AVZ - бесплатная быстро работающая антивирусная
утилита, являющаяся прямым аналогом программ TrojanHunter и LavaSoft
Ad-aware 6. Включает в себя собственно AVZ и дополнительные утилиты
AVZGuard/AVZPM/BootCleaner. Первичной задачей программы является
удаление шпионского ПО SpyWare и троянов. Возможности обнаружения и удаления • SpyWare и AdWare модули; • Dialer (Trojan.Dialer); • Троянские программы; • BackDoor модули; • Сетевые и почтовые черви; • TrojanSpy, TrojanDownloader, TrojanDropper.
Особенности
•
Микропрограммы эвристической проверки системы. Микропрограммы проводят
поиск известных SpyWare и вирусов по косвенным признакам - на основании
анализа реестра, файлов на диске и в памяти; • Обновляемая база
безопасных файлов. В нее входят цифровые подписи десятков тысяч
системных файлов и файлов известных безопасных процессов. База
подключена ко всем системам AVZ и работает по принципу "свой/чужой" -
безопасные файлы не вносятся в карантин, для них заблокировано удаление и
вывод предупреждений, база используется антируткитом, системой поиска
файлов, различными анализаторами. В частности, встроенный диспетчер
процессов выделяет безопасные процессы и сервисы цветом, поиск файлов на
диске может исключать из поиска известные файлы (что очень полезно при
поиске на диске троянских программ); • Встроенная система обнаружения
Rootkit. Поиск RootKit идет без применения сигнатур на основании
исследования базовых системных библиотек на предмет перехвата их
функций. AVZ может не только обнаруживать RootKit, но и производить
корректную блокировку работы UserMode RootKit для своего процесса и
KernelMode RootKit на уровне системы. Противодействие RootKit
распространяется на все сервисные функции AVZ, в результате сканер AVZ
может обнаруживать маскируемые процессы, система поиска в реестре
"видит" маскируемые ключи и т.п. Антируткит снабжен анализатором,
который проводит обнаружение процессов и сервисов, маскируемых RootKit.
Одной из главных на мой взгляд особенностей системы противодействия
RootKit является ее работоспособность в Win9X (распространеннное мнение
об отсуствии RootKit, работающих на платформе Win9X глубоко ошибочно -
известны сотни троянских программ, перехватывающих API функции для
маскировки своего присутствия, для искажения работы API функций или
слежения за их использованием). Другой особенностью является
универсальная система обнаружения и блокирования KernelMode RootKit,
работоспособная под Windows NT, Windows 2000 pro/server, XP, XP SP1, XP
SP2, Windows 2003 Server, Windows 2003 Server SP1; • Детектор
клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и
троянских DLL ведется на основании анализа системы без применения базы
сигнатур, что позволяет достаточно уверенно детектировать заранее
неизвестные троянские DLL и Keylogger; • Нейроанализатор. Помино
сигнатурного анализатора AVZ содержит нейроэмулятор, который позволяет
производить исследование подозрительных файлов при помощи нейросети. В
настоящее время нейросеть применяется в детекторе кейлоггеров; •
Встроенный анализатор Winsock SPI/LSP настроек. Позволяет
проанализировать настройки, диагностировать возможные ошибки в настройке
и произвести автоматическое лечение. Возможность автоматической
диагностики и лечения полезна для начинающих пользователей (в утилитах
типа LSPFix автоматическое лечение отсутствует). Для исследования
SPI/LSP вручную в программе имеется специальный менеджер настроек
LSP/SPI. На работу анализатора Winsock SPI/LSP распространяется действие
антируткита; • Встроенный диспетчер процессов, сервисов и драйверов.
Предназначен для изучения запущенных процессов и загруженных библиотек,
запущенных сервисов и драйверов. На работу диспетчера процессов
распространяется действие антируткита (как следствие - он "видит"
маскируемые руткитом процессы). Диспетчер процессов связан с базой
безопасных файлов AVZ, опознанные безопасные и системные файлы
выделяются цветом; • Встроенная утилита для поиска файлов на диске.
Позволяет искать файл по различным критериям, возможности системы поиска
превосходят возможности системного поиска. На работу системы поиска
распространяется действие антируткита (как следствие - поиск "видит"
маскируемые руткитом файлы и может удалить их), фильтр позволяет
исключать из результатов поиска файлы, опознанные AVZ как безопасные.
Результаты поиска доступны в виде текстового протокола и в виде таблицы,
в которой можно пометить группу файлов для последующего удаления или
помещения в карантин; • Встроенная утилита для поиска данных в
реестре. Позволяет искать ключи и параметры по заданному образцу,
результаты поиска доступны в виде текстового протокола и в виде таблицы,
в которой можно отметить несколько ключей для их экспорта или удаления.
На работу системы поиска распространяется действие антируткита (как
следствие - поиск "видит" маскируемые руткитом ключи реестра и может
удалить их); • Встроенный анализатор открытых портов TCP/UDP. На него
распространяется действие антируткита, в Windows XP для каждого порта
отображается использующий порт процесс. Анализатор опирается на
обновляемую базу портов известных троянских/Backdoor программ и
известных системных сервисов. Поиск портов троянских программ включен в
основной алгоритм проверки системы - при обнаружении подозрительных
портов в протокол выводятся предупреждения с указанием, каким троянских
программам свойственно использование данного порта; • Встроенный анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов. Работает в Win9X и в Nt/W2K/XP; • Встроенный анализатор Downloaded Program Files (DPF) - отображает элементы DPF, подключен ко всем сситемам AVZ; •
Микропрограммы восстановления системы. Микропрограммы проводят
восстановления настроек Internet Explorer, параметров запуска программ и
иные системные параметры, повреждаемые вредоносными программами.
Восстановление запускается вручную, восстанавливаемые параметры
указываются пользователем; • Эвристическое удаление файлов. Суть его
состоит в том, что если в ходе лечения удалялись вредоносные файлы и
включена эта опция, то производится автоматическое исследование системы,
охватывающее классы, BHO, расширения IE и Explorer, все доступные AVZ
виды автозапуска, Winlogon, SPI/LSP и т.п. Все найденные ссылки на
удаленный файл автоматически вычищаются с занесением в протокол
информации о том, что конкретно и где было вычищено. Для этой чистки
активно применяется движок микропрограмм лечения системы; • Проверка
архивов. Начиная с версии 3.60 AVZ поддерживает проверку архивов и
составных файлов. На настоящий момент проверяются архивы (формата ZIP,
RAR, CAB, GZIP, TAR), письма электронной почты, MHT файлы и CHM архивы; • Проверка и лечение потоков NTFS. Проверка NTFS потоков включена в AVZ начиная с версии 3.75; •
Скрипты управления. Позволяют администратору написать скрипт,
выполняющий на ПК пользователя набор заданных операций. Скрипты
позволяют применять AVZ в корпоративной сети, включая его запуск в ходе
загрузки системы; • Анализатор процессов. Анализатор использует
нейросети и микропрограммы анализа, он включается при включении
расширенного анализа на максимальном уровне эвристики и предназначен для
поиска подозрительных процессов в памяти; • Система AVZGuard.
Предназначена для борьбы с трудноудалимыми вредоносными програмами,
может кроме AVZ защищать указанные пользователем приложения, например,
другие антишпионские и антивирусные программы; • Система прямого доступа к диску для работы с заблокированными файлами. Работает
на FAT16/FAT32/NTFS, поддерживается на всех операционных системах
линейки NT, позволяет сканеру анализировать заблокированные файлы и
помещать их в карантин; • Драйвер мониторинга процессов и драйверов
AVZPM. Предназначен для отслеживания запуска и остановки процессов и
загрузки/выгрузки драйверов для поиска маскирующихся драйверов и
обнаружения искажений в описывающих процессы и драйверы структурах,
создаваемых DKOM руткитами; • Драйвер Boot Cleaner. Предназначен для
выполнения чистки системы (удаление файлов, драйверов и служб, ключей
реестра) из KernelMode. Операция чистки может выполняться как в процессе
перезагрузки компьютера, так и в ходе лечения.
Изменения в версии 4.39
• Множество доработок в визардах и скриптах эвристики; • Поиск и восстановление повреждений настройки SafeBoot; • Поиск и нейтрализация перехватов UserMode, осуществленных не в начале машинного кода функции; •
База чистых - вызовы типа "cmd.exe /c xxxx" более не считаются
легитимными - по базе чистых проверяется то, что запускается через CMD, а
не сам файл "cmd.exe"; • Блокировка "зацикливания" при сканировании ссылок в файловой системе Win7/Vista; • Скрипты, функция RegSearch - добавлен поиск по значениям параметра REG_MULTI_SZ; •
Детектирование "вредоносного кода в реестре" - обнаружение ключей
автозапуска, содержащих запуск последовательности команд интерпретатора
командной строки (по сути хранимый в реестре аналог BAT файла) с оценкой
потенциальной опасности; • Эвристика на исполняемые файлы в папке автозапуска (предупреждение в протоколе, автокарантин), не опознанные по базе чистых; •
Скрипты, функция BackupRegKey,ExpRegKey, ExpRegKeyEx - добавлена
поддержка параметров типа REG_QWORD, исправлено сохранение REG_MULTY_SZ; • Скрипты, TFileSearch - исправлена ошибка вывода даты найденных файлов; • Скрипты, TFileSearch - добавлена возможность получения даты последней модификации и последнего доступа; •
Исправлена команда "Безопасность: IE - запретить запуск программ и
файлов в IFRAME без запроса", вставляемая по одноименной ссылке в
протоколе; • Исправлена и доработана операция 15 в восстановлении системы; • Доработан анализ ключей автозапуска в исследовании системы и менеджере автозапуска (открытие ключей в режиме "только чтение"); • Порты TCP/UDP - исправлена ошибка, которая периодически появлялась на Win7/Win8 (в случае ошибки список портов был пустой); • Исправлено множество опечаток в русскоязычной документации; • Исправлена проблема с ошибкой чтения значений параметров ключа реестра, доступных только на чтение.
Лицензия: Freeware
Разработчик: Зайцев Олег
Язык интерфейса: Multi / Русский Размер: 8 Мб
|