***
Что такое AVZ
Антивирусная утилита AVZ является инструментом для исследования и восстановления системы. Она предназначена для автоматического или ручного поиска и удаления SpyWare- и AdWare-модулей, руткитов и вредоносных программ, маскирующих свои процессы, троянских программ, BackDoor-модулей, сетевых и почтовых червей, TrojanSpy, TrojanDownloader, TrojanDropper, «дозвонщиков» (Dialer, Trojan.Dialer, Porn-Dialer), клавиатурных шпионов и прочих программ, которые могут применяться для слежения за пользователем ПК.
Утилита AVZ также может осуществлять:
– эвристическое удаление файлов;
– проверку архивов и составных файлов (проверяются архивы формата ZIP, RAR, CAB, GZIP, TAR; письма электронной почты и MHT-файлы; CHM-архивы);
– проверку и лечение потоков NTFS.
AVZ является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware.
Первая версия утилиты появилась в 2004 г. Разработчик AVZ – Олег Зайцев.
Утилита AVZ содержит:
– типовой сигнатурный сканер;
– микропрограммы эвристической проверки системы. Проводят поиск вредоносного ПО по косвенным признакам (на основании анализа Реестра, файлов на диске и в памяти);
– обновляемую базу безопасных файлов;
– встроенную систему обнаружения руткитов (Rootkit). Поиск RootKit идет без применения сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы UserMode RootKit для своего процесса и KernelMode RootKit на уровне системы;
– детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и троянских DLL ведется на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать неизвестные троянские DLL и Keylogger;
– нейроанализатор. Позволяет производить исследование подозрительных файлов при помощи нейросети. В настоящее время нейросеть применяется в детекторе кейлоггеров;
– встроенный анализатор Winsock SPI/LSP-настроек. Позволяет анализировать настройки, диагностировать возможные ошибки в настройке и устранять их;
– встроенный диспетчер процессов, сервисов и драйверов. Предназначен для изучения запущенных процессов, библиотек, сервисов и драйверов. На работу диспетчера процессов распространяется действие антируткита (как следствие – он «видит» маскируемые руткитом процессы). Диспетчер процессов связан с базой безопасных файлов AVZ, опознанные безопасные и системные файлы выделяются цветом;
– встроенную утилиту для поиска файлов на диске (с сохранением результатов поиска). Позволяет искать файл по различным критериям, возможности системы поиска превосходят возможности системного поиска;
– встроенную утилиту для поиска данных в Реестре (с сохранением результатов поиска). Позволяет искать ключи и параметры по заданному образцу;
– встроенный анализатор открытых портов TCP/UDP;
– встроенный анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов;
– встроенный анализатор Downloaded Program Files (DPF);
– микропрограммы восстановления системы. Проводят восстановление настроек Internet Explorer, параметров запуска программ и иных системных параметров, повреждаемых вредоносными программами. Восстановление запускается вручную, восстанавливаемые параметры указываются пользователем;
– скрипты управления. Позволяют администратору написать скрипт, выполняющий на ПК пользователя набор заданных операций. Скрипты позволяют применять AVZ в корпоративной сети, включая его запуск в ходе загрузки системы;
– анализатор процессов. Использует нейросети и микропрограммы анализа, включается при включении расширенного анализа на максимальном уровне эвристики. Предназначен для поиска подозрительных процессов в памяти;
– систему AVZGuard. Предназначена для борьбы с трудноудаляемыми вредоносными программами;
– систему прямого доступа к диску для работы с заблокированными файлами. Работает на FAT16/FAT32/NTFS, поддерживается на всех операционных системах линейки NT, позволяет сканеру анализировать заблокированные файлы и помещать их в карантин;
– драйвер мониторинга процессов и драйверов. Предназначен для отслеживания запуска и остановки процессов и загрузки/выгрузки драйверов для поиска маскирующихся драйверов и обнаружения искажений в описывающих процессы и драйверы структурах, создаваемых руткитами;
– драйвер Boot Cleaner. Предназначен для выполнения чистки системы (удаление файлов, драйверов и служб, ключей Реестра) из KernelMode. Операция чистки может выполняться как в процессе перезагрузки ПК, так и в ходе лечения.
***
Основные отличия AVZ
– возможность настройки реакции программы на каждую из категорий вредоносных программы (например, можно задать режим удаления найденных вирусов и троянских программ, но заблокировать удаление AdWare);
– наличие многочисленных эвристических проверок системы;
– наличие встроенной базы данных с цифровыми подписями десятков тысяч системных файлов и файлов известных безопасных процессов. Применение этой базы позволяет уменьшить количество ложных срабатываний. База подключена ко всем системам AVZ и работает по принципу «свой/чужой» – безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений.
***
Как пользоваться антивирусной утилитой AVZ
– зайдите на страницу z-oleg.com/secur/avz/download.php;
– скачайте архив с утилитой;
– распакуйте архив;
– запустите файл avz.exe;
– в окне утилиты на вкладке Область поиска задайте место поиска вредоносного ПО (диски, папки);
– по умолчанию установлены флажки Проверять запущенные процессы, Эвристическая проверка системы, Поиск потенциальных уязвимостей;
– установите флажок Выполнять лечение;
– в выпадающих списках Вирусы, AdWare, Spy/Spyware, Dialer/PornWare, HackTool, RiskWare задайте действие, выполняемое при обнаружении (Удалять, Только отчет, Спросить у пользователя);
– при необходимости установите флажки Эвристическое удаление файлов, Копировать удаляемые файлы в Infected, Копировать подозрительные в карантин;
– на вкладке Типы файлов по умолчанию установлено – Потенциально опасные файлы, Проверять потоки NTFS, Проверять архивы, Не проверять архивы более 10МБ – при необходимости внесите нужные поправки;
– на вкладке Параметры поиска по умолчанию установлено – Средний уровень эвристики, Детектировать перехватчики API и RootKit, Проверять настройки SPI/LSP, Поиск клавиатурных перехватчиков (Keylogger) – при необходимости внесите нужные поправки;
– нажмите кнопку Пуск;
– дождитесь завершения сканирования;
– в прокручиваемом списке Протокол ознакомьтесь с результатами;
– нажатием на кнопку Сохранить протокол вы можете сохранить результаты сканирования (имя файла протокола по умолчанию – avz_log.txt);
– если у вас есть подозрение на наличие в системе вирусов (или другие вопросы по AVZ), вы можете обратиться в конференцию – virusinfo.info.
***
Что делать, если AVZ обнаружил (или якобы обнаружил!) вирус или вредоносную программу?
Предоставим слово разработчику:
«AVZ задумана как утилита, оснащенная массой различных проверок и анализаторов, порой параноидальных. Это сделано специально, т.к. AVZ часто применяется для анализа ПК, проверка которых другими средствами ничего не дала. Поэтому ложные срабатывания возможны, и в этом случае в протоколе для объекта дается формулировка «Подозрение на…» (категория вредоносной программы и уточняющие данные).
В случае обнаружения подозрительных объектов следует придерживаться следующей методики:
1. Ни в коем случае не следует уничтожать подозрительные файлы. То, что файл заподозрен анализатором, еще не означает, что он опасен. Необходимо поместить подозрительные файлы в карантин AVZ и выслать мне на адрес newvirus@z-oleg.com. При создании архива вручную очень желательно задать пароль, иначе письмо может быть блокировано вашим почтовым сервером;
2. В письме необходимо кратко изложить суть проблемы, какие есть подозрения. Очень желательно приложить протокол AVZ;
3. Дождаться ответа с результатами анализа».
***
Расширенные возможности AVZ
Утилита AVZ содержит много дополнительных функций. Например,
• меню Файл –>
– Исследование системы;
– Восстановление системы;
– Резервное копирование;
– Ревизор;
– Мастер поиска и устранения проблем;
– Стандартные скрипты;
– Выполнить скрипт;
– Обновление баз;
– Просмотр списка подозрительных объектов;
– Просмотр папки Infected;
– Просмотр карантина;
– Добавление в карантин по списку;
– Автокарантин;
– Отложенное удаление файла;
– Сохранить профиль настроек;
– Загрузить профиль настроек;
• меню Сервис –>
– Диспетчер процессов;
– Диспетчер служб и драйверов;
– Модули пространства ядра;
– Менеджер внедренных DLL;
– Поиск данных в Реестре;
– Поиск файлов на диске;
– Поиск Cookie по данным;
– Менеджер автозапуска;
– Менеджер расширений IE (BHO, панели);
– Менеджер апплетов панели управления (CPL);
– Менеджер расширений проводника;
– Менеджер расширений системы печати;
– Менеджер планировщика заданий (Task Scheduler);
– Менеджер протоколов и обработчиков;
– Менеджер Downloaded Program Files;
– Менеджер Active Setup;
– Менеджер Winsock SPI (LSP, NSP, TSP);
– Менеджер файла Hosts;
– Открытые порты TCP/UDP;
– Общие ресурсы и сетевые сеансы;
– Системные утилиты (Редактор реестра Regedit, настройка системы MsConfig, проверка системных файлов SFC);
– Проверить файл по базе безопасных файлов;
– Проверить подлинность файла по каталогу безопасности Microsoft;
– Вычислить MD5 сумму файла.
***
Скрипты AVZ
AVZ изначально создавалась как утилита для сисадмина. Проверка конкретного ПК удобна в случае запуска AVZ вручную и работы в диалоговом режиме.
Однако для оперативной проверки большого количества ПК (или для выполнения их периодической проверки в ходе загрузки) необходима возможность автоматизации. Первым шагом в этом направлении была поддержка ключей командной строки. Однако ключи позволяют настроить AVZ, но не дают особой гибкости в работе с ним. Поэтому начиная с версии 3.80 введена поддержка внешних скриптов управления, которые могут создаваться администратором.
Скрипт позволяет:
– модифицировать все настройки AVZ;
– запускать проверку и лечение заданных папок и дисков;
– сохранять протоколы (причем в протокол могут вноситься поясняющие данные);
– выполнять исследование системы;
– помещать в карантин файлы;
– выполнять блокирование перехватчиков UserMode и KernelMode;
– …
Главной особенностью скрипта является возможность использования условных операторов и циклов, объявления переменных различных типов, проведения операций с числами и строками. Всё это позволяет решать ряд сложных задач, реализация которых невозможна с помощью ключей командной строки (например, проводить избирательную настройку AVZ для каждого проверяемого ПК, проводить лечение определённых папок и т.д.).
***
Редактор скриптов AVZ
Редактор скриптов AVZ является инструментом для полуавтоматической разработки скриптов встроенного в AVZ интерпретатора.
Редактор скриптов позволяет:
– просматривать уже готовые скрипты с подсветкой синтаксиса и команд скриптового языка;
– осуществлять генерацию типовых скриптов при помощи Мастера создания скрипта;
– получать оперативную справку по всем специализированным командам скриптового языка. Предусмотрена возможность автоматического открытия online-справки по любой из команд редактируемого скрипта;
– проверять синтаксическую корректность скрипта без его выполнения и осуществлять поиск ошибок;
– визуально добавлять в скрипт любую из процедур/функций с возможностью поиска команд по синтаксису, именам параметров, описанию и группе. При добавлении команда автоматически комментируется и формируется шаблон для ее параметров;
– создавать скрипты на базе шаблонов пользователя;
– формировать на основании шаблонов текст, содержащий скрипт.
Редактор поддерживает параметры командной строки – в качестве первого параметра можно указать имя скрипта, который следует загрузить после запуска редактора.
Редактор скриптов можно скачать на странице загрузки – www.z-oleg.com/secur/avz/download.php.
***
Обновление AVZ
Для обновления утилиты выберите меню Файл –> Обновление баз;
– в окне Оперативное автоматическое обновление выберите источник обновления, проверьте настройки;
– нажмите Пуск;
– дождитесь завершения процесса обновления.
Ручное обновление AVZ
– закройте программу AVZ;
– скачайте свежие базы для AVZ по ссылке z-oleg.com/secur/avz_up/avzbase.zip;
– распакуйте скачанный архив в папку Base программы AVZ (санкционируя замену файлов – Да для всех).
Примечания
1. Архив с утилитой содержит базу вирусов, нейропрофили, микропрограммы лечения, эвристики, поиска и устранения проблем.
2. Ограничения программы:
– в настоящий момент не поддерживается проверка архивов некоторых типов, PE-упаковщиков;
– утилита не лечит программы, заражённые компьютерными вирусами.