Vba32 AntiRootkit 3.12.5 beta

[K_Mikhail 807]

можно узнать возможные причины почему один из экземпляров svchost.exe так детектится?

В Column View Options в секции Processes активируйте флажок Anomalies. По хорошему, он должен быть включён по умолчанию, но... \не без злого намёка на кое-кого..\

[sergey ulasen 200]

\не без злого намёка на кое-кого..\

Посыпаю голову пеплом. И Дима наверное тоже.

[Sergey Dindikov 10]

В Column View Options в секции Processes активируйте флажок Anomalies. По хорошему, он должен быть включён по умолчанию, но... \не без злого намёка на кое-кого..\

что то я немогу найти Column View Options

[priv8v 960]

что то я немогу найти Column View Options

См. ниже рисунок и пояснения.

Запускаем антируткит, после чего

1. ставим галочку напротив processes, а остальные убираем (чтобы быстрее было)

2. нажимаем старт и терпеливо ждем, когда антируткит закончит перебирать процессы и разбирать их

3. нажимаем мышой на надписи processes

4. после чего нажимаем на надписи Column View Options

5. затем ставим галочку напротив Anomalies и в таблице снизу появится соответствующая графа, где можно будет увидеть почему антируткит заподозрил процесс

ftp://anti-virus.by/beta/vba32arkit_beta.7z

ftp://anti-virus.by/beta/vba32arkit_beta.zip

Ссылки битые, но с сайта загрузить ехе получается...

[Dmitry Varshavsky 65]

Ссылки битые, но с сайта загрузить ехе получается...

О-па...

Я в отпуске, но ребятам проблему передал... должны пофиксить в ближайшее время..

priv8v, почему так долго молчали?

[priv8v 960]

priv8v, почему так долго молчали? sad.gif

только сегодня попробовал скачать и тут же написал

[Dmitry Varshavsky 65]

Перепроверил, ссылки с официальной страницы ( http://anti-virus.by/en/beta.shtml ) валидные, а именно:

ftp://anti-virus.by/pub/beta/vba32arkit_beta.zip

ftp://anti-virus.by/pub/beta/vba32arkit_beta.7z

Говорят, давно уже такие... в любом случае уже добавили симлинки.

[Valery Ledovskoy 1082]

Вчера проверил работу Vba32 Antirootkit на активном "Маячке" (sys в C:\WINDOWS и dll-ка в качестве AppInit DLL). Кстати, в активном состоянии не даёт установиться актуальной версии Dr.Web - инсталлятор записывает 2 файла в папку \Program Files\DrWeb, но потом сообщает, что у него нет доступа в эту папку. При этом при отмене инсталляции всё нормально отменяется, и из этой папки удаляется. И пользователь имеет к ней обычный доступ и может делать, что хочет. Вероятно, этот функционал в "Маячке" заточен именно под Dr.Web, но всё равно интересно.

Собственно, из-за этого стал исследовать систему. MSE и Avira (да, одновременно) при этом стояли и молчали А Интернет "работал плохо".

Антируткит от VBA показал себя на высоте, показав всё, что перехватывает этот sys. Ну, DLL-ку тоже показал. Кстати, я бы выделял на "болотном" цвете такие вещи с AppInit DLL. Обычно там сидят вредоносы, а "хороших программ", которые труда прописываются, мне ещё не попадалось. Технологии противодействия исследованию системы не прошли, и это тоже радует

И, в целом, пока другие обещают "через два месяца выпустить", другие делают хорошие антируткиты. Молодцы!

[roscan 0]

В русском описании, в разделе Physical Drives есть небольшая неточность:

[Dmitry Varshavsky 65]

Вчера проверил работу Vba32 Antirootkit на активном "Маячке" (sys в C:\WINDOWS и dll-ка в качестве AppInit DLL). Кстати, в активном состоянии не даёт установиться актуальной версии Dr.Web - инсталлятор записывает 2 файла в папку \Program Files\DrWeb, но потом сообщает, что у него нет доступа в эту папку. При этом при отмене инсталляции всё нормально отменяется, и из этой папки удаляется. И пользователь имеет к ней обычный доступ и может делать, что хочет. Вероятно, этот функционал в "Маячке" заточен именно под Dr.Web, но всё равно интересно.

Собственно, из-за этого стал исследовать систему. MSE и Avira (да, одновременно) при этом стояли и молчали А Интернет "работал плохо".

Антируткит от VBA показал себя на высоте, показав всё, что перехватывает этот sys. Ну, DLL-ку тоже показал.

Валерий, спасибо за интерес к продукту и интересный отзыв ( Маячок не входил в список зловредов, на котором тестировался последний билд, и тем более приятно, что мы с ним успешно боремся ).

Кстати, я бы выделял на "болотном" цвете такие вещи с AppInit DLL. Обычно там сидят вредоносы, а "хороших программ", которые труда прописываются, мне ещё не попадалось.

Насчёт подсветки всего раздела AppInit_Dlls не соглашусь. Да, наверняка это один из самых популярных ключей реестра, используемых вирусописателямми, но ведь и не единственный ! Плюс, мне встречались неподписанные .dll ( именно такие и обозначаются "болотным" цветом ) в этом разделе. При подсвечивании элементов различными цветами ( жёлтый, зелёный, красный ) мы стараемся руководствоваться некоторыми объективными критериями, указывающими на присутствие определённой аномалии в исследуемом объекте. К сожалению, критерий "тут часто бывают трояны", под объективный не подпадает . Поэтому моё мнение по данному вопросу следующее: опытный человек в состоянии разобраться, где троян, а где нет, а неопытного можно только дополнительно ввести в заблуждение. Хотя, не опытным пользователям лучше антируткитом вообще не пользоваться.

И, в целом, пока другие обещают "через два месяца выпустить", другие делают хорошие антируткиты. Молодцы!

Ещё раз спасибо ! К сожалению, не могу сказать, что наш продукт идеален, но мы стараемся постоянно двигаться вперёд.

В русском описании, в разделе Physical Drives есть небольшая неточность:

Если честно, никогда не уделяли документации к антируткиту много внимания. Не потому, что "лень" или "не нужно". Нужно и не лень. Дело в том, что продукт находится в стадии бета и итерации выходят слишком часто ( а внутренние релизы - ещё чаще ), чтобы можно было детально проработать описание. Пока человек делает описание функционала, он несколько раз меняется.

Но в любом случае, спасибо, исправим.

[Valery Ledovskoy 1082]

Поэтому моё мнение по данному вопросу следующее: опытный человек в состоянии разобраться, где троян, а где нет, а неопытного можно только дополнительно ввести в заблуждение. Хотя, не опытным пользователям лучше антируткитом вообще не пользоваться.

Ок, пусть будет так. Главное, что DLL-ку тоже показывает. Думал, что в AVZ такое показывается красным, потом перепроверил - всё же чёрным. Значит, это уже фактически стандарт для антируткитов. Пусть будет так

К сожалению, не могу сказать, что наш продукт идеален, но мы стараемся постоянно двигаться вперёд.

Его можно использовать в работе - это главное. А то, что всегда находится в состоянии "будет через два месяца", использовать нельзя

[sergey ulasen 200]

Маячок не входил в список зловредов, на котором тестировался последний билд

Дима, это - cidox, только в терминологии Доктора Веба. Потому входил.

[Dmitry Varshavsky 65]

Дима, это - cidox, только в терминологии Доктора Веба. Потому входил.

Cidox - это Mayachok.2 по dr.web. Тут речь идёт про Mayachok.1, или я ошибаюсь ?

[K_Mikhail 807]

Cidox - это Mayachok.2 по dr.web. Тут речь идёт про Mayachok.1, или я ошибаюсь ?

Не ошибаешься.

[Юрий Паршин 330]

Не ошибаешься.

Maychok.1 - это тоже Cidox, только Trojan-Ransom.Win32.Cidox.

[K_Mikhail 807]

Maychok.1 - это тоже Cidox, только Trojan-Ransom.Win32.Cidox.

Уже Mayachok.based. Как дропперы, так и либы.

[Valery Ledovskoy 1082]

В качестве мечт. Неплохо было бы также сделать сетевой вариант утилиты для периодического сканирования компьютеров на аномалии.

Я знаю, что раз вы сделали то, что есть, то и это вам под силу.

И вот сетевой вариант вполне можно будет за деньги продавать. Я бы для нашей организации приобрёл

Можно, конечно, и вручную что-то такое организовать, но как-то некрасиво, неудобно и криво получится

А так - сетевой сканер безопасности, не меньше

[Dmitry Varshavsky 65]

В качестве мечт. Неплохо было бы также сделать сетевой вариант утилиты для периодического сканирования компьютеров на аномалии.

Я знаю, что раз вы сделали то, что есть, то и это вам под силу.

И вот сетевой вариант вполне можно будет за деньги продавать. Я бы для нашей организации приобрёл

Можно, конечно, и вручную что-то такое организовать, но как-то некрасиво, неудобно и криво получится

А так - сетевой сканер безопасности, не меньше

Наверное пока только в качестве мечт

1. В продукте пока ещё не полностью реализован весь задуманный функционал ( например поиск перехватов в ring 3, ручной разбор реестра и т.п. ), и это на данный момент является приоритетом

2. До тех пор, пока продукт находится в стадии бета - не имеет смысл выпускать какие-то сетевые, и тем более, коммерческие решения.

Но вообще идея хорошая, помечу в качестве Feature Request'а на far far future

[Valery Ledovskoy 1082]

1. В продукте пока ещё не полностью реализован весь задуманный функционал ( например поиск перехватов в ring 3, ручной разбор реестра и т.п. ), и это на данный момент является приоритетом

Ну, это понятно и тоже будет приятно

2. До тех пор, пока продукт находится в стадии бета - не имеет смысл выпускать какие-то сетевые, и тем более, коммерческие решения.

Желать скорее подобраться к релизу не буду - лучше подольше такие вещи тестировать, и потщательнее. Тем более и в стадии беты вполне можно пользоваться. В каждом подозрительном случае теперь использую. Чего увижу - сообщу.

Но вообще идея хорошая, помечу в качестве Feature Request'а на far far future smile.gif

Почему-то она возникла именно при тестировании вашего продукта, что интересно

[Valery Ledovskoy 1082]

Из более доступных, как кажется, хотелок.

Было бы неплохо, если бы во время сканирования не сбрасывалась галочка Don't display trusted items ( globally ). Ибо во время сканирования её можно поставить, и она действует на ту часть лога, которая уже отображается, но при очередном обновлении результатов галочка сбрасывается, а при повторном нажатии достаточно долго происходит фильтрация каждый раз того, что trusted. Я думаю, что можно сделать так, чтобы галочка оставалась на месте

[Dmitry Varshavsky 65]

Немного подогрею интерес к этой ветке

Успешно запустил антируткит на Windows 8.

На этой неделе планируем закончить работу с новым кодом ( остаётся всего лишь один баг при работе с AHCI контроллером в режиме DMA ), 2 недели на тестирование и выпускаем очередную бету.

В неё попадает обещанный код низкоуровневого доступа к диску ( IDE и AHCI контроллеры ), функционал по самозащите ( для противодействия последним вариантам ZAccess ), значительно расширены возможности Vba32 Defender, добавлены новые типы нотификаторов, исправлены найденные в 5.4 баги и т.п.

[senyak 330]

sergey ulasen - после Вашего ухода из VBA, есть кому заниматься этим продуктом, развивать?

[Dmitry Varshavsky 65]

sergey ulasen - после Вашего ухода из VBA, есть кому заниматься этим продуктом, развивать?

Думаю, адресовать этот вопрос Сергею уже не актуально. Команда, которая занималась антируткитом, никуда не делась и продолжает работать. Конечно, вклад Сергея в развитие антируткита недооценить просто невозможно - именно он инициировал разработку данного продукта в компании и принимал в этом самое активное участие. Кроме развития бета-тестирования, пиара, если можно так сказать, и тех. поддержки с помощью антируткита от вба, Сергей также занимался разработкой модуля "автозагрузки". Поэтому, в ближайшие пару билдов вряд ли будут вносится какие-либо изменения по этой части, но, я думаю, и с этой проблемой справимся. Автозагрузка далеко не самый сложный модуль аркита, другое дело, что на это направление нужен человек, которого, к сожалению, пока нет.

Если контора не просрёт команду, которая и так держится из последних сил, чтобы не уйти к конкурентам, то билды будут и билды будут очень серьёзные. Это могу гарантировать.

P.S. Вопрос родился в свете последней публикации где Sergey Ulasen in the spotlight ?

[senyak 330]

Mr. Justice написал, что Сергей уже работает в ЛК и поэтому я решил спросить. А антивирус тоже будет развиваться, есть кому поддерживать его?

[sergey ulasen 200]

sergey ulasen - после Вашего ухода из VBA, есть кому заниматься этим продуктом, развивать?

Ко мне можно на ты.

Извини, я по этому поводу ничего не комментирую. Право давать ответы и комментарии оставляю только за действующими сотрудниками компании.

Конечно, вклад Сергея в развитие антируткита недооценить просто невозможно

Дима, спасибо.