AVZ — бесплатная антивирусная программа.
Помимо стандартных сканеров (с эвристическим анализатором) и ревизора включает в себя ряд средств автоматизации удаления вредоносного кода, часть из которых являются нетипичными (на 2007 год) и предоставляют достаточно грамотному пользователю расширенные средства контроля.
Программа была разработана Олегом Зайцевым. С 2007 года Олег работает[2] в Лаборатории Касперского и остаётся единственным разработчиком AVZ. Используемые в AVZ наработки и технологии вошли в основные продукты Лаборатории Касперского — Kaspersky Internet Security 2009/2010 и Kaspersky for Windows Workstations 6 MP4.
Средства, встроенные в AVZ[3]
- Микропрограммы эвристической проверки системы
- Микропрограммы проводят поиск известных spyware и вирусов по косвенным признакам — на основании анализа реестра, файлов на диске и в памяти.
- Обновляемая база безопасных файлов
- В неё входят цифровые подписи десятков тысяч системных файлов и файлов известных безопасных процессов. База подключена ко всем системам AVZ и работает по принципу «свой/чужой» — безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений, база используется антируткитом, системой поиска файлов, различными анализаторами. В частности, встроенный диспетчер процессов выделяет безопасные процессы и сервисы цветом, поиск файлов на диске может исключать из поиска известные файлы (что очень полезно при поиске на диске троянских программ).
- Детектор руткитов (встроенный)
- Поиск руткитов идёт без применения сигнатур, на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только подозревать наличие руткитов, но и производить корректную блокировку работы руткитов. Противодействие руткитам распространяется на все сервисные функции AVZ, в результате сканер AVZ может обнаруживать маскируемые процессы, система поиска в реестре «видит» маскируемые ключи и т. п. Антируткит снабжён анализатором, который проводит обнаружение процессов и сервисов, маскируемых руткитами. Особенностью системы противодействия руткитам является её работоспособность в Windows 9x. Другой особенностью является универсальная система обнаружения и блокирования KernelMode руткитов, работоспособная под Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, XP SP3, Windows 2003 Server, Windows 2003 Server SP1.
- Детектор клавиатурных шпионов и троянских DLL
- Поиск кейлогеров и троянских DLL ведётся на основании анализа системы без применения базы сигнатур, что может позволить детектировать заранее неизвестные троянские DLL и кейлогеры, но также возможны и ложные срабатывания .
- Нейроанализатор
- Помимо сигнатурного анализатора, AVZ содержит нейроэмулятор, который позволяет производить исследование подозрительных файлов при помощи нейронной сети. В настоящее время нейросеть применяется в детекторе кейлогеров.
- Анализатор Winsock SPI/LSP настроек (встроенный)
- Позволяет проанализировать настройки, диагностировать возможные ошибки в настройке и произвести автоматическое лечение. Возможность автоматической диагностики и лечения полезна для начинающих пользователей (в утилитах типа LSPFix автоматическое лечение отсутствует). Для исследования SPI/LSP вручную в программе имеется специальный менеджер настроек LSP/SPI. На работу анализатора Winsock SPI/LSP распространяется действие антируткита.
- Диспетчер процессов, сервисов и драйверов (встроенный)
- Предназначен для изучения запущенных процессов и загруженных библиотек, запущенных сервисов и драйверов. На работу диспетчера процессов распространяется действие антируткита (как следствие — он «видит» маскируемые руткитом процессы). Диспетчер процессов связан с базой безопасных файлов AVZ, опознанные безопасные и системные файлы выделяются цветом.
- Утилита для поиска файлов на диске (встроенная)
- Позволяет искать файл по различным критериям, возможности системы поиска превосходят возможности системного поиска. На работу системы поиска распространяется действие антируткита (как следствие — поиск «видит» маскируемые руткитом файлы и может удалить их), фильтр позволяет исключать из результатов поиска файлы, опознанные AVZ как безопасные. Результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно пометить группу файлов для последующего удаления или помещения в карантин.
- Утилита для поиска данных в реестре (встроенная)
- Позволяет искать ключи и параметры по заданному образцу, результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно отметить несколько ключей для их экспорта или удаления. На работу системы поиска распространяется действие антируткита (как следствие — поиск «видит» маскируемые руткитом ключи реестра и может удалить их).
- Анализатор открытых портов TCP/UDP (встроенный)
- На него распространяется действие антируткита, в Windows XP для каждого порта отображается использующий порт процесс. Анализатор опирается на обновляемую базу портов известных троянских/Backdoor программ и известных системных сервисов. Поиск портов троянских программ включён в основной алгоритм проверки системы — при обнаружении подозрительных портов в протокол выводятся предупреждения с указанием, каким троянских программам свойственно использование данного порта.
- Анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов (встроенный)
- Работает в Windows 9x и в NT/2k/XP.
- Анализатор Downloaded Program Files (DPF) (встроенный)
- Отображает элементы DPF, подключён ко всем системам AVZ.
- Микропрограммы восстановления системы
- Микропрограммы проводят восстановления настроек Internet Explorer, параметров запуска программ и иные системные параметры, повреждаемые вредоносными программами. Восстановление запускается вручную, восстанавливаемые параметры указываются пользователем.
- Эвристическое удаление файлов
- Суть его состоит в том, что если в ходе лечения удалялись вредоносные файлы и включена эта опция, то производится автоматическое исследование системы, охватывающее классы, BHO, расширения IE и Проводника, все доступные AVZ виды автозапуска, Winlogon, SPI/LSP и т. п. Все найденные ссылки на удалённый файл автоматически вычищаются с занесением в протокол информации о том, что конкретно и где было вычищено. Для этой чистки активно применяется движок микропрограмм лечения системы.
- Проверка архивов
- Начиная с версии 3.60, AVZ поддерживает проверку архивов и составных файлов. На настоящий момент проверяются архивы формата ZIP, RAR, CAB, gzip, tar; письма электронной почты и MHT-файлы; CHM-архивы.
- Проверка и лечение потоков NTFS
- Проверка NTFS-потоков включена в AVZ начиная с версии 3.75.
- Скрипты управления
- Позволяют администратору написать скрипт, выполняющий на ПК пользователя набор заданных операций. Скрипты позволяют применять AVZ в корпоративной сети, включая его запуск в ходе загрузки системы.
- Анализатор процессов
- Анализатор использует нейросети и микропрограммы анализа, он включается при включении расширенного анализа на максимальном уровне эвристики и предназначен для поиска подозрительных процессов в памяти.
- Система AVZGuard
- Предназначена для борьбы с трудноудалимыми вредоносными программами, может кроме AVZ защищать указанные пользователем приложения, например, другие антишпионские и антивирусные программы.
- Система прямого доступа к диску для работы с заблокированными файлами
- Работает на FAT16/FAT32/NTFS, поддерживается на всех операционных системах линейки NT, позволяет сканеру анализировать заблокированные файлы и помещать их в карантин.
- Драйвер мониторинга процессов и драйверов AVZPM
- Предназначен для отслеживания запуска и остановки процессов и загрузки/выгрузки драйверов для поиска маскирующихся драйверов и обнаружения искажений в описывающих процессы и драйверы структурах, создаваемых DKOM-руткитами.
- Драйвер Boot Cleaner
- Предназначен для выполнения чистки системы (удаление файлов, драйверов и служб, ключей реестра) из KernelMode. Операция чистки может выполняться как в процессе перезагрузки компьютера, так и в ходе лечения.