Антивирусная утилита AVZ является инструментом для исследования и восстановления системы. Она предназначена для автоматического или ручного поиска и удаления SpyWare- и AdWare-модулей, руткитов и вредоносных программ, маскирующих свои процессы, троянских программ, ВаскЬоог-модулей, сетевых и почтовых червей, TrojanSpy, TrojanDownloader, TrojanDropper, «дозвонщиков» (Dialer, Trojan.Dialer, Porn-Dialer), клавиатурных шпионов и прочих программ, которые могут применяться для слежения за пользователем ПК.

Утилита AVZ также может осуществлять:

- эвристическое удаление файлов;

- проверку архивов и составных файлов (проверяются архивы формата ZIP, RAR, CAB, GZIP, TAR; письма электронной почты и МНТ-файлы; СНМ-архивы);

- проверку и лечение потоков NTFS.

AVZ является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware. Первая версия утилиты появилась в 2004 г. Разработчик AVZ - Олег Зайцев.

Утилита AVZ содержит:

• типовой сигнатурный сканер;

• микропрограммы эвристической проверки системы. Проводят поиск вредоносного ПО по косвенным признакам (на основании анализа Реестра, файлов на диске и в памяти);

• обновляемую базу безопасных файлов;

• встроенную систему обнаружения руткитов (Rootkit). Поиск RootKit идет без применения сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы UserMode RootKit для своего процесса и KernelMode RootKit на уровне системы;

• детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и троянских DLL ведется на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать неизвестные троянские DLL и Keylogger;

• нейроанализатор. Позволяет производить исследование подозрительных файлов при помощи нейро-

сети. В настоящее время нейросеть применяется в детекторе кейлоггеров;

• встроенный анализатор WinsockSPI/LSP-настроек. Позволяет анализировать настройки, диагностировать возможные ошибки в настройке и устранять их;

• встроенный диспетчер процессов, сервисов и драйверов. Предназначен для изучения запущенных процессов, библиотек, сервисов и драйверов. На работу диспетчера процессов распространяется действие антируткита (как следствие - он «видит» маскируемые руткитом процессы). Диспетчер процессов связан с базой безопасных файлов AVZ, опознанные безопасные и системные файлы выделяются цветом;

• встроенную утилиту для поиска файлов на диске (с сохранением результатов поиска). Позволяет искать файл по различным критериям, возможности системы поиска превосходят возможности системного поиска.

И многое другое.

Основные отличия AVZ

- возможность настройки реакции программы на каждую из категорий вредоносных программ (например, можно задать режим удаления найденных вирусов и троянских программ, но заблокировать удаление AdWare);

- наличие многочисленных эвристических проверок системы;

- наличие встроенной базы данных с цифровыми подписями десятков тысяч системных файлов и файлов известных безопасных процессов. Применение этой базы позволяет уменьшить количество ложных срабатываний. База подключена ко всем системам AVZ и работает по принципу «свой/чужой» - безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений.

Как пользоваться антивирусной утилитой

- зайдите на страницу http://z-oleg.com/secur/avz/download.php;

- скачайте архив с утилитой;

- распакуйте архив;

- запустите файл avz.exe;

- в окне утилиты на вкладке Область поиска задайте место поиска вредоносного ПО (диски, папки);

- по умолчанию установлены флажки Проверять запущенные процессы, Эвристическая проверка системы, Поиск потенциальных уязвимостей;

- установите флажок Выполнять лечение;

- в выпадающих списках Вирусы, AdWare, Spy/ Spyware, Dialer/PornWare, HackTool, RiskWare задайте действие, выполняемое при обнаружении (Удалять, Только отчет, Спросить у пользователя);

- при необходимости установите флажки Эвристическое удаление файлов, Копировать удаляемые файлы в Infected, Копировать подозрительные в карантин;

- на вкладке Типы файлов по умолчанию установлено - Потенциально опасные файлы, Проверять потоки NTFS, Проверять архивы, Не проверять архивы более 10МБ - при необходимости внесите нужные поправки;

- на вкладке Параметры поиска по умолчанию установлено - Средний уровень эвристики, Детектировать перехватчики API и RootKit, Проверять настройки SPI/ LSP, Поиск клавиатурных перехватчиков (Keylogger) -при необходимости внесите нужные поправки;

- нажмите кнопку Пуск;

- дождитесь завершения сканирования;

- в прокручиваемом списке Протокол ознакомьтесь с результатами;

- нажатием на кнопку Сохранить протокол вы можете сохранить результаты сканирования (имя файла протокола по умолчанию - avz_log.txt);

- если у вас есть подозрение на наличие в системе вирусов (или другие вопросы no AVZ), вы можете обратиться в конференцию - http://virusinfo.info.

А теперь предоставим слово разработчику:

«AVZ задумана как утилита, оснащенная массой различных проверок и анализаторов, порой параноидальных. Это сделано специально, т.к. AVZ часто применяется для анализа ПК, проверка которых другими средствами ничего не дала. Поэтому ложные срабатывания возможны, и в этом случае в протоколе для объекта дается формулировка «Подозрение на...» (категория вредоносной программы и уточняющие данные).

В случае обнаружения подозрительных объектов следует придерживаться следующей методики:

1. Ни в коем случае не следует уничтожать подозрительные файлы. То, что файл заподозрен анализатором, еще не означает, что он опасен. Необходимо поместить подозрительные файлы в карантин AVZ и выслать мне на адрес newvirus@z-oleg.com. При создании архива вручную очень желательно задать пароль, иначе письмо может быть блокировано вашим почтовым сервером;

2. В письме необходимо кратко изложить суть проблемы, какие есть подозрения. Очень желательно приложить протокол AVZ;

3. Дождаться ответа с результатами анализа».

Скрипты AVZ

AVZ изначально создавалась как утилита для сисадмина. Проверка конкретного ПК удобна в случае запуска AVZ вручную и работы в диалоговом режиме.

Однако для оперативной проверки большого количества ПК (или для выполнения их периодической проверки входе загрузки) необходима возможность автоматизации. Первым шагом в этом направлении была поддержка ключей командной строки. Однако ключи позволяют настроить AVZ, но не дают особой гибкости в работе с ним. Поэтому начиная с версии 3.80 введена поддержка внешних скриптов управления, которые могут создаваться администратором.

Главной особенностью скрипта является возможность использования условных операторов и циклов, объявления переменных различных типов, проведения операций с числами и строками. Все это позволяет решать ряд сложных задач, реализация которых невозможна с помощью ключей командной строки (например, проводить избирательную настройку AVZ для каждого проверяемого ПК, проводить лечение определенных папок и т.д.).

Обновление AVZ

Для обновления утилиты выберите меню Файл -> Обновление баз;

- в окне Оперативное автоматическое обновление выберите источник обновления, проверьте настройки;

- нажмите Пуск;

- дождитесь завершения процесса обновления.

Ручное обновление AVZ

- закройте программу AVZ;

- скачайте свежие базы для AVZ по ссылке http://z-oleg.com/secur/avz_up/avzbase.zip;

- распакуйте скачанный архив в папку Base программы AVZ (санкционируя замену файлов - Да для всех).