странно!?
у меня не детектируется
v.3.33.1
Базы: 20.08
Записей: 135693
_________
Только папки Карантин и Инфекция
если та что есть - то естественно
детектит тока "ругается" другими словами
(Нужно исключять из скана Веба)
странно!?
у меня не детектируется
v.3.33.1
Базы: 20.08
Записей: 135693
_________
Только папки Карантин и Инфекция
если та что есть - то естественно
детектит тока "ругается" другими словами
(Нужно исключять из скана Веба)
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Есть такой червь - maslan.b с User mode руткитом на борту. Так вот с ним существует одна бяка. Если включить avz guard и попытаться завершить маскируемые червем процессы в памяти через менеджер процессов AVZ, то AVZ выдает какой-то эррор (детали уже не помню), связанный с доступом к файлу и повторяет этот эррор после нажатия на cancel циклически. Т.е. ошибка висит постоянно пока работает менеджер процессов AVZ. А переключиться из менеджера процессов в главное окно AVZ уже нет возможности, как и нет возможности завершить работу менеджера процессов.
Такая ситуация бывала не только с maslan, но и с некоторыми вариантами haxdoor, разве что код ошибки вроде другой возникал...
Теперь к сути пожелания: было бы здорово в случае описанной выше проблемы иметь возможность переключиться в главное окно AVZ, чтобы отключить AVZ guard или иметь возможность это сделать другим образом (из встроенных в AVZ средств мониторинга). Ибо нет ничего хуже зависшего AVZ с включенным AVZ guard...сами понимаете - почему. Приходится перезагружаться и терять время, начиная все по новой.
Код ошибки могу точно посмотреть при случае, если есть в этом необходимость. Да и лог от пребывания червя в системе могу предоставить. Правда, не сразу.
Последний раз редактировалось XL; 27.08.2006 в 22:20.
Олег, господа буржуи очень просят ангельский хелп.
В частности, очень просит вот этот господин:
Mr. David H. Lipman
DLipman at Verizon.Net
David_H_Lipman at Yahoo.Com
(Знакомая фамилия, много раз приходилось видеть его посты в антиспайварных форумах)
=XL=
Это явный баг и его нужно отловить. maslan.b, на котором он проявляется, сохранился ? Если да, то тогда я могу воспроизвести ситуацию и поймать баг. Если нет, то полезно все остальное - код ошибки, логи ...
to Alexey P.
Хелп в 4.20 будет включен, можно и раньше - я не против, если отдать и черновой вариант - он на нашем FTP лежит
Угу, насчет хелпа - спасибо, передал.
Этот баг точно есть на haxdoor, встречал на старых.
Сейчас стал пробовать на новом - он, гадюка, вообще закрывает всю AVZ при попытке выгрузить маскируемый процесс виндового explorer-а.
maslan на домашнем компе где-то валялся, пришлю! правда, он у меня в разобранном виде по-моему (уже проинсталенный в system32 в виде нескольких файлов), хотя могу ошибаться. Давно его уже у себя не культивировал. Тут админы на три дня нетбиосные порты между сегментами сети по недосмотру на циске нечаянно открыли, вот и понеслась дремавшая радость по городам и селам... =)
глупый вопрос в качестве оффтопа - а зачем Haxdoor'у маскировать виндусовый эксплорер?
А у него модуль троянский внедрен, плюс в винлогон нотифайером.
VMware Tools\hook.dll - это и должно быть, остальное haxdoor-а работа.Код:1. Searching for rootkits and programs that intercept API functions 1.1 Searching for user-mode API hooks Analysis kernel32.dll, export table found in section .text Analysis ntdll.dll, export table found in section .text Function ntdll.dll:LdrLoadDll (70) intercepted, method APICodeHijack.JmpTo Analysis user32.dll, export table found in section .text Analysis advapi32.dll, export table found in section .text Analysis ws2_32.dll, export table found in section .text Analysis wininet.dll, export table found in section .text Function wininet.dll:InternetConnectA (229) intercepted, method APICodeHijack.JmpTo Analysis rasapi32.dll, export table found in section .text Analysis urlmon.dll, export table found in section .text Analysis netapi32.dll, export table found in section .text 1.2 Searching for kernel-mode API hooks Driver is successfully loaded SDT found (RVA=082B80) Kernel ntoskrnl.exe located in the memory at the address 804D7000 SDT = 80559B80 KiST = 804E2D20 (284) Function ZwCreateProcess (2F) intercepted (805B3543->F9DEB5D1), hook C:\WINDOWS\system32\seppgm.sys Function ZwCreateProcessEx (30) intercepted (805885D3->F9DEB715), hook C:\WINDOWS\system32\seppgm.sys Function ZwOpenProcess (7A) intercepted (8057459E->F9DEB356), hook C:\WINDOWS\system32\seppgm.sys Function ZwOpenThread (80) intercepted (80597C0A->F9DEB2EB), hook C:\WINDOWS\system32\seppgm.sys Function ZwQueryDirectoryFile (91) intercepted (80574DAD->F9DEB3CF), hook C:\WINDOWS\system32\seppgm.sys Function ZwQuerySystemInformation (AD) intercepted (8057CC27->F9DEB977), hook C:\WINDOWS\system32\seppgm.sys Functions checked: 284, intercepted: 6, restored: 0 >>>> Process masking is detected 1780 c:\windows\explorer.exe 2. Scanning the memory Processes found: 19 Modules loaded: 204 Memory check completed 3. Scanning disks 4. Checking Winsock Layered Service Provider (SPI/LSP) LSP settings checked. No errors have been detected 5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs) C:\WINDOWS\system32\seppgs.dll --> Suspicion for a Keylogger or Trojan DLL C:\WINDOWS\system32\seppgs.dll>>> Behavioral analysis: Typical for keyloggers behaviour is not registered C:\Program Files\VMware\VMware Tools\hook.dll --> Suspicion for a Keylogger or Trojan DLL C:\Program Files\VMware\VMware Tools\hook.dll>>> Behavioral analysis: 1. Reacts to events: keyboard, mouse, window events C:\Program Files\VMware\VMware Tools\hook.dll>>> Neural network: file with probability 99.91% appears like a typical keyboard/mouse events trap Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hook DLLs 6. Searching for opened TCP/UDP ports used by malicious programs In the database 319 port description Opened on this PC 7 TCP ports and 9 UDP ports >>> Pay attention: Port 16661 TCP - Backdoor.Haxdor.o ()
Может я что-то пропустил, но мне не понятно почему при попытке выполнить скрипт, сформированные на странице "исследования системы" выдается ошибка типа:
---
Ошибка скрипта: Undeclared identifier: 'DeleteFile', позиция [4:12]
---
в том случае, если были заданны файлы для удаления. Например:
---
DeleteFile('c:\test.txt');
---
P.S. Кстати, пробежал глазами английский вариант справки AVZ. Там на странице General Information - Technical support как и в русском варианте говорится о разделе Помогите на этом сайте. То, что ссылка дана через слова "UNREGISTERED EVALUATION VERSION", наверное, получилось не нарочно.Но смогут ли в принципе англоязычные товарищи хотя-бы зарегестрироваться на сайте? Есть ли вообще смысл упоминать его в переводе?
Что-то не нашел - а удалить отложенным способом известные мне, но невидимые из поиска файлов в AVZ файлы никак нельзя ?
Как в Avenger-е - вводишь для него скрипт с указанием имен файлов, перезагружаешься и ладушки.
ЗЫ: Файлы для этого haxdoor я вижу в отчете adinf32, а вот удалить их из AVZ не могу. Видимо, надо Avenger.
Сюда можно писать и без регистрации.
Да, я изучил новый Haxdoor - он детектирует AVZ и блокирует загрузку его драйвера. Плюс убиение процесса, пытающегося что-то сделать с маскируемыми процессами. Новый антируткит AVZ его давит без проблем, он войдет в версию 4.20.Сообщение от Alexey P.
to AndreyKa
DeleteFile не поддерживается в 4.19, это мой недосмотр... Просто в генератор в HTML логе я внес эту команду, а в публичный скрипт-движок - забыл. А левая подпись на ссылке virusinfo - это кривизна сборки хелпа, я исправлю ее. Просто хелп собирался не мной, и применялась триальная версия редактора - вот отсюда и глюки
Можно - вставить файл в текстовое поле в диалоге выбора файла. Кстати, диалог отложенного удаления в 4.20 я перелаю - вместо системного диалога будет свой, с полем ввода любого умени файла вручную.
Пробовал - пишет, что файл не найден. Угу, но я-то знаю - он есть.
Угу, хорошо. И пусть тогда не проверяет наличие файла, просто запишет в отложенное удаление и все. Ничего страшного в этом вроде не предвидится.Кстати, диалог отложенного удаления в 4.20 я перелаю - вместо системного диалога будет свой, с полем ввода любого имени файла вручную.
Немного юмора - AVZ, оказывается, умудряется собирать данные с GoldSpy на зараженной машине:
Явно тырит награбленное у разбойниковКод:5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs) C:\WINDOWS\system32\pasksa.dll --> Suspicion for a Keylogger or Trojan DLL C:\WINDOWS\system32\pasksa.dll>>> Behavioral analysis: Typical for keyloggers behaviour is not registered C:\WINDOWS\system32\obbf115.dll --> Suspicion for a Keylogger or Trojan DLL C:\WINDOWS\system32\obbf115.dll>>> Behavioral analysis: 1. Reacts to events: keyboard 2. Passes data to the process: 364 C:\avz4\avz.exe (window = "Antivirus utility. Zaytsev Oleg, 2003 -2006") 3. Works with the file: \\.\obbf117 4. Works with the file: c:\windows\system32\obbf115.dll 5. Works with the file: c:\windows\system32\drivers\dxr7.is49 6. Works with the file: c:\windows\system32\dx0.is49 7. Works with the file: c:\windows\system32\drivers\dxr8.is49 8. Works with the file: \\.\obbf117 9. Works with the file: c:\windows\system32\obbf115.dll 10. Works with the file: c:\windows\system32\drivers\dxr7.is49 11. Works with the file: c:\windows\system32\dx0.is49 12. Works with the file: c:\windows\system32\drivers\dxr8.is49 13. Determines the window that has the input focus 14. Polls the keyboard state 15. Polls active keyboard layout 16. Polls the key name 17. Determines ASCII codes by key codes C:\WINDOWS\system32\obbf115.dll>>> Neural network: file with probability 1.65% appears like a typical keyboard/mouse events trap Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hook DLLs
Последний раз редактировалось Alexey P.; 29.08.2006 в 02:54.
Глюк АВЗ ? Исследовал ноутбук, нашёл вот этот руткит - http://virusinfo.info/showpost.php?p=78465&postcount=94
удалил, но остался странный модуль пространства ядра из прилагаемого avz_sysinfo - у него нет файла, нет имени, но есть длинна.
Это не остатки ли руткита?
Это который по базовому адресу F8704000, вместо имени прочерк, размер в памяти 98304 байт ? Да, это странный модуль - модуль в памяти есть, а имени у него нету ... (это длина занимаемой области памяти, а не файла на диске). Варианты такие:
1. Глюк AVZ
2. В списке видно два драйвера от StarForce - может, это они шалят
3. C:\WINDOWS\System32\drivers\EABFiltr.sys - тоже не понятно, что за зверь (клавиатурный фильтр ?)
4. В исследовании можно выбрать "показывать все службы и драйверы" - может быть, тогда всплывет информация о звере
Олег , я тут посмотреть решил ревизор диска твой . не работает . Создаёт файл , однако когда жмёшь на проверку , говорит ошибка , файла нет (указывает путь к файлу , но его не видит .)
Версия английская .4.19
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Должен видеть - в поле File нужно указать полное имя FRZ файла (т.е. типа C:\avz4en\Revizor\2006-08-29.frz). Тогда все должно сработать ... (выбор файла производится при нажатии кнопки в поле ввода имени файла, по умолчанию в этом поле только путь по умолчанию)
Нет, это не глюк, его все утилиты так "показывают".Это на самом деле драйвер atapi.sys (если мне не изменяет память).
Ага, именно клавиатурный фильтр от какой-то из поставляемых вместе с ноутом утилит от HP (ведь речь идет о ноуте, насколько мне помнится?). Да, уточнил - действительно, это компонента утилиты 'Quick Launch Buttons'.3. C:\WINDOWS\System32\drivers\EABFiltr.sys - тоже не понятно, что за зверь (клавиатурный фильтр ?)
PS. Кстати, информацию о ...\System32\Drivers\dump_atapi.sys и ...\System32\Drivers\dump_WMILIB.SYS тоже, видимо, не стоит показывать пользователю в неопознанных "Модулях простанства ядра" - это ведь на самом деле ...\System32\Drivers\atapi.sys и ...\System32\Drivers\WMILIB.SYS соответственно.
Последний раз редактировалось aintrust; 29.08.2006 в 16:34.
aintrust, Олег - спасибо за разьяснения. Это, видимо, DaemonTools так блокирует atapi.sys ? Дома проверю на Алкоголь 120 %, может это так и есть.
А про dump_ драйверы - это полезное уточнение, тоже спасибо.
Ваши права в разделе
