» AVZ - Anti-SpyWare, Anti-AdWare

Victor_VG
Написал уже.

Цитата:

Duplex SPTD драйвер действительно не самый лучший - на их сайте багрепорт уже давно переполнен.

Ну во-первых вы даже не поинтересовались, о какой версии драйвера речь. И вообще - при чём здесь баги драйвера? Он распознаётся руткитом, таковым не являясь, что есть фолсом антивируса, а не багом драйвера.

gjf

Цитата:

Ну во-первых вы даже не поинтересовались, о какой версии драйвера речь. И вообще - при чём здесь баги драйвера? Он распознаётся руткитом, таковым не являясь, что есть фолсом антивируса, а не багом драйвера.

Вопрос - в логе так прямо и написано примерно следующее: "обнаружен злобный вирус Rootkit.Win32.ComodoAV.gen, рекомендуется его удалить" ? Весь фокус в том, что AVZ является инструментом для автоматического исследования ПК, следовательно если встроенный антируткит-модуль ищет перехваты определенных типов и ему удается однозначно установить, что некий драйвер X перехватывает функцию Y - то именно это и будет зафиксировано в протоколе. Трактовать это нужно буквально - что обнаружен факт перехвата функции Y драйвером X. Судить о вредоносности или полезности этого перехвата полагается уже специалисту-системщику, изучающему логи. При этом в логе вердикт о вредоносности естественно не выносится, драйвер-перехватчик AVZ не тронет ... и если внести драйвер в базу чистых, то ничего не изменится, кроме приписки в логе, что драйвер-перехватчик опознан как безопасный по базе чистых. Если включить нейтрализацию перехватов, то AVZ нейтрализует все перехваты поддерживаемых типов, и в хвосте лога вделает приписку о надобности перезагрузки (в скриптах хелперов virusinfo для этого обычно добавляется команда перезагрузки, чтобы сделать эту операцию незамедлительно)
Поэтому если идет детект файлового сканера (формалировка в логе вида "имя файла >>>> подозрения на xxxx" или "имя файла >>>>> Email-Worm.Win32.Bagle.bo") на чистый объект, то это фолс и такой файл стоит как можно быстрее прислать мне для добавления в базу чистых и правки сигнатуры для исключения его детекта/подозрения. Все остальное - это данные, собранные разнообразными анализаторами - т.е. констатация установленных в ходе анализа фактов

Как раз таки этот драйвер фактически и является руткитом Почему вы думаете на него одновременно перешли Алкоголь и демон? Правильно, потому что в его функции заложена отличная схема маскировки от детекта защит копированиями.... Потому что как раз использует те методы, которые взяты на вооружении у руткитов...

Oleg_Zaitsev
Олег, благодарю вас за объяснения, хотя я так и подозревал. Просто скрипт называется "поиск и удаление руткитов", неискушённый пользователь после выполнения такого скрипта может подумать, что всё, что было найдено - будет удалено. Только в этой связи и возникает волнение.

Сегодня столкнулся с autorunом, которій, как не удивительно, AVZ4 даже не почувствовал. Он тут, пароль на архив - virus.

В качестве приятного факта - КурИт его тоже не почувствовал. В качестве неприятного - Авира убила напрочь.

gjf

Цитата:

Сегодня столкнулся с autorunом, которій, как не удивительно, AVZ4 даже не почувствовал. Он тут, пароль на архив - virus.

Это очень странно - AVZ отлично детектирует эту заразу, если ей заражена флешка или система. Если он заразил систему и был активен - AVZ его зафиксирует:
7. Эвристичеcкая проверка системы
>>> C:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
Тут следует отметить, что AVZ в первую очередь средство для исследования и удаленного лечения системы, лечение ведется скриптом, который пишется хелпером. Сигнатуры ловят наиболее распространенную заразу, этот зверь например был 177692 по счету в базах, цифра позволяет оценить масштаб ... если бы я забил в базы всех имеющихся у меня зверей, база была бы размером под 500 тыс зверей и проблемы сигнатурного детекта это бы не решило радикальным образом - новые виды заразы появляются со страшной скоростью, по 200-300 новых зловредов в сутки. Поэтому в данном случае зверь ловится эвристикой, в исследовании системы в автозапуске ловится ключ HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit - он применяется для запуска зловреда через C:\WINDOWS\system32\autorun.m.bat, и этого достаточно для обнаружения заражения и чистки системы

Oleg_Zaitsev
Олег, не буду вам врать: скачал с оффсайта последнюю версию и запустил на уже заражённой машине. Полный скан не показал ничего. Не посчитайте меня самоуверенным - но факт есть факт. Хотя может быть я ещё просто слишком неопытен в использовании AVZ4.

Удалил авторан, загрузившись с диска и напрямую почистив диски и папку Windows/System32/ от autorun.*

Интересно то, что вирусня автоматом скрывает только системные, а не все скрытые файлы. Мне даже показалось, что скрытие происходит избирательно файлов autorun.*, поскольку когда я копировал эти файлы в различные папки - они сразу "исчезали".

gjf

Цитата:

Олег, не буду вам врать: скачал с оффсайта последнюю версию и запустил на уже заражённой машине. Полный скан не показал ничего. Не посчитайте меня самоуверенным - но факт есть факт. Хотя может быть я ещё просто слишком неопытен в использовании AVZ4.

Значит что-то делается не так, чудес в природе не бывает ... я же тоже его тестировал - на полигоне, и автоматика у меня выполнила проверку - детект есть. Но как я говорил выше - не сигнатурный детект, а сообщение о скрытом автозапуске при помоще autorun на системном диске + экзотический автозапуск зловреда в исследовании системы. Зверь никак не маскируется, за исключением атрибутов "скрытый" и "системный" на файлах, но собственно это влияет только на проводник - менеджеры типа FAR показывают подобные файлы без проблем. В остальном банальный Autorun зловред...

После сканирования, программа сообщает (текст красного цвета), что найдено подозрение на Keylogger или троянскую DLL (wl_hook.dll) в программе Agnitum Outpost Firewall. Насколько достоверно наличие кейлогера в программе или это ложная информация?

И что такое "Hoax.Win32.webMoner.ab"? Нужно ли при нахождении его удалять?

SandraRich

Цитата:

После сканирования, программа сообщает (текст красного цвета), что найдено подозрение на Keylogger или троянскую DLL (wl_hook.dll) в программе Agnitum Outpost Firewall. Насколько достоверно наличие кейлогера в программе или это ложная информация?
И что такое "Hoax.Win32.webMoner.ab"? Нужно ли при нахождении его удалять?

wl_hook.dll не опасен, но он внедряется во все процессы - что и фиксируется в протоколе.
Hoax.Win32.webMoner.ab - зловред, но судя по базе под этим именем проходила еще какая-то читалка книжек (которая спрашивает пароль на открытие, но перед этим скрытно регистрирует в реестре какие-то CLSID, безобразничает с EXPLORER и т.п. - многовато для окна запроса пароля Можно прислать мне эту штуку (в AVZ есть адреса, куда слать), я посмотрю точно, что это такое. В KAV сигнатурный детект этой книгочиталки сняли в настоящий момент, но в KIS 2009 она получает "рейтинг опасности" под 100% на основании поведения и антивирус автоматом ограничит возможности этой программы по максимуму. В AVZ я не убирал детект (хотя название Hoax.Win32.webMoner в данном случае не соответствует сути)

Oleg_Zaitsev

Цитата:

wl_hook.dll не опасен, но он внедряется во все процессы - что и фиксируется в протоколе.

То есть, в Фаерволе, который предназначен для защиты системы, в том числе и от вредоносных внедрений, находятся и внедряются кейлогеры и т.п.? Разве такое возможно?
Может быть, это один из необходимых компонентов Outpost Firewall, который, по своему назначению, и должен внедряться во все процессы, для комплексной защиты системы?

Oleg_Zaitsev
Уважаемый Олег!Приветствую вас на форуме.Давно не заглядывали.Вопрос сразу-стр.25 Довольно бурная реакция,пользователей AVZ.И как вы понимаете,далеко не новичков,в его использовании, по срабатыванию,на несколько прог.Я вам отправлял файлы на проверку,но первый раз,за несколько лет,не получил ответа.Хотелось бы,все таки понять,такую непонятную и внезапную реакцию AVZ.

SandraRich

Цитата:

То есть, в Фаерволе, который предназначен для защиты системы, в том числе и от вредоносных внедрений, находятся и внедряются кейлогеры и т.п.? Разве такое возможно?
Может быть, это один из необходимых компонентов Outpost Firewall, который, по своему назначению, и должен внедряться во все процессы, для комплексной защиты системы?

Там сообщение - "подозрение на кейлоггер или троянскую DLL", а не констатация факта вредоносности, и плюс в логе чуть ниже пояснение дано по этому поводу. Т.е. понимать это нужно буквально - был запущен аналитический инструмент AVZ, и он обнаружил, что в его адресном пространстве вдруг появилась какая-то левая библиотека (т.е. она не системная, AVZ ее не загружал - а тем не менее она сама как-то залезла). Это факт ? Да, это однозначно установленный факт (равно как например перехваты, автозапуск и т.п.), это аномалия ? да, это аномалия (на чистой системе такого нет) - так данные и отражаются в протоколе. А уже что это за библиотека, от чего она и для чего нужна - судить человеку, изучающему лог. Обычно на virusinfo хелперы карантинят подобные файлы, дабы убедиться, что это скажем компонент Outpost, а не маскирующийся под него злобный троян.

Добавлено:
vv07

Цитата:

Уважаемый Олег!Приветствую вас на форуме.Давно не заглядывали.Вопрос сразу-стр.25 Довольно бурная реакция,пользователей AVZ.И как вы понимаете,далеко не новичков,в его использовании, по срабатыванию,на несколько прог.Я вам отправлял файлы на проверку,но первый раз,за несколько лет,не получил ответа.Хотелось бы,все таки понять,такую непонятную и внезапную реакцию AVZ.

Я просмотрел написанное на указанных страницах, если честно - ничего не понял что-то в чем-то подозревается, кто-то где-то вроде как детектируется, кто и в чем - неясно. Файлы вполне могли просто не дойти - на почтарях почти у всех провайдеров сейчас стоят параноидальные антиспамы, антивирусы, фильтры разные - поэтому нередко письмо просто теряется. Плюс у AVZ более миллиона пользователей - если все напишут по письму, ляжет любая почта (так обычно и бывает ). Выход:
1. положить файлы куда-то на файлопомойку типа rapidshare в запароленном архиве, и отписаться на virusinfo в основном обсуждении AVZ, кратко описав, что, где и как наблюдается и приложив ссылку на архив с семплами
2. Попробовать послать файлы еще раз (как вариант - не файлы, а ссылку на них - аналогично п.п. 1)

Дык не держу я архивы енти.Удалил давно.Суть в том,что AVZ капитально признала троянами
качалку из лисы,lashgot ,одну из библиотек лю.бимейшего фаера NetLimiter2.0.Ну и напоследки,вообще нонсенс,обозвала вирусом Process Explorer 11.13.
И это все,при том,что до обновления,такого не было.В следующий раз залью куда нить,раз некогда отписать,одному из стареший пользователей

vv07

Цитата:

Дык не держу я архивы енти.Удалил давно.Суть в том,что AVZ капитально признала троянами
качалку из лисы,lashgot ,одну из библиотек лю.бимейшего фаера NetLimiter2.0.Ну и напоследки,вообще нонсенс,обозвала вирусом Process Explorer 11.13.
И это все,при том,что до обновления,такого не было.В следующий раз залью куда нить,раз некогда отписать,одному из стареший пользователей

Process Explorer и сейчас детектится эвристикой - он ставит отладчик системного процесса taskmgr - за это его никто не убивает, но в логе это отмечается. NetLimiter2.0 сколько я помню внедряет DLL - она карантинится, но естественно не удаляется. Качалка из лисы была похожа на что-то там вредное, на нее было подозрение файлового сканера (именно подозрение - не детект, файл не убивался автоматом), это было пофиксено.

Oleg_Zaitsev

Кстати Process Explorer и есть отладчик по принципу своей работы - иначе он не сможет выполнять свои задачи. Я в своём описании у себя на сайте специально это написал. Может это объяснит людям его назначение:

Цитата:

Process Explorer - это мощный и удобный инструмент управления запущенными процессами и задачами, совмещающий в себе функциональность менеджера задач, монитора производительности, отладчика и средства контроля активности ввода - вывода, в том числе и анализатора сетевых процессов. Он полностью заменяет штатный монитор задач системы Windows, предоставляя в Ваши руки уникальный инструмент, позволяющий полностью контролировать поведение системы.

Пока ни кто из наших с Вами коллег против такого определения не возражает.
С FlashGot несколько интереснее - принцип его работы:

1) ставим перехватчик stdin/stdout.
2) читаем stdout процесса броузера запустившего FlashGot.
3) если найдены URL содержащие ссылку на закачку, то просмотрев настройки передаём его в менеджер закачки для обработки, иначе URL игнорируем.

Анализатор FlashGot.exe меняется часто - с каждой новой версией. Поэтому мне кажется надо связываться с автором и вместе с ним договариваться о добавлении в данный пакет проверочного блока например по SHA-1 защищённого сертификатом VeriSing.

Идея контроля такова - если мы встречаем такой сертификат, то проверяем его подлинность, и если проверка положительная проверяем с его помощью программу. В случае положительной проверки подлинности просто сверяемся с базой безопасных приложений. При наличии приложения в базе считаем его подлинным и безопасным, а при отрицательном результате выдаём сообщение о возможности подделки приложения или его замены неизвестным модулем.

Думаю, такое в реализовать принципе возможно, и количество ложных срабатываний любого антивируса при таком механизме мы снизим до минимума.

Victor_VG

Цитата:

Анализатор FlashGot.exe меняется часто - с каждой новой версией. Поэтому мне кажется надо связываться с автором и вместе с ним договариваться о добавлении в данный пакет проверочного блока например по SHA-1 защищённого сертификатом VeriSing.

С FlashGot все намного проще было, там не эвритический детект - просто исполняемый файл FlashGot был похож сигнатурно на что-то там вредное, когда это обнаружилось, была подправлена сигнатура, в результате подозрение пропало и больше не появится ...
Насчет проверки с помощью сертификатов и базы ПО, сертификатам которого мы доверяем - такое вполне реально и примерно подобный механизм есть у KIS-2009. Т.е. он пытается проверить, узнает ли он программу по бортовой базе чистых или есть ли у нее валидный сертификат, которому по мнению ЛК можно доверять. Если есть - приложение считается доверенным. Если нет или файл модифицирован, то тогда эвристически оценивается рейтинг опасности и KIS начинает "думать", насколько по совокупности собранной информации можно доверять программе X и сколь она опасна. Для утилит типа AVZ этот алгортм тяжеловесен, я ограничиваюсь бортовой базой подписей легитимных программ + механизмом ЭЦП Microsoft.

Цитата:

>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных

Это появляется во время начала сканирования

CKAHEP
попробуй или заного распаковать из архива или скачать с сайта еще раз, если я провильно понимаю что-то вмешалось в код...

Видимо Олег внес исправления.АVZ перестал ругаться на FlashGot,а вот Process Explorer,по прежнему в подозреваемых.Но для меня главное,что NetLimiter2.0 получил реабилитацию

Process Explorer,работая без установки, втихую устанавливает драйвер-перехватчик низкого уровня.Хотя Руссинович в своей книге это пишет.

CKAHEP

А как иначе он может исполнять свою работу системного отладчика? Получить ту информацию которую он выводит иначе не возможно.

Oleg_Zaitsev

Понял. Прикину может ещё что придумаю. Поглядим что можно сделать менее тяжеловесного.

Я тоже Зайцев, только Андрей!
Сори

Весьма любопытная вещица. Я тока в документации так и не нащел - может ли она работать параллельно с антивирем какимнить.

ComradG

У меня работает параллельно с McAfee 8.5.0i P6, ClamAV 0.93.1, SAV CE 10.1.7.7000 и вроде никто не конфликтует.

ComradG
Абсолютно спокойно работает параллельно с NOD32.... Да и вообще по идее должен с любым антивирем

ComradG

Цитата:

может ли она работать параллельно с антивирем какимнить.

У меня стоит Dr.Web - 4.44, проблем нет...

AVZ не конфликтует с анвирами.

ComradG

Цитата:

Весьма любопытная вещица. Я тока в документации так и не нащел - может ли она работать параллельно с антивирем какимнить.

Конфликтов быть не должно, но нужно помнить, что:
1. AVZ распаковывает проверяемые архивы и составные объекты (почта, MHT, CHM, некоторые джоинеры, MSI инсталляции) в временную папку. Если в архиве найдется что-то зловредное, то на извлеченные TMP файлы может закричать монитор применяемого антивируса. Это нормально, и AVZ на такое расчитан ... а мониторы нередко настроены так, что не проверяют архивы, дабы тормозов было меньше.
2. Если включить снятие перехватов, то AVZ может временно отключить перехватчики антивируса - поэтому в логе/алертах и т.п. идет настойчивое предложение немедленно перезагрузиться, и его лучше не игнорировать. По умолчанию нейтрализация перехватов в AVZ не производится
3. AVZ может ругаться на компоненты антивирусов (как на перехватчики, внедренные объекты и т.п.) - это нормально, ничего он им не сделает - максимум в карантин скопирует. AV софт аналогично может реагировать на AVZ - например, проактивка может выдавать запросы о том, что AVZ ставит свои драйвера, обращается к запущенным процессам и т.п. Это столь-же нормально, как и реакция AVZ на AV софт - констатируется факт, выдается алерт ...
4. В случае лечения возможен конфликт на логическом уровне - например из AVZ вручную или скриптом правится скажем некий ключ реестра, а AV софт его агрессивно защищает или восстанавливает. Ничего страшного не будет, но тут уже что называется "кто кого"

Oleg_Zaitsev

Я бы на всякий случай внёс в документацию эту информацию. По опыта знаю - поток бестолковых вопросов при хорошей документации удаётся сократить с реки до тоненькой струйки. Сам так делал. А для особо тупых плакат формата А0 повесил с надписью "Главный отвечатель" и стрелкой на стопку мануалов. Два дня мои полковники рычали, ругались, аж к генералу ходили, а потом им пришлось шевелить извилинами. И ничего, справились.

Этот анти-спай и у меня есть, только из 986 вирусов он нашёл всего 35+частые ложные срабатывания, но в ообщем алгоритм мне понравился - очень оригинальный