Vba32 AntiRootkit 3.12.5 beta - Страница 7 - Выбор домашних средств защиты - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

rkhunter
rkhunter, осторожнее. По тенденции толковые технари этого форума переходят работать в ЛК, либо уходят в свободное плавание, явно выражая симпатию к ЛК ;)

Да я ж и так в свободном :) И как не выражать, если продукт хороший :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Да я ж и так в свободном :) И как не выражать, если продукт хороший :)

Не удержался, кое-что добавлю, человек 20 наверное навалило, анонимусов, наверняка из дохторов :)

Там же к трем основным правилам, не тусоваться на других форумах, особенно, на AM, никуда не ездить, ничего не рассказывать добавилось и другое. Не в почете было даже тусоваться на собственном форуме forum.drweb.com, короче решили обложить "спецов" со всех сторон, гаечки потуже закрутить да и побольше деятельность симулировать, читай DiabloNova посты на их же новости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Давайте еще что-нибудь техническое обсудим, я как раз в отпуске ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky
Но главное, сервис, с которого стартует драйвер - ветка реестра, ее не было. :(

Да, есть такой момент. Autorun и Drivers&Services в нашем продукте пока не реализованы на низком уровне, поэтому скрытые ветки реестра не видны.. Будет добавлено в одной из следующих итераций.

Давайте еще что-нибудь техническое обсудим, я как раз в отпуске ;)

Я за :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Дмитрий, а как проверить на предмет Cidox - VBR?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky
Дмитрий, а как проверить на предмет Cidox - VBR?

Напрямую - пока к сожалению никак. См. http://www.anti-malware.ru/forum/index.php...st&p=134575 и след. пост..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky

Здравствуйте!

Представляю вашему вниманию Vba32 AntiRootkit 3.12.5.5 beta build 424 !

Ссылки для скачивания прежние:

http://anti-virus.by/en/beta.shtml

ftp://anti-virus.by/beta/vba32arkit_beta.7z

ftp://anti-virus.by/beta/vba32arkit_beta.zip

Что нового по сравнению с пребетой:

+ Добавлен ключ командной строки /nodmsa, включающий режим совместимости.

Если у вас проблемы с запуском антируткита, укажите данный ключ и код прямого доступа к контроллеру/ам будет деактивирован. С появлением данной опции больше держать предыдущую бету в паблике не считаю необходимым.

+ Vba32 Defender: добавлен контроль целостности файлов, занесённых в белый список

+ Поиск скрытых драйверов по MZ-PE заголовкам в системном пуле оставлен только для систем Vista и старше

+ Опция Restore MBR and force reboot

Привет Юре Паршину :rolleyes:

+ Возможность извлекать девайсы из стека устройств ( DetachDevice )

Полезная возможность. Например, при лечении Necurs и не только.

* Исправлены некоторые баги и зависания.

* Выложил файл помощи на русском языке

Отдельное спасибо K_Mikhail и rkhunter, принимавшим активное участие в тестировании продукта.

Как всегда с радостью ждём замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - arkit[at]anti-virus.by Это позволит сделать продукт лучше

P.S. Планирую постепенно начинать выкладывать инструкции по лечению конкретных заражений с помощью Vba32 AntiRootkit, например, такие:

http://anti-virus.by/en/doc/Vba32%20AntiRo...20vs%20TDL2.pdf

http://anti-virus.by/en/doc/Vba32%20AntiRo...20vs%20TDL4.pdf

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky

Вернули проверку АВ-ядром, следующей бетой снова можно будет пользоваться в нескольких режимах. Примеры детекта активных заражений:

max___4.PNG

tdl3.PNG

post-13504-1322642597_thumb.png

post-13504-1322642623_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky

Здравствуйте!

Представляю вашему вниманию Vba32 AntiRootkit 3.12.5.6 beta build 493 !

Внимание! Ссылки для скачивания немного изменились ( подробнее ниже ):

http://anti-virus.by/en/beta.shtml

ftp://anti-virus.by/pub/beta/vba32arkit_beta.zip ( обычная версия, ~4 Mb )

ftp://anti-virus.by/pub/beta/vba32arkit_full_beta.zip ( полная версия с антивирусным ядром и базами, ~100 Mb )

Список изменений относительно версии 3.12.5.5:

+ Анализ загрузочных секторов логических дисков ( только NTFS ). Детект, просмотр, дамп и восстановление

нестандартных и подменённых загрузчиков. Сохранение в логе дампа загрузочных секторов основного раздела

Позволяет детектировать/лечить Cidox/Carberp. Обратите внимание, некоторые "кряки" для Windows модифицируют VBR - антируткит их детектирует как нестандартные и после восстановления ваша "активация" теряется.

+ Возможность использовать антивирусное ядро VBA32 для проверки подменённых, залоченных файлов, а также для

проверки загрузочных секторов ( MBR & VBR )

Значительно расширили интерфейс взаимодействия антируткита с антивирусным ядром. Теперь антируткит доступен для скачивания в двух вариантах - обычном и полном. В полном варианте вместе с антируткитом поставляются антивирусное ядро и актуальные базы ( архив пересобирается ежедневно ).

+ Опция Force Delete

Позволяет удалять файлы, открытые с эксклюзивным доступом / залоченные с помощью ф-и LockFile. Для модулей процессов доступна оцпия - "Unmap in all processes and force delete"

* Расширена функциональность сканера в Low-Level Disk Access Tool

Добавлена возможность проверки загрузочных разделов и системной директрории. Функционал будет продолжать расширяться.

* Улучшена стабильность работы модуля прямого чтения

Решены проблемы с чипсетами nForce, модуль прямого чтения ведёт себя намного более стабильно. Пока не идеально ( ключ /nodmsa по-прежнему доступен ), но мы к этому вплотную приблизились :)

* Улучшена общая стабильность работы программы

Исправлены возможные вылеты в BSOD на некоторых вариантах MAX++, исправлены ошибки в детекте некоторых версий Sinowal'ов.

* Доработан файл отчета

* Доработан файл помощи на русском языке

Как всегда отдельное спасибо K_Mikhail, принимавшему активное участие в тестировании альфа-версии продукта.

С радостью ждём замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - arkit[at]anti-virus.by Это позволит сделать продукт лучше !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®
В полном варианте вместе с антируткитом поставляются антивирусное ядро и актуальные базы ( архив пересобирается ежедневно ).

То бишь онлайн-апдейта нет?

Обратите внимание, некоторые "кряки" для Windows модифицируют VBR - антируткит их детектирует как нестандартные и после восстановления ваша "активация" теряется.

Варезники буду негодовать. Мало того, что бесплатные антивирусные утили убивали их патчи-ключеделы за ворованную Темиду, теперь ещё и антируткит будет рубить "лицензию". Начнётся срач о сговоре с M$ :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky
То бишь онлайн-апдейта нет?

Нет, и сделано это намеренно.

Варезники буду негодовать. Мало того, что бесплатные антивирусные утили убивали их патчи-ключеделы за ворованную Темиду, теперь ещё и антируткит будет рубить "лицензию". Начнётся срач о сговоре с M$ :)

Их право. Мы долго думали, но если там по факту модифицированный загрузчик ? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®
Нет, и сделано это намеренно.

Это понятно. Два зайца: антируткит и ниша портабельных бесплатных сканеров.

Их право. Мы долго думали, но если там по факту модифицированный загрузчик ?

Whitelist-база, нет? :) Их ведь не так уж и много на самом деле.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

И ещё - я так понял, что теперь Vba32 AntiRootkit dll и Vba32 AntiRootkit Check dll радостно заменились на GDI+ и С++ Runtime? Или их забыли вложить в архив?

P.S. А может я просто уже отстал за развитием и это давно заменилось?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky
Whitelist-база, нет? :) Их ведь не так уж и много на самом деле.

Не всё так просто. Не буду вдаваться в подробности, но гипотетически возможна ситуация, когда малварь будет маскироваться под данный тип кряков. И соответственно, "вайтлистится".

И ещё - я так понял, что теперь Vba32 AntiRootkit dll и Vba32 AntiRootkit Check dll радостно заменились на GDI+ и С++ Runtime? Или их забыли вложить в архив?

P.S. А может я просто уже отстал за развитием и это давно заменилось?

Отстали :rolleyes: От vba32ar.dll и vba32arch.dll в виде отдельных модулей мы отказались, наверное, уже пару лет как :D Их функционал полностью перенесён в .exe

gdiplus.dll нужна только для Windows 2000, и то в очень редких случаях

c++ runtime нужен для работы антивирусного ядра, для антируткита рантайм-библиотеки не нужны.

Исполняемый файл полностью самодостаточный :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky

Обновили билд, с сегодняшнего дня доступна для скачивания версия 3.12.5.6 build 500 !

Changelog:

* Улучшена стабильность Vba32 Defender

* Улучшена стабильность работы модуля прямого чтения

* Исправлены незначительные ошибки в реализации GUI

* Доработан файл помощи на русском языке

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky

Всем привет!

Представляю вашему вниманию Vba32 AntiRootkit 3.12.5.7 beta build 588 !

Ссылки для скачивания прежние:

http://anti-virus.by/en/beta.shtml

ftp://anti-virus.by/pub/beta/vba32arkit_beta.zip ( обычная версия, ~4 Mb )

ftp://anti-virus.by/pub/beta/vba32arkit_full_beta.zip ( полная версия с антивирусным ядром и базами, ~100 Mb )

Список изменений относительно версии 3.12.5.6:

+ Механизм разбора файлов реестра. Прямой доступ к реестру осуществляется в окнах Autorun и

Drivers & Services ( from Registry ), а также при сборе информации о системе ( пункт Registry )

Давно следовало сделать, но руки не доходили :rolleyes: Теперь данный функционал реализован.

+ Окно Low-Level Registry Access tool. Работа со скрытыми, заблокированными и подменёнными ключами

реестра

Данное окно пока находится в "зачаточном" состоянии. В следующей сборке будут добавлены сканер, а также расширен список возможных действий.

+ Лечение буткитов, модифицирующих таблицу разделов MBR

В частности, Rootkit.Boot.sst

+ Vba32 Defender: добавлен вывод информации о коммандной строке и Id родителя ( при запуске процессов ).

Возможность блокирования операций создания веток реестра, а также изменения значений в ключах реестра

+ Опция Reboot on Exit

Эти дополнения необходимы для лечения угроз, постоянно перезаписывающих свои ключи в реестре. К таким относятся некоторые модификации TDSS, ZBot, Rustock и т.п.

+ Поддержка Windows 8 Consumer Preview. Поддержка Windows 8 Developer Preview прекращена

Стараемся поддерживать самые новые сборки :rolleyes:

- Опция Force reset

Теперь с уверенностью можно сказать, что этот функционал больше не нужен. Force reboot справляется во всех известных случаях.

* Улучшена общая стабильность работы программы

* Улучшена стабильность работы модуля прямого чтения

* Исправлены проблемы в работе Vba32 Defender

* Исправлены проблемы в модуле самозащиты

* Исправлены ошибки в реализации GUI

Над багофиксом и стабильностью поработали достаточно серьёзно.

* Доработан файл помощи на русском языке

Как всегда отдельное спасибо K_Mikhail, принимавшему активное участие в тестировании альфа-версии продукта.

С радостью ждём замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - arkit[at]anti-virus.by Это позволит сделать продукт лучше !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525
С радостью ждём замечаний/предложений/дампов. Это позволит сделать продукт лучше !

Сделать русский интерфейс!(а не файлы помощи). Ведь не буржуйский продукт.. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky
Сделать русский интерфейс!(а не файлы помощи). Ведь не буржуйский продукт.. :rolleyes:

Пока поддержку языков добавлять не видим особого смысла - интерфейс не сложный. Тем не менее, локализация будет в одной из следующих выпусков.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
newbieHelper
Ведь не буржуйский продукт.. :rolleyes:

А что, москальский?

Отредактировал newbieHelper
  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Что-то ссылки на скачивание третьи сутки не доступны??

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky
Что-то ссылки на скачивание третьи сутки не доступны??

Только что перепроверил - все ссылки рабочие. И были доступны всё это время..

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Хм, опера не пускает. :unsure:http://i5.pixs.ru/storage/4/6/6/ScreenShot...166_4631466.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Groft

Работоспособность ссылок подтверждаю. Проверьте настройки фаервола\Oперы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525
Работоспособность ссылок подтверждаю. Проверьте настройки фаервола\Oперы.

Не понимаю почему Опера блокирует, пришлось с Dragon браузера скачивать.

Dmitry Varshavsky

Пока поддержку языков добавлять не видим особого смысла - интерфейс не сложный.

Совсем простенький.. )

Только так и не понял, что дальше делать, по окончании сканирования. :huh:

Приведен скрин, (один фрагмент из результата). Где красным отмечены нормальные программы. Сама себя VBA тоже нашла.. :rolleyes:

Что делать с результатами? Т. к -не исправить, не удалить.., ничего не нашел..

Да, сканировал в обычном режиме, т.к в "усиленном", через пять минут вылетает в синий экран.. :rolleyes:

http://i5.pixs.ru/storage/6/9/5/ScreenShot...117_4644695.jpgScreenShot_2104117_4644695.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Groft
Dmitry Varshavsky

Совсем простенький.. )

Только так и не понял, что дальше делать, по окончании сканирования. :huh:

Приведен скрин, (один фрагмент из результата). Где красным отмечены нормальные программы. Сама себя VBA тоже нашла.. :rolleyes:

Что делать с результатами? Т. к -не исправить, не удалить.., ничего не нашел..

Да, сканировал в обычном режиме, т.к в "усиленном", через пять минут вылетает в синий экран.. :rolleyes:

http://i5.pixs.ru/storage/6/9/5/ScreenShot...117_4644695.jpgScreenShot_2104117_4644695.jpg

1) После падения в синий экран должен был образоваться дамп памяти, который нужно выслать нам на почту: arkit[@]anti-virus.by. Для уменьшения размера заархивируйте архиватором.

2) По поводу скриншота. Для предметного разговора нужно посмотреть файл отчета. Без него в Вашем случае трудно что-либо сказать. Если хотите получить ответ - присылайте также на почту. Будем разбираться :)

3) По поводу действий над объектами. Вы создали файл отчета, в нем не предусмотрены действия над объектами. Для выполнениям действий нужно открыть в главном окне "Tools" и выбрать нужный раздел

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×