Показано с 1 по 5 из 5.

Перехват функций в отчете AVZ 4.22 (заявка № 7201)

  1. #1
    Junior Member Репутация
    Регистрация
    19.12.2006
    Сообщений
    4
    Вес репутации
    41

    Thumbs up Перехват функций в отчете AVZ 4.22

    День добрый. Друзья, я только начал осваиваться в программе AVZ и обратил в отчете внимание не то, что некоторые функции kernel значатся как перехваченные. При этом каких-либо изменений в процессах (которые, как я понял, сопутствуют перехвату функций троянами) - не обнаружено. Не могли бы вы подсказать, есть ли какая-то опасность согласно этому отрывку из отчета?

    Заранее благодарен.


    Протокол антивирусной утилиты AVZ версии 4.22
    Сканирование запущено в 19.12.2006 14:07:33
    Загружена база: 69173 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 12.12.2006 17:05
    Загружены микропрограммы эвристики: 364
    Загружены цифровые подписи системных файлов: 54310
    Режим эвристического анализатора: Максимальный уровень эвристики
    Режим лечения: включено
    Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo[1004C66A]
    Функция kernel32.dll:CreateProcessW (103) перехвачена, метод APICodeHijack.JmpTo[1004C642]
    Функция kernel32.dll:CreateRemoteThread (104) перехвачена, метод APICodeHijack.JmpTo[1004C966]
    Функция kernel32.dll:DebugActiveProcess (117) перехвачена, метод APICodeHijack.JmpTo[1004C93E]
    Функция kernel32.dll:WinExec (896) перехвачена, метод APICodeHijack.JmpTo[1004C61A]
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[1004C916]
    Функция ntdll.dll:LdrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[1004C8EE]
    Функция ntdll.dll:NtCreateThread (140) перехвачена, метод APICodeHijack.JmpTo[1004C70A]
    Функция ntdll.dll:NtResumeProcess (296) перехвачена, метод APICodeHijack.JmpTo[1004C7D2]
    Функция ntdll.dll:NtResumeThread (297) перехвачена, метод APICodeHijack.JmpTo[1004C7AA]
    Функция ntdll.dll:NtSetContextThread (304) перехвачена, метод APICodeHijack.JmpTo[1004C732]
    Функция ntdll.dll:NtSetValueKey (338) перехвачена, метод APICodeHijack.JmpTo[1004C8C6]
    Функция ntdll.dll:NtSuspendProcess (344) перехвачена, метод APICodeHijack.JmpTo[1004C822]
    Функция ntdll.dll:NtSuspendThread (345) перехвачена, метод APICodeHijack.JmpTo[1004C7FA]
    Функция ntdll.dll:NtTerminateProcess (348) перехвачена, метод APICodeHijack.JmpTo[1004C872]
    Функция ntdll.dll:NtWriteVirtualMemory (369) перехвачена, метод APICodeHijack.JmpTo[1004C89E]
    Функция ntdll.dll:ZwCreateThread (950) перехвачена, метод APICodeHijack.JmpTo[1004C70A]
    Функция ntdll.dll:ZwResumeProcess (1105) перехвачена, метод APICodeHijack.JmpTo[1004C7D2]
    Функция ntdll.dll:ZwResumeThread (1106) перехвачена, метод APICodeHijack.JmpTo[1004C7AA]
    Функция ntdll.dll:ZwSetContextThread (1113) перехвачена, метод APICodeHijack.JmpTo[1004C732]
    Функция ntdll.dll:ZwSetValueKey (1147) перехвачена, метод APICodeHijack.JmpTo[1004C8C6]
    Функция ntdll.dll:ZwSuspendProcess (1153) перехвачена, метод APICodeHijack.JmpTo[1004C822]
    Функция ntdll.dll:ZwSuspendThread (1154) перехвачена, метод APICodeHijack.JmpTo[1004C7FA]
    Функция ntdll.dll:ZwTerminateProcess (1157) перехвачена, метод APICodeHijack.JmpTo[1004C872]
    Функция ntdll.dll:ZwWriteVirtualMemory (1178) перехвачена, метод APICodeHijack.JmpTo[1004C89E]
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Функция user32.dll:CallNextHookEx (27) перехвачена, метод APICodeHijack.JmpTo[1004CD26]
    Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[1004C52A]
    Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[1004C502]
    Функция user32.dll:DdeConnect (108) перехвачена, метод APICodeHijack.JmpTo[1004CCFE]
    Функция user32.dll:DdeConnectList (109) перехвачена, метод APICodeHijack.JmpTo[1004CCD6]
    Функция user32.dll:DdeInitializeA (122) перехвачена, метод APICodeHijack.JmpTo[1004CCAE]
    Функция user32.dll:DdeInitializeW (123) перехвачена, метод APICodeHijack.JmpTo[1004CC86]
    Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[1004C9B6]
    Функция user32.dll:ExitWindowsEx (226) перехвачена, метод APICodeHijack.JmpTo[1004CA56]
    Функция user32.dll:FindWindowExA (229) перехвачена, метод APICodeHijack.JmpTo[1004CACE]
    Функция user32.dll:FindWindowExW (230) перехвачена, метод APICodeHijack.JmpTo[1004CAA6]
    Функция user32.dll:PostMessageA (512) перехвачена, метод APICodeHijack.JmpTo[1004CBBE]
    Функция user32.dll:PostMessageW (513) перехвачена, метод APICodeHijack.JmpTo[1004CB96]
    Функция user32.dll:SendInput (571) перехвачена, метод APICodeHijack.JmpTo[1004CA7E]
    Функция user32.dll:SendMessageA (572) перехвачена, метод APICodeHijack.JmpTo[1004CC5E]
    Функция user32.dll:SendMessageCallbackA (573) перехвачена, метод APICodeHijack.JmpTo[1004CB1E]
    Функция user32.dll:SendMessageCallbackW (574) перехвачена, метод APICodeHijack.JmpTo[1004CAF6]
    Функция user32.dll:SendMessageTimeoutA (575) перехвачена, метод APICodeHijack.JmpTo[1004CB6E]
    Функция user32.dll:SendMessageTimeoutW (576) перехвачена, метод APICodeHijack.JmpTo[1004CB46]
    Функция user32.dll:SendMessageW (577) перехвачена, метод APICodeHijack.JmpTo[1004CC36]
    Функция user32.dll:SendNotifyMessageA (578) перехвачена, метод APICodeHijack.JmpTo[1004CC0E]
    Функция user32.dll:SendNotifyMessageW (579) перехвачена, метод APICodeHijack.JmpTo[1004CBE6]
    Функция user32.dll:SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[1004CA2E]
    Функция user32.dll:SetWinEventHook (639) перехвачена, метод APICodeHijack.JmpTo[1004C98E]
    Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[1004C9DE]
    Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[1004CD76]
    Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[1004CD4E]
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    Последний раз редактировалось Peina; 19.12.2006 в 14:37. Причина: корректировка

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    По отрывку отчета мало что можно сказать ... налицо перехват, набор функций похож на некое защитное ПО (некоторые антивирусы типа Panda очень любят перехватывать кучу функций в UserMode). Для точного анализа выполните правила раздела "Помогите" - по логам исследования системы можно сказать более предметно.

  4. #3
    Junior Member Репутация
    Регистрация
    19.12.2006
    Сообщений
    4
    Вес репутации
    41
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    По отрывку отчета мало что можно сказать ... налицо перехват, набор функций похож на некое защитное ПО (некоторые антивирусы типа Panda очень любят перехватывать кучу функций в UserMode). Для точного анализа выполните правила раздела "Помогите" - по логам исследования системы можно сказать более предметно.
    Олег, весьма польщен, что откликнулись именно Вы ;)

    Прилагают логи сканирования.

    Пометка: там содержится ссылка на некую dll из папки C:\Program Files\AOF - это у меня так называется папка для Agnitum Outpost Firewall. Антивируса у меня не стоит (как-то так исторически повелось, аккуратный я ;)), использую только агнитум (+ его противошпионский модуль), spyware blaster, spybot search & destroy. Так же имею аккаунт в Panda Active Scan Pro, которым периодически сканирую систему - но он вроде онлайновый антивирус только. Теперь вот об AVZ узнал.

    P.S.:файла virusinfo_syscheck.zip в папке LOG не оказалось. Был еще какой-то virusinfo_cure.zip (1.12mb весом)

    Спасибо!
    Вложения Вложения
    Последний раз редактировалось Peina; 19.12.2006 в 18:08. Причина: дополнение

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    По исследованию системы все стало ясно - это перехваты Outpost для мониторинга активности зловредов, это не опасно. Я сравнил список перехватываемых функций и метод перехвата - все 1:1.

  6. #5
    Junior Member Репутация
    Регистрация
    19.12.2006
    Сообщений
    4
    Вес репутации
    41
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    По исследованию системы все стало ясно - это перехваты Outpost для мониторинга активности зловредов, это не опасно. Я сравнил список перехватываемых функций и метод перехвата - все 1:1.

    Олег, спасибо Вам огромное. Сам бы точно не разобрался

    С наступающим,
    Peina

  • Уважаемый(ая) Peina, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. У функции не определён перехватчик
      От ahawk в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.09.2011, 10:06
    2. Перехват сист.функции
      От sparrow в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.04.2010, 11:50
    3. SSDT перехватчик функций
      От ssh в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 28.06.2009, 21:45
    4. AVZ обнаружил перехват функций
      От lelyaegorova в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 29.03.2009, 13:25
    5. Перехват функций
      От Xel в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 10.02.2008, 16:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01258 seconds with 17 queries