Помимо стандартных сканера (с эвристическим анализатором) и ревизора включает в себя ряд средств автоматизации удаления вредоносного кода, часть из которых являются нетипичными и предоставляют достаточно грамотному пользователю расширенные средства контроля.

Программа была разработана Олегом Зайцевым. С 2007 года Олег работает в Лаборатории Касперского и остаётся единственным разработчиком AVZ. Используемые в AVZ наработки и технологии вошли в основные продукты ЛК — Kaspersky Internet Security 2009/2010 и Kaspersky for Windows Workstations 6 MP4.

Антивирусная утилита AVZ предназначена для обнаружения и удаления:
SpyWare и AdWare модулей - это основное назначение утилиты
Dialer (Trojan.Dialer)
Троянских программ
BackDoor модулей
Сетевых и почтовых червей
TrojanSpy, TrojanDownloader, TrojanDropper

Утилита является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление SpyWare и троянских программ.

Особенностями утилиты AVZ (помимо типового сигнатурного сканера) является:

Микропрограммы эвристической проверки системы. Микропрограммы проводят поиск известных SpyWare и вирусов по косвенным признакам - на основании анализа реестра, файлов на диске и в памяти.

Обновляемая база безопасных файлов. В нее входят цифровые подписи десятков тысяч системных файлов и файлов известных безопасных процессов. База подключена ко всем системам AVZ и работает по принципу "свой/чужой" - безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений, база используется антируткитом, системой поиска файлов, различными анализаторами. В частности, встроенный диспетчер процессов выделяет безопасные процессы и сервисы цветом, поиск файлов на диске может исключать из поиска известные файлы (что очень полезно при поиске на диске троянских программ);

Встроенная система обнаружения Rootkit. Поиск RootKit идет без применения сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы UserMode RootKit для своего процесса и KernelMode RootKit на уровне системы. Противодействие RootKit распространяется на все сервисные функции AVZ, в результате сканер AVZ может обнаруживать маскируемые процессы, система поиска в реестре "видит" маскируемые ключи и т.п. Антируткит снабжен анализатором, который проводит обнаружение процессов и сервисов, маскируемых RootKit. Одной из главных на мой взгляд особенностей системы противодействия RootKit является ее работоспособность в Win9X (распространеннное мнение об отсуствии RootKit, работающих на платформе Win9X глубоко ошибочно - известны сотни троянских программ, перехватывающих API функции для маскировки своего присутствия, для искажения работы API функций или слежения за их использованием). Другой особенностью является универсальная система обнаружения и блокирования KernelMode RootKit, работоспособная под Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, Windows 2003 Server, Windows 2003 Server SP1

Детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и троянских DLL ведется на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать заранее неизвестные троянские DLL и Keylogger;

Нейроанализатор. Помино сигнатурного анализатора AVZ содержит нейроэмулятор, который позволяет производить исследование подозрительных файлов при помощи нейросети. В настоящее время нейросеть применяется в детекторе кейлоггеров.

Встроенный анализатор Winsock SPI/LSP настроек. Позволяет проанализировать настройки, диагностировать возможные ошибки в настройке и произвести автоматическое лечение. Возможность автоматической диагностики и лечения полезна для начинающих пользователей (в утилитах типа LSPFix автоматическое лечение отсутствует). Для исследования SPI/LSP вручную в программе имеется специальный менеджер настроек LSP/SPI. На работу анализатора Winsock SPI/LSP распространяется действие антируткита;

Встроенный диспетчер процессов, сервисов и драйверов. Предназначен для изучения запущенных процессов и загруженных библиотек, запущенных сервисов и драйверов. На работу диспетчера процессов распространяется действие антируткита (как следствие - он "видит" маскируемые руткитом процессы). Диспетчер процессов связан с базой безопасных файлов AVZ, опознанные безопасные и системные файлы выделяются цветом;

Встроенная утилита для поиска файлов на диске. Позволяет искать файл по различным критериям, возможности системы поиска превосходят возможности системного поиска. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом файлы и может удалить их), фильтр позволяет исключать из результатов поиска файлы, опознанные AVZ как безопасные. Результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно пометить группу файлов для последующего удаления или помещения в карантин

Встроенная утилита для поиска данных в реестре. Позволяет искать ключи и параметры по заданному образцу, результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно отметить несколько ключей для их экспорта или удаления. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом ключи реестра и может удалить их)

Встроенный анализатор открытых портов TCP/UDP. На него распространяется действие антируткита, в Windows XP для каждого порта отображается использующий порт процесс. Анализатор опирается на обновляемую базу портов известных троянских/Backdoor программ и известных системных сервисов. Поиск портов троянских программ включен в основной алгоритм проверки системы - при обнаружении подозрительных портов в протокол выводятся предупреждения с указанием, каким троянских программам свойственно использование данного порта
Встроенный анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов. Работает в Win9X и в Nt/W2K/XP.

Встроенный анализатор Downloaded Program Files (DPF) - отображает элементы DPF, подключен ко всем сситемам AVZ.

Микропрограммы восстановления системы. Микропрограммы проводят восстановления настроек Internet Explorer, параметров запуска программ и иные системные параметры, повреждаемые вредоносными программами. Восстановление запускается вручную, восстанавливаемые параметры указываются пользователем.

Эвристическое удаление файлов. Суть его состоит в том, что если в ходе лечения удалялись вредоносные файлы и включена эта опция, то производится автоматическое исследование системы, охватывающее классы, BHO, расширения IE и Explorer, все доступные AVZ виды автозапуска, Winlogon, SPI/LSP и т.п. Все найденные ссылки на удаленный файл автоматически вычищаются с занесением в протокол информации о том, что конкретно и где было вычищено. Для этой чистки активно применяется движок микропрограмм лечения системы;

Проверка архивов. Начиная с версии 3.60 AVZ поддерживает проверку архивов и составных файлов. На настоящий момент проверяются архивы формата ZIP, RAR, CAB, GZIP, TAR; письма электронной почты и MHT файлы; CHM архивы

Проверка и лечение потоков NTFS. Проверка NTFS потоков включена в AVZ начиная с версии 3.75

Скрипты управления. Позволяют администратору написать скрипт, выполняющий на ПК пользователя набор заданных операций. Скрипты позволяют применять AVZ в корпоративной сети, включая его запуск в ходе загрузки системы.

Анализатор процессов. Анализатор использует нейросети и микропрограммы анализа, он включается при включении расширенного анализа на максимальном уровне эвристики и предназначен для поиска подозрительных процессов в памяти.

Система AVZGuard. Предназначена для борьбы с трудноудалимыми вредоносными програмами, может кроме AVZ защищать указанные пользователем приложения, например, другие антишпионские и антивирусные программы.

 
Система прямого доступа к диску для работы с заблокированными файлами. Работает на FAT16/FAT32/NTFS, поддерживается на всех операционных системах линейки NT, позволяет сканеру анализировать заблокированные файлы и помещать их в карантин.

Драйвер мониторинга процессов и драйверов AVZPM. Предназначен для отслеживания запуска и остановки процессов и загрузки/выгрузки драйверов для поиска маскирующихся драйверов и обнаружения искажений в описывающих процессы и драйверы структурах, создаваемых DKOM руткитами.

Драйвер Boot Cleaner. Предназначен для выполнения чистки системы (удаление файлов, драйверов и служб, ключей реестра) из KernelMode. Операция чистки может выполняться как в процессе перезагрузки компьютера, так и в ходе лечения.

Часто задаваемые вопросы (FAQ)

Может ли утилита APS заменить Firewall ?

Нет. Утилита предназначена для обнаружения факта подключения к защищаемым портам, а не для защиты имеющихся сервисов за счет фильтрации трафика в соответствии с заданными в настройке правилами. Более того, одно из основных предназначений APS состоит в тестировании работы Firewall

При использовании APS в качестве утилиты контроля за работой Firewall никаких особенностей нет - APS просто запускается на защищаемом ПК (при этом на Firewall не нужно вносить правила, затрагивающие APS).

По умолчанию - нет. Утилита не загружает из сети никакой информации и ничего не передает в сеть. Однако сам пользователь может настроить оповещение о сканировании сети по электронной почте, по сети или при помощи службы SysLog. В этом случае программа передает данные в сеть и для успешной передачи необходимо внести в Firewall ряд настроек:

Оповещение по Email - для работы оповещения по Email необходимо на Firewall разрешить программе APS обмениваться с указанным в настройке сервером электронной почты по порту 25 (SMTP)

Оповещение по сети - ведется по порту 137, необходимо разрешить соединения с компьютерами, перечисленными в настройке

Протоколирование с использованием SysLog - запись в Syslog ведется при помощи передачи пакетов по порту 514 UDP на сервера, перечисленные в настройке программы

Для упрощения настройки Firewall на совместную работу с APS в настроках есть кнопки "Тестировать настроку" - нажатие на эту кнопку производит передачу тестового письма (или тестового сообщения), что позволяет настраивать Firewall в режиме обучения.

Ошибка при передаче сообщения не влияет на работу программы - подобные ошибки игнорируются

Да, несомненно. Это одно из основных предназначений этой программы. Именно для этого в APS предусмотрены достаточно развитые средства протоколирования и оповещения администратора

Что такое Honeypot ?

Honeypot - это программа (сервис, система, компьютер), задачей которого является "принять удар на себя", т.е. Honeypot - это специально подготовленный для взлома компьютер. В буквальном переводе Honeypot = "горшок с медом". Встречаются альтернативные термины, имеющие аналогичное значение, например "обманные системы" (deception toolkit). Лично я в шутку называю такие системы "мышеловка".

В различной литературе под понятием honeypot (honeypots) понимают различные вещи: некоторые подразумевают под ним программу типа APS, которая имитирует (эмулирует) уязвимые сервисы и провоцирует атаки на них; другие подразумевают под honeypot реальную систему в целом, специально предназначенную для взлома и последующего изучения причин и последсвий взлома. Мне лично нравится определение "Honeypot – это средство безопасности, значение которого состоит в подверженности его сканированиям, атакам и взломам"

Некая программа X использует порт с NNN. Этот же порт есть в базе APS и после запуска APS программа X не может работать. Как быть ? У проблемы есть как минимум два решения:

Настроить программу X на использование другого порта - если порт находится в базе APS, то это означает, что он достаточно хорошо известен как порт некоторого сервиса или программы. Присвоение нестандартного номера порта в ряде случаев очень полезно, например для прокси-серверов. По умолчанию атакующий ищет в сети прокси по портам 3128 или 8080. В таком случае лучше присвоить прокси-серверу некий нестандартный порт (например 13128), а на стандартном оставить APS

Выключить мониторинг порта в APS и устанить тем самым конфликт. Отключение и включение ведется в меню, вызываемом при нажатии правой кнопки над таблицей портов. Информация об отключенных портах запоминается в файле aps_dp.xml

Что делать, если APS выдает сигнал тревоги ?

Если APS выдает сигнал тревоги, то интерпретация этого события зависит от условий применения APS:

APS применяется для контроля за работой Firewall (т.е. в правилах персонального Firewall программе APS не разрешено работать с сетью). В этом случае сигнал тревоги свидетельствует о том, что кто-то пытается атаковать Ваш компьютер и Firewall по каким-то причинам не выполняет своих функций. Это очень опасно, т.к. при работающем Firewall сканирование портов и подключение к прослушиваемым программой APS портам должно быть невозможно. При возникновании подобной ситуации необходимо:

Проверить, не разрешена ли работа программы APS с сетью. Если разрешена, то работу APS с сетью необходимо запретить (иначе APS не сможет выступать в роли тестера работы Firewall);

Проверить, запущен ли Firewall. Многие сетевые вирусы (черви, троянские программы) могут обнаруживать процессы Firewall и останавливать их. Если после запуска работа Firewall внезапно прерывается, то это может быть сигналом о наличии на Вашем ПК вируса;

Проверить настройки Firewall - возножно, он работает с настройками "по умолчанию" или неправильно настроен.
APS применяется в качестве Honeypot (сетевой ловушки, открытой для взлома). В этом случае программе APS должно быть разрешено работать с сетью. Срабатывание APS сигнализирует о том, что кто-то проявил интерес в ПК, на котором сработал APS. Подробнее об анализе атаки с помощью APS можно прочитать в разделе Анализ атак по данным APS

Это значит, что у Вас на компьютере установлен антивирус (Firewall, антитроянская система ...) с действующим эвристическим механизмом. Дело в том, что APS прослушивает множество портов, присущих известным троянским и Backdoor программам и (в некоторых случаях) даже пытается имитировать ответы этих программ для введения атакующего (и его сканеров) в заблуждение - это одно из основных назначений APS. Естественно, никаких троянских функций у APS нет - он просто имитирует наличие трояна для сканера атакующего.

http://www.z-oleg.com/secur/aps/faq.php  

Документация по AVZ:
http://www.z-oleg.com/secur/avz_doc/

Скачать программу:
http://www.z-oleg.com/secur/avz/download.php 

В случае проблем с автоматическим обновлением баз можно скачать архив, содержащий всю базу - avzbase.zip

http://z-oleg.com/secur/avz_up/avzbase.zip