts - типичное троянское действие.

[gjf]

Ну я бы так не сказал... Дописали в hosts фишиновый сайт - и в итоге имеем заражение компьютера каждый раз при заходе на vkontakte. Чем не путь заражения?
Да и дописывание в autoexec.bat - тоже суть файловый вирус. Или типичное троянское поведение?
Всё, что я хотел - это просто внести предложение. В AVZ есть отличный класс TStringList, можно наваять на нём код для поиска и очистки текстовых файлов от заразы и просто включить его в базы.
Ну да если предложение не поддерживается (тут, безусловно, решать Олегу) - за сим откланиваюсь.

[kps]

Ну я бы так не сказал... Дописали в hosts фишиновый сайт - и в итоге имеем заражение компьютера каждый раз при заходе на vkontakte. Чем не путь заражения?

В hosts не записывается вирусный код для заражения других файлов. И для поиска плохих записей в хостс не делается сигнатура на эти самые записи (насколько мне известно). Мы просто смотрим содержимое и сами решаем, какие записи хорошие, а какие нет.
Не углубляясь в эту дискуссию можно отметить 2 факта:
1) Для лечения файла/файлов компилятора придется писать сигнатуру для лечения файла от вируса, основное же применение AVZ это ручной поиск, а не сигнатурное сканирование.
2) AVZ не занимается выкусыванием плохого кода, не удаляя оригинальный файл.

Всё, что я хотел - это просто внести предложение. В AVZ есть отличный класс TStringList, можно наваять на нём код для поиска и очистки текстовых файлов от заразы и просто включить его в базы.
Ну да если предложение не поддерживается (тут, безусловно, решать Олегу) - за сим откланиваюсь.

Конечно решать Олегу Я просто высказал свое мнение, и сказал о назначении утилиты. Еще не разу мы ее не использовали для лечения файла.
Имхо, приоритетно подкрутить AVZ в плане детекта руткитов, а не лечения файлов, еще и зараженных экзотическим вирусом по экзотическому методу Для лечения есть антивирус.

[gjf]

2) AVZ не занимается выкусыванием плохого кода, не удаляя оригинальный файл.

Иногда Brontok лепит ко всему прочему в autoexec.bat строчку pause. Так вот....

Код:

var
 SL : TStringList;
 X : integer;
begin
......
 SL := TStringList.Create;
 SL.LoadFromFile('%SysDrive%/autoexec.bat');
 SL.Delete(SL.IndexOf('pause'));
 SL.SaveToFile('%SysDrive%/autoexec.bat');
 SL.Free;
.....
end.

В итоге - строчку удалим, файл сохраним. С помощью AVZ!

Ну так что - выкусили вредоносный код?

Добавлено через 2 минуты

Имхо, приоритетно подкрутить AVZ в плане детекта руткитов

А вот к этому присоединяюсь всеми фибрами души
Задолбало пользовать сторонние Gmer'ы и Avenger'ы...

[kps]

В итоге - строчку удалим, файл сохраним. С помощью AVZ!

Вы меня не так поняли Я имел ввиду, что (и это есть в справке) AVZ по назначению не предназначена для выкусывания кода, а не то, что это невозможно сделать посредством AVZ. Сделать то можно, но это затраты сил и вопрос цели использования.

[gjf]

Ладно, оставим дебаты и предоставим решение разработчику
Пока это действительно просто proof-of-concept.
Но в любом случае идея может получить развитие - и многие программисты не будут заинтересованы в постоянном заражении своих проектов.