Путеводитель по сайту

Незаменимая «софтина» для ленивого сисадмина, или Как пользоваться антивирусной утилитой AVZ?

 

 

***

Что такое AVZ

Антивирусная утилита AVZ является инструментом для исследования и восстановления системы. Она предназначена для автоматического или ручного поиска и удаления SpyWare- и AdWare-модулей, руткитов и вредоносных программ, маскирующих свои процессы, троянских программ, BackDoor-модулей, сетевых и почтовых червей, TrojanSpy, TrojanDownloader, TrojanDropper, «дозвонщиков» (Dialer, Trojan.Dialer, Porn-Dialer), клавиатурных шпионов и прочих программ, которые могут применяться для слежения за пользователем ПК.

 

Утилита AVZ также может осуществлять:

– эвристическое удаление файлов;

– проверку архивов и составных файлов (проверяются архивы формата ZIP, RAR, CAB, GZIP, TAR; письма электронной почты и MHT-файлы; CHM-архивы);

– проверку и лечение потоков NTFS.

 

AVZ является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware.

Первая версия утилиты появилась в 2004 г. Разработчик AVZ – Олег Зайцев.

 

Утилита AVZ содержит:

– типовой сигнатурный сканер;

– микропрограммы эвристической проверки системы. Проводят поиск вредоносного ПО по косвенным признакам (на основании анализа Реестра, файлов на диске и в памяти);

– обновляемую базу безопасных файлов;

– встроенную систему обнаружения руткитов (Rootkit). Поиск RootKit идет без применения сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы UserMode RootKit для своего процесса и KernelMode RootKit на уровне системы;

– детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и троянских DLL ведется на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать неизвестные троянские DLL и Keylogger;

– нейроанализатор. Позволяет производить исследование подозрительных файлов при помощи нейросети. В настоящее время нейросеть применяется в детекторе кейлоггеров;

– встроенный анализатор Winsock SPI/LSP-настроек. Позволяет анализировать настройки, диагностировать возможные ошибки в настройке и устранять их;

– встроенный диспетчер процессов, сервисов и драйверов. Предназначен для изучения запущенных процессов, библиотек, сервисов и драйверов. На работу диспетчера процессов распространяется действие антируткита (как следствие – он «видит» маскируемые руткитом процессы). Диспетчер процессов связан с базой безопасных файлов AVZ, опознанные безопасные и системные файлы выделяются цветом;

 

Незаменимая «софтина» для ленивого сисадмина, или Как пользоваться антивирусной утилитой AVZ?

 

– встроенную утилиту для поиска файлов на диске (с сохранением результатов поиска). Позволяет искать файл по различным критериям, возможности системы поиска превосходят возможности системного поиска;

– встроенную утилиту для поиска данных в Реестре (с сохранением результатов поиска). Позволяет искать ключи и параметры по заданному образцу;

– встроенный анализатор открытых портов TCP/UDP;

– встроенный анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов;

– встроенный анализатор Downloaded Program Files (DPF);

– микропрограммы восстановления системы. Проводят восстановление настроек Internet Explorer, параметров запуска программ и иных системных параметров, повреждаемых вредоносными программами. Восстановление запускается вручную, восстанавливаемые параметры указываются пользователем;

– скрипты управления. Позволяют администратору написать скрипт, выполняющий на ПК пользователя набор заданных операций. Скрипты позволяют применять AVZ в корпоративной сети, включая его запуск в ходе загрузки системы;

– анализатор процессов. Использует нейросети и микропрограммы анализа, включается при включении расширенного анализа на максимальном уровне эвристики. Предназначен для поиска подозрительных процессов в памяти;

– систему AVZGuard. Предназначена для борьбы с трудноудаляемыми вредоносными программами;

– систему прямого доступа к диску для работы с заблокированными файлами. Работает на FAT16/FAT32/NTFS, поддерживается на всех операционных системах линейки NT, позволяет сканеру анализировать заблокированные файлы и помещать их в карантин;

драйвер мониторинга процессов и драйверов. Предназначен для отслеживания запуска и остановки процессов и загрузки/выгрузки драйверов для поиска маскирующихся драйверов и обнаружения искажений в описывающих процессы и драйверы структурах, создаваемых руткитами;

драйвер Boot Cleaner. Предназначен для выполнения чистки системы (удаление файлов, драйверов и служб, ключей Реестра) из KernelMode. Операция чистки может выполняться как в процессе перезагрузки ПК, так и в ходе лечения.

 

***

Основные отличия AVZ

– возможность настройки реакции программы на каждую из категорий вредоносных программы (например, можно задать режим удаления найденных вирусов и троянских программ, но заблокировать удаление AdWare);

– наличие многочисленных эвристических проверок системы;

– наличие встроенной базы данных с цифровыми подписями десятков тысяч системных файлов и файлов известных безопасных процессов. Применение этой базы позволяет уменьшить количество ложных срабатываний. База подключена ко всем системам AVZ и работает по принципу «свой/чужой» – безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений.

 

 

***

Как пользоваться антивирусной утилитой AVZ

– зайдите на страницу z-oleg.com/secur/avz/download.php;

– скачайте архив с утилитой;

– распакуйте архив;

– запустите файл avz.exe;

– в окне утилиты на вкладке Область поиска задайте место поиска вредоносного ПО (диски, папки);

 

Незаменимая «софтина» для ленивого сисадмина, или Как пользоваться антивирусной утилитой AVZ?

 

– по умолчанию установлены флажки Проверять запущенные процессы, Эвристическая проверка системы, Поиск потенциальных уязвимостей;

– установите флажок Выполнять лечение;

– в выпадающих списках Вирусы, AdWare, Spy/Spyware, Dialer/PornWare, HackTool, RiskWare задайте действие, выполняемое при обнаружении (Удалять, Только отчет, Спросить у пользователя);

– при необходимости установите флажки Эвристическое удаление файлов, Копировать удаляемые файлы в Infected, Копировать подозрительные в карантин;

 

– на вкладке Типы файлов по умолчанию установлено – Потенциально опасные файлы, Проверять потоки NTFS, Проверять архивы, Не проверять архивы более 10МБ – при необходимости внесите нужные поправки;

 

Незаменимая «софтина» для ленивого сисадмина, или Как пользоваться антивирусной утилитой AVZ?

 

 

– на вкладке Параметры поиска по умолчанию установлено – Средний уровень эвристики, Детектировать перехватчики API и RootKit, Проверять настройки SPI/LSP, Поиск клавиатурных перехватчиков (Keylogger) – при необходимости внесите нужные поправки;

 

Незаменимая «софтина» для ленивого сисадмина, или Как пользоваться антивирусной утилитой AVZ?

 

– нажмите кнопку Пуск;

– дождитесь завершения сканирования;

 

Незаменимая «софтина» для ленивого сисадмина, или Как пользоваться антивирусной утилитой AVZ?

 

– в прокручиваемом списке Протокол ознакомьтесь с результатами;

– нажатием на кнопку Сохранить протокол вы можете сохранить результаты сканирования (имя файла протокола по умолчанию – avz_log.txt);

– если у вас есть подозрение на наличие в системе вирусов (или другие вопросы по AVZ), вы можете обратиться в конференцию – virusinfo.info.

 

 

***

Что делать, если AVZ обнаружил (или якобы обнаружил!) вирус или вредоносную программу?

Предоставим слово разработчику:

«AVZ задумана как утилита, оснащенная массой различных проверок и анализаторов, порой параноидальных. Это сделано специально, т.к. AVZ часто применяется для анализа ПК, проверка которых другими средствами ничего не дала. Поэтому ложные срабатывания возможны, и в этом случае в протоколе для объекта дается формулировка «Подозрение на…» (категория вредоносной программы и уточняющие данные).

В случае обнаружения подозрительных объектов следует придерживаться следующей методики:

1. Ни в коем случае не следует уничтожать подозрительные файлы. То, что файл заподозрен анализатором, еще не означает, что он опасен. Необходимо поместить подозрительные файлы в карантин AVZ и выслать мне на адрес newvirus@z-oleg.com. При создании архива вручную очень желательно задать пароль, иначе письмо может быть блокировано вашим почтовым сервером;

2. В письме необходимо кратко изложить суть проблемы, какие есть подозрения. Очень желательно приложить протокол AVZ;

3. Дождаться ответа с результатами анализа».

 

 

***

Расширенные возможности AVZ

Утилита AVZ содержит много дополнительных функций. Например,

• меню Файл –>

 

Незаменимая «софтина» для ленивого сисадмина, или Как пользоваться антивирусной утилитой AVZ?

 

   – Исследование системы;

   – Восстановление системы;

 

Незаменимая «софтина» для ленивого сисадмина, или Как пользоваться антивирусной утилитой AVZ?

 

   – Резервное копирование;

   – Ревизор;

   – Мастер поиска и устранения проблем;

   – Стандартные скрипты;

   – Выполнить скрипт;

   – Обновление баз;

   – Просмотр списка подозрительных объектов;

   – Просмотр папки Infected;

   – Просмотр карантина;

   – Добавление в карантин по списку;

   – Автокарантин;

   – Отложенное удаление файла;

   – Сохранить профиль настроек;

   – Загрузить профиль настроек;

 

• меню Сервис –>

 

Незаменимая «софтина» для ленивого сисадмина, или Как пользоваться антивирусной утилитой AVZ?

 

   – Диспетчер процессов;

   – Диспетчер служб и драйверов;

   – Модули пространства ядра;

   – Менеджер внедренных DLL;

   – Поиск данных в Реестре;

   – Поиск файлов на диске;

   – Поиск Cookie по данным;

   – Менеджер автозапуска;

   – Менеджер расширений IE (BHO, панели);

   – Менеджер апплетов панели управления (CPL);

   – Менеджер расширений проводника;

   – Менеджер расширений системы печати;

   – Менеджер планировщика заданий (Task Scheduler);

   – Менеджер протоколов и обработчиков;

   – Менеджер Downloaded Program Files;

   – Менеджер Active Setup;

   – Менеджер Winsock SPI (LSP, NSP, TSP);

   – Менеджер файла Hosts;

   – Открытые порты TCP/UDP;

   – Общие ресурсы и сетевые сеансы;

   – Системные утилиты (Редактор реестра Regedit, настройка системы MsConfig, проверка системных файлов SFC);

   – Проверить файл по базе безопасных файлов;

   – Проверить подлинность файла по каталогу безопасности Microsoft;

   – Вычислить MD5 сумму файла.

 

 

 

 

***

Скрипты AVZ

AVZ изначально создавалась как утилита для сисадмина. Проверка конкретного ПК удобна в случае запуска AVZ вручную и работы в диалоговом режиме.

Однако для оперативной проверки большого количества ПК (или для выполнения их периодической проверки в ходе загрузки) необходима возможность автоматизации. Первым шагом в этом направлении была поддержка ключей командной строки. Однако ключи позволяют настроить AVZ, но не дают особой гибкости в работе с ним. Поэтому начиная с версии 3.80 введена поддержка внешних скриптов управления, которые могут создаваться администратором.

 

Скрипт позволяет:

– модифицировать все настройки AVZ;

– запускать проверку и лечение заданных папок и дисков;

– сохранять протоколы (причем в протокол могут вноситься поясняющие данные);

– выполнять исследование системы;

– помещать в карантин файлы;

– выполнять блокирование перехватчиков UserMode и KernelMode;

– …

 

Главной особенностью скрипта является возможность использования условных операторов и циклов, объявления переменных различных типов, проведения операций с числами и строками. Всё это позволяет решать ряд сложных задач, реализация которых невозможна с помощью ключей командной строки (например, проводить избирательную настройку AVZ для каждого проверяемого ПК, проводить лечение определенных папок и т.д.).

 

 

***

Редактор скриптов AVZ

Редактор скриптов AVZ является инструментом для полуавтоматической разработки скриптов встроенного в AVZ интерпретатора.

 

Незаменимая «софтина» для ленивого сисадмина, или Как пользоваться антивирусной утилитой AVZ?

 

 

Редактор скриптов позволяет:

– просматривать уже готовые скрипты с подсветкой синтаксиса и команд скриптового языка;

– осуществлять генерацию типовых скриптов при помощи Мастера создания скрипта;

 

Незаменимая «софтина» для ленивого сисадмина, или Как пользоваться антивирусной утилитой AVZ?

 

– получать оперативную справку по всем специализированным командам скриптового языка. Предусмотрена возможность автоматического открытия online-справки по любой из команд редактируемого скрипта;

– проверять синтаксическую корректность скрипта без его выполнения и осуществлять поиск ошибок;

– визуально добавлять в скрипт любую из процедур/функций с возможностью поиска команд по синтаксису, именам параметров, описанию и группе. При добавлении команда автоматически комментируется и формируется шаблон для ее параметров;

– создавать скрипты на базе шаблонов пользователя;

– формировать на основании шаблонов текст, содержащий скрипт.

 

Редактор поддерживает параметры командной строки – в качестве первого параметра можно указать имя скрипта, который следует загрузить после запуска редактора.

 

Редактор скриптов можно скачать на странице загрузки – www.z-oleg.com/secur/avz/download.php.

 

 

***

Обновление AVZ

Для обновления утилиты выберите меню Файл –> Обновление баз;

– в окне Оперативное автоматическое обновление выберите источник обновления, проверьте настройки;

– нажмите Пуск;

 

Незаменимая «софтина» для ленивого сисадмина, или Как пользоваться антивирусной утилитой AVZ?

 

– дождитесь завершения процесса обновления.

 

Ручное обновление AVZ

– закройте программу AVZ;

– скачайте свежие базы для AVZ по ссылке z-oleg.com/secur/avz_up/avzbase.zip;

– распакуйте скачанный архив в папку Base программы AVZ (санкционируя замену файлов – Да для всех).

 

 

Примечания

1. Архив с утилитой содержит базу вирусов, нейропрофили, микропрограммы лечения, эвристики, поиска и устранения проблем.

2. Ограничения программы:

   – в настоящий момент не поддерживается проверка архивов некоторых типов, PE-упаковщиков;

   – утилита не лечит программы, заражённые компьютерными вирусами.

 

Валерий Сидоров

 

 

***

Раскрывая тайны Windows…

Дело о…

Статьи о ПК и PC

Вирусы vs. антивирусы

Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …

Apps for iPad, iPhone, iPod touch…

 

 

 

 

 

 

Путеводитель по сайту

18+

© Сидоров В.В. 2016. All rights reserved.

Авторство всех материалов сайта http://netler.ru принадлежит Валерию Сидорову и охраняется Законом о защите авторских прав. Использование материалов сайта в offline-изданиях без согласования с автором категорически запрещается. В online-изданиях разрешается использовать материалы сайта при условии сохранения имени и фамилии автора и активной гиперссылки на сайт http://netler.ru.