Утилита AVZ может устанавливаться в любую папку, но для определенности будем считать, что это папка с именем AVZ.
Структура папок AVZ:
Base Базы AVZ с описаниями вредоносных программ и методик их лечения. Загруженные обновления необходимо помещать именно в эту папку Backup Папка с резервными копиями критических настроек системы. Резервные копии создаются автоматически в процессе лечения и восстановления системы или выполняются по команде пользователя. Папка содержит подкаталоги с именами вида «ГГГГ-ММ-ДД», где ГГГГ – год, ММ –месяц, ДД – день.
Infected Папка с копиями удаленных вредоносных объектов Quarantine Карантин – папка с копиями подозрительных объектов Папки Infected и Quarantine внутри содержат подкаталоги с именами вида «ГГГГ-ММ-ДД», где ГГГГ – год, ММ – месяц, ДД – день. Такая организация существенно упрощает последующую работу с этими папками (в частности, упрощается их очистка и просмотр).
Техническая поддержка
Несмотря на то, что утилита AVZ является бесплатной программой, у нее имеется техническая поддержка по электронной почте:
1. avz@z-oleg.com - по этому адресу Вы можете задать вопросы по работе программы, сообщить об ошибках или прислать предложения по усовершенствованию программы и методик ее работы;
2. newvirus@z-oleg.com - на этот адрес следует присылать недетектируемые AVZ вирусы / протоколы AVZ / подозрительные файлы для проверки (отправка подозрительного объекта должна производиться в архиве формата ZIP с паролем "virus", крайне желательно подозрительные объекты поместить в карантин AVZ и создать архив средствами карантина AVZ). 3. VirusInfo.Info - в этой конференции вирусологов есть раздел "Помогите", в котором можно описать свою проблему и приложить протокол исследования системы AVZ (подробности запроса помощи описаны в правилах данной конференции). AVZ в частности обучается по найденным в данной конференции вредоносным программам, анализ протоколов и формирование рекомендаций происходит достаточно оперативно - в большинстве случаев проблему удается решить в деть обращения за помощью. С помощью сервиса "Прислать чистые файлы" данного сайта можно прислать архив с чистыми файлами для базы безопасных AVZ, а в разделе "Beta тестирование" идет обсуждение новых версий AVZ и предложений по его доработке.
4. По адресу https://www.z-oleg.com/secur/avz/report.php расположена форма, при помощи которой можно сообщить об ошибке, возникающей в процессе работы с AVZ. Следует понимать, что обращение через WEB форму анонимно и рекомендуется применять ее для рапортов об ошибках. Нет смысла задавать через эту форму вопросы, не указав параметры обратной связи
5. По адресу https://www.z-oleg.com/secur/avz/uploadvir.php расположен сервис, предназначенный для отправки подозрительных файлов для анализа и вредоносных программ, которые не детектируются AVZ для их включения в базы. Через данную форму следует отсылать только архивы, созданные из карантина AVZ При написании письма желательно четко сформулировать тему письма, кратко и точно изложить суть проблемы, пожелания или вопроса. От этого будет зависеть время реакции на письмо (согласитесь, заголовок "Подозрительный объект для проверки" гораздо информативнее, чем "Спасите!", "Помогите", "SOS" и т.п.). Если Вы присылаете подозрительный объект, о котором у Вас есть информация (например, AVZ заподозрил некую DLL как клавиатурный шпион, а Вы знаете, что она является компонентом программы X) - пожалуйста, укажите ее - это упростит и ускорит анализ. Файлы, присланные не через карантин AVZ или в архивах экзотического формата рассматриваются в последнюю очередь. При написании письма желательно придерживаться следующих правил:
1. Создавать письма с информативными заголовками. Это упростит анализ и ускорит время реакции. Например "Подозрительный файл (срабатывание антикейлоггера)" или "Подозрение на RootKit" - куда информативнее, чем заголовки типа "SOS", "Спасите", "Помогите" и т.п.
2. В тексте письма желательно указать:
2.1 Версию операционной системы
2.2 Краткую формулировку проблемы (т.е. что и где обнаружилось, где, какие симптомы)
2.3 Желательно приложить протокол AVZ и результаты исследования системы (Файл/Исследование системы)
3. В случае, если подозрительные файлы в архиве занимают большой объем (более 1-2 МБ), то необходимо предварительно прислать письмо с описанием проблемы, протоколами и указанием размера подозрительных файлов.
Назначение программы
Назначением программы является:
1. AV база. Позволяет диагностировать известные AVZ malware-программы и удалить их. Удаление предполагает автоматическую зачистку критичных для работы системы следов вредоносной программы в реестре и INI файлах. В этом плане удобно применять AVZ для экспресс-зачистки зараженного компьютера перед применением "тяжелой артиллерии" - установки мощного антивирусного пакета и проведение сканирования с его помощью. Сканер может проверять архивы распространенных типов, файлы электронной почты, потоки NTFS. AV сканер может интегрироваться с TheBat при помощи плагина. Базы AVZ обновляются ежедневно.
2. Оперативное автоматическое исследование компьютера с формированием протокола в формате HTML. В ходе исследования автоматические отфильтровываются файлы, прошедшие проверку по базе безопасных AVZ и каталогу безопасности Microsoft, что существенно уменьшает размер протоколов. Данный режим удобен для оперативного изучения подозрительного компьютера администратором, а так-же для удаленного исследования системы. Возможность запуска сканирования системы и карантина из скрипта позволяет полностью автоматизировать данную операцию, сведя действия пользователя на месте к запуску bat файла;
3. Автоматический карантин файлов, не имеющих ЭЦП Microsoft и не описанных в базе безопасных AVZ для их последующего изучения вручную или антивирусными программами. Данный режим удобен для быстрого сбора всех неопознанных файлов для их последующего анализа. Кроме того, в AVZ предусмотрен карантин по списку и команды добавления в карантин в скриптах, что упрощает дистанционный сбор подозрительных файлов с проверяемых компьютеров;
4. Выполнение поиска руткитов и иных перехватчиков API с функцией поиска скрытых процессов. Кроме анализа перехватов AVZ обладает функций нейтрализации перехватчиков UserMode и KernelMode;
5. Выполнение восстановление системы. AVZ содержит микропрограммы для автоматического исправления типовых повреждений настроек InternetExplorer и проводника, сброса настроек рабочего стола, нейтрализация устанавливаемых троянскими программами правил Policy. Данные операции не производятся антивирусами и очень часто после удаление троянской программы или SpyWare нормальная работа системы не восстанавливается
6. Автоматическая проверка настроек SPI/LSP и исправление ошибок в автоматическом режиме. Позволяет устранить большинство типовых проблем с LSP, возникающих после удаления некоторых AdWare. В случае невозможности восстановления настроек предусмотрено их полное пересоздание;
7. Поиск файлов на диске. Поиск защищен антируткитом AVZ и обладает рядом полезных для поиска вирусов/троянов функций, в частности исключение из списка найденных файлов, 46 24 48 29 8 AVZ - справка по работе с программой AVZ, (C) Зайцев О., https://z-oleg.com/secur прошедших проверку по базе безопасных AVZ и каталогу безопасности Microsoft, что позволяет существенно сузить область поиска;
8. Скриптовой язык, позволяющий управлять AVZ. Скрипты позволяют применять AVZ в корпоративной сети - в этом случае AVZ может запускаться из logon-скрипта или автозапуска, и работать по скрипту, созданному администратором. Кроме того, скрипт позволяют автоматизировать большинство операций, выполняемых AVZ.
9. Встроенный ревизор диска. Ревизор создает базы, содержащие информацию о файлах в соответствии с настройками пользователя (задаются каталоги, маски поиска). Данные базы могут применяться для отслеживания изменений на диске.
10. Анализатор запущенных процессов, позволяющий в режиме максимальной эвристики производить поиск подозрительных объектов
11. Система AVZGuard, позволяющая защитить AVZ и любые указанные им приложения от действующих в системе вредоносных программ и ограничит влияние вредоносных программ на систему.
12. Система прямого доступа к диску для работы с заблокированными файлами. Работает на FAT16/FAT32/NTFS, поддерживается на всех операционных системах линейки NT, позволяет сканеру анализировать заблокированные файлы и помещать их в карантин.
13. Драйвер мониторинга процессов и драйверов AVZPM. Предназначен для отслеживания запуска и остановки процессов и загрузки/выгрузки драйверов для поиска маскирующихся драйверов и обнаружения искажений в описывающих процессы и драйверы структурах, создаваемых DKOM руткитами.
14. Драйвер BootCleaner. Предназначен для выполнения чистки системы (удаление файлов, драйверов и служб, ключей реестра) из KernelMode. Операция чистки может выполняться как в процессе перезагрузки компьютера, так и в ходе лечения.
15. Поиск потенциальных уязвимостей. Предназначен для поиска некорректных настроек ПК, которые могут отрицательно влиять на безопасность
16. Резервное копирование. Предназначено для выполнения резервных копий критических настроек системы. Резервное копирование выполняется по команде пользователя или автоматически в ходе лечения и восстановления системы.
17. Мастер поиска и устранения проблем. Данная система предназначена для автоматического поиска и устранения проблем, возникающих после заражения вредоносными программами, а так-же для устранения следов активности пользователя и уборки мусора на ПК.
Таким образом AVZ позиционируется как интерактивный инструмент, предназначенный для полуавтоматического изучения ПК с целью поиска и уничтожения вредоносных программ. Одной из основных особенностей AVZ является поддержка внешних скриптов, под управлением которых возможен автоматический анализ, чистка компьютера и карантин файлов. Система команд скриптового языка и примеры описаны справке.