ПРОДУКТЫ И ОБНОВЛЕНИЯ Компания «ВирусБлокАда» выпустила бета-версию Vba32 AntiRootkit 3.12.5.3
25.04.2011 Компания «ВирусБлокАда» выпустила бета-версию Vba32 AntiRootkit 3.12.5.3
C сегодняшнего дня на наших серверах доступна следующая версия программы Vba32 AntiRootkit 3.12.5.3 beta build 222.
Чего нового в Vba32 AntiRootkit 3.12.5.2 (beta): - Вывод информации о драйверах-минифильтрах файловой системы (FileSystem Minifilters) Добавилось дополнительное окно (и пункт в логе соответственно) FileSystem Minifilters, в котором можно посмотреть список драйверов минифильтров файловой системы. - Операции над минифильтрами файловой системы (Unload, Unregister) Минифильтр можно выгрузить двумя способами: Unload и Unregister. Результат обоих функций должен быть одинаков, только алгоритмы разные. И Unregister менее безопасный в плане попадания на BSOD. - Вывод информации о стеке устройств ядра (Kernel Device Stack) Добавилось еще одно окно Kernel Device Stack (и пункт лога), которое отображает стеки устройств ядра. Благодаря этому можно проанализировать в какой из стеков встраивается вредонос и предположить для чего он это делает. К примеру, вирус встраивается в стек файловой системы - возможно сокрытие данных на диске и т. д. - Добавлен просмотр и возможность удаления нотификаторов типа FsRtlRegisterFileSystemFilterCallbacks - Поиск перехватов DriverInit, DriverStartIo, DriverUnload Еще один тип аномалий, который позволит детектировать некоторые модификации TDL. - Поиск и восстановление перехватов функций объектов (ObjectTypes) - Детектирование подмены типа объекта для драйверов и девайсов (ObjectType hijack) Пока не сильно распространенный тип перехватов (в виду его сложности), но, тем не менее, его уже во всю стали использовать не только руткиты, но и защитный софт. - Операция закрытия открытого дескриптора (Close Handle) Функция, которая позволяет закрывать открытые дескрипторы в процессах. Те, кто плотно работал с антируткитом, сталкивались с тем, что функционал Delete File не всегда может справиться со своими обязанностями. Из-за этого зачастую приходиться прибегать к функционалу Wipe File, что менее удобно из-за необходимости перезагрузки. Все это связано с тем, что Delete File не пытается закрывать открытые дескрипторы на указанный файл перед удалением. Сейчас это можно сделать вручную, поискав этот дескриптор в соответствующем списке. В будущем будет реализовано и автоматическое их закрытие. - Вывод статуса Terminating при закрытии окна Process Manager Закрытие этого окна теперь выглядит более наглядно. Кроме того: * Исправлена ошибка с неработающими чекбоксами в FireFox * Перенесен фокус на кнопку "НЕТ" при выборе режима загрузки с/без выделенного рабочего стола. способом. * Исправлен вылет на заражённых Trojan.Win32.VBKrypt системах * Улучшена стабильность работы программы Большое внимание было уделено стабильности работы программы. Исправлено большинство известных нам ошибок, которые приводили к синим экранам или зависаниям приложения. * Доработан файл помощи на русском языке Данной бетой мы попытались решить следующее: 1) закрыть те проблемы, на которые нарвались пользователи после выхода 3.12.5.2, - это в первую очередь стабильность работы; 2) добавить функционал, который будет полезен при поиске вредоносных программ и их лечении, - это анализ стека устройств; дополнительные нотификаторы; перехваты ObjectTypes и DriverInit, DriverStartIo, DriverUnload; закрытие открытых дескрипторов; 3) добавлена возможность анализа минифильтров файловой системы. Пользуйтесь! Если есть проблемы со стабильностью - жалуйтесь! А если есть что предложить - высказывайтесь! Связаться с нами можно по следующему адресу:[email protected]( mailto:[email protected]) Скачать