Антивирусная программа AVZ предназначена для обнаружения и удаления:
SpyWare и AdWare модулей - это основное назначение утилиты,
Trojan.Dialer, троянских программ, BackDoor модулей, сетевых и почтовых
червей, TrojanSpy, TrojanDownloader, TrojanDropper. Основные особенности утилиты AVZ 4.30
(помимо типового сигнатурного сканера)
• Микропрограммы эвристической проверки системы.
Микропрограммы проводят поиск известных SpyWare и вирусов по косвенным
признакам - на основании анализа реестра, файлов на диске и в памяти.
• Обновляемая база безопасных файлов.
В нее входят цифровые подписи десятков тысяч системных файлов и файлов
известных безопасных процессов. База подключена ко всем системам AVZ и
работает по принципу "свой/чужой" - безопасные файлы не вносятся в
карантин, для них заблокировано удаление и вывод предупреждений, база
используется антируткитом, системой поиска файлов, различными
анализаторами. В частности, встроенный диспетчер процессов выделяет
безопасные процессы и сервисы цветом, поиск файлов на диске может
исключать из поиска известные файлы (что очень полезно при поиске на
диске троянских программ);
• Встроенная система обнаружения Rootkit.
Поиск RootKit идет без применения сигнатур на основании исследования
базовых системных библиотек на предмет перехвата их функций. AVZ может
не только обнаруживать RootKit, но и производить корректную блокировку
работы UserMode RootKit для своего процесса и KernelMode RootKit на
уровне системы. Противодействие RootKit распространяется на все
сервисные функции AVZ, в результате сканер AVZ может обнаруживать
маскируемые процессы, система поиска в реестре "видит" маскируемые
ключи и т.п. Антируткит снабжен анализатором, который проводит
обнаружение процессов и сервисов, маскируемых RootKit. Одной из главных
на мой взгляд особенностей системы противодействия RootKit является ее
работоспособность в Win9X (распространеннное мнение об отсуствии
RootKit, работающих на платформе Win9X глубоко ошибочно - известны
сотни троянских программ, перехватывающих API функции для маскировки
своего присутствия, для искажения работы API функций или слежения за их
использованием). Другой особенностью является универсальная система
обнаружения и блокирования KernelMode RootKit, работоспособная под
Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, Windows 2003
Server, Windows 2003 Server SP1
• Детектор клавиатурных шпионов (Keylogger) и троянских DLL.
Поиск Keylogger и троянских DLL ведется на основании анализа системы
без применения базы сигнатур, что позволяет достаточно уверенно
детектировать заранее неизвестные троянские DLL и Keylogger;
• Нейроанализатор.
Помино сигнатурного анализатора AVZ содержит нейроэмулятор, который
позволяет производить исследование подозрительных файлов при помощи
нейросети. В настоящее время нейросеть применяется в детекторе
кейлоггеров.
•Встроенный анализатор Winsock SPI/LSP настроек.
Позволяет проанализировать настройки, диагностировать возможные ошибки
в настройке и произвести автоматическое лечение. Возможность
автоматической диагностики и лечения полезна для начинающих
пользователей (в утилитах типа LSPFix автоматическое лечение
отсутствует). Для исследования SPI/LSP вручную в программе имеется
специальный менеджер настроек LSP/SPI. На работу анализатора Winsock
SPI/LSP распространяется действие антируткита;
• Встроенный диспетчер процессов, сервисов и драйверов.
Предназначен для изучения запущенных процессов и загруженных библиотек,
запущенных сервисов и драйверов. На работу диспетчера процессов
распространяется действие антируткита (как следствие - он "видит"
маскируемые руткитом процессы). Диспетчер процессов связан с базой
безопасных файлов AVZ, опознанные безопасные и системные файлы
выделяются цветом;
• Встроенная утилита для поиска файлов на диске.
Позволяет искать файл по различным критериям, возможности системы
поиска превосходят возможности системного поиска. На работу системы
поиска распространяется действие антируткита (как следствие - поиск
"видит" маскируемые руткитом файлы и может удалить их), фильтр
позволяет исключать из результатов поиска файлы, опознанные AVZ как
безопасные. Результаты поиска доступны в виде текстового протокола и в
виде таблицы, в которой можно пометить группу файлов для последующего
удаления или помещения в карантин
• Встроенная утилита для поиска данных в реестре.
Позволяет искать ключи и параметры по заданному образцу, результаты
поиска доступны в виде текстового протокола и в виде таблицы, в которой
можно отметить несколько ключей для их экспорта или удаления. На работу
системы поиска распространяется действие антируткита (как следствие -
поиск "видит" маскируемые руткитом ключи реестра и может удалить их)
• Встроенный анализатор открытых портов TCP/UDP.
На него распространяется действие антируткита, в Windows XP для каждого
порта отображается использующий порт процесс. Анализатор опирается на
обновляемую базу портов известных троянских/Backdoor программ и
известных системных сервисов. Поиск портов троянских программ включен в
основной алгоритм проверки системы - при обнаружении подозрительных
портов в протокол выводятся предупреждения с указанием, каким троянских
программам свойственно использование данного порта
• Встроенный анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов.
Работает в Win9X и в Nt/W2K/XP.
• Встроенный анализатор Downloaded Program Files (DPF) - отображает элементы DPF, подключен ко всем сситемам AVZ.
• Микропрограммы восстановления системы.
Микропрограммы проводят восстановления настроек Internet Explorer,
параметров запуска программ и иные системные параметры, повреждаемые
вредоносными программами. Восстановление запускается вручную,
восстанавливаемые параметры указываются пользователем.
• Эвристическое удаление файлов.
Суть его состоит в том, что если в ходе лечения удалялись вредоносные
файлы и включена эта опция, то производится автоматическое исследование
системы, охватывающее классы, BHO, расширения IE и Explorer, все
доступные AVZ виды автозапуска, Winlogon, SPI/LSP и т.п. Все найденные
ссылки на удаленный файл автоматически вычищаются с занесением в
протокол информации о том, что конкретно и где было вычищено. Для этой
чистки активно применяется движок микропрограмм лечения системы;
• Проверка архивов.
Начиная с версии 3.60 AVZ поддерживает проверку архивов и составных
файлов. На настоящий момент проверяются архивы формата ZIP, RAR, CAB,
GZIP, TAR; письма электронной почты и MHT файлы; CHM архивы
• Проверка и лечение потоков NTFS.
Проверка NTFS потоков включена в AVZ начиная с версии 3.75
• Скрипты управления.
Позволяют администратору написать скрипт, выполняющий на ПК
пользователя набор заданных операций. Скрипты позволяют применять AVZ в
корпоративной сети, включая его запуск в ходе загрузки системы.<
• Анализатор процессов.
Анализатор использует нейросети и микропрограммы анализа, он включается
при включении расширенного анализа на максимальном уровне эвристики и
предназначен для поиска подозрительных процессов в памяти.
• Система AVZGuard.
Предназначена для борьбы с трудноудалимыми вредоносными програмами,
может кроме AVZ защищать указанные пользователем приложения, например,
другие антишпионские и антивирусные программы.
• Система прямого доступа к диску для работы с заблокированными файлами.
Работает на FAT16/FAT32/NTFS, поддерживается на всех операционных
системах линейки NT, позволяет сканеру анализировать заблокированные
файлы и помещать их в карантин.
• Драйвер мониторинга процессов и драйверов AVZPM.
Предназначен для отслеживания запуска и остановки процессов и
загрузки/выгрузки драйверов для поиска маскирующихся драйверов и
обнаружения искажений в описывающих процессы и драйверы структурах,
создаваемых DKOM руткитами.
• Драйвер Boot Cleaner.
Предназначен для выполнения чистки системы (удаление файлов, драйверов
и служб, ключей реестра) из KernelMode. Операция чистки может
выполняться как в процессе перезагрузки компьютера, так и в ходе
лечения.
|