OSAM v5.0 - теперь находит и удаляет руткиты, скрывающие свои файлы!

[Online Solutions]

OSAM: Autorun Manager v5.0 - теперь находит и удаляет руткиты, скрывающие свои файлы!
11 сентября, 2009

Как мы сообщали ранее, несколько недель назад мы возобновили работу над первым публичным продуктом компании - OSAM: Online Solutions Autorun Manager.

Выпуск пятой версии этого продукта был очень сложным и трудным для нашей команды. По ряду различных причин выпуск новой версии приходилось несколько раз переносить. Но, благодаря общим усилиям, нам удалось собраться и выпустить новую версию нашего продукта.

Итак, встречайте OSAM: Online Solutions Autorun Manager v5.0!

В 5-ой версии появилась уникальная возможность находить и удалять руткиты, скрывающие свои файлы на жестком диске. Применение руткит технологий скрытия ключей реестра и файлов на диске получают все большее распространение, и наша компания была просто обязана придумать и реализовать решение для поиска и удаления таких паразитических программ. И такое решение было реализовано! Благодаря алгоритмам разбора структур файловых систем разделов жестких дисков без использования механизмов операционной системы, OSAM находит и удаляет почти все известные вирусы и паразитические программы.

Теперь OSAM помимо поиска скрытых записей в реестре умеет находить и скрытые файлы. Это позволяет использовать программу для поиска и удаления самых новых и современных вирусов.

Удаление червя Conficker (Downadup) одним кликом мыши при помощи OSAM

Наши вирусные аналитики давно просили улучшить обработку назначенных заданий Windows (.job-файлов) и мы это сделали. В версии v5.0 мы принципиально улучшили метод получения информации. Благодаря этому изменению, поиск и удаление вирусов упростился, а качество и скорость добавления информации в вирусные базы возросли.

В связи с увеличением популярности нашего продукта среди пользователей операционной системы Windows Vista и Windows 7, мы существенно улучшили поддержку этих операционных систем.
Кроме этого, мы значительно переделаны многие механизмы сканирования и алгоритмы обработки данных, исправили известные ошибки и реализовали еще несколько полезных функций (см. полный лист изменений).

Уверены, что Вам понравится новая версия OSAM: Online Solutions Autorun Manager. Ведь с ее помощью Вы всегда сможете поддерживать отличное самочувствие Вашего компьютера!

Очередной раз хотим поблагодарить Юлию (JM) за терпение, преданность компании и за веру в успех! Так держать!

Так же сообщаем всем пользователям OSSS: Security Suite, что за последние четыре недели помимо выпуска 5-ой версии OSAM, мы напряженно работали над технологией взаимодействия клиента с нашим сервером. Мы добились серьезных результатов и надеемся в самое ближайшее время предоставить версию с новыми возможностями.

Если Вы используете много разнообразных программы и хотели бы поучаствовать в бета-тестировании нашей новой технологии обеспечения безопасности, то присылайте заявку на участие по адресу: [email protected].

________


Быстрые переходы:

• Описание продукта OSAM: Autorun Manager
• Скачать OSAM v5.0 (переносимую версию)
• Скачать OSAM v5.0 (установочной пакет)
• Онлайн сканер. Часто задаваемые вопросы и рекомендации
• Статусы файлов
• Доступ к заблокированным и скрытым файлам
• Как удалять вирусы с помощью OSAM

[PavelA]

Пиар, конечно, немного зашкаливает, но такова наша жизнь.

[Ingener]

В 5-ой версии появилась уникальная возможность находить и удалять руткиты, скрывающие свои файлы на жестком диске. Применение руткит технологий скрытия ключей реестра и файлов на диске получают все большее распространение, и наша компания была просто обязана придумать и реализовать решение для поиска и удаления таких паразитических программ. И такое решение было реализовано! Благодаря алгоритмам разбора структур файловых систем разделов жестких дисков без использования механизмов операционной системы, OSAM находит и удаляет почти все известные вирусы и паразитические программы.

Решил проверить сей факт на примере TR/PCK.Tdss.Z.1092 (Avira) и был весьма разочарован - после активации данного зловреда OSAM не может получить доступ ни к реестру, ни к файловой системе (MD кстати тоже) - зато данный зловред (его драйвер) успешно обнаруживается AVZ 4.32 при включение функции AVZPM и без проблем удаляется написанием соответствующего скрипта для лечения.

[Online Solutions]

Решил проверить сей факт на примере TR/PCK.Tdss.Z.1092.

Что касается TDSS - разговор отдельный. Про него уже здесь спрашивали и я давал ранее ответ.
Вот одно обсуждение, вот еще одно. (Все эти обсуждения - больше года назад; по-моему было еще одно, новое, обсуждение с vaber'ом -- буквально несколько месяцев назад, но я его почему-то сейчас найти не могу). Нашел - вот.

К сожалению, из-за занятости по OSSS пока нет возможности реализовать эти технологии. Но на базе OSAM v5.0 это сделать уже реально легко.

А насчет AVZPM - сравнение просто некорректное, потому что реализация совершенно разная в техническом уровне. В таком ключе можно то же самое сказать, например, про запуск OSSS на зараженной TDSS'ом машине.

OSAM сканирует без использования драйверов. Это обычное RING3 приложение, обладающее такими функциональными возможностями, которые многим antirootkit-приложениям с драйверами не снились. Просканировать после загрузки (когда уже все активно), да еще и без использования драйвера (!), или просканировать "контролируя каждый шаг загрузки" (по сути, видя все, что загружается после тебя) - несколько разные вещи и, соответственно, возможности.

____
P.S. Найти какой-нибудь изъян можно практически в любой программе. Более того, я знаю десятки изъянов и методов обхода упомянутых выше программ. Но я же не выставляю это в таком свете. Не пишу PoC по "обходу", не публикую их и т.п. (Кстати, что было сделано здесь ). И почему-то никто не обращает внимания на такую замечательную вещь, как отсутствие необходимости в helper'ах при работе с OSAM'ом. Любой пользователь может нажать пару раз Next, посмотреть список "плохих" файлов, снять несколько галочек, перезагрузить компьютер, если потребуется и... Все! Больше положительных моментов и все будет хорошо.

[Зайцев Олег]

И почему-то никто не обращает внимания на такую замечательную вещь, как отсутствие необходимости в helper'ах при работе с OSAM'ом. Любой пользователь может нажать пару раз Next, посмотреть список "плохих" файлов, снять несколько галочек, перезагрузить компьютер, если потребуется и... Все! Больше положительных моментов и все будет хорошо.

Интересно, если юзер не совсем понимает, что такое файл и чем он отличается от процесса (а таковых > 90%), то после удаления "плохих файлов" он отдаст 50$ ближайшей компьютерной скорой помощи - за переустановку системы В остальном по поводу парсера - любой уважающий себя руткит просто не даст открыть диск на прямое чтение (именно для того, чтобы его не поймали прямым разбором FS)

[Online Solutions]

Интересно, если юзер не совсем понимает, что такое файл и чем он отличается от процесса (а таковых > 90%), то после удаления "плохих файлов" он отдаст 50$ ближайшей компьютерной скорой помощи - за переустановку системы

Олег, в данном случае говорите неправильные вещи (возможно, Вы не видели как работает OSAM). Потому что в качестве "плохих файлов" будут отмечены именно плохие файлы. При включенных фильтрах (пара галочек в разделе "Filters") хорошие файлы вообще не видны пользователю. Соответственно, он видит 1-5 записей. Поэтому удалить "что-либо не то" просто невозможно.

А особых знаний и понимания "что такое процесс", "что такое файл" не нужно, когда в программе четко определены статусы: Malware, Unwanted, Suspicious и др. Знать что-то или думать о чем-то - не нужно. За пользователей уже все сделали мы.

В остальном по поводу парсера - любой уважающий себя руткит просто не даст открыть диск на прямое чтение (именно для того, чтобы его не поймали прямым разбором FS)

К сожалению, заявление носит популистский характер.

Имея большой опыт по разработке и работе AVZ с пользовательскими заражениями, общаясь с коллегами из ЛК, Вы должны прекрасно знать, сколько руткитов существуют и используются без FSD-фильтров (а точнее даже не так -- сколько руткитов реально используют FSD-фильтры). Более того, RING3-руткиты это вообще сделать не в состоянии по своей природе.

Что касается фразы "руткит просто не даст открыть диск на прямое чтение" - она вообще некорректна с технической точки зрения. Кому не даст открывать диск? Всем приложениям? Зная статистику по OSSS, могу сказать, что многие программы после этого в принципе не будут работать в такой системе.

____
P.S. Чтобы заявление не было таким голословным, попробуйте назвать хотя бы 10 (десять) таких руткитов, запрещающих открытие тома. Реально существующих. Имеющих определенную долю распространения. Не концепты (PoC), не лабораторные разработки. TDSS использовать нельзя, он уже назван. Хотя, можно даже его использовать. Тогда остается всего 9... Боюсь, не получится назвать.

[Зайцев Олег]

Олег, в данном случае говорите неправильные вещи (возможно, Вы не видели как работает OSAM).

Видел - потому и говорю ... у меня нет желания спорить, и доказывать прописные истины, которые очевидны даже "киберхелперу" (вышеозначенная машина ведет в ходе изучения зверей статистику методов блокировки, типов руткитов и методов возможного карантина для обхода блокировки). Я просто удивился, увидев в описании технологии термины "уникальный" и т.п. - такую технологию применил уважаемый Руссинович, когда в 2004 году сделал свой антируткит, работавший именно по принципу сравнения того, что видно "напрямую" и через API

[Online Solutions]

Видел - потому и говорю ...

Раз видели, то можете назвать?

По остальному - к сожалению, Вы судите всего лишь по словам, не имея реального представления об особенностях реализации (как с технической точки зрения, так и с точки зрения применимости и использования продукта). Слова - есть слова, они - в этом плане ничто. А OSAM при этом остается эффективным и удобным средством.

[Ingener]

P.S. Чтобы заявление не было таким голословным, попробуйте назвать хотя бы 10 (десять) таких руткитов, запрещающих открытие тома. Реально существующих. Имеющих определенную долю распространения. Не концепты (PoC), не лабораторные разработки. TDSS использовать нельзя, он уже назван. Хотя, можно даже его использовать. Тогда остается всего 9... Боюсь, не получится назвать.

Мне кажется для внедрения технологии отлавливающей таких зловредов - не нужно обязательно иметь n-ное количество зловредов использующих FSD-фильтр (запрещающих открытие тома) - достаточно чтобы хотя бы один зловред был хорошо распространён - а TDSS сейчас весьма распространён (его выкладывают на многих сайтах) - даже если посмотреть статистику VirusInfo за последнюю неделю - то мы увидим его в лидерах:

ТОП за неделю

1. Packed.Win32.TDSS.z 14
2. Worm.Win32.AutoRun.gsk 8
3. Net-Worm.Win32.Kolab.dkg 8
4. Backdoor.Win32.SdBot.opi 6
5. Trojan.Win32.Delf.owo 6

[Зайцев Олег]

Раз видели, то можете назвать?

Назвать могу - но сначала Вам придется сказать, что кроме "а слабо ли" заставит меня проделать аналитическую работу и предоставить ее результаты ? Тем не менее публичные данные есть - вот например, http://www.securelist.com/analysis?pubid=204007645 - там в тексте есть ссылки на конкретные имена очень интерсных зверей ITW, в частности один из них заточен не просто на тупую блокировку открытия диска, а на маскировку от "прямочиталки".

[Online Solutions]

Мне кажется для внедрения технологии отлавливающей таких зловредов - не нужно обязательно иметь n-ное количество зловредов использующих FSD-фильтр (запрещающих открытие тома) - достаточно чтобы хотя бы один зловред был хорошо распространён - а TDSS сейчас весьма распространён (его выкладывают на многих сайтах) - даже если посмотреть статистику VirusInfo за последнюю неделю - то мы увидим его в лидерах:

... нерепрезентативной статистики virusinfo, и не более того. В количестве 14 штук (!). И ни одного Conficker'а, например. По-моему с этой статистикой все очевидно - она сама за себя говорит.

Что касается необходимости внедрения технологии, трудо- и время-затрат по ее реализации - конечно важно иметь представление о наличии и распространенности "продуктов", с которыми данная технология и должна бороться. (Ни сколько не хочу уменьшить "вес" [долю] TDSS, но и "увеличивать" его ни коим образом не позволю).

P.S. Вот эта статистика гораздо более репрезентативна. Найдите там место TDSS. Найдите там место Conficker (Kido) (опять же - например). После этого все вопросы, думаю, будут сняты.

[Ingener]

А есть ли наработки (технологии) в OSAM по борьбе с зловредами систематически проверяющими свои ключи для автозагрузки - например Worm/Joleee.dmu (Avira) (кстати почему его строки не были отмечены розовым цветом?)?

[herzn]

P.S. Вот эта статистика гораздо более репрезентативна. .

Не факт.
Нужно знать сколько компьютеров подключено к KSN и всего к интернету.

[Online Solutions]

А есть ли наработки (технологии) в OSAM по борьбе с зловредами систематически проверяющими свои ключи для автозагрузки - например Worm/Joleee.dmu (Avira) (кстати почему его строки не были отмечены розовым цветом?)?

Да, для таких случаев (кстати, не всех) - удаление через драйвер.

Settings -> Scanner -> "[x] Disable ojects using the driver"
(и другие дополниетльные настройки там же)

После беседы в этой теме, создалось яркое впечатление, что все, кто здесь обсуждают OSAM, даже не запускали его ни разу!

Добавлено через 3 минуты

Не факт.
Нужно знать сколько компьютеров подключено к KSN и всего к интернету.

Это шутка? Или сарказм?
(Поясню: там в статистике этой есть столбец с числом инфицированных компьютеров; более того, учитываются разновидности malware, то есть некоторые позиции неплохо было бы еще просуммировать)

На всякий случай: в моем сообщении было написано, что она (статистика), очевидно, "более репрезентативна", чем статистика на virusinfo с 1033 (одной тысячей тридцатью тремя) вирусами за месяц (!)

Добавлено через 11 минут

Назвать могу - но сначала Вам придется сказать, что кроме "а слабо ли" заставит меня проделать аналитическую работу и предоставить ее результаты ?

Могу лишь сказать, что только личное желание отвечать за те слова, которые говорятся и/или признавать ошибки. Если этого нет - ничего не заставит, конечно.

Тем не менее публичные данные есть - вот например, http://www.securelist.com/analysis?pubid=204007645 - там в тексте есть ссылки на конкретные имена очень интерсных зверей ITW, в частности один из них заточен не просто на тупую блокировку открытия диска, а на маскировку от "прямочиталки".

Вы указали ссылку, но может быть назовете эти malware поименно? Если несложно. Потому что не все именно поняли на что именно Вы указываете. Не хотелось бы ошибиться.

Напомню: "уважающие себя руткиты, не дающие открыть диск на прямое чтение". (практически цитата; 10 шт., включая TDSS)

[Ingener]

Да, для таких случаев (кстати, не всех) - удаление через драйвер.

Settings -> Scanner -> "[x] Disable ojects using the driver"
(и другие дополниетльные настройки там же)

Ок - после изменения установок по умолчанию - поставил чтобы всегда удалял через драйвер - данный зловред был окончательно убит. Но всё же остался вопрос: почему его строки не были отмечены розовым цветом? Как рядовой пользователь понял бы что это зловред?

После беседы в этой теме, создалось яркое впечатление, что все, кто здесь обсуждают OSAM, даже не запускали его ни разу!

Я как раз таки проверяю OSAM на различных зловредах на виртуальной машине - поэтому вот эта фраза явно неуместна...

[Online Solutions]

Ок - после изменения установок по умолчанию - поставил чтобы всегда удалял через драйвер - данный зловред был окончательно убит. Но всё же остался вопрос: почему его строки не были отмечены розовым цветом? Как рядовой пользователь понял бы что это зловред?

Потому что OSAM пока, к сожалению или счастью, не обладает искусственным интеллектом, как этому подвержены некоторые программы -- OSAM'у все еще требуется внимание человека. Просто этот запрос еще не был обработан нашим вирусным аналитиком. Но зато, уверен, эти файлы красовались "серыми" (неизвестными) среди остальных - "зеленых" (доверенных). Рядовые пользователи обычно периодически пересканируются через некоторое время и дожидаются своих результатов - вместо статуса "Unknown" приходит "Malware", в случае, если это вредоносная программа. Либо (что отдельно заслуживает уважения) удаляют подобные "серые" файлы, когда они дополнительно имеют другие "настораживающие" статусы, выданные OSAM'ом. (Например, что запись в реестре скрыта, что файл скрыт, или что в файле нет информации о производителе, или что файл эксклюзивно заблокирован).

Дополнение: Подсказали, что возможно Вы говорили про подсветку всей строки, а не уровня опасности? Если об этом, то не выделено "розовым" - потому что файл не заблокирован эксклюзивно (по крайней мере, для OSAM ) или не выделено "красным" (Hidden entries, rootkit activity) - потому что этот файл не является скрытым и запись в реестре его не скрыта. Поэтому у него обычный статус "локальной" проверки.

У пользователя же могут быть сконфигурированы фильтры таким образом:



(Пометил светло-красным те, на которые стоит обратить внимание; отключив все остальное, Вы не увидите ни одной записи; в данном случае есть смысл оставить еще и "Not Checked" и "Unknown" - на нормальных компьютерах они могут вызывать определенное подозрение).

Рекомендую дополнительно ознакомиться со следующими материалами:
- подробнее о фильтрах и работе онлайн сканера,
- подробнее о статусах файлов.

Добавлено через 6 минут

Я как раз таки проверяю OSAM на различных зловредах на виртуальной машине - поэтому вот эта фраза явно неуместна...

Это приятно, что Вы используете OSAM. Но это так же и означает, что, к сожалению, мы не смогли донести до наших пользователей всего спектра возможностей и мощности данного продукта. (Например, Вы не знали про удаление через драйвер, к сожалению -- тому наша вина).

Добавлено через 17 минут

Скопирую свой вчерашний ответ с нашего форума, чтобы, возможно, снять многие вопросы.

Попробую чуть подробнее пояснить принцип работы OSAM, тогда такие вопросы просто отпадут. Каждый запрос от пользователя рассматривается индивидуально. То есть по сути - это как личный визит к "врачу" со всеми своими проблемами. Запросы пользователей складываются в базу, с которой работают аналитики, просматривая каждый такой запрос, разбираясь с каждым неизвестным файлом. В том случае, когда антивирус может детектировать (например) только дроппер или какое-то отдельное (главное) тело), аналитики "глазами" OSAM видят всю систему пользователя, и это позволяет удалять не часть, а все вредоносные компоненты, которые тем или иным образом влияют на систему пользователя.

Продолжая пример с врачом: мы можем быть и хирургом и терапевтом, но решаем вопрос комплексно. Находим, что "болит горло", ищем причину, смотрим, что еще затронуто кроме "горла", а потом за один раз всю заразу уничтожаем, а не так, что вылечили "горло", но из-за горла заболела голова, а голову не вылечили.

Так же и пользователям нужно относиться к этому, как к визиту к врачу. Приходя к врачу Вы должны быть с ним откровенны во всем, не рассчитывая на свои знания и опыт (скрывая что-то от него или недоговаривая), в противном случае он может упустить какой-то важный момент и поставить либо неправильный диагноз, либо прописать не полный курс лечения. Здесь - так же. Если Вы рассчитываете на свой опыт и не отсылаете какой-нибудь файл, полагая, что он "нормальный и так", то это примерно как "про это говорить не буду, вылечусь сам". Нужно доверять профессионалам в их области.

Это индивидуальный подход к каждому пользователю, и поэтому он просто на порядки качественнее.

[herzn]

Это шутка? Или сарказм?
(На всякий случай: там в статистике этой есть столбец с числом инфицированных компьютеров; более того, учитываются разновидности malware, то есть некоторые позиции неплохо было бы еще просуммировать)
На всякий случай: в моем сообщении было написано, что она (статистика), очевидно, "более репрезентативна", чем статистика на virusinfo с 1033 (одной тысячей тридцатью тремя) вирусами за месяц (!)

Шутка.
Если в случае с выборкой virusinfo вообще нельзя употреблять слово "репрезентативность", то в случае с KSN есть такое сомнение, близкое к уверенности.
Можно говорить только об "интересности" или "любопытности" данных.

[Ingener]

Протестировал OSAM на приличной коллекции различных зловредов - большинство он находит (и даже выделяет их строки соответствующим цветом) - но я всё же не увидел лично для себя ничего нового и революционного - сможет ли например в будующем OSAM полностью заменить хелперов - как вы думаете? Кстати после удаления зловредов OSAM проводит чистку в системе от последствий их деятельности или всё же для этого придётся воспользоваться другими утилитами?

[Online Solutions]

Протестировал OSAM на приличной коллекции различных зловредов - большинство он находит (и даже выделяет их строки соответствующим цветом) - но я всё же не увидел лично для себя ничего нового и революционного - сможет ли например в будующем OSAM полностью заменить хелперов - как вы думаете?

Не нужно совершать революции. Нужно просто хорошо выполнять свою работу.

Что касается "заменить хелперов" - такой цели не ставилось. Изначально этот продукт создавался, наоборот, в помощь хелперам. Когда они получают не только "какой-то список файлов" с пользовательской системой, но и сразу же могут не просматривать те файлы, которые однозначно доверенные, более того - сразу же увидеть отмеченными вредоносные записи или файлы.

Возможно, не все знают, но в OSAM есть функция "Save Log", сохраняющая лог сканирования. Поддерживающая три формата записи: текстовый (для удобства посылки по почте или постинга на форум), html (более удобный в визуальном плане) и бинарный (только для специалистов, хелперов - в этом случае в "слепке" данных содержится абсолютно все, что видит на своем компьютере пользователь, запустив OSAM).

Соответственно, такая реализация создала возможность пользователям... самим, без помощи хелперов, разбираться со своими проблемами. Потому что здесь в роли "универсального" хелпера выступает наша компания, наши вирусные аналитики. Пользователю достаточно просканироваться, снять галочки с ненужных записей, перезагрузить компьютер - и все.

Кстати после удаления зловредов OSAM проводит чистку в системе от последствий их деятельности или всё же для этого придётся воспользоваться другими утилитами?

В существующих сейчас версиях это еще не реализовано. Хотя планировалось с самого начала реализации продукта. Просто приоритет реализации этих возможностей значительно ниже тех, что были сделаны сейчас. Да и ориентация на проект OSSS отняла очень много сил и времени.

Обновлено: Кстати, а что именно Вы имели в виду под "чисткой"? Возможно, мы просто о разных вещах говорим.

[senyak]

А на русском не планируется. Интересная программа....