532 lines
40 KiB
Plaintext
532 lines
40 KiB
Plaintext
+] - Добавлено или радикально изменено ([++] - существенное изменение)
|
||
[-] - Исправлена ошибка ([--] - грубая/опасная ошибка, существенные исправления)
|
||
|
||
--- 01.04.2004 --- ver 1.05 - первая распространяемая версия
|
||
|
||
--- 28.11.2004 --- ver 2.00b - первая версия с "нормальным" интерфейсом
|
||
[++] Создан типовой интерфейс
|
||
[++] Регулируемый уровнь эвристики
|
||
[++] Добавлен карантин двух видов (Infected - копии удаленных вирусов и Qurantine - копии подозрительных)
|
||
[++] Добавлен просмотрщик карантина (с возможностью удаления конкретных файлов и папок)
|
||
[+] Возможность поиска по всем файлам
|
||
[+] Отчет по чистым объектам
|
||
[+] Возможность включения/выключения проверки загруженных в память процессов
|
||
|
||
|
||
--- 01.07.2005 --- ver 3.60.7
|
||
|
||
--- 04.07.2005 --- ver 3.60.12
|
||
[-] исправлено исследование системы - под Win98 вместо PID выводились отрицательные числа и не
|
||
работали гиперссылки по PID
|
||
[-] Исправлена ошибка в блокировке сканирования собственной папки
|
||
[+] AVZ стал сворачиваться в трей
|
||
[++] Подключен (точнее разблокирован) модуль ядра, отвечающий за проверку архивов. Проверяются архивы
|
||
типов ZIP, JAR, CAB. Поддерживаются вложенные архивы неограниченно глубины вложения. Естественно, что
|
||
включение проверки архивов существенно замедляет скорость сканирования. Опознание архива ведется по
|
||
сигнатуре.
|
||
|
||
--- 19.07.2005 --- ver 3.65
|
||
[-] В ходе проверки архива не работала кнопка "Стоп" - останов происходил только после завершения
|
||
проверки текущего архива
|
||
[-] На максимуме эвристики шло ложное срабатывание на каждый файл, извлеченный из архива (сообщение
|
||
из-за того, что PE файл имеет расширение TMP)
|
||
[+] Добавлена поддержка архивов формата GZIP и TAR
|
||
[+] Добавлена поддержка архивов MHT
|
||
[+] Задание порога размера архива для проверки (по умолчанию - 10 МБ)
|
||
[++] Добавлена поддержка проверки писем электронной почты (EML, MSG и все производные от них)
|
||
[+] Добавлена работа с INI файлами win.ini и System.ini для менеджера автозапуска
|
||
[++] Эвристическое удаление файлов. Суть его состоит в том, что если в ходе лечения удалялись
|
||
вредоносные файлы и включена эта опция, то производится автоматическое исследование системы, охратывающее
|
||
классы, BHO, расширения IE и Explorer, все доступные AVZ виды автозапуска, Winlogon, SPI/LSP и т.п.
|
||
Все найденные ссылки на удаленный файл автоматически вычищаются с занечением в протокол информации о том, что
|
||
конкретно и где было вычищено.
|
||
[+] Вывод данных о безопасности процесса в анализаторе портов TCP/IP, если процесс опознан по базе
|
||
безопасных
|
||
|
||
--- 21.07.2005 --- ver 3.65.02
|
||
[-] Проблема с кодировками интерфейса
|
||
[-] Зацикливание при сканировании многотомных объектов CAB формата
|
||
|
||
--- 21.07.2005 --- ver 3.65.07
|
||
[+/-] Исправлены различные баги с проверкой архивных и почтовых файлов, доработаны
|
||
алгоритмы
|
||
[+] Усовершенствовано эвристическое удаление файлов
|
||
[+] Добавлен переключатель "Проверять чистые объекты по базе безопасных" на закладку
|
||
"Типы файлов" - при его включении все "чистые" по мнению AVZ файлы проверяются по базе
|
||
безопасных и результат проверки вносится в протокол.
|
||
[+] В процессе сканирование во всплывающую подсказку иконки в трее и значка на панели
|
||
выводится выполняемая операция, процент выполнения и ориентировочное время до завершения
|
||
[+] Улучшено копирование в карантин
|
||
[+] Доработано отложенное удание файла (в частности, при ручном запуске
|
||
отложенного удаления предлагается произвести автоматическую зачистку
|
||
ссылок на него в системе)
|
||
[+] Обновлена справка по работе с программой
|
||
|
||
--- 10.08.2005 --- ver 3.70
|
||
[++] Переделан формат AV баз. В результате объем баз уменьшился примерно на 120 кб
|
||
[++] Эвристическое удаление - усовершенствован алгоритм
|
||
[++] Эвристическое удаление подключено к расширенному протоколу и поиску файлов
|
||
[+] В исследовании системы добавлена опция, позволяющая автоматически архивировать протокол в
|
||
ZIP архив
|
||
[+] Доработана поддержка ключей командной строки с учетом новых возможностей программы
|
||
[+] Интерфейс: Доработана панель статуса (ее размеры меняются при масштабировании окна)
|
||
|
||
--- 14.08.2005 --- ver 3.70.05
|
||
[+] Доработан анализатор BHO и все системы, работающие с CLSID - введена поддержка
|
||
ссылок (когда один CLSID явняется ссылкой на другой)
|
||
[++] Введена проверка/лечение потоков NTFS + эвристик на исполняемые потоки
|
||
[+] Вывод в протокол информации о том, включено лечение или нет
|
||
[-] Исправлена работа переключателей, управляющих проверкой архива и размера
|
||
архива
|
||
|
||
--- 20.08.2005 --- ver 3.75
|
||
[++] Добавлена поддержка CHM архивов и файлов аналогичного формата (MS ITSF файлов). Кроме проверки
|
||
содержимого CHM добавлен анализ эвристика - реагирование на подозрительные EXE внутри CHM файла
|
||
[++] Новый менеджер - "менеджер расширений проводника". Соответственно, новая
|
||
позиция в исследовании системы и автокарантине
|
||
[++] Новая функция - карантин по списку. Позволяет добавить в карантин несколько файлов, сделано
|
||
специально для упрощения получения от пользователя подозрительных образцов. В списке допустимо указание масок.
|
||
[+] К иконке в трее добавлено меню (с пунктами "Пуск", "Стоп", "Выход")
|
||
[+] Доработан анализатор автозапуска - в частности, копирование в карантин и проверка
|
||
по базе безопасных строк вида "c:\program.exe /param", "cmd.exe trojan.exe", "explorer.exe c:\trojan.exe"
|
||
и т.п.
|
||
[+] Доработан антируткит. В частности, сбой загрузки базы не приводит к отключению проверки антируткита
|
||
[+] Параметр Unpack_Archives=Y|N - по умолчению N, если задать Y, то в папке AVZ создается папка Unpacked, в ней
|
||
папки по типам архивов - в них копируются распакованные в ходе проверки файлы
|
||
|
||
--- 20.08.2005 --- ver 3.75.04
|
||
[+] Добавлен ключ, управляющий видимостью GUI. Ключ имеет вид HiddenMode=0|1|2|3. По умолчанию - 0. (0-главное окно
|
||
отображается в момент запуска; 1 - главное окно при запуске свернуто в трей; 2 - аналог 1, но заблокирована возможность
|
||
развернуть окно или использовать меню иконки в трее; 3-полностью невидимый режим, нет окон и иконки в трее). Особенность - при выборе режима реакции
|
||
"спросить пользователя" запросы выводятся независимо от режима работы. Режим сделан специально для применения AVZ для работы в пакетном режиме.
|
||
[+] Добавлен ключ, управляющий приоритетом AVZ. Возможно два варианта записи ключа
|
||
Priority=-1|0|+1 (-1 - пониженный приоритет, 0-нормальный, 1-повышенный) или
|
||
Priority=LOW|NORMAL|HIGH (LOW - пониженный, NORMAL - нормальный, HIGH - повышенный)
|
||
|
||
--- 4.09.2005 --- ver 3.80
|
||
[++] Внешние скрипты для управления AVZ (для его автоматического запуска на
|
||
множестве ПК и управления действиями без участия пользователя). Описание языка
|
||
в справке, подключение скрипта - при помощи ключа Script=<имя файла скрипта>
|
||
[++] Новый менеджер - менеджер внедренных DLL
|
||
[++] Новый менеджер - менеджер расширений системы печати. Отображает мониторы печати
|
||
и провайдеры. Подключен к исследованию системы и автокарантину
|
||
[+] Сохранение даты/времени файла при помещении файла в карантин
|
||
|
||
--- 6.09.2005 --- ver 3.80.02
|
||
[-] Исправлена ошибка при вызове менеджера внедренных DLL
|
||
[-] Копирование даты/времени файла при его помещении в карантин. Плюс в описывающий
|
||
файл INI заносится информация не только о дате карантина, но и о дате/времени файла
|
||
[-] Улучшена справка (индексация, немного расширены некоторые разделы)
|
||
[+] Включено сканирование NTFS потоков по умолчанию
|
||
[+] Доработан анализатор имени файла, отделающий имя от параметров и т.п.
|
||
|
||
--- 13.09.2005 --- ver 3.81
|
||
[-] Исправлен заголовок окна "Медежера расширений Explorer"
|
||
[+] Скриптовой язык - новые команды GetCurrentDirectory, GetAVZDirectory ...
|
||
[+] Древовидный список файлов - выделение элементов клавитурой (при нажатии пробела
|
||
производится инверсия выделения текущего элемента)
|
||
[+] Вывод информации о том, что система загружена в SafeMode в протокол
|
||
[+] Восстановление файла из карантина и Infected
|
||
[-] Исправлена ошибка в функции SaveLog
|
||
[+] Доработки антируткита - модифицирован анализатор для устранения проблем с
|
||
DEP на Windows 2003 SP1
|
||
|
||
--- 04.10.2005 --- ver 3.82
|
||
[+] Исследование системы - вместо столбца "Маскировка" сделан столбец "Информация" - в него
|
||
выводится размер файла, атрибуты, даты
|
||
[+] Новые микропрограммы восстановления системы в базе (доработаны имеющиеся, добавлены новые)
|
||
|
||
--- 19.10.2005 --- ver 3.83
|
||
[+] Расширен скриптовой язык - добавлен ряд команд
|
||
[+] Начиная с версии 3.83 в комплекте идет готовые скрипты, в частности два скрипта для
|
||
конференции virusinfo.info
|
||
[+] Доработан протокол исследования системы
|
||
[++] Начиная с версии 3.83 сканер AVZ может подключаться как антивирусный плагин
|
||
к TheBat
|
||
|
||
--- 03.10.2005 --- ver 4.00
|
||
[++] Поддержка проверки цифровых подписей файлов по каталогу безопасности Microsoft. Работает естественно на
|
||
Windows 2000, XP, W2K3 ... Поддерживается всеми подсистемами AVZ, может включаться/выключаться ключами командной строки или скриптом
|
||
[++] В AVZ встроена система обновления баз. Обновление идет с двух сайтов (истоник выбирается случайнум образом, но можно задать вручную)
|
||
и является "разумным", т.е. работает на основании сравнения текущих баз с эталонными. Это позволяет
|
||
проводить обновление вручную (обновлением файлов в папке Base) и автоматически через Интернет
|
||
[++] Менеджер планировщика заданий (Task Scheduler). Подключен к автокарантину и исследованию системы, показывает
|
||
задания, поставленные через графическую оболочку диспетчера и командой AT.
|
||
[++] Антируткит - добавлено детектирование FU Rootkit и его производных - производится в ходе поиска Kernel Mode руткитов, детектор подключен к диспетчеру процессов. Кроме FU руткита
|
||
отлавливается подмена PID процесса без его маскировки
|
||
[++] Антируткит - отслеживание маскировки файлов запущенных процессов
|
||
[++] Менеджер файла HOSTS. Добавлен к исследованию системы, позволяет удалять из Hosts записи.
|
||
[++] Диспетчер процессов - встроенный дампер образа любого загруженного exe или dll файла для последующего изучения. Дампы памяти создаются на диске в папке DMP
|
||
[+] Запуск автокарантина из меню "Файл"
|
||
[+] В исследовании системы проверяются драйвера, для которых не задано имя исполняемого файла (имя драйвера совпадает с
|
||
именем файла *.sys, такое допустимо)
|
||
[+] Доработан менеджер расширение IE - корректная поддержка записей типа "скрипт"
|
||
[+] К автоматическому анализу и автокарантину добавлены прогресс-индикаторы
|
||
[+] Пункт меню для выборочного контроля подлинности файла по каталогу Microsoft
|
||
[+] Доработаны проверки, проводимые в ходе расширенной эвристики - не выдаются сообщения на файлы нулевого размера,
|
||
часть проверок маскировки имени оставлена только для исполняемых файлов
|
||
|
||
--- 14.10.2005 --- ver 4.01
|
||
[+/-] Закрытие окна автоапдейта после успешного обновления, решены проблемы с некорректным отображением окна при включении
|
||
увеличенных шрифтов
|
||
[++] Настройка автоапдейт, апдейт в 4-х режимах (настройки из IE, прямое соединение, прокси без авторизации, прокси с авторизацией),
|
||
добавлена команда скрипта ExecuteAVUpdateEx для апдейта с возможностью задать все параметры
|
||
[+] Включение и исключение поиска файлов по маскам, заданным пользователем. Маски могут содержать
|
||
символы * и ?, допускается указание нескольких масок, применение смешанных условий (например, все файлы исключая заданные)
|
||
[+] Множество мелких исправлений в интерфейса (подсказки, масштабирование окон и т.п.)
|
||
[++] Доработана справочная система (hlp в составе AVZ и on-line документация на сайте)
|
||
[-] Устранена ошибка в антирутките, возникающая при обнаружении скрытых процессов
|
||
|
||
--- 08.12.2005 --- ver 4.10
|
||
[+++] Новый анализатор процессов на предмет зловредов. Это гибрид сканера памяти, нейросетей и экспертных систем. Все необходимое (сети, код
|
||
принятия решения и т.п.) хранится в базах AVZ и обновляется. Предполагается развить эту систему для того, чтобы искать заранее неизвестных
|
||
троянов и шпионов, а так-же новые виды известных "зверей". Активируется этот режим при включении переключателя "Расширенный анализ" на закладке
|
||
"Параметры поиска" и действует на запущенные процессы.
|
||
[++] Поддержка проверки архивов RAR (до версии 3.51 включительно)
|
||
[+] Менеджер автозапуска - контроль ключа MPRServices
|
||
[+] Новые ключи управления и команды скриптового языка - подробности см. в справке
|
||
[+] Диспетчер процессов - функция "Выгрузить DLL" позволяет выгрузить DLL любого процесса.
|
||
Естественно, что как правило это ничем хорошим не заканчивается ... но для борьбы с некоторыми SpyWare полезно
|
||
[+] Введена поддержка разделения основной базы, что позволит уменьшить объем обновлений
|
||
Внимание - в версии 4.10 произошло изменение формата баз
|
||
|
||
--- 08.12.2005 --- ver 4.12
|
||
[+] Поддержка архивов RAR SFX (Dos и Windows разновидностей) и ZIP SFX архивов
|
||
[+] Новый тип "архива" - PEJoiner - собственно это не архив, а пристыковка одного EXE файла в
|
||
хвост другому, как поступают многие Joiner программы
|
||
[++] В скриптах управления введена поддержка отправки сообщений по NET SEND, службе SysLog или
|
||
по почте. В случае отправки письма по почте к нему можно приаттачить до трех файлов, поддержвается
|
||
аутидентификация на SMTP сервере.
|
||
[+] Новый анализатор - средство поиска данных в Cookies. Поддерживаются IE и Firefox, сканирование
|
||
Cookie предполагает поиск с учетом форматов Base64, URL-Encode, UUE, Quoted-Printable в различных сочетаниях
|
||
|
||
--- 30.01.2006 --- ver 4.14
|
||
[++] Функция поиска в скриптах
|
||
[++] Сигнатурный движек доступен в скриптах - опытный пользователь теперь может
|
||
реализовать свой алгоритм поиска и анализа
|
||
[+-] Доработки антируткита - устранены ошибки, доработка для поиска руткитов новых разновидностей
|
||
[+] Усовершенствован анализатор
|
||
|
||
--- 7.02.2006 --- ver 4.15
|
||
[+] Возможность запуска внешней программы из скрипта
|
||
[+] Получение версии AVZ в скрипте (в разном виде)
|
||
[+] Запуск скрипта из меню
|
||
[+++] Новая система AVZGuard, предназначенная для:
|
||
1. Защиты AVZ и указанных пользователем доверенных приложений от вредоносных программ
|
||
2. Ограничение действий вредоносных программ (блокируется создание файлов, модификация реестра и т.п.)
|
||
|
||
--- 24.04.2006 --- ver 4.16
|
||
[++] Доработан менеджер автозапуска - добавлена масса ключей, применяемых современными троянами
|
||
[++] Менеджер протоколов и обработчиков. Подключен к исследованию системы и автокарантину.
|
||
[++] Функция "Стандартные скрипты". Это диалоговое окно, позволяющее выполнять стандартные операции при помощи AVZ.
|
||
Данный режим пришел на смену скриптам, размещенным в папке SCRIPT. В раздел стандартных внесены скрипты,
|
||
применяемые в разделе "Помогите" конференции VirusInfo, скрипт для автообновления различными методами, запуска антируткита
|
||
[+] Доработан avz.sys - введена защита от атаки на драйвер посылкой ему IRP пакетов сторонними приложениями
|
||
[+] Доработан AVZ Guard - введено несколько новых контуров защиты процесса AVZ от типовых методик закрытия процесса,
|
||
применяемого распространенными троянскими программами
|
||
[+] Параметр MiniLog=[Y|N], переключающий режим протоколирования. Если MiniLog=Y, то в протокол выводятся только значимые
|
||
сообщения. По умолчанию MiniLog=N и выводится вся информация. Ключ полезен сисадминам, применяющим AVZ автоматическом режиме
|
||
[+] Во все HTML отчеты введена информация о файле (ссылка и всплывающее окно). В
|
||
случае обнаружения в имени файла национальных символов в информации о файле выводится сообщение
|
||
[+] Новая функция скриптового движка - ClearQuarantine (очистка карантина)
|
||
[+] В диалоге "О программе" выводится информация о базах - дата сборки для каждого из файлов
|
||
[+] В апдейтере после анализа (стадия 2) выводится информация о том, какой объем информации требуется загрузить
|
||
[+] Проверка архивов WinRar 3.60
|
||
|
||
--- 15.06.2006 --- ver 4.18
|
||
[++] Поведенческий анализатор в антикейлоггере. Изучает, что конкретно делает каждая из заподозренных DLL
|
||
[++] Ревизор диска. Позволяет создавать базы с описанием заданных дисков и папок и в последствие производить сравнение текущего состояния диска с базой
|
||
[+] Предусмотрен ключ для задания пароля к ZIP архивам (см. справку), что упрощает проверку и автораспаковку архивов со стандартным паролем
|
||
[-] Исправлена проверка архивов ZIP ( в некотором случае после проверки возникала ошибка деления на 0)
|
||
[-] Подстроены цвета в таблицах для повышенния читаемости данных (ранее сливался цвет маркера и текста)
|
||
[+] Отображение командной строки для процессов (в диспетчере процессов и соответственно в отчете)
|
||
[+] Проведен ряд модификаций KernelMode компонент AVZ
|
||
|
||
--- 15.06.2006 --- ver 4.19
|
||
[++] Новый менеджер - "Менеджер Downloaded Program Files". Подключен к автокарантину и исследованию системы
|
||
[++] Доработано исследование ситемы - появилась возможность включать в исследование все службы/драйверы (а не только активные), добавилась
|
||
опция включения в HTML протокол скриптов для упрощения составления списков подозрительных файлов и скриптов для их сбора и удаления
|
||
[+] Доработан автокарантин - добавилась возможность включения неактивных служб и драйверов
|
||
[+] Добавлена возможность индивидуальной проверки указанного файла - ключ командной строки SCANFILE
|
||
[+] Добавлена возможность сохраненения протокола AVZ в формате CSV для удобства анализа
|
||
[+] Добавлена поддержка новых видов мейл-бомб а распаковщике ZIP архивов
|
||
[+] Расширена система команд скриптового движка: сохранение протокола в CSV формате, работа со списком запущенных процессов)
|
||
[+] Ряд мелких доработок в ревизоре и антирутките
|
||
|
||
|
||
--- 12.09.2006 --- ver 4.20
|
||
[++] Новый менеджер - "Менеджер апплетов панели управления (CPL)". Подключен к автокарантину и исследованию системы
|
||
[++] Новая подсистема AVZ - прямое чтение диска. Позволяет сканеру AVZ проверять заблокированные файлы. Эта подсистема
|
||
подключена к карантину, что позволяет капировать заблокированные файлы в карантин
|
||
[++] Kernel-Mode код AVZ перемещен в AV базу, что позволяет обновлять его без обновления самого AVZ. Драйвера устанавливаются
|
||
в систему только по мере необходимости, причем имя драйвера уникально для каждого ПК. В момент закрытия AVZ драйвера автоматически удаляются.
|
||
[++] Антируткит - подавление перехватчиков KiST, обладающих средствами восстановления перехвата
|
||
[++] Антируткит - проверка и восстановление таблицы IAT процесса AVZ
|
||
[++] Антируткит - проверка таблицы прерываний (в рамках каждого из процессоров)
|
||
[++] Антируткит - проверка и восстановление SYSENTER (в рамках каждого из процессоров)
|
||
[++] Проверка содержимого MSI инсталляций и объектов, хранящихся в OLE контейнерах (документах, базах Access, презентациях)
|
||
[+] Переделан диалог отложенного удаления файла
|
||
|
||
--- 26.10.2006 --- ver 4.21
|
||
[++] Переделано автообновление, в частности поддержка прокси серверов с авторизацией (классической и NTLM). Предусмотрена возможность запоминания настроек
|
||
[++] Существенно расширен скриптовой язык - добавлены команды для работы с реестром, диалоговыми окнами, добавлено управление AVZ Guard из скрипта, завершение работы и перезагрузка
|
||
[+] Добавлена кнопка "Пауза", позволяющая временно приостановить сканирование файлов или эвристическую проверку системы
|
||
[+] Добавлена возможность сканирования файлов заданного каталога без сканирования его подкаталогов
|
||
[+] Добавлен редактор скриптов с функцией проверки синтаксиса без выполнения скрипта
|
||
[+] Поиск файлов - добавлена сортировка списка найденных файлов по любому полю, возможность выбора типовых масок имени файла,
|
||
исправлена ошибка анализа заблокированных файлов
|
||
[+] Ряд мелких доработок антируткита и отложенного удаления
|
||
[+] Расширена и доработана документация
|
||
|
||
--- 08.11.2006 --- ver 4.22
|
||
[++] Новая подсистема AVZPM - мониторинг процессов и драйверов из KernelMode для поиска искажений в системых структурах
|
||
[++] AVZ доработан для совместимости в Windows Vista, в частности обновлены все KernelMode компоненты
|
||
[++] Скрипты - новые команды для работы с драйверами и службами, управления AVZPM, вызов стандартных скриптов и
|
||
скриптов восстановления системы, копирование и переименование файлов. Новые функции описаны в справке,
|
||
в справку добавлен ряд типовых примеров скриптов
|
||
[++] Проведена дефрагментация AV базы и оптимизация движка с целью повышения его производительности.
|
||
[+] Переделан менеджер процессов - к нему подключена система AVZPM
|
||
[+] Переделан менеджер модулей пространства ядра - к нему подключена система AVZPM,
|
||
введена сортировка по всем столбцам, добавлен отдельный столбец с именем драйвера
|
||
[+] Усовершенствовано автообновления - если AVZPM активен в момент обновления, то его драйвер
|
||
автоматические обновляется при необходимости
|
||
[+] Менеджер модулей пространства ядра - добавлена функция дампирование драйвера,
|
||
сортировка по всем полям, раздельные поля для имени драйвера и полного имени драйвера
|
||
[+] Поддежка распаковки и сканирования файлов в MIME формате (формат распознается по содержимому)
|
||
[+] Опция закрытия сеанса и файлы в менеджере сетевых сеансов
|
||
[+] Исследование системы - в конце HTML отчета добавляется код, упрощающий сборку скрипта за
|
||
счет автоподстановки типовых команд
|
||
[+] Скрипты - усовершенствована функция QuarantineFile - в случае указания имени файла без пути
|
||
производится поиск файла по системному алгоритму
|
||
[+] Менеджер автозапуска - доработан анализ и модификация AppInit_DLLs
|
||
[+] Менеджер общих ресурсов и сетевых сеансов - добавлена функция закрытия сеанса или
|
||
открытого по сети файла
|
||
[+] Введена шифровка пароля прокси в INI файле
|
||
[-] Скрипты - исправлена ошибка в работе функции AutoLSPFix;
|
||
|
||
--- 29.12.2006 --- ver 4.23
|
||
[+++] Новая подсистема AVZ - Boot Cleaner. Данная система основана на драйвере режима ядра и
|
||
применяется для чистки системы в процессе загрузки компьютера. Управление системой производится
|
||
при помощи скриптов AVZ. Boot Cleaner позволяет удалять ключи реестра и файлы с указанными именами,
|
||
удалять и отключать драйвера и службы. Команды управления системой и примеры описаны в документации.
|
||
[++] Сохранение настроек в виде именованных профилей. Позволяет создавать неограниченное
|
||
количество профилей с возможностю их последобщей загрузки. Профиль содержит параметры,
|
||
идентичные параметрам командной строки - все параметры описаны в документации
|
||
[+] Детектирование подмены имени файла или пути к нему в PEB процесса в AVZPM
|
||
[+] Остановка процесса из KernelMode при активном AVZ PM
|
||
[+] Скрипты - добавлен ряд команд, в частности для проверки любого файла по базам AVZ,
|
||
работы с файлом Hosts. Расширен раздел "Типовые примеры" в описании скриптов
|
||
[-] Исправлен драйвер AVZPM - ряд доработок, в том числе исправлена ошибка на W2K3 SP0
|
||
[-] Исправлен мелкий глюк с отображением окон AVZ при наличие в системе нескольких мониторов
|
||
|
||
--- 6.03.2007 --- ver 4.24
|
||
[++] BootCleaner - функция карантина файлов, драйверов и служб, расширенное протоколирование.
|
||
[++] Менеджер автозапуска - добавлено более десятка различных экзотических методик автозапуска. Плюс расширены
|
||
проверки ключей автозапуска, выполняемые скриптами эвристики
|
||
[++] Новый менеджер - менеджер Active Setup. Данный менеджер подключен к базе безопасных, исследованию
|
||
системы и автокарантину.
|
||
[++] Расширена и доработана справочная система и документация
|
||
[++] Скрипты - команда сканирование реестра и поиск заданного образца с выводом результатов
|
||
в протокол, имя команды RegSearch
|
||
[+] Протокол - цветовое выделение важных событий
|
||
[+] Сортировка модулей в диспетчере процессов по всем столбцам (по умолчанию - по имени модуля)
|
||
[+] Отчет о открытых порта - добавлен PID процессов
|
||
[+] Антируткит - проверка экспортируемых функций ядра
|
||
[+] Скрипты - усовершенствована команда карантина файлов, добавлено протоколирование карантина
|
||
[+] Скрипты - команда остановки всех процессов с заданным именем
|
||
[+] Формирование кода возврата при выходе из AVZ
|
||
[+] Добавлена возможность перемещения карантина и папки Infected в отдельную папку для запуска AVZ с BootCD или иного ReadOnly носителя
|
||
[+] Добавлена возможность задания произвольной папки в качестве каталога для временных файлов
|
||
[+] Протоколирование карантина (успешность, ошибки)
|
||
[-] Скрипты, исправлена функция CreateQurantineArchive (она помещала в архив самую
|
||
старую папку карантина вместо самой новой)
|
||
[-] Ключ AG=Y - исправлена ошибка в обработке ключа
|
||
[-] В профилях не сохранялась настройка действий для HackTool - исправлено
|
||
|
||
--- 17.04.2007 --- ver 4.25
|
||
[-] Исправлены ошибки, возникающие в работе антикейлоггера на различных ОС
|
||
[-] Исправлены ошибки, связанные с AVZPM
|
||
[+] В дистрибутив вошли все усовершенствования и доработки, которые были введены в 4.24r1 - 4.24r4
|
||
|
||
--- 30.08.2007 --- ver 4.27
|
||
[+++] Новая подсистема - резервное копирование. Позволяет автоматически создавать резервные копии различных системных настроек (резервные копии выполняются в
|
||
основном в виде REG файлов, которые могут быть импортированы стандартным редактором реестра)
|
||
[+++] Автоматическое резервное копирование настроек SPI перед их исправлением и ряда настроек системы перед их восстановлением.
|
||
Резервные копии создаются автоматически по мере надобности в папке BackUp в виде стандартных REG файлов, которые в случае необходимости могут быть импортированы в реестр
|
||
[+++] Добавлена новая подсистема - ИПУ (Искатель Потенциальных Уязвимостей). Его задача - поиск потенциально
|
||
уязвимых служб, требующих внимания со стороны пользователя настроек и прочих моментов, влияющих на
|
||
быстродействие и (или) безопасность ПК. Данная подсистема может вызываться из скриптов. Если уязвимость устранима,
|
||
то в меню исследования системы автоматически добавляется соответствующая позиция, генерирующая фрагмент скрипта для устранения проблемы
|
||
[+++] Новая функция исследования системы - сохранение результатов исследования в формате XML. Данные XML файла
|
||
дублируют данные протокола исследования системы, предназначено для автоматизированной обработки результатов исследования
|
||
[+++] Добавлено множество команд скриптового языка (более 20 штук - экспорт реестра, сканирование реестра, запуск эвристики, работа с INI файлами и т.п.)
|
||
[++] BootCleaner - добавлена функция копирования файла, подправлен карантин
|
||
[++] В восстановлении новая функция - пересоздание настроек SPI/LSP. Помогает, если зловред повредил системные ключи или
|
||
подменил своими. Данная функция делает бекап текущих наcтроек и пересоздает их по эталону
|
||
[+] Менеджер автозапуска - добавлен контроль ряда экзотических ключей автозапуска, применяемых malware
|
||
[+] Добавлена прогресс-индикация в окне "Выполнить скрипт"
|
||
[+] Все кнопки главного окна продублированы пунктами меню (для устранения проблем доступа к ним при работе на низких разрешениях
|
||
экрана в защищенном режиме)
|
||
[+] в логе сканирования системы отображаются данные о запуске из консольной сессии и о состоянии восстановления системы,
|
||
в итоге лога отображаются данные о количестве подозрительных объектов
|
||
[+] Скрипты - расширен набор макросов, допустимых в имени файла
|
||
[-] Исправлен конфликт между системой AVZGuard и модулем проверки файлов по базе безопасных
|
||
[+/-] Сообщения об ошибках разархивации перемещено в раздел отладочной информации ипо умолчанию не выводится в протокол
|
||
|
||
--- 2.09.2007 --- ver 4.29
|
||
[++] Расширен HTML протокол исследования (добавлена таблица заподозренных файлов без повторов, новый интерактив - удаление
|
||
процесса, удаление BHO, управление службами и драйверами)
|
||
[+++] Новая система - мастер поиска и устранения проблем. Осуществляет автоматический поиск проблем и их автоматическое
|
||
устранение с функцией резервного копирования и возможностью отката. Поиск системных проблем включен в основную канву проверки
|
||
[++] Скрипты - новые команды (DeleteFileMask, API для анализа XML базы с р-тами исследования системы)
|
||
[-] Исправления в XML файле (дублирование тегов для разных менеджеров)
|
||
[-] Полностью локализованы диалоги (заголовки, кнопки и т.п.)
|
||
|
||
--- 2.04.2008 --- ver 4.30
|
||
[+++] Добавлена дополнительная функция в эвристической чистке системы - помимо стандартной чистки добавлен вызов микропрограмм из обновляемой базы, что позволит автоматически удалять следы вредоносных программ в сложных и нестандартных случаях, а также исправлять критические повреждения системы
|
||
[++] Антируткит - поиск перехватов IRP в основных драйверах
|
||
[++] Добавлен ряд новых команд в скрипт-язык
|
||
[+] В AVZGuard добавлена блокировка создания файлов autorun.*, что упрощает борьбу с рядом типов червей
|
||
[+] Добавлен переключатель в настройках, активирующий автоматическое устранение системных проблем и ошибок, найденных на шаге 9 анализа
|
||
[+] Автокарантин NTFS потоков и EXE файлов из CHM (выполняется, если включен автокарантин)
|
||
[+] Сортировка по любому столбцу в окнах Infected и Quarantine
|
||
[+/-] Автоматическая перезагрузка всех AV баз после успешного обновления AVZ (в частности базы локализатора)
|
||
[-] Устранены ошибки в работе ревизора
|
||
[-] Устранен ряд мелких недочетов в локализации и ряд мелких ошибок
|
||
|
||
--- 21.08.2009 --- ver 4.32
|
||
[+++] Скриптовой язык: усовершенствована чистка системы, добавлен ряд новых команд (IsWow64, GetAttr, SetAttr, GetFileVersion, RegKeyResetSecurity ...)
|
||
[+++] Менеджер автозапуска - добавлен анализ ряда новых нестандартных методов автозапуска, поддержка этих методов соответственно
|
||
распространяется на эвристическую чистку системы (LSA провайдеры, Perfomance DLL службы, DLL расширения службы, расширение службы EventLog)
|
||
[+++] XML протокол - выводимая в него информация значительно расширена, оптимизирвоана и стандартизирована под
|
||
автоматическую обработку (добавлен вывод данных визардов, антируткита, менеджера SPI)
|
||
[+++] Новый визард в мастере поиска и устранения проблема - "Очистка системы", предназначен для чистки мусора в системе (временных файлов,
|
||
различных протоколов и кешей)
|
||
[++] Менеджер автозапуска - сканирование ключей автозапуска и папок автозапуска для
|
||
всех учетных записей, с автоматическим удалением повторов
|
||
[++] Менеджер расширений IE - добавлена обработка новых типов расширений, улучшено удаление BHO из скрипта, расширена сохраняемая в XML информация
|
||
[++] Менеджер расширений Explorer - добавлена обработка новых типов расширений
|
||
[++] HTML протокол - добавлены новые интерактивные функции (удаление BHO, остановка процессов, удаление ключей автозапуска)
|
||
[++] Доработан менеджер портов TCP/UPD - добавлена поддержка Vista, W2K8, Windows 7
|
||
[++] Изменена идеология удаления файлов и ключей реестра. В случае неуспешного
|
||
удаления производится попытка сбросить привилегии доступа к объекту и повтор попытки удаления
|
||
[++] Исследование системы - добавлена поддержка расширенного исследования системы с записью данных в XML,
|
||
процедуры расширенного исследования хранятся в обновляемой базе данных
|
||
[++] Добавлена базовая поддержка Windows 7
|
||
[+] Карантин файлов - в описание файла добавлены данные о его атрибутах
|
||
[+] В менеджере поиска в реестре добавлена функция "Открыть в Regedit" (вызывается из меню по правой кнопки
|
||
для списка найденных ключей)
|
||
[+] Новый ключ командной строки AM=Y - блокиратор базовых путей опознания окна AVZ
|
||
[-] Скриптовой язык: Исправлена работа DeleteFileMask и DeleteService - удаленные файлы не попадали в список удаленных для
|
||
чистки системы и задания BC
|
||
[-] Устранена нестыковка расширений карантина BC с INI файлом (DTA/DAT)
|
||
[-] Исправлена работа системы отката изменений в мастере поиска и устранения проблем
|
||
[-] Устранена ошибка экспорта дефолтных параметров реестра в функции скрипта ExpRegKey и в
|
||
различных системах AVZ, экспортирующих ключи реестра в REG файлы
|
||
|
||
--- 07.07.2010 --- ver 4.34
|
||
[+++] Новая подсистема расширенного эвристического иследования системы. Запускается в конце исследования
|
||
системы, код исследования хранится в обновляемой базе, что позволяет добавлять новые процедуры
|
||
исследования без обновления самоего AVZ
|
||
[+++] Новая подсистема эвристической чистки системы на основе обновляемой базы данных
|
||
[+++] XML протокол: в протокол выведены данные менеджера анализатора протоколов и обработчиков, менеджера SPI/LSP,
|
||
усовершенствован ряд существующих логов, в XML выведены данные о системе
|
||
[+++] Скрипт-язык: новые команды ClearLog (очистка протокола), ExecuteScript (загрузка и исполнение скрипта),
|
||
QuarantineFileF (расширенный карантин по набору условий), ClearQuarantineEx (расширенная чистка крантина),
|
||
SysCleanGetFilesList (запрос списка файлов, назначенных на эвристическую чистку),
|
||
SysCleanSetFilesList (задание списка файлов для эфристической чистки),
|
||
DownloadFile (загрузка файла из Интернет), FTPSendFile (отправка файла на FTP сервер)
|
||
[+++] Поддержка x64 (в диспетчере процессов отображается тип процесса, поиск файлов ведется с учетом разрядности процесса,
|
||
карантин производится с учетом файлового редиректора (если есть идентичные файлы для x32 и x64, то карантинятся оба файла)
|
||
[++] Менеджер автозапуска - добавлен контроль ряда новых ключей
|
||
[++] Добавлен режим запуска на отдельном рабочем столе (ключ командной строки NewDsk=Y)
|
||
для упрощения борьбы с блокерами-вымогателями
|
||
[+] Добавлен ключ командной строки QrOnlyEXE - для активации фильтра, разрешающего помещение в
|
||
карантин только EXE файлов
|
||
[+] HTML протокол - добавлен дополнительный интерактив в разные точки протокола
|
||
[+] Эвристики ИПУ - добавлена запись данных о найденных потенциальных уязвимостях в XML
|
||
[-] Исправлен сбой антикейлоггера на Win7
|
||
[-] Исправлена ошибка в анализе ключей автозапуска (допускающие множественные значения
|
||
параметры с единственным значением анализировались некорректно)
|
||
[-] Скрипты - исправлена работа функции DeleteService (были проблемы с удалением ключа службы в реестре)
|
||
[-] BootCleaner - удаление файлов с атрибутом ReadOnly не работало как положено
|
||
[-] Исправлена работа функции ClearQuarantine
|
||
[-] Исправлены незначительные баги в парсере имен файлов
|
||
|
||
--- 25.08.2010 --- ver 4.35
|
||
[+++] Поддержка x64 в всех визардах (обработка x32 и x64 ключей реестра,
|
||
[++] Адаптивное отключение бекапа AVZ (что актуально для визарда удаления приватных данных)
|
||
[+/-] Изменен алгоритм обработки профилей и параметров командной строки. Это устраняет проблему с тем, что
|
||
профиль по умолчанию имел приоритет над параметрами командной строки и другими профилями
|
||
[+] Автоматический запрос перезагрузки в визарде поиска и устранения проблем (выводится при необходимости)
|
||
[+] Доработана команда RegKeyParamWrite скриптов - добавлена поддержка REG_MULTI_SZ
|
||
[+] Доработано восстановление настроек проводника
|
||
[--] Исправлена проблема с форматирование даты и времени в протоколах (брались настройки форматирования
|
||
из системы, где они могут быть непредсказуемыми или поврежденными)
|
||
|
||
--- 17.10.2011 --- ver 4.37
|
||
[++] Локализация справки на английский (выбирается автоматически в английской локализации)
|
||
[++] Справка переведена в формат CHM (совместимость с Vista, Win7, W2K8)
|
||
[++] Новый фунционал - эвристический поиск малварей по метаданным, базы эвристики постоянно обновляются (в настоящее время 2 раза в сутки)
|
||
[+] Расширен и доработан XML протокол (вывод VendorName и ProductName каждого файла)
|
||
[+] Поддержка SHA1 хешей. В XML протоколе вычисление SHA1 по умолчанию выключено, включается параметром SHA1=Y|N из скрипта или командной строки. В скриптах добавлена функция CaklFileSHA1
|
||
[+] Поддержка верификации цифровой подписи и вывода данных о подписях файлов в XML по умолчанию выключено, включается параметром SignCheck=Y|N из скрипта или командной строки
|
||
[+] Расширена поддержка Windows 7 и Windows 7 SP1, улучшена работа на x64 (тип процесса в диспетчере процессов, карантин x32 и x64 файлов, доработки визардов для Win7)
|
||
[+] Протокол исследования - новые интерактивные элементы (в частности: удаление задания), фильтр незначащих пустых строк в Hosts
|
||
[-] Исправлена ошибка поиска маскировки процессов (несуществующие маскирующиеся процессы в Vista/Win7/W2K3)
|
||
|
||
--- 20.05.2012 --- ver 4.39
|
||
[++] Множество доработок в визардах и скриптах эвристики
|
||
[++] Поиск и восстановление повреждений настройки SafeBoot
|
||
[+] Поиск и нейтрализация перехватов UserMode, осуществленных не в начале машинного кода функции
|
||
[+] База чистых - вызовы типа "cmd.exe /c xxxx" более не считаются легитимными - по базе чистых проверяется то, что запускается через CMD, а не сам файл "cmd.exe"
|
||
[+] Блокировка "зацикливания" при сканировании ссылок в файловой системе Win7/Vista
|
||
[+] Скрипты, функция RegSearch - добавлен поиск по значениям параметра REG_MULTI_SZ
|
||
[+] Детектирование "вредоносного кода в реестре" - обнаружение ключей автозапуска, содержащих запуск последовательности команд интерпретатора командной строки
|
||
(по сути хранимый в реестре аналог BAT файла) с оценкой потенциальной опасности
|
||
[+] Эвристика на исполняемые файлы в папке автозапуска (предупреждение в протоколе, автокарантин), не опознанные по базе чистых
|
||
[+/-] Скрипты, функция BackupRegKey,ExpRegKey, ExpRegKeyEx - добавлена поддержка параметров типа REG_QWORD, исправлено сохранение REG_MULTY_SZ
|
||
[-] Скрипты, TFileSearch - исправлена ошибка вывода даты найденных файлов
|
||
[+] Скрипты, TFileSearch - добавлена возможность получения даты последней модификации и последнего доступа
|
||
[-] Исправлена команда "Безопасность: IE - запретить запуск программ и файлов в IFRAME без запроса", вставляемая по одноименной ссылке в протоколе
|
||
[+/-] Исправлена и доработана операция 15 в восстановлении системы
|
||
[+/-] Доработан анализ ключей автозапуска в исследовании системы и менеджере автозапуска (открытие ключей в режиме "только чтение")
|
||
[-] Порты TCP/UDP - исправлена ошибка, которая периодически появлялась на Win7/Win8 (в случае ошибки список портов был пустой)
|
||
[-] Исправлено множество опечаток в русскоязычной документации
|
||
[-] Исправлена проблема с ошибкой чтения значений параметров ключа реестра, доступных только на чтение
|
||
|
||
--- 12.07.2013 --- ver 4.41
|
||
[++] Менеджер планировщика заданий - поддержка планировщика v2 (Vista, Win7, Win8)
|
||
[++] Новый парсер сложной командной строки, выделяющий требующие внимания исполняемые файлы
|
||
[++] Новый набор команд скрипт-языка для выполнения произвольных WMI запросов
|
||
[++] Подключена возможность просмотра данных о файле в системе Kaspersky Application Advisor
|
||
[++] В исследовании системы введена поддержка дополнительных проверок, хранящихся в обновляемой БД
|
||
[++] В скрипт-языке новые функции AddFileInfoToXML, AddDataToXML, WMI_Init, WMI_Query, WMI_Fetch, WMI_GetField, WMI_Free, SleepMS, GetComputerIP, ClearXMLData
|
||
[+] Изменена логика работы команды удаления файла - появился второй параметр, указывающий, в каком режиме редиректора следует выполнить удаление
|
||
[+] Вывод в протокол исследования системы данных о расшаренных ресурсах (опционально, по умолчанию выключено)
|
||
[+] Вывод в XML протокол данных о всех запущенных процессах, без фильтрации (опционально, по умолчанию выключено)
|
||
[+] В мастере поиска и устранения проблем добавлено всплывающее меню, позволяющее выбрать все пукты, снять и инвертировать выделение
|
||
[+] Добавлен режим шифрования файлов в карантине для исключения их удаления антивирусом
|
||
[+/-] В скриптязыке изменена логика работы ExecuteScript - скриптам любого уровня разрешено изменять настройки AVZ
|
||
[-] Исправлена проблема с тем, что в описание файла в карантине не попадали сведения о его атрибутах
|
||
|
||
--- 23.02.2013 --- ver 4.43
|
||
[++] Новый функционал - диагностика сети для выявления проблем, создаваемых вредоносными программами (диагностические операции находятся в обновляемой БД)
|
||
[++] Добавлена эвристика для обнаружения вредоносных заданий планировщика
|
||
[++] Редактор скриптов - подсветка синтаксиса, всплывающее меню редактора и поддержка типовых горячих клавиш
|
||
[++] Фильтр в менеджере автозапуска (отображение всех или только неопознанных по БД чистых)
|
||
[++] Окно редактирования и выполнения скрипта : добавлена подстветка синтаксиса, выделение цветом специфических команд скрипт-языка AVZ, отображение строки и столбца курсора, поддерживаются стандартные клавиатурные сочетания типа Ctrl+A)
|
||
[+] Вывод MD5 по процессам в HTML отчет
|
||
[+] Вывод полного названия версии ОС в протокол и XML
|
||
[+] Доработана стратегия карантина (повышение качества карантина на x64, улучшен парсер)
|
||
[+] В просмотре карантина добавлено отображения сведений по выделенным файлам (количество и суммарный размер)
|
||
[+/-] Работа параметра spoollog изменена (если не указан полный путь, то он отсчитывается от каталога AVZ)
|
||
[+/-] В XML версия файлов выведена в формате x.x.x.x
|
||
[+/-] В описании задания планировщика в XML выведены все поля (ранее часть была доступна только в HTML логе, новые поля JobName, Status и FullCmd)
|
||
[+/-] XML: добавлено экранирование символов 0x00 (NUL), такие символы заменяются на пробелы для устранения проблем с парсерами протоколов
|
||
[-] Исправлена ошибка парсера имени файла в автозапуске и диспетчере процессов (было доступно в 4.41 через обновление баз)
|
||
[-] XML: Исправлена ошибка с дублирование имени параметра в XML, из за чего лог не проходил верификацию парсеров XML
|
||
[-] XML: Исправлена ошибка с отсутствием пробелов между параметрами в XML, из за чего лог не проходил верификацию парсеров XML
|
||
[-] Исправлена ошибка с локализацией MessageDlg (в английской локализации были русские надписи на кнопках)
|
||
|