Аддон с антивирусной утилитой AVZ 4.30 для использования с пакетом обновлений UpdatePack-XPSP2/SP3-Rus. Является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление: - SpyWare и AdWare модулей - основное назначение утилиты. - Dialer (Trojan.Dialer). - Троянских программ. - BackDoor модулей. - Сетевых и почтовых червей. - TrojanSpy, TrojanDownloader, TrojanDropper. В программе заложена возможность обновления антивирусных баз через интернет. Обновление антивирусных баз и модулей программы возможно в GUI архиватора 7-zip без пересборки sfx архива. Метод интеграции - SVCPACK, возможна установка на "живую" систему. Ярлыки программы создаются в папке "Пуск-Программы-Утилиты-AVZ". Удаление аддона доступно из апплета "Установка и удаление программ". Для интеграции в дистрибутив Windows распакуйте архив в папку "Addons" Набора обновлений. Особенностями утилиты AVZ (помимо типового сигнатурного сканера) являются: * Микропрограммы эвристической проверки системы. Микропрограммы производят поиск известных SpyWare и вирусов по косвенным признакам - на основании анализа реестра, файлов на диске и в памяти. * Обновляемая база безопасных файлов. В нее входят цифровые подписи десятков тысяч системных файлов и файлов известных безопасных процессов. База подключена ко всем системам AVZ и работает по принципу "свой/чужой" - безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений, база используется антируткитом, системой поиска файлов, разнообразными анализаторами. В частности, встроенный диспетчер процессов выделяет безопасные процессы и сервисы цветом, поиск файлов на диске может исключать из поиска известные файлы (что очень полезно при поиске на диске троянских программ); * Встроенная система обнаружения Rootkit. Поиск RootKit идет без использования сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только выявлять RootKit, но и выполнять корректную блокировку работы UserMode RootKit для своего процесса и KernelMode RootKit на уровне системы. Противодействие RootKit распространяется на все сервисные функции AVZ, вследствие чего сканер AVZ может обнаруживать замаскированные процессы, система поиска в реестре "видит" маскируемые ключи и т.п. Антируткит оснащен анализатором, который проводит обнаружение процессов и сервисов, маскируемых RootKit. Одной из главных особенностей системы противодействия RootKit является ее работоспособность в Win9X (распространенное мнение об отсутствии RootKit, работающих на платформе Win9X глубоко ошибочно - известны сотни троянских программ, перехватывающих API функции для маскировки своего присутствия, для искажения работы API функций или слежения за их использованием). Другой особенно стью является универсальная система обнаружения и блокирования KernelMode RootKit, работоспособная под Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, Windows 2003 Server, Windows 2003 Server SP1 * Детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и троянских DLL ведется на основании анализа системы без применения базы сигнатур, позволяющий достаточно точно детектировать заранее неизвестные троянские DLL и Keylogger; * Нейроанализатор. Помино сигнатурного анализатора AVZ содержит нейроэмулятор, позволяющий проводить исследование подозрительных файлов при помощи нейросети. В настоящее время нейросеть применяется в детекторе кейлоггеров. * Встроенный анализатор Winsock SPI/LSP настроек. Позволяет проанализировать настройки, диагностировать возможные ошибки в настройке и провести автоматическое лечение. Возможность автоматической диагностики и лечения полезна для начинающих пользователей (в утилитах типа LSPFix автоматическое лечение отсутствует). Для исследования SPI/LSP вручную в программе есть специальный менеджер настроек LSP/SPI. На работу анализатора Winsock SPI/LSP распространяется действие антируткита; * Встроенный диспетчер процессов, сервисов и драйверов, предназначенный для изучения запущенных процессов и загруженных библиотек, запущенных сервисов и драйверов. На работу диспетчера процессов распространяется действие антируткита (как следствие - он "видит" маскируемые руткитом процессы). Диспетчер процессов связан с базой безопасных файлов AVZ, опознанные безопасные и системные файлы выделяются цветом; * Встроенная утилита для поиска файлов на диске. Позволяет искать файл по разным критериям, возможности системы поиска превосходят возможности системного поиска. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом файлы и может удалить их), фильтр позволяет исключать из результатов поиска файлы, опознанные AVZ как безопасные. Результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно пометить группу файлов для последующего удаления или помещения в карантин * Встроенная утилита для поиска данных в реестре. Позволяет искать ключи и параметры по заданному образцу, результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно отметить несколько ключей для их экспорта или удаления. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом ключи реестра и может удалить их) * Встроенный анализатор открытых портов TCP/UDP. На него распространяется действие антируткита, в Windows XP для каждого порта отображается использующий порт процесс. Анализатор опирается на обновляемую базу портов известных троянских/Backdoor программ и известных системных сервисов. Поиск портов троянских программ включен в основной алгоритм проверки системы - при выявлении подозрительных портов в протокол выводятся предупреждения с указанием, каким троянских программам свойственно использование данного порта * Встроенный анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов. Работает в Win9X и в Nt/W2K/XP. * Встроенный анализатор Downloaded Program Files (DPF) - отображает элементы DPF, подключен ко всем сситемам AVZ. * Микропрограммы восстановления системы. Микропрограммы производят восстановления настроек Internet Explorer, параметров запуска программ и другие системные параметры, повреждаемые вредоносными программами. Восстановление запускается вручную, восстанавливаемые параметры указываются пользователем. * Эвристическое удаление файлов. Если в ходе лечения удалялись вредоносные файлы и включена эта опция, то проводится автоматическое исследование системы, охватывающее классы, BHO, расширения IE и Explorer, все доступные AVZ виды автозапуска, Winlogon, SPI/LSP и т.п. Все найденные ссылки на удаленный файл автоматически вычищаются с занесением в протокол информации о том, что конкретно и где было вычищено. Для этой чистки активно применяется движок микропрограмм лечения системы; * Проверка архивов. Начиная с версии 3.60 AVZ, поддерживает проверку архивов и составных файлов. На настоящий момент проверяются архивы формата ZIP, RAR, CAB, GZIP, TAR; письма электронной почты и MHT файлы; CHM архивы * Проверка и лечение потоков NTFS. Проверка NTFS потоков включена в AVZ, начиная с версии 3.75 * Скрипты управления. Позволяют администратору написать скрипт, выполняющий на ПК пользователя набор заданных операций. Скрипты позволяют применять AVZ в корпоративной сети, включая его запуск в ходе загрузки системы. * Анализатор процессов. Анализатор применяет нейросети и микропрограммы анализа, он включается при включении расширенного анализа на максимальном уровне эвристики и предназначен для поиска подозрительных процессов в памяти. * Система AVZGuard. Предназначена для борьбы с трудноудалимыми вредоносными програмами, может кроме AVZ защищать указанные пользователем приложения, например, другие антишпионские и антивирусные программы. * Система прямого доступа к диску для работы с заблокированными файлами. Работает на FAT16/FAT32/NTFS, поддерживается на всех операционных системах линейки NT, позволяет сканеру анализировать заблокированные файлы и помещать их в карантин. * Драйвер мониторинга процессов и драйверов AVZPM. Предназначен для отслеживания запуска и остановки процессов и загрузки/выгрузки драйверов для поиска замаскированных драйверов и обнаружения искажений в описывающих процессы и драйверы структурах, создаваемых DKOM руткитами. * Драйвер Boot Cleaner. Предназначен для выполнения чистки системы (удаление файлов, драйверов и служб, ключей реестра) из KernelMode. Операция чистки может выполняться как в процессе перезагрузки компьютера, так и в ходе лечения.
