Антивирусная утилита AVZ является инструментом для исследования и восстановления системы. Она предназначена для автоматического или ручного поиска и удаления SpyWare- и AdWare-модулей, руткитов и вредоносных программ, маскирующих свои процессы, троянских программ, ВаскЬоог-модулей, сетевых и почтовых червей, TrojanSpy, TrojanDownloader, TrojanDropper, «дозвонщиков» (Dialer, Trojan.Dialer, Porn-Dialer), клавиатурных шпионов и прочих программ, которые могут применяться для слежения за пользователем ПК.
Утилита AVZ также может осуществлять:
- эвристическое удаление файлов;
- проверку архивов и составных файлов (проверяются архивы формата ZIP, RAR, CAB, GZIP, TAR; письма электронной почты и МНТ-файлы; СНМ-архивы);
- проверку и лечение потоков NTFS.
AVZ является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware. Первая версия утилиты появилась в 2004 г. Разработчик AVZ - Олег Зайцев.
Утилита AVZ содержит:
• микропрограммы эвристической проверки системы. Проводят поиск вредоносного ПО по косвенным признакам (на основании анализа Реестра, файлов на диске и в памяти);
• обновляемую базу безопасных файлов;
• встроенную систему обнаружения руткитов (Rootkit). Поиск RootKit идет без применения сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы UserMode RootKit для своего процесса и KernelMode RootKit на уровне системы;
• детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и троянских DLL ведется на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать неизвестные троянские DLL и Keylogger;
• нейроанализатор. Позволяет производить исследование подозрительных файлов при помощи нейро-
сети. В настоящее время нейросеть применяется в детекторе кейлоггеров;
• встроенный анализатор WinsockSPI/LSP-настроек. Позволяет анализировать настройки, диагностировать возможные ошибки в настройке и устранять их;
• встроенный диспетчер процессов, сервисов и драйверов. Предназначен для изучения запущенных процессов, библиотек, сервисов и драйверов. На работу диспетчера процессов распространяется действие антируткита (как следствие - он «видит» маскируемые руткитом процессы). Диспетчер процессов связан с базой безопасных файлов AVZ, опознанные безопасные и системные файлы выделяются цветом;
• встроенную утилиту для поиска файлов на диске (с сохранением результатов поиска). Позволяет искать файл по различным критериям, возможности системы поиска превосходят возможности системного поиска.
И многое другое.
Основные отличия AVZ
- возможность настройки реакции программы на каждую из категорий вредоносных программ (например, можно задать режим удаления найденных вирусов и троянских программ, но заблокировать удаление AdWare);
- наличие многочисленных эвристических проверок системы;
- наличие встроенной базы данных с цифровыми подписями десятков тысяч системных файлов и файлов известных безопасных процессов. Применение этой базы позволяет уменьшить количество ложных срабатываний. База подключена ко всем системам AVZ и работает по принципу «свой/чужой» - безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений.
Как пользоваться антивирусной утилитой
- зайдите на страницу http://z-oleg.com/secur/avz/download.php;
- скачайте архив с утилитой;
- распакуйте архив;
- запустите файл avz.exe;
- в окне утилиты на вкладке Область поиска задайте место поиска вредоносного ПО (диски, папки);
- по умолчанию установлены флажки Проверять запущенные процессы, Эвристическая проверка системы, Поиск потенциальных уязвимостей;
- установите флажок Выполнять лечение;
- в выпадающих списках Вирусы, AdWare, Spy/ Spyware, Dialer/PornWare, HackTool, RiskWare задайте действие, выполняемое при обнаружении (Удалять, Только отчет, Спросить у пользователя);
- при необходимости установите флажки Эвристическое удаление файлов, Копировать удаляемые файлы в Infected, Копировать подозрительные в карантин;
- на вкладке Типы файлов по умолчанию установлено - Потенциально опасные файлы, Проверять потоки NTFS, Проверять архивы, Не проверять архивы более 10МБ - при необходимости внесите нужные поправки;
- на вкладке Параметры поиска по умолчанию установлено - Средний уровень эвристики, Детектировать перехватчики API и RootKit, Проверять настройки SPI/ LSP, Поиск клавиатурных перехватчиков (Keylogger) -при необходимости внесите нужные поправки;
- нажмите кнопку Пуск;
- дождитесь завершения сканирования;
- в прокручиваемом списке Протокол ознакомьтесь с результатами;
- нажатием на кнопку Сохранить протокол вы можете сохранить результаты сканирования (имя файла протокола по умолчанию - avz_log.txt);
- если у вас есть подозрение на наличие в системе вирусов (или другие вопросы no AVZ), вы можете обратиться в конференцию - http://virusinfo.info.
А теперь предоставим слово разработчику:
«AVZ задумана как утилита, оснащенная массой различных проверок и анализаторов, порой параноидальных. Это сделано специально, т.к. AVZ часто применяется для анализа ПК, проверка которых другими средствами ничего не дала. Поэтому ложные срабатывания возможны, и в этом случае в протоколе для объекта дается формулировка «Подозрение на...» (категория вредоносной программы и уточняющие данные).
В случае обнаружения подозрительных объектов следует придерживаться следующей методики:
1. Ни в коем случае не следует уничтожать подозрительные файлы. То, что файл заподозрен анализатором, еще не означает, что он опасен. Необходимо поместить подозрительные файлы в карантин AVZ и выслать мне на адрес [email protected] При создании архива вручную очень желательно задать пароль, иначе письмо может быть блокировано вашим почтовым сервером;
2. В письме необходимо кратко изложить суть проблемы, какие есть подозрения. Очень желательно приложить протокол AVZ;
3. Дождаться ответа с результатами анализа».
Скрипты AVZ
AVZ изначально создавалась как утилита для сисадмина. Проверка конкретного ПК удобна в случае запуска AVZ вручную и работы в диалоговом режиме.
Однако для оперативной проверки большого количества ПК (или для выполнения их периодической проверки входе загрузки) необходима возможность автоматизации. Первым шагом в этом направлении была поддержка ключей командной строки. Однако ключи позволяют настроить AVZ, но не дают особой гибкости в работе с ним. Поэтому начиная с версии 3.80 введена поддержка внешних скриптов управления, которые могут создаваться администратором.
Главной особенностью скрипта является возможность использования условных операторов и циклов, объявления переменных различных типов, проведения операций с числами и строками. Все это позволяет решать ряд сложных задач, реализация которых невозможна с помощью ключей командной строки (например, проводить избирательную настройку AVZ для каждого проверяемого ПК, проводить лечение определенных папок и т.д.).
Обновление AVZ
Для обновления утилиты выберите меню Файл -> Обновление баз;
- в окне Оперативное автоматическое обновление выберите источник обновления, проверьте настройки;
- нажмите Пуск;
- дождитесь завершения процесса обновления.
Ручное обновление AVZ
- закройте программу AVZ;
- скачайте свежие базы для AVZ по ссылке http://z-oleg.com/secur/avz_up/avzbase.zip;
- распакуйте скачанный архив в папку Base программы AVZ (санкционируя замену файлов - Да для всех).