Vba32 AntiRootkit 3.12.5 beta

[rkhunter 150]

rkhunter, осторожнее. По тенденции толковые технари этого форума переходят работать в ЛК, либо уходят в свободное плавание, явно выражая симпатию к ЛК

Да я ж и так в свободном И как не выражать, если продукт хороший

[rkhunter 150]

Да я ж и так в свободном И как не выражать, если продукт хороший

Не удержался, кое-что добавлю, человек 20 наверное навалило, анонимусов, наверняка из дохторов

Там же к трем основным правилам, не тусоваться на других форумах, особенно, на AM, никуда не ездить, ничего не рассказывать добавилось и другое. Не в почете было даже тусоваться на собственном форуме forum.drweb.com, короче решили обложить "спецов" со всех сторон, гаечки потуже закрутить да и побольше деятельность симулировать, читай DiabloNova посты на их же новости.

[sww 486]

Давайте еще что-нибудь техническое обсудим, я как раз в отпуске

[Dmitry Varshavsky 65]

Но главное, сервис, с которого стартует драйвер - ветка реестра, ее не было.

Да, есть такой момент. Autorun и Drivers&Services в нашем продукте пока не реализованы на низком уровне, поэтому скрытые ветки реестра не видны.. Будет добавлено в одной из следующих итераций.

Давайте еще что-нибудь техническое обсудим, я как раз в отпуске

Я за

[rkhunter 150]

Дмитрий, а как проверить на предмет Cidox - VBR?

[Dmitry Varshavsky 65]

Дмитрий, а как проверить на предмет Cidox - VBR?

Напрямую - пока к сожалению никак. См. http://www.anti-malware.ru/forum/index.php...st&p=134575 и след. пост..

[Dmitry Varshavsky 65]

Здравствуйте!

Представляю вашему вниманию Vba32 AntiRootkit 3.12.5.5 beta build 424 !

Ссылки для скачивания прежние:

http://anti-virus.by/en/beta.shtml

ftp://anti-virus.by/beta/vba32arkit_beta.7z

ftp://anti-virus.by/beta/vba32arkit_beta.zip

Что нового по сравнению с пребетой:

+ Добавлен ключ командной строки /nodmsa, включающий режим совместимости.

Если у вас проблемы с запуском антируткита, укажите данный ключ и код прямого доступа к контроллеру/ам будет деактивирован. С появлением данной опции больше держать предыдущую бету в паблике не считаю необходимым.

+ Vba32 Defender: добавлен контроль целостности файлов, занесённых в белый список

+ Поиск скрытых драйверов по MZ-PE заголовкам в системном пуле оставлен только для систем Vista и старше

+ Опция Restore MBR and force reboot

Привет Юре Паршину

+ Возможность извлекать девайсы из стека устройств ( DetachDevice )

Полезная возможность. Например, при лечении Necurs и не только.

* Исправлены некоторые баги и зависания.

* Выложил файл помощи на русском языке

Отдельное спасибо K_Mikhail и rkhunter, принимавшим активное участие в тестировании продукта.

Как всегда с радостью ждём замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - arkit[at]anti-virus.by Это позволит сделать продукт лучше

P.S. Планирую постепенно начинать выкладывать инструкции по лечению конкретных заражений с помощью Vba32 AntiRootkit, например, такие:

http://anti-virus.by/en/doc/Vba32%20AntiRo...20vs%20TDL2.pdf

http://anti-virus.by/en/doc/Vba32%20AntiRo...20vs%20TDL4.pdf

[Dmitry Varshavsky 65]

Вернули проверку АВ-ядром, следующей бетой снова можно будет пользоваться в нескольких режимах. Примеры детекта активных заражений:

[Dmitry Varshavsky 65]

Здравствуйте!

Представляю вашему вниманию Vba32 AntiRootkit 3.12.5.6 beta build 493 !

Внимание! Ссылки для скачивания немного изменились ( подробнее ниже ):

http://anti-virus.by/en/beta.shtml

ftp://anti-virus.by/pub/beta/vba32arkit_beta.zip ( обычная версия, ~4 Mb )

ftp://anti-virus.by/pub/beta/vba32arkit_full_beta.zip ( полная версия с антивирусным ядром и базами, ~100 Mb )

Список изменений относительно версии 3.12.5.5:

+ Анализ загрузочных секторов логических дисков ( только NTFS ). Детект, просмотр, дамп и восстановление

нестандартных и подменённых загрузчиков. Сохранение в логе дампа загрузочных секторов основного раздела

Позволяет детектировать/лечить Cidox/Carberp. Обратите внимание, некоторые "кряки" для Windows модифицируют VBR - антируткит их детектирует как нестандартные и после восстановления ваша "активация" теряется.

+ Возможность использовать антивирусное ядро VBA32 для проверки подменённых, залоченных файлов, а также для

проверки загрузочных секторов ( MBR & VBR )

Значительно расширили интерфейс взаимодействия антируткита с антивирусным ядром. Теперь антируткит доступен для скачивания в двух вариантах - обычном и полном. В полном варианте вместе с антируткитом поставляются антивирусное ядро и актуальные базы ( архив пересобирается ежедневно ).

+ Опция Force Delete

Позволяет удалять файлы, открытые с эксклюзивным доступом / залоченные с помощью ф-и LockFile. Для модулей процессов доступна оцпия - "Unmap in all processes and force delete"

* Расширена функциональность сканера в Low-Level Disk Access Tool

Добавлена возможность проверки загрузочных разделов и системной директрории. Функционал будет продолжать расширяться.

* Улучшена стабильность работы модуля прямого чтения

Решены проблемы с чипсетами nForce, модуль прямого чтения ведёт себя намного более стабильно. Пока не идеально ( ключ /nodmsa по-прежнему доступен ), но мы к этому вплотную приблизились

* Улучшена общая стабильность работы программы

Исправлены возможные вылеты в BSOD на некоторых вариантах MAX++, исправлены ошибки в детекте некоторых версий Sinowal'ов.

* Доработан файл отчета

* Доработан файл помощи на русском языке

Как всегда отдельное спасибо K_Mikhail, принимавшему активное участие в тестировании альфа-версии продукта.

С радостью ждём замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - arkit[at]anti-virus.by Это позволит сделать продукт лучше !

[Fixxxer® 65]

В полном варианте вместе с антируткитом поставляются антивирусное ядро и актуальные базы ( архив пересобирается ежедневно ).

То бишь онлайн-апдейта нет?

Обратите внимание, некоторые "кряки" для Windows модифицируют VBR - антируткит их детектирует как нестандартные и после восстановления ваша "активация" теряется.

Варезники буду негодовать. Мало того, что бесплатные антивирусные утили убивали их патчи-ключеделы за ворованную Темиду, теперь ещё и антируткит будет рубить "лицензию". Начнётся срач о сговоре с M$

[Dmitry Varshavsky 65]

То бишь онлайн-апдейта нет?

Нет, и сделано это намеренно.

Варезники буду негодовать. Мало того, что бесплатные антивирусные утили убивали их патчи-ключеделы за ворованную Темиду, теперь ещё и антируткит будет рубить "лицензию". Начнётся срач о сговоре с M$

Их право. Мы долго думали, но если там по факту модифицированный загрузчик ?

[Fixxxer® 65]

Нет, и сделано это намеренно.

Это понятно. Два зайца: антируткит и ниша портабельных бесплатных сканеров.

Их право. Мы долго думали, но если там по факту модифицированный загрузчик ?

Whitelist-база, нет? Их ведь не так уж и много на самом деле.

[Fixxxer® 65]

И ещё - я так понял, что теперь Vba32 AntiRootkit dll и Vba32 AntiRootkit Check dll радостно заменились на GDI+ и С++ Runtime? Или их забыли вложить в архив?

P.S. А может я просто уже отстал за развитием и это давно заменилось?

[Dmitry Varshavsky 65]

Whitelist-база, нет? Их ведь не так уж и много на самом деле.

Не всё так просто. Не буду вдаваться в подробности, но гипотетически возможна ситуация, когда малварь будет маскироваться под данный тип кряков. И соответственно, "вайтлистится".

И ещё - я так понял, что теперь Vba32 AntiRootkit dll и Vba32 AntiRootkit Check dll радостно заменились на GDI+ и С++ Runtime? Или их забыли вложить в архив?

P.S. А может я просто уже отстал за развитием и это давно заменилось?

Отстали От vba32ar.dll и vba32arch.dll в виде отдельных модулей мы отказались, наверное, уже пару лет как Их функционал полностью перенесён в .exe

gdiplus.dll нужна только для Windows 2000, и то в очень редких случаях

c++ runtime нужен для работы антивирусного ядра, для антируткита рантайм-библиотеки не нужны.

Исполняемый файл полностью самодостаточный

[Dmitry Varshavsky 65]

Обновили билд, с сегодняшнего дня доступна для скачивания версия 3.12.5.6 build 500 !

Changelog:

* Улучшена стабильность Vba32 Defender

* Улучшена стабильность работы модуля прямого чтения

* Исправлены незначительные ошибки в реализации GUI

* Доработан файл помощи на русском языке

[Dmitry Varshavsky 65]

Всем привет!

Представляю вашему вниманию Vba32 AntiRootkit 3.12.5.7 beta build 588 !

Ссылки для скачивания прежние:

http://anti-virus.by/en/beta.shtml

ftp://anti-virus.by/pub/beta/vba32arkit_beta.zip ( обычная версия, ~4 Mb )

ftp://anti-virus.by/pub/beta/vba32arkit_full_beta.zip ( полная версия с антивирусным ядром и базами, ~100 Mb )

Список изменений относительно версии 3.12.5.6:

+ Механизм разбора файлов реестра. Прямой доступ к реестру осуществляется в окнах Autorun и

Drivers & Services ( from Registry ), а также при сборе информации о системе ( пункт Registry )

Давно следовало сделать, но руки не доходили Теперь данный функционал реализован.

+ Окно Low-Level Registry Access tool. Работа со скрытыми, заблокированными и подменёнными ключами

реестра

Данное окно пока находится в "зачаточном" состоянии. В следующей сборке будут добавлены сканер, а также расширен список возможных действий.

+ Лечение буткитов, модифицирующих таблицу разделов MBR

В частности, Rootkit.Boot.sst

+ Vba32 Defender: добавлен вывод информации о коммандной строке и Id родителя ( при запуске процессов ).

Возможность блокирования операций создания веток реестра, а также изменения значений в ключах реестра

+ Опция Reboot on Exit

Эти дополнения необходимы для лечения угроз, постоянно перезаписывающих свои ключи в реестре. К таким относятся некоторые модификации TDSS, ZBot, Rustock и т.п.

+ Поддержка Windows 8 Consumer Preview. Поддержка Windows 8 Developer Preview прекращена

Стараемся поддерживать самые новые сборки

- Опция Force reset

Теперь с уверенностью можно сказать, что этот функционал больше не нужен. Force reboot справляется во всех известных случаях.

* Улучшена общая стабильность работы программы

* Улучшена стабильность работы модуля прямого чтения

* Исправлены проблемы в работе Vba32 Defender

* Исправлены проблемы в модуле самозащиты

* Исправлены ошибки в реализации GUI

Над багофиксом и стабильностью поработали достаточно серьёзно.

* Доработан файл помощи на русском языке

Как всегда отдельное спасибо K_Mikhail, принимавшему активное участие в тестировании альфа-версии продукта.

С радостью ждём замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - arkit[at]anti-virus.by Это позволит сделать продукт лучше !

[amid525 67]

С радостью ждём замечаний/предложений/дампов. Это позволит сделать продукт лучше !

Сделать русский интерфейс!(а не файлы помощи). Ведь не буржуйский продукт..

[Dmitry Varshavsky 65]

Сделать русский интерфейс!(а не файлы помощи). Ведь не буржуйский продукт..

Пока поддержку языков добавлять не видим особого смысла - интерфейс не сложный. Тем не менее, локализация будет в одной из следующих выпусков.

[newbieHelper 5]

Ведь не буржуйский продукт..

А что, москальский?

Отредактировал Апрель 21, 2012 newbieHelper

[amid525 67]

Что-то ссылки на скачивание третьи сутки не доступны??

[Dmitry Varshavsky 65]

Что-то ссылки на скачивание третьи сутки не доступны??

Только что перепроверил - все ссылки рабочие. И были доступны всё это время..

[amid525 67]

Хм, опера не пускает. http://i5.pixs.ru/storage/4/6/6/ScreenShot...166_4631466.jpg

[Groft 65]

Хм, опера не пускает. http://i5.pixs.ru/storage/4/6/6/ScreenShot...166_4631466.jpg

Работоспособность ссылок подтверждаю. Проверьте настройки фаервола\Oперы.

[amid525 67]

Работоспособность ссылок подтверждаю. Проверьте настройки фаервола\Oперы.

Не понимаю почему Опера блокирует, пришлось с Dragon браузера скачивать.

Dmitry Varshavsky

Пока поддержку языков добавлять не видим особого смысла - интерфейс не сложный.

Совсем простенький.. )

Только так и не понял, что дальше делать, по окончании сканирования.

Приведен скрин, (один фрагмент из результата). Где красным отмечены нормальные программы. Сама себя VBA тоже нашла..

Что делать с результатами? Т. к -не исправить, не удалить.., ничего не нашел..

Да, сканировал в обычном режиме, т.к в "усиленном", через пять минут вылетает в синий экран..

http://i5.pixs.ru/storage/6/9/5/ScreenShot...117_4644695.jpg

[Groft 65]

Dmitry Varshavsky

Совсем простенький.. )

Только так и не понял, что дальше делать, по окончании сканирования.

Приведен скрин, (один фрагмент из результата). Где красным отмечены нормальные программы. Сама себя VBA тоже нашла..

Что делать с результатами? Т. к -не исправить, не удалить.., ничего не нашел..

Да, сканировал в обычном режиме, т.к в "усиленном", через пять минут вылетает в синий экран..

http://i5.pixs.ru/storage/6/9/5/ScreenShot...117_4644695.jpg

1) После падения в синий экран должен был образоваться дамп памяти, который нужно выслать нам на почту: arkit[@]anti-virus.by. Для уменьшения размера заархивируйте архиватором.

2) По поводу скриншота. Для предметного разговора нужно посмотреть файл отчета. Без него в Вашем случае трудно что-либо сказать. Если хотите получить ответ - присылайте также на почту. Будем разбираться

3) По поводу действий над объектами. Вы создали файл отчета, в нем не предусмотрены действия над объектами. Для выполнениям действий нужно открыть в главном окне "Tools" и выбрать нужный раздел