AVZ 5. Руководство пользователя
×

2.1. О программе

Антивирусная утилита AVZ является инструментом для исследования и восстановления системы, и предназначена для автоматического или ручного поиска и удаления:
  • Разнообразных шпионских и рекламных приложений (SpyWare и AdvWare). Это одно из основных назначений утилиты;
  • Клавиатурных шпионов и прочих программ, которые могут применяться для слежения за пользователем;
  • Майнеров криптовалюты;
  • Руткитов и вредоносных программ, маскирующих свои процессы.
  • Сетевых и почтовых червей;
  • Троянских программ (включая все их разновидности, в частности Trojan-PSW, Trojan-Downloader, Trojan-Spy) и Backdoor (программ для скрытного удаленного управления компьютером);
  • Программ двойственного назначения, например - утилит удаленного управления компьютером. Для данных утилит следует учитывать, что они могут опознаваться как безопасные и помечаться зеленым цветом в таблицах и отчетах.
 
Утилита AVZ зарегистрирована в Российском Отраслевом Фонде Алгоритмов и Программ,  номер свидетельства ОФАП 6427, код ЕСПД .52038851.00116-01.
Изначально утилита являлась прямым аналогом программ типа Trojan Hunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление AdWare, SpyWare и троянских программ.
Сразу следует отметить, что программы категорий SpyWare, AdWare по определению не являются вирусами или троянскими программами. Они шпионят за пользователем, собирая и отправляя определенную статистику, а также загружают информацию и программный код на пораженный компьютер, причем в основном из маркетинговых соображений (т.е. передаваемая информация не содержит критических данных – паролей, номеров кредитных карт и т.п., а загружаемая информация является рекламой или обновлениями). Однако очень часто грань между SpyWare и троянской программой достаточно условна и точная классификация затруднительна. Моя методика классификации и критерии описаны в данной справочной системе. Дополнительную информацию о вредоносных программах можно найти в моей книге "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита"
 
Особенностью программы AVZ является возможность настройки реакции программы на каждую из категорий вредоносных программы – например, можно задать режим уничтожения найденных вирусов и троянских программ, но заблокировать удаление AdWare.
 
Начиная с версии 4 основной особенностью AVZ являются многочисленные эвристические проверки системы, не основанные на механизме поиска по сигнатурам – это поиск RootKit на основе выявления перехвата функций и маскировки процессов, клавиатурных шпионов на основании их специфического поведения, выявления различных Backdoor и средств удаленного управления по базе типовых портов TCP/UDP. Подобные методы поиска позволяют находить новые разновидности вредоносных программ.
 
Кроме типового для программ данного класса поиска файлов по сигнатурам в AVZ встроена база с цифровыми подписями более миллиона легитимных файлов. Применение данной базы позволяет значительно уменьшить количество ложных срабатываний эвристики и позволяет решать ряд задач. В частности, в системе поиска файлов есть фильтр для исключения известных файлов из результатов поиска, в диспетчере запущенных процессов и настроек SPI производится цветовое выделение известных процессов, при добавлении файлов в карантин производится блокировка добавления известных AVZ безопасных файлов.
 
Как показала моя практика, очень часто программа типа SpyWare может быть классифицирована как AdWare и наоборот (причины просты – целью шпионажа в большинстве случаев является целевая реклама). Для таких случаев в своей классификации я ввел обобщающую категорию Spy, которая грубо может трактоваться как AdWare+SpyWare. Термин Spy переводится как «шпион», «тайный агент», «следить», «подглядывать», «совать нос в чужие дела». Этот термин достаточно хорошо подходит к программам подобного класса.
 
Начиная с версии 4.29 в AVZ предусмотрена локализация интерфейса и протоколов выполняется на основе обновляемых баз, на текущий момент поддерживается русский и английский язык, выбор языка производится автоматически или вручную при помощи параметра командной строки Lang или профиля локализации.
По умолчанию выбор языка идет автоматически (на русскоязычной системе русский, на остальных - английский) или вручную через параметры командной строки и профиль локализации.  Параметр командной строки - lang=X, где X - название локализации, RU для русского, EN - для английского. Т.е. для принудительного включения русского языка нужно вызывать AVZ в виде avz.exe lang=ru (соответственно для принудительного включения английского avz.exe lang=en )
 
 
Ограничения программы:
  • Т.к. утилита направлена в первую очередь на борьбу с Backdoor и AdWare/SpyWare, и в настоящий момент она не поддерживает проверку архивов некоторых типов, PE упаковщиков и документов. Для борьбы с указанным ПО в этом просто нет надобности.
  • Утилита не лечит программы, зараженные компьютерными вирусами. Для качественного и корректного лечения зараженной программы необходимы   специализированные антивирусы (например, антивирус Касперского, DrWeb,   Norton Antivirus, Panda и т.п.).