-
Junior Member
- Вес репутации
- 59
Недохождение писем на newvirus_z...
Здравствуйте.
Поскольку при лечении компов я пользуюсь AVZ вкупе с другими антивирусами, то достаточно часто получаются ситуации, в которых AVZ не определяет вирус по своим базам - это абсолютно понятно. Вирус изымается с компа, проверяется на вирустотале и сохраняется отдельно для отправки.
Я думаю многие знают ящик, на который можно отправлять вирусы - newvirusz-... (я думаю дальше продолжать не надо? ). Но проблема в том, что ооочень часто мои письма режутся антиспамом (это из ответа Олега).
Встаёт вопрос - как оптравить файл, чтобы он дошёл? С момента моей последней отправки сборки вирусов прошло уже около 3-4 дней, детектирование так и не появилось.
ps: может ввести какую-то ключевую строку, чтобы спам-фильтр пропускал письмо?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 59
Вариант.. но с почтой поудобнее как-то. Особенно, когда отправляю сразу во многие лаборатории.
ps: я думаю не только мои письма не доходят..
Последний раз редактировалось Shtorm_S2d; 07.06.2008 в 21:46.
-
После того как файл проверяется на ВТ,он автоматически рассылается всем лабам
-
-
Junior Member
- Вес репутации
- 59
Гриша, честно говорю - ради интереса слежу за некоторыми вирусами. После проверки на ВТ они появляются не у всех. ООооооочень не у всех!!! (прошло около 3х недель) Может из-за большого потока файлов с ВТ. может из-за чего-то ещё... факт остаётся фактом. Из личного опыта - на письма видимо больше обращается внимание.
ps: может AVZ тоже подключиться к ВТ? :-)
pps: отправил ещё сборку вирусов на сайт - посмотрим, когда будет обновление по ним..
-
-
-
Архивируйте в rar-формат c паролем и шифрованием имен файлов.
Опыт — это слово, которым люди называют свои ошибки.
-
-
-возможно причина в том, что письмо спам-типичного содержания, да к тому же ещё и адресовано сразу многим получателям... попробуйте что-то изменить
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
Причин подавления почты можно быть очень много:
1. Антивирус или блокиратор запароленной почты на сервере отправителя
2. Антивирус или блокиратор запароленной почты в цепечке между отправителем и получателем (очень типично дл якорпторативных систем - зачатую пока письмо дойдет до получателя, оно пройдет 2-3 промежуточных почтаря)
3. Антивирус и блокираторы с моей стороны (на Агаве последнее время параноидальные антивирус и антиспам)
4. Всевозможные фильтры на почтарях (аналог 1-3), например по числу получателей письма, отправителю, контексту и т.п.
-
-
Junior Member
- Вес репутации
- 59
2Alex Plutoff: возможно.. иногда письмо уходит по 10 лабораториям одновременно, но и с отправкой только на один адрес z-.. проблема сохранялась. Т.е. отправлял 2 письма слегка разного содержания (2 части пака вирусов) - одно дошло, детектирование появилось. Другая часть - не дошла, детектирование не появилось.
Насколько соответствует "спам-типичного содержания" письмо
Код:
Sample submitted for analysis
Pas_sword: infected
Либо на русском с пояснениями :-)
Попробую ответить по причинам:
1) отправляется с яндекса, если срабатывает их анализатор - то сразу выводится предупреждение. Причём анализатор ищет слово password, берёт значение пароля и передаёт его в антивирус :-)), после чего письмо может пометиться как содержащие вирус. Приходится вставлять _
2) скорее всего нет, т.к. иначе бы возвращался статус недохождения письма. Да и к другим лабораториям оно доходит.
Остаётся 3 и 4
3 и 4 - вопрос о возможности настройки антиспама. Самый просто выход - введение сигнальных строк для маркировки письма: infected\virus\sample\submit и т.д. как на п. 3, так и п.4
Последний раз редактировалось Shtorm_S2d; 09.06.2008 в 02:00.
-
Сообщение от
Shtorm_S2d
2Alex Plutoff: возможно...
Насколько соответствует "спам-типичного содержания" письмо
Код:
Sample submitted for analysis
Pas_sword: infected
Либо на русском с пояснениями :-) ...
-для некоторых параноидально настроеных спам-фильтров этого более чем достаточно, т.е. сообщение содержащее очень короткий текстовый фрагмент(либо полное его отсутствие), плюс, аттач(вложение), плюс, множество адресатов(ещё хуже, копий, скрытых копий ) = [SPAM] ...
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
Junior Member
- Вес репутации
- 59
Возможно :-) Но не писать же изложение на тему "как я его поймал"? :-)) Остаётся дел о за настройкой..
-
-или, как вариант, все же пользовать web-форму
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
Junior Member
- Вес репутации
- 59
Если не секрет - ориентировочно, сколько времени проходит с момента отправки файлов по почте\сайту до момента занесения в сигнатуры?
Из пака не детектируется всё, включая amvo0.dll :-)))
-
Сообщение от
Shtorm_S2d
Если не секрет - ориентировочно, сколько времени проходит с момента отправки файлов по почте\сайту до момента занесения в сигнатуры?
Из пака не детектируется всё, включая amvo0.dll :-)))
Все зависит от стечения множества факторов ... Главный - дошел ли архив, стандартный ли на нем пароль и т.п. Сам анализ и добавление занимает секунды (в худшем случае минуты), а вот в очереди он может болтаться очень долго. Дело в том, что мои анализаторы сейчас ловят зверей намного больше, чем нужно - поэтому приоритет отдается согласно распространенности зверей и статистике.
-
-
Мое скромное мнение такое - сигнатуры AVZ вряд ли нужны, т.к. на мой взгляд это ручной инструмент, а не сигнатурная утилита. Есть потребность в сигнатурной утилите - пожалуйста: CureIt! и AVPTool. Если они не знают зловреда, то его можно отослать в ДрВеб и Лабораторию Касперского соответственно, тогда детект появится.
-
-
Junior Member
- Вес репутации
- 59
Лучше всего не заменять одно другим, а комбинировать. Уже бывали случаи, когда AVZ находил то, что не детектировалось др.вебом и касперским. Точно так же, как и пополнение базы чистых файлов. Инструмент ручной, но наличие сигнатур очень сильно облегчает жизнь.
Да и ситуации бывают совершенно разные. Особенно когда система грузится с live cd, интернета нет... разве мало таких ситуаций? :-)
Последний раз редактировалось Shtorm_S2d; 11.06.2008 в 14:36.
-
Сообщение от
kps
Мое скромное мнение такое - сигнатуры AVZ вряд ли нужны, т.к. на мой взгляд это ручной инструмент, а не сигнатурная утилита. Есть потребность в сигнатурной утилите - пожалуйста: CureIt! и AVPTool. Если они не знают зловреда, то его можно отослать в ДрВеб и Лабораторию Касперского соответственно, тогда детект появится.
Сигнатуры нужны как воздух. Любой, даже простейший поиск по здорой базе - это же автоматизация работы... - и эта автоматизация избавляет от дурной работы принимать решение вручную. В AVZ работают две базы - база чистых (снижает объем того, что попадает в лог) + база зверей (автоудаление того, что хорошо известно).
Добавлено через 2 минуты
Сообщение от
Shtorm_S2d
Лучше всего не заменять одно другим, а комбинировать. Уже бывали случаи, когда AVZ находил то, что не детектировалось др.вебом и касперским. Точно так же, как и пополнение базы чистых файлов. Инструмент ручной, но наличие сигнатур очень сильно облегчает жизнь.
Да и ситуации бывают совершенно разные. Особенно когда система грузится с live cd, интернета нет... разве мало таких ситуаций? :-)
Вот я и комбинирую, поддерживая разумный оптимум. Прямо сейчас я мог бы расширить базы до 200-250 тыс записей, зверей для этого куча, штабелями лежат Но это не изменит картину радикальным образом, а вот объем баз - изменит однозначно
Последний раз редактировалось Зайцев Олег; 11.06.2008 в 14:51.
Причина: Добавлено
-
-
Тогда может стоит "зверей", не попадающих в основные базы программы собрать в дополнительные?
Которые не будут участвовать в автоапдейте и будут доступны для отдельного скачивания.
Как я помню - базы "поднимаются" утилитой по их присутствию в папке base программы.
А пересобирать их можно вместе с выходом новой версии AVZ.
The worst foe lies within the self...
-
-
Сообщение от
Kuzz
Тогда может стоит "зверей", не попадающих в основные базы программы собрать в дополнительные?
Которые не будут участвовать в автоапдейте и будут доступны для отдельного скачивания.
Как я помню - базы "поднимаются" утилитой по их присутствию в папке base программы.
А пересобирать их можно вместе с выходом новой версии AVZ.
В принципе такое возможно. Но базы собираются автоматически - т.е. процедура отлова ложняков, сборки базы и т.п. глобальна и не совсем понятно, как делить зверей на основную и неосновную базу ... (сегодня он попадет в дополнительную, завтра начнет часто встречаться и потребуется его в основную переносить и так по кругу)
-