OSAM v5.0 - теперь находит и удаляет руткиты, скрывающие свои файлы!

[Online Solutions 50]

OSAM: Autorun Manager v5.0 - теперь находит и удаляет руткиты, скрывающие свои файлы!

11 сентября, 2009

Как мы сообщали ранее, несколько недель назад мы возобновили работу над первым публичным продуктом компании - OSAM: Online Solutions Autorun Manager.

Выпуск пятой версии этого продукта был очень сложным и трудным для нашей команды. По ряду различных причин выпуск новой версии приходилось несколько раз переносить. Но, благодаря общим усилиям, нам удалось собраться и выпустить новую версию нашего продукта.

Итак, встречайте OSAM: Online Solutions Autorun Manager v5.0!

В 5-ой версии появилась уникальная возможность находить и удалять руткиты, скрывающие свои файлы на жестком диске. Применение руткит технологий скрытия ключей реестра и файлов на диске получают все большее распространение, и наша компания была просто обязана придумать и реализовать решение для поиска и удаления таких паразитических программ. И такое решение было реализовано! Благодаря алгоритмам разбора структур файловых систем разделов жестких дисков без использования механизмов операционной системы, OSAM находит и удаляет почти все известные вирусы и паразитические программы.

Теперь OSAM помимо поиска скрытых записей в реестре умеет находить и скрытые файлы. Это позволяет использовать программу для поиска и удаления самых новых и современных вирусов.

Удаление червя Conficker (Downadup) одним кликом мыши при помощи OSAM

Наши вирусные аналитики давно просили улучшить обработку назначенных заданий Windows (.job-файлов) и мы это сделали. В версии v5.0 мы принципиально улучшили метод получения информации. Благодаря этому изменению, поиск и удаление вирусов упростился, а качество и скорость добавления информации в вирусные базы возросли.

В связи с увеличением популярности нашего продукта среди пользователей операционной системы Windows Vista и Windows 7, мы существенно улучшили поддержку этих операционных систем.

Кроме этого, мы значительно переделаны многие механизмы сканирования и алгоритмы обработки данных, исправили известные ошибки и реализовали еще несколько полезных функций (см. полный лист изменений).

Уверены, что Вам понравится новая версия OSAM: Online Solutions Autorun Manager. Ведь с ее помощью Вы всегда сможете поддерживать отличное самочувствие Вашего компьютера!

Очередной раз хотим поблагодарить Юлию (JM) за терпение, преданность компании и за веру в успех! Так держать!

Так же сообщаем всем пользователям OSSS: Security Suite, что за последние четыре недели помимо выпуска 5-ой версии OSAM, мы напряженно работали над технологией взаимодействия клиента с нашим сервером. Мы добились серьезных результатов и надеемся в самое ближайшее время предоставить версию с новыми возможностями.

Если Вы используете много разнообразных программы и хотели бы поучаствовать в бета-тестировании нашей новой технологии обеспечения безопасности, то присылайте заявку на участие по адресу: beta@online-solutions.ru.

________

Быстрые переходы:

• Описание продукта OSAM: Autorun Manager
• Скачать OSAM v5.0 (переносимую версию)
• Скачать OSAM v5.0 (установочной пакет)
• Онлайн сканер. Часто задаваемые вопросы и рекомендации
• Статусы файлов
• Доступ к заблокированным и скрытым файлам
• Как удалять вирусы с помощью OSAM

[UIT 103]

Записи имеющие статус File not found и подсвеченные синим:

i2omgmt.sys

lbrtfdc.sys

Changer.sys

PDFRAME.sys

PDRELI.sys

PDRFRAME.sys

WDICA.sys

PCIDump.sys

PDCOMP.sys

Вы что рекомендуете с ними делать? (онлайн проверку не использовал)

[Online Solutions 50]

Записи имеющие статус File not found и подсвеченные синим: [...]

Вы что рекомендуете с ними делать? (онлайн проверку не использовал)

Рекомендуем их оставлять, так как это исходные (системные) записи ОС и при изменении определенных частей аппаратного обеспечения они могут потребоваться операционной системе.

P.S. На всякий случай: если кто-то "подложится" под их именем - это не страшно. OMS (онлайн-сканер) сразу же сообщит Вам об этом выставив соответствующий уровень риска (Risk Level).

[UIT 103]

Понятно. Возможно стоит такие объекты оформить в другой цветовой гамме или иным образом выделить. Я убрал несколько мусорных записей в реестре. Теперь меня уже так и тянет все синее удалить

[Online Solutions 50]

Рекомендуем их оставлять, так как это исходные (системные) записи ОС и при изменении определенных частей аппаратного обеспечения они могут потребоваться операционной системе.

P.S. На всякий случай: если кто-то "подложится" под их именем - это не страшно. OMS (онлайн-сканер) сразу же сообщит Вам об этом, выставив соответствующий уровень риска (Risk Level).

[Андрей-001 1099]

Установщик русскоязычный, а в саму программу русский язык ещё не добавили или я просто не нашёл?

[Online Solutions 50]

Установщик русскоязычный, в саму программу русский язык ещё не добавили или я просто не нашёл?

Пока не добавили. Вначале русский язык "обкатаем" на OSSS.

Но на нашем форуме есть помощь на русском языке и обычные "сценарии использования".

[Андрей-001 1099]

Online Solutions

Не пойму, почему некоторые опции остаются неактивны, например, удаление файла или записи о нём?

Forum OSAM: Online Solutions Autorun Manager смотрел, объяснения не нашёл.

[vaber 350]

А защита ключей драйвера будет в OSAM? Или в составе комбайна?

[Online Solutions 50]

Не пойму, почему некоторые опции остаются неактивны, например, удаление файла или записи о нём?

Удаление файла = "Delete File"? С этой опцией все понятно - она пока не включена.

А "удаление записи о нем" - это о какой опции (по-английски) речь?

А защита ключей драйвера будет в OSAM? Или в составе комбайна?

Если речь идет об удаляющем драйвере, то в первой же версии, когда он был выпущен (а это было достаточно давно) было применено несколько степеней защиты по предотвращению противодействию драйверу OSAM.

Поэтому возникает вопрос о какого рода защите идет речь? Вероятно, вопрос неточно сформулирован и я его неправильно понимаю.

[vaber 350]

Если речь идет об удаляющем драйвере, то в первой же версии, когда он был выпущен (а это было достаточно давно) было применено несколько степеней защиты по предотвращению противодействию драйверу OSAM.

Поэтому возникает вопрос о какого рода защите идет речь? Вероятно, вопрос неточно сформулирован и я его неправильно понимаю.

Защита ключей бут-драйвера от удаления и/или модификации параметров. Используемый рандом и только он - недостаточно для защиты ключа. Потому и задал вопрос.

[Online Solutions 50]

Защита ключей бут-драйвера от удаления и/или модификации параметров. Используемый рандом и только он - недостаточно для защиты ключа. Потому и задал вопрос.

Соревноваться драйверу on-demand ("защитнику") с уже запущенным boot/system (вирусным драйвером), который мог перехватить "все и еще чуть-чуть" в системе -- достаточно смешно. Я бы даже больше сказал: это просто бессмысленно и бесперспективно. (Разве что "для галочки" - но мы так не делаем).

Если речь опять же о том же свежем TDSS, то его актуальность "слегка преувеличена", да и смысла обсуждать его в данном контексте нет по другим причинам -- удалять некого.

Определенные варианты решений есть: это как большая мимикрия себя под стандартные драйверы (не лезть раньше всех), а так же еще кое-какие "хитрости" до перезагрузки - но все это не является фундаментальными решениями. То есть при желании и нацеленности именно на продукт, их можно обойти. (На всякий случай: это актуально для любого продукта любой компании).

Есть другой еще вариант (до конца не происследованный в данный момент, но вполне реализуемый на практике, и думаю без особых сложностей) - отказаться просто от использования бут-драйвера и реализовать этот "удаляльщик" немного иным способом, загружаясь еще раньше, чем этот список бут-драйверов из реестра.

А теперь еще вариант. Самый разумный и правильный.

В случае, когда заражение носит столь серьезный характер, не нужно "играть в игрушки" и соревноваться "кто круче", а нужно просто выполнить свою работу. Банально загрузившись со специально подготовленного загрузочного диска, и очистить систему.

Очевидно, что в соревнованиях "антивирусная компания" vs "разработчики malware" первые всегда находятся в проигрышной позиции. Не потому что меньше знают или не могут что-то сделать, а потому что ответственность в миллионы раз больше (у последних ее просто нет). Вот тем же авторам TDSS абсолютно наплевать что из-за их руткита не работает на системе у пользователя, так же им наплевать, что "случайно" они могут удалить реально необходимые бут-драйвера и система просто не загрузится. Компания, занимающаяся ИБ, себе такого позволить в принципе не может ("вот этих мы пролечили, а у тех теперь компьютеры не грузятся, но это их проблемы"). Именно поэтому на определенном этапе эти "соревнования" и теряют всякий смысл, их необходимо прервать. В этом случае вопрос решается просто по-другому (см. пример "правильного решения"). Но сделать это решение, безусловно, нужно наиболее удобным и понятным для конечного пользователя.

В этом ключе OSAM будет приспособлен чуть позже (иметь возможность подключать реестр с любого указанного пути), это хотели сделать достаточно давно.

[vaber 350]

Соглашусь в целом со всем написанный. Так оно , в общем, и есть.

Но, добавлю. Все это верно для какой-то редкой или только появившейся малвари. А вот для реально распространенной - нужно затачиваться. Тот же червь конфикер, да и тдсс. Причем заточиться для их обнаружения (это необходимо как минимум, чтобы пользователь знал, что заражен) нужно и лечение. И это куда проще реализовать в спец тулзах, чем в антивирусе, как огромном комплексе. Это куда сложнее.

[senyak 330]

Самое главное пожелание - сделать ее на русском, чтобы она была доступней

[senyak 330]

С помощью этой программы и службы поддержки на офф. форуме удалил много мусора. Спасибо! Очень удобная программа

[UIT 103]

Отчего только "С Новым Годом!" на сайте компании поздравляют?

[Matias 20]

Не планируется ли в будущем выпуск 64-битной версии OSAM?

[Online Solutions 50]

Не планируется ли в будущем выпуск 64-битной версии OSAM?

Текущая версия OSAM поддерживает x64 системы. (Есть тонкости определенные, но более-менее поддерживает).

Внутри компании есть полноценная native x64 версия с новыми ключами и т.д.

Выйдет немножко в другом виде совсем скоро. В geek-виде выйдет позже.

[Matias 20]

Текущая версия OSAM поддерживает x64 системы.

Безопасно ли ее использовать? BSOD и прочие "прелести" не начнутся?

[Online Solutions 50]

Безопасно ли ее использовать? BSOD и прочие "прелести" не начнутся?

Безопасно. BSOD не начнутся хотя бы по той причине, что в OSAM нет x64-драйвера (в паблик версии). Кроме того, при сканировании драйвер не используется нигде. И в целом, драйвер OSAM не BSOD'ит.

[Matias 20]

Безопасно. BSOD не начнутся

Спасибо за информацию.

[Matias 20]

Цитата из описания OSAM:

абсолютно бесплатное приложение!

Как известно, установочный пакет OSAM содержит Яндекс Бар. Следовательно, программу нельзя назвать абсолютно бесплатной (freeware). Честнее было бы написать Ad-Supported.

[Matias 20]

Пожелание к следующей версии OSAM, если таковая появится. Хорошо бы исправить чекбокса онлайнового сканера. Вместо Ask for online malware scanner написать Prompt for online malware scanner. Это позволит избежать путаницы.

[Matias 20]

Как написал один из пользователей форума Ru-Board, базы OSAM не обновляются уже полгода.

[Matias 20]

Базы OSAM действительно перестали обновляться. Это заметил не только я, но и другие пользователи форума WS. Многие легитимные объекты вообще не опознаются программой.