Утилита является прямым аналогом программ TrojanHunter и LavaSoft
Ad-aware 6. Первичной задачей программы является удаление SpyWare и
троянских программ.
Особенностями утилиты AVZ (помимо типового сигнатурного сканера) является:
Микропрограммы эвристической проверки системы.
Микропрограммы проводят поиск известных SpyWare и вирусов по косвенным
признакам - на основании анализа реестра, файлов на диске и в памяти.
Обновляемая база безопасных файлов. В нее входят цифровые
подписи десятков тысяч системных файлов и файлов известных безопасных
процессов. База подключена ко всем системам AVZ и работает по принципу
"свой/чужой" - безопасные файлы не вносятся в карантин, для них
заблокировано удаление и вывод предупреждений, база используется
антируткитом, системой поиска файлов, различными анализаторами. В
частности, встроенный диспетчер процессов выделяет безопасные процессы и
сервисы цветом, поиск файлов на диске может исключать из поиска
известные файлы (что очень полезно при поиске на диске троянских
программ);
Встроенная система обнаружения Rootkit. Поиск RootKit идет без применения сигнатур
на основании исследования базовых системных библиотек на предмет
перехвата их функций. AVZ может не только обнаруживать RootKit, но и
производить корректную блокировку работы UserMode RootKit для своего
процесса и KernelMode RootKit на уровне системы. Противодействие RootKit
распространяется на все сервисные функции AVZ, в результате сканер AVZ
может обнаруживать маскируемые процессы, система поиска в реестре
"видит" маскируемые ключи и т.п. Антируткит снабжен анализатором,
который проводит обнаружение процессов и сервисов, маскируемых RootKit.
Одной из главных на мой взгляд особенностей системы противодействия
RootKit является ее работоспособность в Win9X (распространеннное мнение
об отсуствии RootKit, работающих на платформе Win9X глубоко ошибочно -
известны сотни троянских программ, перехватывающих API функции для
маскировки своего присутствия, для искажения работы API функций или
слежения за их использованием). Другой особенностью является
универсальная система обнаружения и блокирования KernelMode RootKit,
работоспособная под Windows NT, Windows 2000 pro/server, XP, XP SP1, XP
SP2, Windows 2003 Server, Windows 2003 Server SP1
Детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и троянских DLL ведется на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать заранее неизвестные троянские DLL и Keylogger;
Нейроанализатор. Помино сигнатурного анализатора AVZ
содержит нейроэмулятор, который позволяет производить исследование
подозрительных файлов при помощи нейросети. В настоящее время нейросеть
применяется в детекторе кейлоггеров.
Встроенный анализатор Winsock SPI/LSP настроек. Позволяет проанализировать настройки, диагностировать возможные ошибки в настройке и произвести автоматическое
лечение. Возможность автоматической диагностики и лечения полезна для
начинающих пользователей (в утилитах типа LSPFix автоматическое лечение
отсутствует). Для исследования SPI/LSP вручную в программе имеется
специальный менеджер настроек LSP/SPI. На работу анализатора Winsock
SPI/LSP распространяется действие антируткита;
Встроенный диспетчер процессов, сервисов и драйверов.
Предназначен для изучения запущенных процессов и загруженных библиотек,
запущенных сервисов и драйверов. На работу диспетчера процессов
распространяется действие антируткита (как следствие - он "видит"
маскируемые руткитом процессы). Диспетчер процессов связан с базой
безопасных файлов AVZ, опознанные безопасные и системные файлы
выделяются цветом;
Встроенная утилита для поиска файлов на диске. Позволяет
искать файл по различным критериям, возможности системы поиска
превосходят возможности системного поиска. На работу системы поиска
распространяется действие антируткита (как следствие - поиск "видит"
маскируемые руткитом файлы и может удалить их), фильтр позволяет
исключать из результатов поиска файлы, опознанные AVZ как безопасные.
Результаты поиска доступны в виде текстового протокола и в виде таблицы,
в которой можно пометить группу файлов для последующего удаления или
помещения в карантин
Встроенная утилита для поиска данных в реестре. Позволяет
искать ключи и параметры по заданному образцу, результаты поиска
доступны в виде текстового протокола и в виде таблицы, в которой можно
отметить несколько ключей для их экспорта или удаления. На работу
системы поиска распространяется действие антируткита (как следствие -
поиск "видит" маскируемые руткитом ключи реестра и может удалить их)
Встроенный анализатор открытых портов TCP/UDP. На него
распространяется действие антируткита, в Windows XP для каждого порта
отображается использующий порт процесс. Анализатор опирается на
обновляемую базу портов известных троянских/Backdoor программ и
известных системных сервисов. Поиск портов троянских программ включен в
основной алгоритм проверки системы - при обнаружении подозрительных
портов в протокол выводятся предупреждения с указанием, каким троянских
программам свойственно использование данного порта
Встроенный анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов. Работает в Win9X и в Nt/W2K/XP.
Встроенный анализатор Downloaded Program Files (DPF) - отображает элементы DPF, подключен ко всем сситемам AVZ.
Микропрограммы восстановления системы. Микропрограммы
проводят восстановления настроек Internet Explorer, параметров запуска
программ и иные системные параметры, повреждаемые вредоносными
программами. Восстановление запускается вручную, восстанавливаемые
параметры указываются пользователем.
Эвристическое удаление файлов. Суть его состоит в том, что
если в ходе лечения удалялись вредоносные файлы и включена эта опция, то
производится автоматическое исследование системы, охватывающее классы,
BHO, расширения IE и Explorer, все доступные AVZ виды автозапуска,
Winlogon, SPI/LSP и т.п. Все найденные ссылки на удаленный файл
автоматически вычищаются с занесением в протокол информации о том, что
конкретно и где было вычищено. Для этой чистки активно применяется
движок микропрограмм лечения системы;
Проверка архивов. Начиная с версии 3.60 AVZ поддерживает
проверку архивов и составных файлов. На настоящий момент проверяются
архивы формата ZIP, RAR, CAB, GZIP, TAR; письма электронной почты и MHT
файлы; CHM архивы
Проверка и лечение потоков NTFS. Проверка NTFS потоков включена в AVZ начиная с версии 3.75
Скрипты управления. Позволяют администратору написать
скрипт, выполняющий на ПК пользователя набор заданных операций. Скрипты
позволяют применять AVZ в корпоративной сети, включая его запуск в ходе
загрузки системы.
Анализатор процессов. Анализатор использует нейросети и
микропрограммы анализа, он включается при включении расширенного анализа
на максимальном уровне эвристики и предназначен для поиска
подозрительных процессов в памяти.
Система AVZGuard. Предназначена для борьбы с
трудноудалимыми вредоносными програмами, может кроме AVZ защищать
указанные пользователем приложения, например, другие антишпионские и
антивирусные программы.
Система прямого доступа к диску для работы с
заблокированными файлами. Работает на FAT16/FAT32/NTFS, поддерживается
на всех операционных системах линейки NT, позволяет сканеру
анализировать заблокированные файлы и помещать их в карантин.
Драйвер мониторинга процессов и драйверов AVZPM.
Предназначен для отслеживания запуска и остановки процессов и
загрузки/выгрузки драйверов для поиска маскирующихся драйверов и
обнаружения искажений в описывающих процессы и драйверы структурах,
создаваемых DKOM руткитами.
Драйвер Boot Cleaner. Предназначен для выполнения
чистки системы (удаление файлов, драйверов и служб, ключей реестра) из
KernelMode. Операция чистки может выполняться как в процессе
перезагрузки компьютера, так и в ходе лечения