*** Что такое AVZ Антивирусная утилита AVZ является инструментом для исследования и восстановления системы. Она предназначена для автоматического или ручного поиска и удаления SpyWare- и AdWare-модулей, руткитов и вредоносных программ, маскирующих свои процессы, троянских программ, BackDoor-модулей, сетевых и почтовых червей, TrojanSpy, TrojanDownloader, TrojanDropper, «дозвонщиков» (Dialer, Trojan.Dialer, Porn-Dialer), клавиатурных шпионов и прочих программ, которые могут применяться для слежения за пользователем ПК.
Утилита AVZ также может осуществлять: – эвристическое удаление файлов; – проверку архивов и составных файлов (проверяются архивы формата ZIP, RAR, CAB, GZIP, TAR; письма электронной почты и MHT-файлы; CHM-архивы); – проверку и лечение потоков NTFS.
AVZ является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware. Первая версия утилиты появилась в 2004 г. Разработчик AVZ – Олег Зайцев.
Утилита AVZ содержит: – типовой сигнатурный сканер; – микропрограммы эвристической проверки системы. Проводят поиск вредоносного ПО по косвенным признакам (на основании анализа Реестра, файлов на диске и в памяти); – обновляемую базу безопасных файлов; – встроенную систему обнаружения руткитов (Rootkit). Поиск RootKit идет без применения сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы UserMode RootKit для своего процесса и KernelMode RootKit на уровне системы; – детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и троянских DLL ведется на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать неизвестные троянские DLL и Keylogger; – нейроанализатор. Позволяет производить исследование подозрительных файлов при помощи нейросети. В настоящее время нейросеть применяется в детекторе кейлоггеров; – встроенный анализатор Winsock SPI/LSP-настроек. Позволяет анализировать настройки, диагностировать возможные ошибки в настройке и устранять их; – встроенный диспетчер процессов, сервисов и драйверов. Предназначен для изучения запущенных процессов, библиотек, сервисов и драйверов. На работу диспетчера процессов распространяется действие антируткита (как следствие – он «видит» маскируемые руткитом процессы). Диспетчер процессов связан с базой безопасных файлов AVZ, опознанные безопасные и системные файлы выделяются цветом;
– встроенную утилиту для поиска файлов на диске (с сохранением результатов поиска). Позволяет искать файл по различным критериям, возможности системы поиска превосходят возможности системного поиска; – встроенную утилиту для поиска данных в Реестре (с сохранением результатов поиска). Позволяет искать ключи и параметры по заданному образцу; – встроенный анализатор открытых портов TCP/UDP; – встроенный анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов; – встроенный анализатор Downloaded Program Files (DPF); – микропрограммы восстановления системы. Проводят восстановление настроек Internet Explorer, параметров запуска программ и иных системных параметров, повреждаемых вредоносными программами. Восстановление запускается вручную, восстанавливаемые параметры указываются пользователем; – скрипты управления. Позволяют администратору написать скрипт, выполняющий на ПК пользователя набор заданных операций. Скрипты позволяют применять AVZ в корпоративной сети, включая его запуск в ходе загрузки системы; – анализатор процессов. Использует нейросети и микропрограммы анализа, включается при включении расширенного анализа на максимальном уровне эвристики. Предназначен для поиска подозрительных процессов в памяти; – систему AVZGuard. Предназначена для борьбы с трудноудаляемыми вредоносными программами; – систему прямого доступа к диску для работы с заблокированными файлами. Работает на FAT16/FAT32/NTFS, поддерживается на всех операционных системах линейки NT, позволяет сканеру анализировать заблокированные файлы и помещать их в карантин; – драйвер мониторинга процессов и драйверов. Предназначен для отслеживания запуска и остановки процессов и загрузки/выгрузки драйверов для поиска маскирующихся драйверов и обнаружения искажений в описывающих процессы и драйверы структурах, создаваемых руткитами; – драйвер Boot Cleaner. Предназначен для выполнения чистки системы (удаление файлов, драйверов и служб, ключей Реестра) из KernelMode. Операция чистки может выполняться как в процессе перезагрузки ПК, так и в ходе лечения.
*** Основные отличия AVZ – возможность настройки реакции программы на каждую из категорий вредоносных программы (например, можно задать режим удаления найденных вирусов и троянских программ, но заблокировать удаление AdWare); – наличие многочисленных эвристических проверок системы; – наличие встроенной базы данных с цифровыми подписями десятков тысяч системных файлов и файлов известных безопасных процессов. Применение этой базы позволяет уменьшить количество ложных срабатываний. База подключена ко всем системам AVZ и работает по принципу «свой/чужой» – безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений.
*** Как пользоваться антивирусной утилитой AVZ – зайдите на страницу z-oleg.com/secur/avz/download.php; – скачайте архив с утилитой; – распакуйте архив; – запустите файл avz.exe; – в окне утилиты на вкладке Область поиска задайте место поиска вредоносного ПО (диски, папки);
– по умолчанию установлены флажки Проверять запущенные процессы, Эвристическая проверка системы, Поиск потенциальных уязвимостей; – установите флажок Выполнять лечение; – в выпадающих списках Вирусы, AdWare, Spy/Spyware, Dialer/PornWare, HackTool, RiskWare задайте действие, выполняемое при обнаружении (Удалять, Только отчет, Спросить у пользователя); – при необходимости установите флажки Эвристическое удаление файлов, Копировать удаляемые файлы в Infected, Копировать подозрительные в карантин;
– на вкладке Типы файлов по умолчанию установлено – Потенциально опасные файлы, Проверять потоки NTFS, Проверять архивы, Не проверять архивы более 10МБ – при необходимости внесите нужные поправки;
– на вкладке Параметры поиска по умолчанию установлено – Средний уровень эвристики, Детектировать перехватчики API и RootKit, Проверять настройки SPI/LSP, Поиск клавиатурных перехватчиков (Keylogger) – при необходимости внесите нужные поправки;
– нажмите кнопку Пуск; – дождитесь завершения сканирования;
– в прокручиваемом списке Протокол ознакомьтесь с результатами; – нажатием на кнопку Сохранить протокол вы можете сохранить результаты сканирования (имя файла протокола по умолчанию – avz_log.txt); – если у вас есть подозрение на наличие в системе вирусов (или другие вопросы по AVZ), вы можете обратиться в конференцию – virusinfo.info.
*** Что делать, если AVZ обнаружил (или якобы обнаружил!) вирус или вредоносную программу? Предоставим слово разработчику: «AVZ задумана как утилита, оснащенная массой различных проверок и анализаторов, порой параноидальных. Это сделано специально, т.к. AVZ часто применяется для анализа ПК, проверка которых другими средствами ничего не дала. Поэтому ложные срабатывания возможны, и в этом случае в протоколе для объекта дается формулировка «Подозрение на…» (категория вредоносной программы и уточняющие данные). В случае обнаружения подозрительных объектов следует придерживаться следующей методики: 1. Ни в коем случае не следует уничтожать подозрительные файлы. То, что файл заподозрен анализатором, еще не означает, что он опасен. Необходимо поместить подозрительные файлы в карантин AVZ и выслать мне на адрес newvirus@z-oleg.com. При создании архива вручную очень желательно задать пароль, иначе письмо может быть блокировано вашим почтовым сервером; 2. В письме необходимо кратко изложить суть проблемы, какие есть подозрения. Очень желательно приложить протокол AVZ; 3. Дождаться ответа с результатами анализа».
*** Расширенные возможности AVZ Утилита AVZ содержит много дополнительных функций. Например, • меню Файл –>
– Исследование системы; – Восстановление системы;
– Резервное копирование; – Ревизор; – Мастер поиска и устранения проблем; – Стандартные скрипты; – Выполнить скрипт; – Обновление баз; – Просмотр списка подозрительных объектов; – Просмотр папки Infected; – Просмотр карантина; – Добавление в карантин по списку; – Автокарантин; – Отложенное удаление файла; – Сохранить профиль настроек; – Загрузить профиль настроек;
• меню Сервис –>
– Диспетчер процессов; – Диспетчер служб и драйверов; – Модули пространства ядра; – Менеджер внедренных DLL; – Поиск данных в Реестре; – Поиск файлов на диске; – Поиск Cookie по данным; – Менеджер автозапуска; – Менеджер расширений IE (BHO, панели); – Менеджер апплетов панели управления (CPL); – Менеджер расширений проводника; – Менеджер расширений системы печати; – Менеджер планировщика заданий (Task Scheduler); – Менеджер протоколов и обработчиков; – Менеджер Downloaded Program Files; – Менеджер Active Setup; – Менеджер Winsock SPI (LSP, NSP, TSP); – Менеджер файла Hosts; – Открытые порты TCP/UDP; – Общие ресурсы и сетевые сеансы; – Системные утилиты (Редактор реестра Regedit, настройка системы MsConfig, проверка системных файлов SFC); – Проверить файл по базе безопасных файлов; – Проверить подлинность файла по каталогу безопасности Microsoft; – Вычислить MD5 сумму файла.
*** Скрипты AVZ AVZ изначально создавалась как утилита для сисадмина. Проверка конкретного ПК удобна в случае запуска AVZ вручную и работы в диалоговом режиме. Однако для оперативной проверки большого количества ПК (или для выполнения их периодической проверки в ходе загрузки) необходима возможность автоматизации. Первым шагом в этом направлении была поддержка ключей командной строки. Однако ключи позволяют настроить AVZ, но не дают особой гибкости в работе с ним. Поэтому начиная с версии 3.80 введена поддержка внешних скриптов управления, которые могут создаваться администратором.
Скрипт позволяет: – модифицировать все настройки AVZ; – запускать проверку и лечение заданных папок и дисков; – сохранять протоколы (причем в протокол могут вноситься поясняющие данные); – выполнять исследование системы; – помещать в карантин файлы; – выполнять блокирование перехватчиков UserMode и KernelMode; – …
Главной особенностью скрипта является возможность использования условных операторов и циклов, объявления переменных различных типов, проведения операций с числами и строками. Всё это позволяет решать ряд сложных задач, реализация которых невозможна с помощью ключей командной строки (например, проводить избирательную настройку AVZ для каждого проверяемого ПК, проводить лечение определённых папок и т.д.).
*** Редактор скриптов AVZ Редактор скриптов AVZ является инструментом для полуавтоматической разработки скриптов встроенного в AVZ интерпретатора.
Редактор скриптов позволяет: – просматривать уже готовые скрипты с подсветкой синтаксиса и команд скриптового языка; – осуществлять генерацию типовых скриптов при помощи Мастера создания скрипта;
– получать оперативную справку по всем специализированным командам скриптового языка. Предусмотрена возможность автоматического открытия online-справки по любой из команд редактируемого скрипта; – проверять синтаксическую корректность скрипта без его выполнения и осуществлять поиск ошибок; – визуально добавлять в скрипт любую из процедур/функций с возможностью поиска команд по синтаксису, именам параметров, описанию и группе. При добавлении команда автоматически комментируется и формируется шаблон для ее параметров; – создавать скрипты на базе шаблонов пользователя; – формировать на основании шаблонов текст, содержащий скрипт.
Редактор поддерживает параметры командной строки – в качестве первого параметра можно указать имя скрипта, который следует загрузить после запуска редактора.
Редактор скриптов можно скачать на странице загрузки – www.z-oleg.com/secur/avz/download.php.
*** Обновление AVZ Для обновления утилиты выберите меню Файл –> Обновление баз; – в окне Оперативное автоматическое обновление выберите источник обновления, проверьте настройки; – нажмите Пуск;
– дождитесь завершения процесса обновления.
Ручное обновление AVZ – закройте программу AVZ; – скачайте свежие базы для AVZ по ссылке z-oleg.com/secur/avz_up/avzbase.zip; – распакуйте скачанный архив в папку Base программы AVZ (санкционируя замену файлов – Да для всех).
Примечания 1. Архив с утилитой содержит базу вирусов, нейропрофили, микропрограммы лечения, эвристики, поиска и устранения проблем. 2. Ограничения программы: – в настоящий момент не поддерживается проверка архивов некоторых типов, PE-упаковщиков; – утилита не лечит программы, заражённые компьютерными вирусами.
Валерий Сидоров
*** • Дело о… • Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + … • Apps for iPad, iPhone, iPod touch…
|
18+
© 2017. All rights reserved.
Авторство всех материалов сайта https://netler.ru принадлежит Валерию Сидорову и охраняется Законом о защите авторских прав. Использование материалов сайта в offline-изданиях без согласования с автором категорически запрещается. В online-изданиях разрешается использовать материалы сайта при условии сохранения имени и фамилии автора и активной гиперссылки на сайт https://netler.ru.