25 апреля 2011
Компания «ВирусБлокАда» выпустила бета-версию Vba32 AntiRootkit 3.12.5.3
Чего нового в Vba32 AntiRootkit 3.12.5.2 (beta):
- Вывод информации о драйверах-минифильтрах файловой системы (FileSystem Minifilters)
Добавилось дополнительное окно (и пункт в логе соответственно) FileSystem Minifilters, в котором можно посмотреть список драйверов минифильтров файловой системы.
- Операции над минифильтрами файловой системы (Unload, Unregister)
Минифильтр можно выгрузить двумя способами: Unload и Unregister. Результат обоих функций должен быть одинаков, только алгоритмы разные. И Unregister менее безопасный в плане попадания на BSOD.
- Вывод информации о стеке устройств ядра (Kernel Device Stack)
Добавилось еще одно окно Kernel Device Stack (и пункт лога), которое отображает стеки устройств ядра. Благодаря этому можно проанализировать в какой из стеков встраивается вредонос и предположить для чего он это делает.
К примеру, вирус встраивается в стек файловой системы - возможно сокрытие данных на диске и т. д.
- Добавлен просмотр и возможность удаления нотификаторов типа FsRtlRegisterFileSystemFilterCallbacks
- Поиск перехватов DriverInit, DriverStartIo, DriverUnload
Еще один тип аномалий, который позволит детектировать некоторые модификации TDL.
- Поиск и восстановление перехватов функций объектов (ObjectTypes)
- Детектирование подмены типа объекта для драйверов и девайсов (ObjectType hijack)
Пока не сильно распространенный тип перехватов (в виду его сложности), но, тем не менее, его уже во всю стали использовать не только руткиты, но и защитный софт.
- Операция закрытия открытого дескриптора (Close Handle)
Функция, которая позволяет закрывать открытые дескрипторы в процессах.
Те, кто плотно работал с антируткитом, сталкивались с тем, что функционал Delete File не всегда может справиться со своими обязанностями. Из-за этого зачастую приходиться прибегать к функционалу Wipe File, что менее удобно из-за необходимости перезагрузки. Все это связано с тем, что Delete File не пытается закрывать открытые дескрипторы на указанный файл перед удалением. Сейчас это можно сделать вручную, поискав этот дескриптор в соответствующем списке. В будущем будет реализовано и автоматическое их закрытие.
- Вывод статуса Terminating при закрытии окна Process Manager
Закрытие этого окна теперь выглядит более наглядно.
Кроме того:
* Исправлена ошибка с неработающими чекбоксами в FireFox
* Перенесен фокус на кнопку "НЕТ" при выборе режима загрузки с/без выделенного рабочего стола.
способом.
* Исправлен вылет на заражённых Trojan.Win32.VBKrypt системах
* Улучшена стабильность работы программы
Большое внимание было уделено стабильности работы программы. Исправлено большинство известных нам ошибок, которые приводили к синим экранам или зависаниям приложения.
* Доработан файл помощи на русском языке
Данной бетой мы попытались решить следующее:
1) закрыть те проблемы, на которые нарвались пользователи после выхода 3.12.5.2, - это в первую очередь стабильность работы;
2) добавить функционал, который будет полезен при поиске вредоносных программ и их лечении, - это анализ стека устройств; дополнительные нотификаторы; перехваты ObjectTypes и DriverInit, DriverStartIo, DriverUnload; закрытие открытых дескрипторов;
3) добавлена возможность анализа минифильтров файловой системы.
Пользуйтесь! Если есть проблемы со стабильностью - жалуйтесь! А если есть что предложить - высказывайтесь!
Связаться с нами можно по следующему адресу: arkit@anti-virus.by ( mailto:arkit@anti-virus.by )