6 Січня, 2013
0
AVZ – бесплатная антивирусная программа, которая предназначена для чистки компьютера от Spyware и Adware программ, различных Backdoor и троянских компонентов и прочего вредоносного кода (загрузчиков троянских программ, Dialer и т. п.).
Помимо стандартных сканеров (с эвристическим анализатором) и ревизора включает в себя ряд средств автоматизации удаления вредоносного кода, часть из которых являются нетипичными (на 2007 год) и предоставляют достаточно грамотному пользователю расширенные средства контроля.
Программа была разработана Олегом Зайцевым. С 2007 года Олег работает в Лаборатории Касперского и остаётся единственным разработчиком AVZ. Используемые в AVZ наработки и технологии вошли в основные продукты Лаборатории Касперского – Kaspersky Internet Security 2009/2010 и Kaspersky for Windows Workstations 6 MP4.
Назначение AVZ
Программа AVZ служит для нахождения и удаления:
Программу также применяют для создания логов, полезных при запросе помощи на антивирусных форумах.
Средства, встроенные в AVZ
Микропрограммы проводят поиск известных Spyware и вирусов по косвенным признакам – на основании анализа реестра, файлов на диске и в памяти.
В неё входят цифровые подписи десятков тысяч системных файлов и файлов известных безопасных процессов. База подключена ко всем системам AVZ и работает по принципу “свой/чужой” – безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений, база используется антируткитом, системой поиска файлов, различными анализаторами. В частности, встроенный диспетчер процессов выделяет безопасные процессы и сервисы цветом, поиск файлов на диске может исключать из поиска известные файлы (что очень полезно при поиске на диске троянских программ).
Поиск руткитов идёт без применения сигнатур, на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать руткиты, но и производить корректную блокировку работы руткитов. Противодействие руткитам распространяется на все сервисные функции AVZ, в результате сканер AVZ может обнаруживать маскируемые процессы, система поиска в реестре «видит» маскируемые ключи и т. п. Антируткит снабжён анализатором, который проводит обнаружение процессов и сервисов, маскируемых руткитами. Особенностью системы противодействия руткитам является её работоспособность в Windows 9x. Другой особенностью является универсальная система обнаружения и блокирования KernelMode руткитов, работоспособная под Microsoft Windows NT, Microsoft Windows 2000 pro/server, Microsoft Windows XP/XP SP1/XP SP2/XP SP3, Microsoft Windows 2003 Server, Microsoft Windows 2003 Server SP1.
Поиск кейлогеров и троянских DLL ведётся на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать заранее неизвестные троянские DLL и кейлогеры.
Помимо сигнатурного анализатора, AVZ содержит нейроэмулятор, который позволяет производить исследование подозрительных файлов при помощи нейронной сети. В настоящее время нейросеть применяется в детекторе кейлогеров.
Позволяет проанализировать настройки, диагностировать возможные ошибки в настройке и произвести автоматическое лечение. Возможность автоматической диагностики и лечения полезна для начинающих пользователей (в утилитах типа LSPFix автоматическое лечение отсутствует). Для исследования SPI/LSP вручную в программе имеется специальный менеджер настроек LSP/SPI. На работу анализатора Winsock SPI/LSP распространяется действие антируткита.
Предназначен для изучения запущенных процессов и загруженных библиотек, запущенных сервисов и драйверов. На работу диспетчера процессов распространяется действие антируткита (как следствие – он «видит» маскируемые руткитом процессы). Диспетчер процессов связан с базой безопасных файлов AVZ, опознанные безопасные и системные файлы выделяются цветом.
Позволяет искать файл по различным критериям, возможности системы поиска превосходят возможности системного поиска. На работу системы поиска распространяется действие антируткита (как следствие – поиск «видит» маскируемые руткитом файлы и может удалить их), фильтр позволяет исключать из результатов поиска файлы, опознанные AVZ как безопасные. Результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно пометить группу файлов для последующего удаления или помещения в карантин.
Позволяет искать ключи и параметры по заданному образцу, результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно отметить несколько ключей для их экспорта или удаления. На работу системы поиска распространяется действие антируткита (как следствие – поиск “видит” маскируемые руткитом ключи реестра и может удалить их).
На него распространяется действие антируткита, в Microsoft Windows XP для каждого порта отображается использующий порт процесс. Анализатор опирается на обновляемую базу портов известных троянских/Backdoor программ и известных системных сервисов. Поиск портов троянских программ включён в основной алгоритм проверки системы – при обнаружении подозрительных портов в протокол выводятся предупреждения с указанием, каким троянских программам свойственно использование данного порта.
Работает в Microsoft Windows 9x и в Microsoft Windows NT/2000/XP.
Отображает элементы DPF, подключён ко всем системам AVZ.
Микропрограммы проводят восстановления настроек Internet Explorer, параметров запуска программ и иные системные параметры, повреждаемые вредоносными программами. Восстановление запускается вручную, восстанавливаемые параметры указываются пользователем.
Суть его состоит в том, что если в ходе лечения удалялись вредоносные файлы и включена эта опция, то производится автоматическое исследование системы, охватывающее классы, BHO, расширения Internet Explorer и Проводника, все доступные AVZ виды автозапуска, Winlogon, SPI/LSP и т. п. Все найденные ссылки на удалённый файл автоматически вычищаются с занесением в протокол информации о том, что конкретно и где было вычищено. Для этой чистки активно применяется движок микропрограмм лечения системы.
Начиная с версии 3.60, AVZ поддерживает проверку архивов и составных файлов. На настоящий момент проверяются архивы формата ZIP, RAR, CAB, gzip, tar; письма электронной почты и MHT-файлы; CHM-архивы.
Проверка NTFS-потоков включена в AVZ начиная с версии 3.75.
Позволяют администратору написать скрипт, выполняющий на компьютере пользователя набор заданных операций. Скрипты позволяют применять AVZ в корпоративной сети, включая его запуск в ходе загрузки системы.
Анализатор использует нейросети и микропрограммы анализа, он включается при включении расширенного анализа на максимальном уровне эвристики и предназначен для поиска подозрительных процессов в памяти.
Предназначена для борьбы с трудноудалимыми вредоносными программами, может кроме AVZ защищать указанные пользователем приложения, например, другие антишпионские и антивирусные программы.
Работает на FAT16/FAT32/NTFS, поддерживается на всех операционных системах линейки NT, позволяет сканеру анализировать заблокированные файлы и помещать их в карантин.
Предназначен для отслеживания запуска и остановки процессов и загрузки/выгрузки драйверов для поиска маскирующихся драйверов и обнаружения искажений в описывающих процессы и драйверы структурах, создаваемых DKOM-руткитами.
Предназначен для выполнения чистки системы (удаление файлов, драйверов и служб, ключей реестра) из KernelMode. Операция чистки может выполняться как в процессе перезагрузки компьютера, так и в ходе лечения.
Ссылки
