# Форум на русском языке  > Решения по информационной безопасности  > Антивирусы  >  VBA32 vs DrWeb

## Geser

Я вот подумал, похоже в последнее время VBA32 делает DrWeb по всем позициям. Эвристик лучше, универсальный распаковщик лучше чем добавление подержки новых пакеров раз в пол года. Какие приемущества остались у ДрВеб?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## ALEX(XX)

Собственно, какие улучшения(коренные) произошли с версии 4,23? Судя по номеру новой версии существенных улучшений ждать не придётся(согласно правилам присвоения номера версии новому программному продукту). Да, выход расширенных баз это улучшение, но с другой стороны, это то, чем другие компании обзавелись давно. ИМХО, всё практически останется таким как есть.

----------


## nowhere

Да собственно никаких не осталось. У вба есть всё, но только лучше. Самое приятное - это безразличие к операционке. Ну и какчество отлова врагов на уровне. Про поддержку и не говорю  :Smiley:

----------


## Iceman

Склонился к VBA.
Кроме технических интересностей многое решает человеческий фактор. И команда DrXmas'a правильно подошла к решению данного вопроса. Респект!

----------


## AndreyKa

Проголосовал, за VBA32, но с оговоркой, что версия DrWeb - 4.32b.
Ещё остаются надежды на то, что 4.33 выровняет положение. 
ALEX(XX)
Номер подверсии традиционно увеличивается на 1. А отличия, судя по серверной beta-версии довольно существенные.
Кроме того, в активе DrWeb его многолетнее стабильное положение на хорошем уровне.

----------


## Shu_b

> Какие приемущества остались у ДрВеб?


То, что мы им пользуемся...  :Wink: 
То, что мы его рекомендуем...
И то, что он собрал нас в данном месте (вспомним как всё начиналось...  :Smiley:  )

----------


## ALEX(XX)

> Проголосовал, за VBA32, но с оговоркой, что версия DrWeb - 4.32b.
> Ещё остаются надежды на то, что 4.33 выровняет положение. 
> ALEX(XX)
> Номер подверсии традиционно увеличивается на 1. А отличия, судя по серверной beta-версии довольно существенные.
> Кроме того, в активе DrWeb его многолетнее стабильное положение на хорошем уровне.


Хорошо, посмотрим. Реально результаты можно будет сказать где-то через месяцев 5-6 после того, как новая версия получит существенное распространение. Я думаю за это время выявятся плюсы и минусы данного продукта.

----------


## SDA

Отдаю голос Вебу, как ветерану среди антивирусов. Надеюсь, что потенциал даниловцев не иссяк.  :good:

----------


## polza

Geser на чем вы основываетесь что Drweb сдал свои позиции. Вы в оф. источники посмотрите в тот же вирус бил. там совсем по другому дела обстоят

----------


## Iceman

> Geser на чем вы основываетесь что Drweb сдал свои позиции. Вы в оф. источники посмотрите в тот же вирус бил. там совсем по другому дела обстоят


Охотно верю, что осуществлён громадный прорыв вперёд: поменяли фейс и ввели 2-а новых типа баз. И всего за 1 год...
Вы просмотрите конференции - в других продуктах, как здесь уже заметили, всё это есть давно. Так же здесь частенько бывают дискуссии и общение с разработчиками продуктов.... Кто из ЛД здесь общался?
Кроме технического совершенства, в настоящее время требуется так же и подготовка рынка к этим изменениям --> т.е., как минимум, общение.

----------


## Geser

> Geser на чем вы основываетесь что Drweb сдал свои позиции. Вы в оф. источники посмотрите в тот же вирус бил. там совсем по другому дела обстоят


ДрВеб не то что бы сдал позиции. Просто его догнали, и, по моему, перегнали  :Smiley:

----------


## Geser

> Охотно верю, что осуществлён громадный прорыв вперёд: поменяли фейс и ввели 2-а новых типа баз. И всего за 1 год...
> Вы просмотрите конференции - в других продуктах, как здесь уже заметили, всё это есть давно. Так же здесь частенько бывают дискуссии и общение с разработчиками продуктов.... Кто из ЛД здесь общался?
> Кроме технического совершенства, в настоящее время требуется так же и подготовка рынка к этим изменениям --> т.е., как минимум, общение.


Фейс так поменяли что лучше бы не трогали. Хотя на вкус и на цвет. А по поводу прорыва, так это не прорыв, это попытки остаться на уровне. Единственный прорыв это то что реакция на присланных зверей сократилась до нескольких часов. Это действительно прорыв.

----------


## shocked

> Кто из ЛД здесь общался?


А кто не из ЛД здесь общался??  :Smiley:

----------


## Geser

> А кто не из ЛД здесь общался??


Из ВБА регулярно общаются, из УНА, из ЛК, по крайней мере, читают иногда.

----------


## Iceman

> А кто не из ЛД здесь общался??


Гесер правильно говорит...
Возможно также БитДефендер, АВАСТ, может ещё какие...

----------


## Iceman

> Фейс так поменяли что лучше бы не трогали. Хотя на вкус и на цвет. А по поводу прорыва, так это не прорыв, это попытки остаться на уровне.


"Шутю" я так, грустно.... 8-((.

----------


## Гость

> Я вот подумал, похоже в последнее время VBA32 делает DrWeb по всем позициям. Эвристик лучше, универсальный распаковщик лучше чем добавление подержки новых пакеров раз в пол года. Какие приемущества остались у ДрВеб?



Можете уточнить. Что такое VBA32?

----------


## Гость

> Geser на чем вы основываетесь что Drweb сдал свои позиции.


Как обычно, на пустом месте. У человека шило в ж**е. Либо работы мало, либо учебы, либо непонятно чего. Честно говоря начинает поддоставать постоянным нытьем типа "касперский сегодня три раза обгадился поносом, т.к. съел несвежую колбасу. А что на это ответят разработчики DrWeb?". Он, наверное, сидит, и думает что один такой умный, слышал что такое упаковщики и давай орать, что  кто больше их детектит, тот лучше. Мой совет - вытащить шило из задницы и заняться делом. А то это циклическое нытьё на разных форумах, что то drweb одному сливает, то другому сливает, задрало. Сходи к психоаналитику. Это что-то ненормальное, т.к. не один год продолжается...

----------


## Гость

> Из ВБА регулярно общаются, из УНА, из ЛК, по крайней мере, читают иногда.


А, вот оно в чем дело. Вот почему тебе на этой неделе ВБА нравится. Нда, точно к психоаналитику. Тебе просто нравится с известными людьми рядом стоять... Это комплекс неполноценности, уверяю тебя. Тебе обидно, что Данилов на тебя Х** забил? Не огорчайся, оно того не стоит, чтобы так свои сопли по всем форумам распихивать.

----------


## ALEX(XX)

Мда, Гость видать личность! Пришёл, увидел, наследил.

----------


## Iceman

> А, вот оно в чем дело. Вот почему тебе на этой неделе ВБА нравится. Нда, точно к психоаналитику. Тебе просто нравится с известными людьми рядом стоять... Это комплекс неполноценности, уверяю тебя. Тебе обидно, что Данилов на тебя Х** забил? Не огорчайся, оно того не стоит, чтобы так свои сопли по всем форумам распихивать.


Батенька,а что это Вы так разволновались? Кому что нравиться - тот то и использует. И говорит об этом. Это не запрещено. Хоть на этом форуме, хоть на другом.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

> А, вот оно в чем дело. Вот почему тебе на этой неделе ВБА нравится. Нда, точно к психоаналитику. Тебе просто нравится с известными людьми рядом стоять... Это комплекс неполноценности, уверяю тебя. Тебе обидно, что Данилов на тебя Х** забил? Не огорчайся, оно того не стоит, чтобы так свои сопли по всем форумам распихивать.


Понятно почему товарищ хам не регистрируется. Потому как бан поймал бы очень быстро. В общем гость, вали бы ты по добру по здорову. Запретить гостям писать дело 10 секунд, но создаёт неудобство некоторым людям, потому пока такие отмороженные как ты не появлялись не делел это. Потому вали отседа не создавай проблем окружающим.

----------


## polza

Geser если вам нужен Drweb то я из него, а так же могу ответить еще за некоторые продукты в часности Sophos. Если есть вопросы задавайте. С радостью отвечу. Но пожалуйства вопросы по существу, а не ....

----------


## RiC

Я пожалуй поддержу Web`a, на мой взгляд всё-же продукт более качественный хотя и не без недостатков  :Cool:

----------


## saicat

Уважаемый RiC, скажите честно, Вы пробовали пользоваться VBA32? Думаю, что нет. Попробуйте. Возможно, Ваше мнение изменится радикально. 

Мы перевели здесь, в Германии, уже несколько фирм с DrWeb на VBA32. Сделали это по многим причинам, главная из которых - нестабильность работы продукции ЛД. Всем нам уже порядком поднадоели регулярные падения Spider'а в BSOD и хронические отговорки техподдержки со ссылками на железные проблемы и т.д.   :Cry:  Причем, Spider начал падать именно в 4.32b. До этого были другие проблемы, такие как необходимость замены лицензионных ключей и просто жуткий механизм получения тестовых ключей для новых клиентов, который начинал кричать о том, что вы уже недавно скачивали тестовый ключ на компьютерах, которые только что принесли из магазина.

Я тоже в свое время считал DrWeb чуть ли не эталоном качества. Но времена меняются. Imho, ЛД навряд ли исправит ситуацию в будущем. Посмотрим, что будет в 4.33   :Wink:  

С какими проблемами мы столкнулись переводя клиентов на VBA32? Будете смеяться, но их нет. Честно. Пока, по крайней мере. Эвристик у VBA32 просто замечательный, скорость реакции обновления - пара часов и апдейт готов. И самое главное - ничего не падает в BSOD, детектирование адвари не находится в стадии "бета", ну, а общение с разработчиками просто, как здесь подметили, доставляет удовольствие. Я с ужасом вспоминаю общение с техподдержкой DrWeb и лично с господином Бачинским... Так что не относитесь так предвзято к VBA32. Они проделали большую работу и сейчас предлагают вполне конкурентноспособную продукцию. Попробуйте и убедитесь в этом сами   :Wink:

----------


## Iceman

2saicat: Тоже правильно подмечено. Всё это было, было...
Единственное, я считаю, что не нужно глумиться над этим. Рынок - штука зыбкая... К партнёрам по рынку нужно относится с пониманием и уважением.
А RiC наш человек ;-0).

----------


## userr

to *Geser*, *Iceman*

 Открыто я здесь видел только VBA и AVZ. К ЛК вроде *Sanja* близок. Кто тут пишет из БитДефендер, АВАСТ, УНА, если не секрет? Или эти сведения у вас из личного общения?

----------


## polza

saicat, падение было один раз в действительности . И произошло из за вирусной базы. Я понимаю что на вкус и цвет товарищей нет. Но нарекание на тех. под. мы еще не находили. Эвристики на данный момент лучше чем у Drweb нет ни у одного продукта, это заявление мировых аналитиков. Хотелось бы узнать из- за чеговы отказались от Drweb и ваш выбор пал именно на другой продукт.

----------


## Sanja

Sanja aka me  :Smiley:  dalek...  :Smiley:  ja blizok k KL takze kak i Gaser  :Smiley: )

----------


## Iceman

> to *Geser*, *Iceman*
> 
>  Открыто я здесь видел только VBA и AVZ. К ЛК вроде *Sanja* близок. Кто тут пишет из БитДефендер, АВАСТ, УНА, если не секрет? Или эти сведения у вас из личного общения?


Предположения, не более ;-)) Мы же не из детективного агенства...

----------


## ALEX(XX)

Вобщем, спорим, спорим, а толку. Каждый останется при своём мнении. Могу от себя добавить, что в своё время DrWeb действительно был классным продуктом. Сколько машин было вылечено... Сколько OneHalf'а было им загублено... Да, всё это было, давно было. Да вот только с тех пор ничего коренного в антивирусе не изменялось. Всё как было, так и оставалось. Нет, конечно изменения были... Но. Если сравнить эволюцию антивирусных программ, то темпы развития DrWeb не на высоте. Всё, что мы сейчас видим, это то что уже есть у других. Возьмём, к примеру, ЛК. Сравните 4-ку и 5-ку. Разницу видите? NAV 2001-2005. Тоже идёт интенсивное развитие продукта. Как видим, каждый год, компании стремятся внести какие-то существенные изменения в продукт, то, что действительно необходимо на данный момент. Взять нынешний выход расширенных баз, к примеру, это уже вдогонку за всеми. Вот ежели бы они были 1-1,5 года назад... А так... Я надеюсь, что со временем, DrWeb начнёт развиваться более интенсивно.

----------


## Shu_b

> saicat, падение было один раз в действительности . И произошло из за вирусной базы. Я понимаю что на вкус и цвет товарищей нет.


Не обманывайте, были и есть и не от баз, а от дравера спайдера. На BT ccылки давать? 


> Эвристики на данный момент лучше чем у Drweb нет ни у одного продукта, это заявление мировых аналитиков.


Ну готовтесь, сейчас вас загрызут...  :Smiley: 



> Но нарекание на тех. под. мы еще не находили.


Тех поддержка какой из компаний DrWeb? OOO DrWeb? СЛАД? ДН? Какую вы представляете?


> Вобщем, спорим, спорим, а толку. Каждый останется при своём мнении.


Как уже давно замечалось, это вопрос религии...  :Smiley:

----------


## ALEX(XX)

> Как уже давно замечалось, это вопрос религии...


Религия религией, но давайте уже разберём вопрос по сути. А то получается простая перепалка. Выход версии 4,33 это не прорыв в технологиях, а попытка удержаться на уровне нынешнего развития антивирусных программ вцелом. Как по мне, так DrWeb  становится больше на NOD32 похожим. Но это лично моё мнение. Может есть смысл в опросе поставить и другие антивирусы той же "весовой" категории?

----------


## Iceman

> Ну готовтесь, сейчас вас загрызут.....


Да нет, я думаю членами не стоит размахивать ;-)).
Ведь каждый сделал свой выбор. А в этой конфе вполне неплохо общаемся. И, что самое главное, помогаем людям. Потенциал велик.
Позитивно, что наконец человек из команды вебовцев заглянул сюда на огонёк :-).

----------


## Geser

> Geser если вам нужен Drweb то я из него, а так же могу ответить еще за некоторые продукты в часности Sophos. Если есть вопросы задавайте. С радостью отвечу. Но пожалуйства вопросы по существу, а не ....


Вопросов много, задавались они не раз. Что-то даже с Борисом Шаровым я обсуждал. Почти на все нет ни ответа ни реакции. Будет время я сформулирую списочек. Просто писать много, да и, вероятно, бесполезно.
А пока, на счёт лучшего в мире эвристика.
Посмотрите на вот эту тему http://virusinfo.info/showthread.php?t=2582 и объясните мне где виден лучший в мире эвристик.

P.S. У меня ничего нет против ДрВеб. У меня лично год стоял честно купленный, и даже не разу в синьку не выпал. Однако о недостатках нужно говорить, иначе они никогда не будут исправлены. И нужно это вовсе не мне. Мне всёравно какой антивирус использовать, главное что бы ловил хорошо. А вот ДрВеб должны быть заинтересованы понять недостатки и исправить. Это их хлеб.

----------


## Geser

> Религия религией, но давайте уже разберём вопрос по сути. А то получается простая перепалка. Выход версии 4,33 это не прорыв в технологиях, а попытка удержаться на уровне нынешнего развития антивирусных программ вцелом. Как по мне, так DrWeb  становится больше на NOD32 похожим. Но это лично моё мнение. Может есть смысл в опросе поставить и другие антивирусы той же "весовой" категории?


Просто с НОД почти не имел дела, потому не ставил. ВБА и ДрВеб очень похожи и позиционируются на рынке более-менее похоже. Раньше ДрВеб был в своей нише единственным, теперь нет. Вот интересно было понять кто лучше. И результаты пока не в пользу ДрВеб. Учитывая что ДрВеб пока намного популярнее ВБА должно наводить на мысли.

----------


## ALEX(XX)

> Просто с НОД почти не имел дела, потому не ставил. ВБА и ДрВеб очень похожи и позиционируются на рынке более-менее похоже. Раньше ДрВеб был в своей нише единственным, теперь нет. Вот интересно было понять кто лучше. И результаты пока не в пользу ДрВеб. Учитывая что ДрВеб пока намного популярнее ВБА должно наводить на мысли.


NOD активно использую я  :Smiley:  По результатам моих наблюдений очень похожи. 
Вот только функциональность у НОД повыше будет. Лично мне нравится принцип модульности. Хороша весчь, проверка траффика на лету и предотвращение попадания заразы на комп. Вот только поддержка у них... Сколько образцов послал, ни ответа ни привета. Но видеть заразу начинает.
Но это уже отклонение от темы. Сорри.  :Embarassed:

----------


## Geser

> Но видеть заразу начинает.


Через сколько?

Думаю добавлять НОД в опрос поздно, да и название темы менять нужно. Может позже сделаем отдельный опрос в "опросах"

----------


## userr

> Предположения, не более ;-)) Мы же не из детективного агенства...


Вот именно  :Smiley: . К drweb можно предъявить разные претензии, но обвинять их, что они не пишут на этом форуме как-то странно. Хотя вот *polza* появился и вызвал огонь на себя.  :Smiley: 
to *Sanja*: извини, значит мне показалось  :Smiley:

----------


## ALEX(XX)

> Через сколько?


Хм. По-разному бывает. Но не быстро. День, два. Бывает неделя. Хотя, может где-то образцы по дороге теряются? По правилам, отправлять надо в zip-архиве с паролем infected, но к примеру Касперский лечит такие архивы и с майл.ру не отправишь. Не знаю. Но они гарантируют моментальный ответ, а ответа нет.

----------


## Iceman

> Вот именно . К drweb можно предъявить разные претензии, но обвинять их, что они не пишут на этом форуме как-то странно. Хотя вот *polza* появился и вызвал огонь на себя. ...


Обвинять?? Где обвинения?
"Заметки на полях шляпы" скорее.... По поводу заявлений некоторых Гостей.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

> Хм. По-разному бывает. Но не быстро. День, два. Бывает неделя. Хотя, может где-то образцы по дороге теряются? По правилам, отправлять надо в zip-архиве с паролем infected, но к примеру Касперский лечит такие архивы и с майл.ру не отправишь. Не знаю. Но они гарантируют моментальный ответ, а ответа нет.


День-два вполне терпимо если это не чарвь. А апдейты как часто выходят?

----------


## polza

Geser задавать можете мне напрямую, чем сможем тем поможем. По поводу источников данных я ориентируюсь на Virus Bulletin. Как мне кажется это заслуженный источник. А по поводу падений из за Spider Guarda  в этом году однозначно такого не было и в версии 4.32 тоже не было. Мы говорим о продукте для рабочих станций, который на сервера пользователь ставит на свой страх и риск. Выбрать продукт какой лучше в общих чертах просто принципиально невозможно. Каждый продукт, из приведенных здесь, отвечает своим потребностям и возложенных на него задачам.
Выслушаю с удовольствием все нарекания , существующие и по делу, на продукт Drweb и Sophos. Буду оч. признателен за конструктивный диалог.

----------


## Geser

> Geser задавать можете мне напрямую, чем сможем тем поможем. По поводу источников данных я ориентируюсь на Virus Bulletin. Как мне кажется это заслуженный источник.


Virus Bulletin проверяет антивирусы на коллекциях "зверей" устаревших на месяцы. Но даже и так, ДрВеб провалил там очень много тестов. Так что мне сложно понять каким образом суждения о качестве эвристика ДрВеб связано с тестами Virus Bulletin. А в той теме не которую ссылка проверка идёт на свежих "зверях", так что отлично видно у кого срабатывает эвристик. Файлы выбраны случайным образом из тех что присылают на проверку, так что никакой попытки "подставить" ДрВеб не было. Хотя Вы не обязаны мне верить. Ну тут есть еще люди которые пользовлись и ДрВеб и ВБА. Они могут сказать где эвристик заметен а где нет.

----------


## RiC

Опять религиозные войны, или давайте завязывать или сейчас воспользуюсь своими правами и отправлю это голосование в полном составе в флейм. Хотя похоже там ему уже и место.
По поводу Веба почему за - хорошее, можно сказать даже уникальное ядро антивируса, 
Абсолютно Imho бестолковый эвристический анализатор который способен ковыряться исключительно в VB скриптах. 
Жуткий маркетинг. 
Единственный на текущий момент антивирус который пока ещё не разучился лечить вирусы (да именно лечить вирусы, поскольку ни К ни Н последнее время не утруждают себя добавлением в базы не только процедур детектирования но и процедур лечения), 
на мой вкус как антивирус *пока ещё хороший продукт*, но развитие и захват новых рынков встраивание во всяческие системы где необходима проверка на вирусы - Nero это хорошо и плюс - 
но это ВСЁ на текущий момент - на BAT забили, Spider мыло это попытка создать универсальный фильтр имеющая больше недостатков чем приимуществ, "мыло" надо переквалифицировать на проверку Web траффика и делать это надо было давно  :Smiley: , проверка того-же Outlook где ? 
Нужен плагин  :Sad:  Где взять фаервол "совместимый" с DrWeb ставить отдельно ? 
Сейчас становятся популярны комплексные решения, 

*ГДЕ ГДЕ ГДЕ* ? 

Ну и т.д. Я всё-же надеюсь на лучшее .... пока ещё  :Smiley:

----------


## Угу :-)

Будет ;-) Все будет...

----------


## Iceman

> Будет ;-) Все будет...


Ага ;-))
Не нужно жить ещё лучше, нужно жить просто хорошо...
У кого-то будет, у кого-то уже есть. В зависимости от этого и происходит выбор.

----------


## Geser

> Единственный на текущий момент антивирус который пока ещё не разучился лечить вирусы (да именно лечить вирусы, поскольку ни К ни Н последнее время не утруждают себя добавлением в базы не только процедур детектирования но и процедур лечения),


Ну не всё так плохо. К. недавно запросто лечил файлы зашифрованные вирусом который требовал денег за расшифровку  :Smiley:  Но в общем тенденция в основном на детектирование. Сами аналитики К. это признали  :Smiley:

----------


## userr

> Обвинять?? Где обвинения?


Вот:


> Так же здесь частенько бывают дискуссии и общение с разработчиками продуктов.... Кто из ЛД здесь общался?


До недавнего времени из АВ здесь был *только* VBA. А теперь ты ловко заманил сюда человека из ДН (как я понимаю), за что тебе спасибо.  :Smiley:

----------


## Iceman

> Вот:До недавнего времени из АВ здесь был *только* VBA. А теперь ты ловко заманил сюда человека из ДН (как я понимаю), за что тебе спасибо.


Шутить изволите? ;-))).
Просто по роду занятий я в настоящее занимаюсь продажами и имею некоторое представление об этом.

----------


## Geser

> Вот:До недавнего времени из АВ здесь был *только* VBA. А теперь ты ловко заманил сюда человека из ДН (как я понимаю), за что тебе спасибо.


Справедливости ради,Terry из UNA.

----------


## polza

1.Стоп по порядку и без флейма. Я являюсь сотрудником ДН, на сайт зашел совершенно случайно, попросили посмотреть и оценить качество ответов, что это не ла...ля,, мне понравилось. Так что меня сюда ни кто не заманивал. Если все так действительно конструктивно то это даже очень хорошо.
2. Да на данный момент комплексные решение это будущее всех антивирусных продуктов, чем мы занимаемся не скажу, ком. тайна.
3.Да признаю что если вы используете drweb то это не защита как в таковом понимании. Но и одним продуктом защититься невозможно это раз, во вторых есть такое понятие как многовендорная защита на различных уровнях, если человек будет этому следовать он достигнет максимума в защите ну и самое главное ком. грамотность, без этого ни куда. Не буду переводить все это во флейм. Я выслушал претензии, огромное спасибо всем кто их высказал конструктивно. Надеемся на дальнейшее сотрудничество.

----------


## RiC

> Уважаемый RiC, скажите честно, Вы пробовали пользоваться VBA32? Думаю, что нет. Попробуйте. Возможно, Ваше мнение изменится радикально.


Нет, но внимательно изучил мануалы на корпоративную версию, пока Меня не устраивает очень многое, в будующем подумаю, пока Web Imho лучше. 
Синих экранов я не видел, хотя мелких багов достаточно. Всё что я нашёл есть в багтракере у Веба, большинство исправлено в пока мифической версии 4.33  :Wink:  
Крупный баг в этом году на самом деле был один, но его поправили минут за 15, поэтому не многие его заметили, в начале года очередное "обновление антивирусных баз" для почтовых серверов вешало почтового Веба, в комплекте с настройкой "не пропускать непроверенные письма" вышел чудный результат  :Sad:

----------


## Geser

> 2. Да на данный момент комплексные решение это будущее всех антивирусных продуктов, чем мы занимаемся не скажу, ком. тайна.


Вот это одна из проблем ЛД, ИМХО. Конечно я не экономист (хотя пару курсов по маркетингу в своё время сдавал) и, возможно, ошибаюсь. Но когда другие компании не боятся заявлять о своих планах, постоянная секретность ЛД мне не кажется разумной.

----------


## polza

Извините но я не уполномочен разглашать подобную информацию.
И секретности нет у нас. Мы выдаем информацию по мере ее извесности и правдивости.

----------


## Geser

> Извините но я не уполномочен разглашать подобную информацию.
> И секретности нет у нас. Мы выдаем информацию по мере ее извесности и правдивости.


Никто не требует. просто подумайте. Вот у человека заканчивается лицензия на ДрВеб и думает он что делать. Заходит на сайт конкурента, там уже можно пощупать бету нового супер-пупер продукта. А на сайте ДрВеб тишина. Вроде никакой работы не ведётся и никаких перспектив. Каковы шансы что человек сменит антивирус? А если бы был хоть какой-то анонс. Мол ведём работу, предполагаем добавить такие и такие опции, догоним и перегоним... Не совсем же дураки придумали рекламу.

----------


## ALEX(XX)

> День-два вполне терпимо если это не чарвь. А апдейты как часто выходят?


Каждый день. Размер баз от 40 до 400 Кбайт. Раз в месяц выходит куммулятивное обновление ~3Мб

----------


## ALEX(XX)

> Никто не требует. просто подумайте. Вот у человека заканчивается лицензия на ДрВеб и думает он что делать. Заходит на сайт конкурента, там уже можно пощупать бету нового супер-пупер продукта. А на сайте ДрВеб тишина. Вроде никакой работы не ведётся и никаких перспектив. Каковы шансы что человек сменит антивирус? А если бы был хоть какой-то анонс. Мол ведём работу, предполагаем добавить такие и такие опции, догоним и перегоним... Не совсем же дураки придумали рекламу.


Да, Geser тут прав. Проспекты на будущие улучшения необходимы. Людям хочется знать, что их любимая фирма планирует делать в будущем, чего собственно ждать от продуктов компании. Можно взять хотя бы пример с MS(может и не очень удачный), как давно были опубликованы первые сведения о Longhorn(ныне Vista или как там её  :Smiley:  )? Люди увидели первые скриншоты, как это будет выглядеть и т.п. Какая-то ж реклама о будущей версии необходима!

----------


## pig

> Всё что я нашёл есть в багтракере у Веба, большинство исправлено в пока мифической версии 4.33


Миф материализовался на http://beta.drweb.com/
Бета-версия обозначена как "для северов Windows", но я за неимением свободного сервера завёл на Win2K Prof, что под рукой. Первые полдня полёт нормальный (правда, на месте). Обсуждение новинки на http://support.drweb.com/forums/

----------


## Geser

> Миф материализовался на http://beta.drweb.com/
> Бета-версия обозначена как "для северов Windows", но я за неимением свободного сервера завёл на Win2K Prof, что под рукой. Первые полдня полёт нормальный (правда, на месте). Обсуждение новинки на http://support.drweb.com/forums/


Мда...

----------


## Угу :-)

> Извините но я не уполномочен разглашать подобную информацию.


Какую информацию? Что Вы знаете там в Диалоге? И о чем? Знают, наверное, только в Doctor Web. И то, видимо, не все ;-)

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Minos

Отдал голос за DrWeb по следующим причинам:
1. DrWeb обновляется оперативнее чем VBA
2. Корпоративная версия DrWeb более проработана, чем у VBA.

Однако за последний год VBA сильно прибавил и если в 4.33 не будет радикальных улучшений в сторону комплексной защиты, то придется переголосовать  :Wink:  В пользу VBA говорят и более доступные цены.

P.S. В "жизни" использую в качестве основного антивируса VBA, DrWeb стоит в качестве дополнительного сканера и на проверке почты.

----------


## Гость2

Качаем новые VBA и DrWeb. Запускаем на директорию C:\WINDOWS\SYSTEM32\
VBA - сканирует 4:35, 14 ложных срабатываний, Dr.Web сканирует 0:38, ложных срабатываний нет.
Ладно, проверяем C:\PROGRAM FILES\

VBA - сканирует:

Directories       : 545     Files in archives:      Files on disks:
Archives:                   - total       : 9377    - total       : 3700
- scanned         : 111     -  scanned    : 9377    - scanned     : 3700
- contain viruses : 0       -  infected   : 0       - infected    : 0
- deleted         : 0       -  suspected  : 8       - suspected   : 31

Startup    : 00:27:23 20-08-2005
End        : 00:33:25 20-08-2005
Total time : 00:06:02

Вирусов там нет заведомо :-)

Dr.Web:

Scan report for "C:\Program Files":
        Scanned:      16851/13289               Cured: 0
 Infected found:          0/0                 Deleted: 0
  Modifications:          0/0                 Renamed: 0
     Suspicious:          0/0                   Moved: 0
         Adware:          0/0                 Ignored: 0
        Dialers:          0/0
          Jokes:          0/0
       Riskware:          0/0               Scan time: 0:01:52
      Hacktools:          0/0              Scan speed: 9300 Kb/s

Берем вирусную коллекцию всякой дряни, собранную за пару месяцев (1800 экземпляров):

VBA     - 1203 инфицированных объекта за 10:33
Dr.Web - 1609 инфицированных объекта за 00:51

Настройки примерно одинаковые. Все файлы. Память, загрузочные секторы и стартапы не проверять. Архивы, упаковщики, адваре, спайваре, рискваре проверять. У VBА максимальные режимы эксперта и эвристика. И ключ /heuristics_test туда же. Хотя пробовались даже самые быстрые режимы поиска, но скорость возрастала несущественно. И ложные срабатывания не прекращались. Нуля не было на чистых директориях.

Дальше что? Это антивирус? Смешные вы, мужики :-)

----------


## Iceman

Где у веба хоть какие-то настройки эвристика? Может вместе поищем?

----------


## saicat

> saicat, падение было один раз в действительности . И произошло из за вирусной базы. Я понимаю что на вкус и цвет товарищей нет. Но нарекание на тех. под. мы еще не находили.  лучше чем у Drweb нет ни у одного продукта, это заявление мировых аналитиков. Хотелось бы узнать из- за чеговы отказались от Drweb и ваш выбор пал именно на другой продукт.


Если бы это было один раз, я бы даже не стал об этом упоминать. Спайдер падал с завидной регулярностью, иногда по паре раз в день, причем на всем парке машин - от старых iPIII до новых Athlon64. Именно, то, что вы говорите я и слышал от техподдержки: "Этого просто не может быть!" Ну что мне фотоаппаратом скриншоты делать и пересылать в ЛД? В логах Спайдера ни гу-гу. Полет нормальный, проверен такой-то файл и... больше ничего. По милости DrWeb я *ЗА СВОЙ СЧЕТ* должен был объехать ВСЕХ клиентов фирмы (пол Норд-Райн Вестфалии)  и всем заменить ключи, так как ваш представитель в Германии InSoft, будь они неладны, лажанулся и не выслал новые ключи вообще. Все что они смогли на тот момент, это пробормотать какие-то извинения по поводу того, что ключи (генератор?) мол еще не получены и т.п. В результате, полтора десятка клиентов, честно купивших продукт, оказались *ВООБЩЕ* без антивирусной защиты... Для Германии это просто немыслимо... Крайним был я. Тот человек, который имел неосторожность посоветовать своему шефу надежный, по его мнению, продукт. Вместо того, чтобы извиниться и замять прецедент, г-н Бачинский, до которого мы все-таки добрались, стал "лезть в бутылку", обвиняя на самих во всем произошедшем... Потом нам стали отвечать, что его нет на рабочем месте. Его не было никогда... Для нас. Противно вспоминать, если честно. Надеюсь, вы получили подробный ответ на ваши вопросы?

Ну, а насчет эвристики... блажен тот, кто верует... Продолжайте и дальше так считать. Нам это будет только на руку   :Wink:  

З.Ы. Больше развивать эту тему не буду. Надоело. Как вы заметили, каждый сам себе буратино, а выбор антивируса вопрос во многом религиозный.

----------


## AndreyKa

Гость2
На сайте VBA лежит дистрибутив от 05.04.05. Обновлять пробовали?
Я полгода назад тестировал VBA на папках Windows от 98SE, 2000, 2000Serv, XP, 2003Serv ни одного ложного срабатывания не было.  :Smiley:

----------


## AndreyKa

> Мда...


В такой ситуации закройте все окна IE и зайдите на сайт снова.

----------


## Geser

> Качаем новые VBA и DrWeb. Запускаем на директорию C:\WINDOWS\SYSTEM32\
> VBA - сканирует 4:35, 14 ложных срабатываний


Ложные срабатывания эвристика это норма. Нет ложных срабатываний эвристика только у антивирусов у которых эвристика нет вообще. А если Вы качали бету, то у неё ложных срабатываний эвристика значительно больше чем у нормальной версии.

Потом, отправьте-ка ваши "заведомо чистые" файлы на которые сработал эвристик на проверку. Еще неизвестно насколько они действительно чистые  :Smiley: 

А вот когда с год назад ДрВеб начал определять как вирус и удалять ntldr, вот это было ложное срабатывание  :Smiley: 

Потом, Вы сами файлы из вашей коллекции не отправляли в ДрВеб?

----------


## serge (guest)

> У VBА максимальные режимы эксперта и эвристика. И ключ /heuristics_test туда же. Хотя пробовались даже самые быстрые режимы поиска, но скорость возрастала несущественно. И ложные срабатывания не прекращались. Нуля не было на чистых директориях.


Так, все ясно. Можно привести источник, откуда взята информация об использовании недокументированного, чисто отладочного ключа */heuristics_test*? Я так полагаю, что там написано, что программа *будет* ругаться на некоторые заведомо чистые файлы и эти самые файлы неплохо бы прислать разработчикам антивируса. Надеюсь, Вы сделали это?

Далее, есть такой ключик */pm*, при его использовании в разы замедляется скорость сканирования. В документации написано, что его использование не рекомендуется (остался со старых времен, плюс может пригодиться в качестве крайней меры, если есть подозрение, что на компе что-то живет, а антивирус ничего не находит). Для монитора данная настройка недоступна вообще с целью "защиты от дурака". Надо полагать, что этот ключ тоже использовался в данном тестировании.




> Дальше что? Это антивирус? Смешные вы, мужики :-)


Результат вполне закономерный. Что хотели получить, то и было получено. Кому-то антивирус нужен для защиты от вирусов, а кому-то - для того, чтобы посмеяться. Рад за Вас :-)

PS. Пишу из дома, пароль забыл, поэтому и не залогинился

Да, и на всякий случай, чтобы убедиться, что тестировалось именно то, что нужно. Консольную бета-версию сканера VBA32 можно взять тут: http://anti-virus.by/en/beta.html. После установки ее нужно *обязательно* обновить с помощью *update.bat*. Запускать сканирование нужно с помощью *heuristics-test.bat* либо без параметров (будут просканированы все жесткие диски), либо с указанием нужного каталога для проверки в командной строке. Весь набор необходимых ключей там уже подобран. Да, все сообщения программы, которые заканчиваются суффиксом '(paranoid heuristics)', слабонервные могут игнорировать. Либо можно сделать копию файла heuristics-test.bat и в ней заменить */ha=3* на */ha=2* (понизить уровень эвристики с параноидального до максимального). Результат можно обсудить здесь в форуме (но наверное лучше не в этой ветке). Если Вас пугает бета-версия, можно написать нам на саппорт с просьбой выслать полнофункциональный регистрационный ключ с ограниченным сроком действия, думаю, Вам пойдут на встречу. Хотя отличия бета-версии от релиза 3.10.4 в данный момент минимальны. Все более-менее существенные, новые и интересные разработки появятся в версии 3.11, которая сейчас разрабатывается. Естественно, как обычно, сначала эти усовершенствования будут добавляться в бета-версии, но пока они все еще дорабатываются и проходят внутреннее тестирование.

----------


## Geser

> Все более-менее существенные, новые и интересные разработки появятся в версии 3.11, которая сейчас разрабатывается.


А можно анонс?  :Smiley:

----------


## Гость2

> Далее, есть такой ключик */pm*, при его использовании в разы замедляется скорость сканирования. В документации написано, что его использование не рекомендуется (остался со старых времен, плюс может пригодиться в качестве крайней меры, если есть подозрение, что на компе что-то живет, а антивирус ничего не находит). Для монитора данная настройка недоступна вообще с целью "защиты от дурака". Надо полагать, что этот ключ тоже использовался в данном тестировании.


Данный ключ не использовался.

/heuristics_test /M=3 /RW /FC- /FD- /FR- /BC- /HA=2 /MR- /BT- /AS- /OK /AR /VM /r=

----------


## Iceman

Анонсы не выпускают, но будет интересно ;-)

----------


## Гость2

> Результат вполне закономерный. Что хотели получить, то и было получено. Кому-то антивирус нужен для защиты от вирусов, а кому-то - для того, чтобы посмеяться. Рад за Вас :-)


Ну что же. Я внял Вашим советам и сделал все, как Вы велели. С:\PROGRAM FILES\ теперь сканировался 5:34 при 5 ложных срабатываниях. А вот на коллекции из 1800 вирусов результаты теперь намного хуже. Ранее он "ловил" 1203 вируса за 10:33. Теперь же 1166 за 09:25. Неинтересно :-)

----------


## Geser

> Ну что же. Я внял Вашим советам и сделал все, как Вы велели. С:\PROGRAM FILES\ теперь сканировался 5:34 при 5 ложных срабатываниях. А вот на коллекции из 1800 вирусов результаты теперь намного хуже. Ранее он "ловил" 1203 вируса за 10:33. Теперь же 1166 за 09:25. Неинтересно :-)


Пожалуйста ответьте на вопросы
1. Как собиралась данная коллекция. По срабатываниям антивируса? Какого?
2. Посылали ли вы файлы из коллекции в ДрВеб?
3. Прикрепите пожалуйста лог сканирования ДрВеб. Интересен состав коллекции.
Спасибо.

----------


## Iceman

> Ну что же. Я внял Вашим советам и сделал все, как Вы велели. С:\PROGRAM FILES\ теперь сканировался 5:34 при 5 ложных срабатываниях. А вот на коллекции из 1800 вирусов результаты теперь намного хуже. Ранее он "ловил" 1203 вируса за 10:33. Теперь же 1166 за 09:25. Неинтересно :-)


Итак, перейдём к практике:
В прикреплении файлы: логи ВБА и Спайдера. Собственно, запытуемое тело в архиве (пароль virus) по адресу:  webfile.ru/469991, пароль 123.
Это обычный, не самый опасный StartPage.b. Рассмотрим реакцию 2-х антивирусов на его появление в системе. Начальные условия: Мониторы грузятся при старте системы. Основные параметры - по умолчанию. Действия: При обнаружении - лечить, при невозможности - удалять.
Реакцию Веба можно посмотреть в логе SPIDERNT.log. После спайдера
зачистка проводилась консолной версией ВБА и результат в логе susp.rpt.
Реакция ВБА: Логи в архиве VBA32.zip
Краткие выводы: 1. При использовании Спайдера с настройками по умолчанию, в отдельных случаях (рядового пользователя) заражённый компьютер так и отаётся заражённым. То есть реакции монитора просто нет. Замечу, что это наблюдается в текущей версии. В ранних версиях Веба 4.3(1) реакция была несколько другой. Доказывать не буду - лень.
Не просто неинтересно - приводит к тяжёлым последствиям.
 2. Монитор ВБА идентифицирует и нейтрализует заразу на стадии загрузки. Собственно, как и должно быть.

----------


## Гость

что скажете по поводу VDA vs NOD, и DrWeb vs NOD? а то админ нашей сети ничего не хочет слышать кроме как нод32 и хоть ты тресни  :Sad: (

----------


## Iceman

> что скажете по поводу VDA vs NOD, и DrWeb vs NOD? а то админ нашей сети ничего не хочет слышать кроме как нод32 и хоть ты тресни (


Можете сами попробовать и проверить все антивири, как я описал выше 
;-))). Тест простой, но действенный.
Интересно не только, как АВ работает с неизвестными источниками заражения, но и как он справляется с уже известными (возможно даже по факту заражения компа).

----------


## ZDM

> а то админ нашей сети ничего не хочет слышать кроме как нод32


 А у нас админы на NAV (Norton AV) помешаны. Просто ужас какой то, жизни никакой  :Sad:

----------


## Fresh

Тут говорили о лучшем в мире эвристике.Хорошо,тогда очень прошу разъяснить результаты реагирования известнейших антивирусов мира на последнюю заразу-вирус Zotob и его варианты,обнародованные Андреасом Марксом www.av-test.org на http://www.pcwelt.de/news/sicherheit/118264/index5.html
http://www.pcwelt.de/news/sicherheit/118264/index4.html
http://www.pcwelt.de/news/sicherheit/118264/index3.html
http://www.pcwelt.de/news/sicherheit/118264/index2.html

Proactively detected означает,что вирус был пойман эвристиком(zero-time)
Далее указаны даты и время,когда та или иная компания выпустила защиту от Зотоба с вариантами.
Dr.Web c ЛД кажутся большими любителями поспать-одна из самых поздних реакций;даже Symantec оперативней оказался...
Ни в одном! случае Dr.Web не поймал Зотоба и его формы proactively(zero-time).Так чей же эвристик лучший в мире?...Разъясните ситуацию,будьте добры.

Zotob-Variante: Bozari-A

Bei dieser Variante k&#246;nnen sich die Anwender von folgenden Tools freuen. Denn diese Programme blockten den Sch&#228;dling auch ohne ein Update:

BitDefender
eSafe
Fortinet
F-Prot
Nod32
Norman
Panda

Hier finden Sie die komplette Liste geordnet nach der schnellsten Reaktionszeit. Tools, die kein Update ben&#246;tigten erscheinen am Anfang der Tabelle mit dem Zusatz „proactively detected“


Programm

Datum

Uhrzeit

urspr&#252;ngliche Bezeichnung

BitDefender

proactively detected

eSafe

proactively detected

Fortinet

proactively detected

F-Prot

proactively detected

Nod32

proactively detected

Norman

proactively detected

Panda

proactively detected

Proventia-VPS

proactively detected

TruPrevent

proactively detected

Kaspersky

2005-08-16

21:57

Net-Worm.Win32.Small.d

QuickHeal

2005-08-16

22:48

Small.d

ClamAV

2005-08-16

23:12

Worm.RBot.CBQ

eTrust-INO

2005-08-16

23:51

Win32/MS05-039!exploit!Worm

F-Secure

2005-08-17

00:03

Net-Worm.Win32.Small.d

AntiVir

2005-08-17

00:19

Worm/Zotob.E

Sophos

2005-08-17

00:44

W32/Tpbot-A

Trend Micro

2005-08-17

00:44

WORM_RBOT.CBQ

McAfee

2005-08-17

01:34

W32/IRCbot.worm!MS05-039

eTrust-VET

2005-08-17

01:53

Win32.MS05-039!exploit

Symantec

2005-08-17

03:05

W32.Zotob.E

Command

2005-08-17

03:40

W32/Zotob.E (exact)

Dr Web

2005-08-17

07:04

Win32.HLLW.Stamin

Ikarus

2005-08-17

07:41

Net-Worm.Win32.Small.D

Avast

2005-08-17

08:04

Win32 :borred: otob-E [Wrm]

AVG

2005-08-17

11:33

I-Worm/Mytob.WM

Hauri

2005-08-17

13:45

Worm.Win32.Bozori.10366

VirusBuster

2005-08-17

14:32

I-Worm.Zotob.C

Proland

2005-08-18

11:16

W32/Zotob.E.Worm


--Zotob-Variante: Win32/Drudgebot.B

Bei dieser Variante k&#246;nnen sich die Anwender von folgenden Tools freuen. Denn diese Programme blockten den Sch&#228;dling auch ohne ein Update:

BitDefender
eSafe
Fortinet
F-Prot
Nod32
Proventia-VPS
TruPrevent

Hier finden Sie die komplette Liste geordnet nach der schnellsten Reaktionszeit. Tools, die kein Update ben&#246;tigten erscheinen am Anfang der Tabelle mit dem Zusatz „proactively detected“

Programm

Datum

Uhrzeit

urspr&#252;ngliche Bezeichnung

BitDefender

proactively detected

eSafe

proactively detected

Fortinet

proactively detected

F-Prot

proactively detected

Nod32

proactively detected

Proventia-VPS

proactively detected

TruPrevent

proactively detected

AntiVir

2005-08-16

20:46

Worm/Zotob.D

Kaspersky

2005-08-16

21:57

Backdoor.Win32.IRCBot.et

Command

2005-08-16

22:02

W32/Zotob.D (exact)

QuickHeal

2005-08-16

22:27

IRCBot.et

eTrust-INO

2005-08-16

23:51

Win32/Zotob.D!Worm

F-Secure

2005-08-17

00:03

Backdoor.Win32.IRCBot.et

Sophos

2005-08-17

00:44

W32/Dogbot-A

Trend Micro

2005-08-17

00:44

WORM_ZOTOB.D

eTrust-VET

2005-08-17

01:53

Win32.Zotob.D

Symantec

2005-08-17

03:05

W32.Zotob.D

Panda

2005-08-17

05:24

W32/Zotob.D.worm

Ikarus

2005-08-17

07:41

Backdoor.Win32.IRCBot.ET

Avast

2005-08-17

08:04

Win32 :borred: otob-D [Wrm]

ClamAV

2005-08-17

09:02

Worm.Zotob.D

Norman

2005-08-17

09:14

W32/Zotob.D

Dr Web

2005-08-17

11:27

BackDoor.IRC.Sdbot.127

AVG

2005-08-17

11:33

I-Worm/Mytob.WN

Hauri

2005-08-17

13:45

Backdoor.Win32.IRCBot.51326

VirusBuster

2005-08-17

14:32

Worm.SdBot.BDD

McAfee

2005-08-17

15:29

W32/Sdbot.worm!MS05-039

Proland

2005-08-18

11:16

W32/Zotob.E.Worm

Zotob-Variante: Win32/Zotob.A

Bei dieser Variante k&#246;nnen sich die Anwender von folgenden Tools freuen. Denn diese Programme blockten den Sch&#228;dling auch ohne ein Update:

BitDefender
Fortinet
McAfee
Nod32
QuickHeal
TruPrevent

Hier finden Sie die komplette Liste geordnet nach der schnellsten Reaktionszeit. Tools, die kein Update ben&#246;tigten erscheinen am Anfang der Tabelle mit dem Zusatz „proactively detected“


Programm

Datum

Uhrzeit

urspr&#252;ngliche Bezeichnung

BitDefender

proactively detected

Fortinet

proactively detected

McAfee

proactively detected

Nod32

proactively detected

QuickHeal

proactively detected

TruPrevent

proactively detected

Kaspersky

2005-08-14

12:01

Net-Worm.Win32.Mytob.cd

F-Secure

2005-08-14

12:03

W32/Zotob.A

VirusBuster

2005-08-14

13:20

Worm.IRCBot.DL

Norman

2005-08-14

13:38

W32/Zotob.A

Panda

2005-08-14

13:47

W32/Bozor.A.worm

AntiVir

2005-08-14

13:52

Worm/Zotob.A

eSafe

2005-08-14

15:59

Win32.Zotob.a

Sophos

2005-08-14

16:17

W32/Zotob-A

F-Prot

2005-08-14

17:56

W32/Zotob.A (exact)

Command

2005-08-14

18:37

W32/Zotob.A (exact)

AVG

2005-08-14

19:36

I-Worm/Mytob.LY

eTrust-INO

2005-08-14

19:54

Win32/Zotob.A!Worm

Symantec

2005-08-14

20:04

W32.Zotob.A

ClamAV

2005-08-14

21:51

Worm.Zotob.A

Dr Web

2005-08-14

21:52

Win32.HLLM.MyDoom

eTrust-VET

2005-08-15

00:44

Win32.Zotob.A

Trend Micro

2005-08-15

02:56

WORM_ZOTOB.A

Hauri

2005-08-15

08:58

Worm.Win32.Mytob.FR

Avast

2005-08-15

10:50

Win32 :borred: otob [Wrm]

Proland

2005-08-15

12:01

W32/Zotob.A.Worm

Ikarus

2005-08-16

11:18

Net-Worm.Win32.Mytob.CD 

Zotob-Variante: Win32/Zotob.B

Bei dieser Variante k&#246;nnen sich die Anwender von folgenden Tools freuen. Denn diese Programme blockten den Sch&#228;dling auch ohne ein Update:

AntiVir
BitDefender
ClamAV
Fortinet
McAfee
Nod32
QuickHeal
TruPrevent

Hier finden Sie die komplette Liste geordnet nach der schnellsten Reaktionszeit. Tools, die kein Update ben&#246;tigten erscheinen am Anfang der Tabelle mit dem Zusatz „proactively detected“

Programm

Datum

Uhrzeit

urspr&#252;ngliche Bezeichnung

AntiVir

proactively detected

BitDefender

proactively detected

ClamAV

proactively detected

Fortinet

proactively detected

McAfee

proactively detected

Nod32

proactively detected

QuickHeal

proactively detected

TruPrevent

proactively detected

Symantec

2005-08-15

01:05

W32.Zotob.B

Sophos

2005-08-15

08:22

W32/Zotob-B

Kaspersky

2005-08-15

08:26

Net-Worm.Win32.Mytob.cf

F-Secure

2005-08-15

08:47

W32/Zotob.B.Worm

Trend Micro

2005-08-15

08:50

WORM_ZOTOB.B

Hauri

2005-08-15

08:58

Worm.Win32.Mytob.FS

eTrust-VET

2005-08-15

09:28

Win32.Zotob.B

Avast

2005-08-15

10:50

Win32 :borred: otob-B [Wrm]

Panda

2005-08-15

10:52

W32/Zotob.B.worm

Dr Web

2005-08-15

10:57

BackDoor.IRC.HellBot

F-Prot

2005-08-15

13:46

W32/Zotob.B (exact)

eTrust-INO

2005-08-15

14:20

Win32/Zotob.B!Worm

Command

2005-08-15

14:25

W32/Zotob.B (exact)

VirusBuster

2005-08-15

15:24

Worm.Zotob.B

Proland

2005-08-15

15:51

W32/Zotob.B.Worm

AVG

2005-08-15

16:14

I-Worm/Mytob.LZ (Trojan horse)

eSafe

2005-08-16

13:21

Win32.Zotob.b

Ikarus

2005-08-16

15:32

Net-Worm.Win32.Mytob.CF

Norman

2005-08-17

09:14

W32/Zotob.B

P.S.Чтобы предупредить обвинения в адрес Андреаса Маркса в предвзятости-еще никто не ставил (судя по отзывам в нете) под сомнение результаты его анализа АВ реакций на новые угрозы.

----------


## AndreyKa

> Итак, перейдём к практике:
> В прикреплении файлы: логи ВБА и Спайдера. Собственно, запытуемое тело в архиве (пароль virus) по адресу:  webfile.ru/469991, пароль 123.
> Это обычный, не самый опасный StartPage.b. Рассмотрим реакцию 2-х антивирусов на его появление в системе. Начальные условия: Мониторы грузятся при старте системы. Основные параметры - по умолчанию. Действия: При обнаружении - лечить, при невозможности - удалять.
> Реакцию Веба можно посмотреть в логе SPIDERNT.log. После спайдера
> зачистка проводилась консолной версией ВБА и результат в логе susp.rpt.
> Реакция ВБА: Логи в архиве VBA32.zip
> Краткие выводы: 1. При использовании Спайдера с настройками по умолчанию, в отдельных случаях (рядового пользователя) заражённый компьютер так и отаётся заражённым. То есть реакции монитора просто нет. Замечу, что это наблюдается в текущей версии. В ранних версиях Веба 4.3(1) реакция была несколько другой. Доказывать не буду - лень.
> Не просто неинтересно - приводит к тяжёлым последствиям.
>  2. Монитор ВБА идентифицирует и нейтрализует заразу на стадии загрузки. Собственно, как и должно быть.


 Не понятно как у вас со Спайдером получились такие результаты. У меня все не так. Распаковал трояна из архива:
Спайдер выдал предупреждение, я нажал "Лечить":
20-08-2005 19:55:18 E:\Новая папка\kenguuru\kenguuru.jpg                                            .exe инфицирован BackDoor.Pyand - удален

Пришлось отключить Спайдера, распаковать архив и запустить троян.
Стали выскакивать сообщения, о том что троян записывается то в System32, то в ...Автозагрузка\
Я нажимал Лечить пока не надоело, затем снял задачу трояна.
В реестре троян напакостил, а машину не заразил.

----------


## serge (guest)

> Данный ключ не использовался.
> /heuristics_test /M=3 /RW /FC- /FD- /FR- /BC- /HA=2 /MR- /BT- /AS- /OK /AR /VM /r=


Читаем экран подсказки, который выдает программа:


```
┌─────────────────────────────────────────────────────╖
│           VirusBlokAda (Console scanner)            ║
│ Vba32 Windows/CL 3.10.5 beta / 18.08.2005 (Vba32.W) ║
│         Copyright (c) 1993-2005 by VBA Ltd.         ║
╘═════════════════════════════════════════════════════╝
User: Official beta tester
License #000000119 Valid till 30.09.2005
...
/?[+|-]        - show help screen;
/M=1           - fast check mode;
/M=2           - optimal check mode (/AF+);
/M=3           - thorough check mode (/AF+ /PM+);
/AF[+|-]       - all files;
/PM[+|-]       - thorough check mode (VERY slow);
...
```

То есть ключ */PM* на самом деле все же использовался (он включается автоматически при задании */M=3*). Согласен, возможно нужно пересмотреть логику настройки параметров сканирования ключами командной строки, чтобы избежать подобных недоразумений. Но обычно консольным сканером пользуются "продвинутые" пользователи. Больше ни у кого подобных проблем пока до сих пор не возникало, будем принимать к сведению и посмотрим, что можно сделать.

Еще на быстродействие проверки влияет уровень настройки эвристики: */HA=0* (отключена) и */HA=1* (оптимален) - самые быстрые режимы с примерно одинаковым быстродействием, */HA=2* (максимален) - работает медленнее, ловит больше, */HA=3* (избыточен) - работает еще чуть медленнее, плюс заметно выше вероятность ложных тревог. Далее, судя по логу сканирования, у Вас в 'Program Files' довольно много архивов, возможно это сказалось на скорости сканирования (но это, конечно, не причина работать заметно медленнее, чем DrWeb, будем разбираться). В любом случае спасибо за предоставленную информацию.

Обнаруженные подозрительные файлы пришлите нам на [email protected] в архиве с паролем (*heuristics-test.bat* из пакета консольного сканера автоматически запаковывает найденные подозрения в архив *susp.zip* с паролем *virus*). В течение дня-двух (учитывая, что сейчас выходные), все ложные тревоги эвристика будут исправлены.

Кстати, может быть огласите список ложных тревог? Насколько я понимаю, это всего 5 строк отчета по результатам последнего тестирования.

Спасибо за интерес к нашему антивирусу, надеемся на дальнейшее сотрудничество.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Iceman

> Не понятно как у вас со Спайдером получились такие результаты. У меня все не так. Распаковал трояна из архива:
> Спайдер выдал предупреждение, я нажал "Лечить":
> 20-08-2005 19:55:18 E:\Новая папка\kenguuru\kenguuru.jpg                                            .exe инфицирован BackDoor.Pyand - удален
> 
> Пришлось отключить Спайдера, распаковать архив и запустить троян.
> Стали выскакивать сообщения, о том что троян записывается то в System32, то в ...Автозагрузка\
> Я нажимал Лечить пока не надоело, затем снял задачу трояна.
> В реестре троян напакостил, а машину не заразил.


Уточняю: сначала производилось заражение (при отключенных/выгруженных мониторах). Далее, комп перезагружался и начиналось веселье ;-)).
Я даже намекну - оптимальный режим спайдера, будь он неладен..... Не проверяются файлы, которые уже записаны на диск....
Т.е. мысль такая - поведение монитора на уже заражённой машине после обнаружения заразы.

----------


## Alexey P.

Чего вы расшумелись, непонятно.
Да, VBA вполне уже неплох, хороший антивирус. Главное их преимущество - лучший, имхо, в мире на настоящий момент эвристик плюс эмулятор, позволяющий распаковывать многие новые крипторы и паковщики, неизвестные программе. Но потребление ресурсов и размер баз почти на уровне KAV, тут плюс один - VBA дешевле.

 Преимуществами дрвеба были и будут - движок на ассемблере, обладающий максимально возможным быстродействием, малый размер баз и их дополнений. Плюс в последние полгода - здорово улучшена работа вирус-лаба, их тикеты и ответы я приводил вот тут:
http://virusinfo.info/showpost.php?p...&postcount=304 Если кому интересно, могу показать вчерашние, картина примерно та же.
 Все это вместе дает одну очень сильную вещь - дрвеб до сих пор способен нормально работать на старом парке машин, коих в нашей России еще тьма тьмущая, особенно в корпоративном секторе. И обновления легко переносятся дискеткой. Вчерашний daily.udb у беты VBA - 5*010*008 байт, это уже круто. Такое качать 24 раза в сутки - неслабо получится даже для сетки, не говоря уж о диалапе. Правда, столько обновлений пока еще и не бывает, а жаль.

 Дрвеб у меня прекрасно работает (с монитором) и на старом 486 компьютере с 16 мб RAM - железка специальная, коммутатор транкинговой базовой станции, замена в ближайшие несколько лет на более мощный вряд ли будет, т.к. его вполне хватает. Другой антивирус оно вряд ли вообще потянет, а антивирусную защиту по документации производителя я должен обеспечить сам, раз уж подключил в корпоративную сетку - мне так удобнее, для постоянного контроля за его работой с другого компьютера.

 Плюсы дрвеба легко видны на примере DrwebCureIT - а это полный виндовый сканер с графическим интерфейсом, не консоль. Аналогов, имхо, нет.

 У команды дрвеба явно есть проблемы, но, надеюсь, все это не приведет к печальным результатам. Во всяком случае, они прилагают к этому все силы, и я, как старый их пользователь, постараюсь им помочь. А не пинать, как некоторые. Другого такого же антивируса нет и, похоже, не будет.

----------


## Alexey P.

> Уточняю: сначала производилось заражение (при отключенных/выгруженных мониторах). Далее, комп перезагружался и начиналось веселье ;-)).
> Я даже намекну - оптимальный режим спайдера, будь он неладен..... Не проверяются файлы, которые уже записаны на диск....
> Т.е. мысль такая - поведение монитора на уже заражённой машине после обнаружения заразы.


 Дрвеб очень здорово настраивается, Вы сами ставите тот режим, какой нужен. Раз уж зараза работает - велкам ту безопасный режим, проверка сканером. Смотря что словили.
 Имхо, не мне Вас учить - защита должна быть комплексной, нельзя полагаться на один только антивирус. Это "последний рубеж обороны", и плохо, если он единственный. Нужен и файерволл, и прокси, и почтовый сервер с антивирусом, это все не для баловства сделано (и неплохо работает, кстати говоря. Сквид+дрвеб у меня работает уже больше года - хорошая штука.)

----------


## Iceman

> Дрвеб очень здорово настраивается, Вы сами ставите тот режим, какой нужен. Раз уж зараза работает - велкам ту безопасный режим, проверка сканером. Смотря что словили.
>  Имхо, не мне Вас учить - защита должна быть комплексной, нельзя полагаться на один только антивирус. Это "последний рубеж обороны", и плохо, если он единственный. Нужен и файерволл, и прокси, и почтовый сервер с антивирусом, это все не для баловства сделано (и неплохо работает, кстати говоря. Сквид+дрвеб у меня работает уже больше года - хорошая штука.)


Алексей, я согласен с Вашими доводами. Но своим примером я показал, что может ждать пользователя, когда он не владеет хотя бы базовыми навыками. Да и гости подстегнули своими заявлениями ;-). Мысль, заложенная в полемику (с моей стороны во всяком случае) - нет смысла кричать о крутости и превосходстве, когда многие моменты не реализованы втечение долгого уже времени. При наличии у конкурентов ничуть не худших решений. Это мне напоминает одно знаменитое выражение прошлых лет (Москвичи наверняка поймут меня ;-)))) - "Нашим абонентам этого не нужно" (с)

----------


## serge (guest)

> Вчерашний daily.udb у беты VBA - 5*010*008 байт, это уже круто. Такое качать 24 раза в сутки - неслабо получится даже для сетки, не говоря уж о диалапе. Правда, столько обновлений пока еще и не бывает, а жаль.


Сейчас daily.udb уже давно не daily, а фактически кумулятив. Обновляется он с помощью механизма патчей, который пришел на смену выпуску множества мелких апдейтов в виде отдельных файлов (в версии 3.11 файлов .udb с цифровыми именами уже вообще не будет). Размер патча обычно 10K-100K (в зависимости от количества добавленных записей о вирусах, 100K - довольно большой апдейт). Проблема со вчерашним обновлением и попыткой выкачать daily.udb целиком, связана с тем, что произошел сбой при закачивании апдейта на сервер и туда не попали файлы патчей. Сейчас уже все исправлено. К слову, обновление вирусных баз у нас как раз imho реализовано довольно оптимально в плане объема скачиваемых данных и это как раз плюс для пользователей диалапа. Не удивлюсь, если механизм использования бинарных патчей в скором времени начнет использоваться и остальными антивирусами :-)

----------


## saicat

> Но потребление ресурсов и размер баз почти на уровне KAV, тут плюс один - VBA дешевле.


Позволю себе возразить   :Wink:  Потребление ресурсов сканером, имхо, не так уж и критично. Обычно сканер запускают на ночь ну или, по крайней мере, на обеденный перерыв. Оно и не может быть низким - это будет означать лажовую эвристику и отсутствие какого бы то ни было эмулятора. 




> Все это вместе дает одну очень сильную вещь - дрвеб до сих пор способен нормально работать на старом парке машин, коих в нашей России еще тьма тьмущая, особенно в корпоративном секторе.


VBA32 отлично работает и на iP100. Только не нужно на таких машинах увлекаться высоким уровнем эвристика. Кроме того, если пользователь мало-мальски грамотен и время от времени пользуется сканером, то в мониторе VBA можно включить опцию "Проверять только новые файлы". Тогда вообще проблем с "тормозами" не должно быть.




> И обновления легко переносятся дискеткой. Вчерашний daily.udb у беты VBA - 5*010*008 байт, это уже круто. Такое качать 24 раза в сутки - неслабо получится даже для сетки, не говоря уж о диалапе. Правда, столько обновлений пока еще и не бывает, а жаль.


Кто в наше время носит обновления дискеткой? Несколько раз в день?

Ну, а размер daily.udb пусть вас не смущает. VBA пользуется Delta (бинарным) Patching'ом, так что размеры обновлений вполне устраивают даже диалапщиков. Качается лишь малая часть этого файла. Это я говорю, как человек, который отвечает за немецкое зеркало обновлений VBA32. Мы знаем, сколько у нас здесь пользователей и сколько траффика потребляется серверами при ежечасных проверках обновлений со стороны клиентов. Жить вполне можно   :Wink:

----------


## Geser

> Преимуществами дрвеба были и будут - движок на ассемблере, обладающий максимально возможным быстродействием


Хоть это тривиально и не раз писалось, но это реальность. Переведи спайдер из оптимального режима в режим проверки файлов при открытии (а именно такой режим по умолчанию у ВБА) и посмотри что будрт. У меня он подвешивал АМД 2600+ с RAID 0. А если у ВБА включить режим проверки только при записи и изменении то будет он так же незаметен как и ДрВеб. Так что тут они равноценны.

----------


## Гость

> Где у веба хоть какие-то настройки эвристика? Может вместе поищем?



Что значит - настройки эвристика? У эвристика может быть только одна настройка: вкл/выкл. Нельзя быть немного беременной. Это ненастраиваемо.

----------


## Гость

> Преимуществами дрвеба были и будут - движок на ассемблере, обладающий максимально возможным быстродействием



Это не преимущество, это позор и бельмо, от которого они никак не могут избавиться. Т.к. кроме как на x86 больше ни на чем работать не могут. Они уже чертисколько пытаются переписать этот движок на C, но всё никак... Мдя...

----------


## Geser

> Что значит - настройки эвристика? У эвристика может быть только одна настройка: вкл/выкл. Нельзя быть немного беременной. Это ненастраиваемо.


Это демонстрирует глубокие познания в принципах работы антивирусов  :Smiley:

----------


## Iceman

> Что значит - настройки эвристика? У эвристика может быть только одна настройка: вкл/выкл. Нельзя быть немного беременной. Это ненастраиваемо.


Тогда смысл вообще сравнивать эти продукты и слова говорить? У одного нет, у другого есть. Воля, так сказать, разработчиков.
Ещё раз повторюсь, долгое время принцип Вебовцев был - "Нашим абонентам этого не нужно". Жаль :-(((.
Тем более, пример реакции АВ на заражённой машине я достаточно чётко показал. Эвристик участия там не принимал :-))). Сплошные чётко прописанные сигнатуры.

----------


## Iceman

> Сейчас daily.udb уже давно не daily, а фактически кумулятив. Обновляется он с помощью механизма патчей, который пришел на смену выпуску множества мелких апдейтов в виде отдельных файлов (в версии 3.11 файлов .udb с цифровыми именами уже вообще не будет). Размер патча обычно 10K-100K (в зависимости от количества добавленных записей о вирусах, 100K - довольно большой апдейт). Проблема со вчерашним обновлением и попыткой выкачать daily.udb целиком, связана с тем, что произошел сбой при закачивании апдейта на сервер и туда не попали файлы патчей. Сейчас уже все исправлено. К слову, обновление вирусных баз у нас как раз imho реализовано довольно оптимально в плане объема скачиваемых данных и это как раз плюс для пользователей диалапа. Не удивлюсь, если механизм использования бинарных патчей в скором времени начнет использоваться и остальными антивирусами :-)


Однако....
_http://www.wilderssecurity.com/showthread.php?t=91636
"What is the incremental VDF update?

Up to now all VDF updates have been made available in one large VDF file. In the future this large VDF file will be split up into one larger base VDF and several smaller VDF files. The large VDF file is usually downloaded only once and then gets updated regularly (daily, weekly, monthly) with smaller VDF files that are only a few hundred KB in size. Thus the size of the VDF as well as the time needed to download the file will be drastically reduced."

----------


## serge

> Однако....
> _http://www.wilderssecurity.com/showthread.php?t=91636
> "What is the incremental VDF update?
> 
> Up to now all VDF updates have been made available in one large VDF file. In the future this large VDF file will be split up into one larger base VDF and several smaller VDF files. The large VDF file is usually downloaded only once and then gets updated regularly (daily, weekly, monthly) with smaller VDF files that are only a few hundred KB in size. Thus the size of the VDF as well as the time needed to download the file will be drastically reduced."


Судя по описанию, AntiVir только начинает переходить на технологию, от которой мы уже отказываемся  :Smiley: 

Если проследить историю обновления антивирусов, то вырисовывается следующая картина (по поводу того, что касается других антивирусов могу и ошибиться, если что - поправьте  :Smiley: ):
1. записи о вирусах "зашиты" в код антивируса  (пример - aidstest), для поиска новых вирусов нужно заменить exe-шник антивируса
2. записи о вирусах вынесены в отдельный файл, для поиска новых вирусов нужно его скачать целиком (пример - теперешний AntiVir)
3. записи о вирусах разбиты на один большой файл - кумулятив и много мелких - дополнения (пример - KAV, DrWeb, пока еще частично VBA32), для обновления нужно скачать файлы дополнений
4. записи о вирусах опять находятся в одном большом файле, но этот файл обновляется с помощью бинарных патчей (пример - VBA32, но полный переход на эту систему будет завершен в следующей версии).

То есть AntiVir переходит с *2.* на *3.*, мы переходим с *3.* на *4.*  :Smiley:

----------


## polza

Fresh, с данным источником я не знаком и не могу по поводу приведенной в нем информ. ни чего конкретного сказать. Было сказано одна из лучших эвристик. 
А вопрос что лучше что хуже, вопрос сугубо личных предпочтений, как в большинстве своем и работа самого продукта у пользователя зависит сугубо от пользователя. Если у кого то что то падало и в логах продукта этого нет, то сущест. системные логи , журналы в которых все видно. Уж если в них нет, то можно сделать дамп. Если ни чего подобного нам не высылать по конкретной проблеме то врят ли мы вам сможем помочь. Нужно более тесно взаимодействовать и без эмоций. Как уже говорилось примерно все продукты идентичны, каждый нужно настраивать под конкретную задачу, а не установить по умолчанию и кричать продукт дрянь.

----------


## Geser

> Fresh, с данным источником я не знаком и не могу по поводу приведенной в нем информ. ни чего конкретного сказать. Было сказано одна из лучших эвристик.


Значит нужно познакомиться. Конечно легче повторять "у нас самый лучший эвристик" вместо того что бы его совершенствовать. Однако результат этого будет для фирмы плачевным.

----------


## Geser

> Как уже говорилось примерно все продукты идентичны


На такое утверждение сразу напрашивается вопрос, зачем платить больше если эффект тот-же? Если все продукты одинаковые логичнее купить тот что подешевле. Не так ли?

----------


## azza

> 4. записи о вирусах опять находятся в одном большом файле, но этот файл обновляется с помощью бинарных патчей


Иными словами с помощью кряков.  :Smiley:

----------


## Гость

> Я вот подумал, похоже в последнее время VBA32 делает DrWeb по всем позициям. Эвристик лучше, универсальный распаковщик лучше чем добавление подержки новых пакеров раз в пол года. Какие приемущества остались у ДрВеб?


 Я пользуюсь Dr.Web уже много лет, и он меня никогда не подводил. Я сравнивал его с другими антивирусами в том числе и сVBA. Ненашел не одного стоящиго, это либо тормоза типа Каспера и Нортона либо те которые не видят ничего. А Dr.Web.- быстрый неприхотливый к ОС и вирусы ищит отлично. Я ставил другие антивири в том числе и VBA и они ничего за пауком не находили, а он за ними частенько.
 Я часто посещаю антивирусные форумы и пстоянно вижу как обливают помоями Dr.Web. Народ может хватит обливать паука помоями, причем абсолютно незаслуженно.

----------


## Iceman

> Я пользуюсь Dr.Web уже много лет, и он меня никогда не подводил. Я сравнивал его с другими антивирусами в том числе и сVBA. Ненашел не одного стоящиго, это либо тормоза типа Каспера и Нортона либо те которые не видят ничего. А Dr.Web.- быстрый неприхотливый к ОС и вирусы ищит отлично. Я ставил другие антивири в том числе и VBA и они ничего за пауком не находили, а он за ними частенько.
>  Я часто посещаю антивирусные форумы и пстоянно вижу как обливают помоями Dr.Web. Народ может хватит обливать паука помоями, причем абсолютно незаслуженно.


Во-первых, никто никого не обливает.... А критика ещё никому не мешала. Выбор АВ - религия, доказано наукой ;-)).
Во-вторых, сравните что сделано на движке Веба: _http://viruschaser.com/enwi/2_01.jsp - описание;
_http://www.viruschaser.com.hk/download/demo/VirusChaserDemo.exe - ссылка на закачку и сравните с тем, что продаётся у нас.... Небо и земля...
В-третьих, каждый выбирает сам для себя по совокупности каких-либо свойств продукта и решает, во что выгоднее вложить деньги.
В-четвёртых, это изначально было всё-таки голосование (с комментариями). Оно (голосование) показало, что явного лидера (или явного аутсайдера) нет.

----------


## Fresh

Я рад,что упоминули корейский клон Др.Веба-VirusChaser.Сам пользовался им и могу сказать,что находил он заразу,которую и ВБА и Касперский со всеми обновлениями пропускали.Интерфейс красивый и простой.Сайт вообще новороченный-даже не верится,что они имеют что-то общее с Др.Вебом.Я бы советовал фанам Др.Веба временно перейти на VirusChaser-продукт почти тот же,но в красивой упаковке и кроме баз Доктора корейцы добавляют свои.
 Я уважаю Др.Веб-это легенда.Но нельзя жить прошлыми заслугами.5-ю версию ВСЕ заждались;она нужна-нож острый!
Все антивирусные компании готовят сюрпризы на 2006 год- Micro$oft One Care дышит в затылок.О 5-й версии Доктора ни слуху ,ни духу.
  Вот Bitdefender сделал русскую локализацию продукта-антивирус мощнейший и по слухам крякается.Если уважаемый Доктор в ближайшее время не опомнится и не выпустит революционную 5-ю версию,то никто не гарантирует ,что даже самые заядлые фаны помашут ему платочком.Было бы обидно...
  ВБА-необходимо много работать.Интерфейс не для XP или Vista...Шпиончиков программки за ним подбирают,но в целом-МОЛОДЦЫ!
  Надеюсь,что в следующем 2006 году на virusinfo будет нитка на тему:"VBA vs Norton","VBA vs Macafee","VBA vs Kaspersky",а также,что ВБА будет лидировать в скорости реакции на новую заразу в нете+ловить ВСЮ нечисть эвристиком (zero-time detection).
  Желаю удачи обоим антивирусам!

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Iceman

$-)))
Позитивно. Респект!

----------


## Iceman

Возвращаясь к напечатанному...
Итак, выражаю благодарность Alexey'ю P. за предоставленные материалы 
;-))) : _http://forum.drweb.ru/view/110353.
Скачал, поставил, попробовал. Ощущения сильно двойственные: с одной строны, есть некий прогресс (доп. базы). С другой - продукт стал медлительным и неповоротливым (на моём компе). Возможно, проявляется его "сырость". Не ощутил я комфорта при работе :-(((. Как Доктор "мочит" заразу попробую чуть позже... На текущий момент смысла вкладывать деньги, честно говоря не вижу. А официальный ключик подходит к концу...

----------


## Niks

Проголосовал за Vba32, по моему он лучше "паутиныча", да и вирусов больше ловит. Вот только с ключами полная ж..., хоть и не дорогой, но тяга у нас к халяве видно в крови.

----------


## Iceman

> Проголосовал за Vba32, по моему он лучше "паутиныча", да и вирусов больше ловит. Вот только с ключами полная ж..., хоть и не дорогой, но тяга у нас к халяве видно в крови.


Так может бета ключик поможет?(в прикреплении; расширение сделать *.key). В отличие от других АВ бетки более стабильны и их прекрасно можно использовать. Естественно, делится результатами работы и мыслями с разработчиками (желательно :-)).

----------


## Гость (umask)

> Опять религиозные войны, или давайте завязывать или сейчас воспользуюсь своими правами и отправлю это голосование в полном составе в флейм. Хотя похоже там ему уже и место.
> По поводу Веба почему за - хорошее, можно сказать даже уникальное ядро антивируса, 
> Абсолютно Imho бестолковый эвристический анализатор который способен ковыряться исключительно в VB скриптах. 
> Жуткий маркетинг. 
> Единственный на текущий момент антивирус который пока ещё не разучился лечить вирусы (да именно лечить вирусы, поскольку ни К ни Н последнее время не утруждают себя добавлением в базы не только процедур детектирования но и процедур лечения), 
> на мой вкус как антивирус *пока ещё хороший продукт*, но развитие и захват новых рынков встраивание во всяческие системы где необходима проверка на вирусы - Nero это хорошо и плюс - 
> но это ВСЁ на текущий момент - на BAT забили, Spider мыло это попытка создать универсальный фильтр имеющая больше недостатков чем приимуществ, "мыло" надо переквалифицировать на проверку Web траффика и делать это надо было давно , проверка того-же Outlook где ? 
> Нужен плагин  Где взять фаервол "совместимый" с DrWeb ставить отдельно ? 
> Сейчас становятся популярны комплексные решения, 
> ...


ммм...
"мухи отдельно, котлеты отдельно" (с)

Например, у DrWeb есть разработки, которых у многих таки нет...
DrWeb-ICAPd - аналог есть у VBA, но я его не пробовал.
CureIT! есть. Удобная штука.
Для *nix серверов версии DrWeb очень удобны, просты и стабильны. Только позитивные эмоции. На десктопе DrWeb уверенно занимает второе-третье место. Первое - КАВ. В корпоративном секторе (DrWeb ES) - уверенно занимает лидирующее положение (особенно в гос.структурах, коммерческих банках - плавали, знаем).
Кстати, из нового: DrWeb ES - действительно актуальная вещь, которая была создана за последние год-полтора.
И не нужно кричать, что дело стоит на месте.

Да, у DrWeb - маркетинг не очень. Но за последний год (с момента образования ООО "Доктор ВЕБ") сделано очень многое, проделан коллосальных труд.
Вир.лаб. расширен, работает прилично быстро.

По поводу эвристики... А  не кажеться Вам странным, что все популярные антивирусы в том тесте не были в лидерах определения по эвристику только лишь из-за своей популярности? Что КАВ, что Веб - ни один не распознал. Почему-то в моей голове устойчиво задержалась мысль - вирусописатели не совсем идиоты и иногда стремяться избегать эвристики распространённых антивирусов. Вполне закономерно, что на всех АВ проверят смысла нет, достаточно избежать детектирования в распрострянённых вещях.

По поводу BSODa... было какое-то дело, год назад, но я ни на одной и 20 вверенных мне машин (от p2-233 Mhz до AMD Athlon 2400+) проблемы так и не наблюдал.

ИМХО, мой выбор - DrWeb.
DrWeb for UNIX-servers.


P.S. Всё хочу поставить два squid'а и icapd'ы от DrWeb'а и от VBA32.
Alexey. P. есть мысли?
И кстати, может кто ещё реализации icap видел? (clamAV не предлагать)

----------


## umask

Забыл добавить...

А вот проверка всего траффика (http/ftp/smtp/pop3/imap4....) - сложная штука - нужно разбирать все протоколи и доводить поток до состояния фалов - неимоверно трудная и ресурсо-ёмкая задача.
Это всё равно что брать весь TCP-поток и проверять на вирусы... только одно НО, поверх TCP работает куча других протоколов, в том числе и шифрования, и множество других.
Например, протоколы eDonkey или ICQ, как предложите их "поднимать", если они закрытые? Или редко используемые протоколы? Например не стандартын ftp. Есть и такие, поверьте.

Так что анализ потока данных (грубо говоря, не типизированного потока, а антивирусы ориентированны на анализ типизированных данных - файлов, например) - не тривиальная, и чаще всего не нужная задача.

IMHO.

----------


## Iceman

> ммм...
> "мухи отдельно, котлеты отдельно" (с)
> 
> Например, у DrWeb есть разработки, которых у многих таки нет...
> DrWeb-ICAPd - аналог есть у VBA, но я его не пробовал.
> CureIT! есть. Удобная штука.
> Для *nix серверов версии DrWeb очень удобны, просты и стабильны. Только позитивные эмоции. На десктопе DrWeb уверенно занимает второе-третье место. Первое - КАВ. В корпоративном секторе (DrWeb ES) - уверенно занимает лидирующее положение (особенно в гос.структурах, коммерческих банках - плавали, знаем).
> Кстати, из нового: DrWeb ES - действительно актуальная вещь, которая была создана за последние год-полтора.
> И не нужно кричать, что дело стоит на месте.
> ...


Никто и не спорит...
Просто, кроме пользователей Новелла, никс' систем  и т.д оказывается есть некоторое количество пользователей Воркстейшенов и других обычных систем....  Может быть это открытие?

----------


## umask

> Никто и не спорит...
> Просто, кроме пользователей Новелла, никс' систем  и т.д оказывается есть некоторое количество пользователей Воркстейшенов и других обычных систем....  Может быть это открытие?


Вроде как нет...   :Stick Out Tongue:  
А что с воркстейшенами-то? У меня 20 воркстейшенов, от win95 до Win2003 Adv.server.
Плюс ко всему 6 серверов с *nix.
Проблем не было вообще.
(проблемы только с бетами случались, да и то не значительные и испрявляли их в следующем же билде в течение нескольких дней).

----------


## Shu_b

Хе хе... сегодня с ответа робота до ответа вир.аналитика DrW прошло 22 минуты  :Smiley: 
и ответ что именно добавлены, а не то что ужо были...

----------


## Iceman

> Вроде как нет...   
> А что с воркстейшенами-то? У меня 20 воркстейшенов, от win95 до Win2003 Adv.server.
> Плюс ко всему 6 серверов с *nix.
> Проблем не было вообще.
> (проблемы только с бетами случались, да и то не значительные и испрявляли их в следующем же билде в течение нескольких дней).


Да собственно мелочи, после того как словил гада, которого нет в базах, можно долго ещё жить с такими "подарками". И совершенно всё равно, как быстро их добавляют в базу...

----------


## Geser

> По поводу эвристики... А  не кажеться Вам странным, что все популярные антивирусы в том тесте не были в лидерах определения по эвристику только лишь из-за своей популярности? Что КАВ, что Веб - ни один не распознал. Почему-то в моей голове устойчиво задержалась мысль - вирусописатели не совсем идиоты и иногда стремяться избегать эвристики распространённых антивирусов. Вполне закономерно, что на всех АВ проверят смысла нет, достаточно избежать детектирования в распрострянённых вещях.


ЛК признали что эвристик у них плохой и написали что ведут работы по разработке нового механизма. И вряд ли американские вирусописатели будут прятать вирусы от ДрВеб. Слишком мало людей им там пользуется. Вряд-ли больше чем БитДефендер, который определил эвристиком всех подопытных червей.

----------


## Geser

> Да собственно мелочи, после того как словил гада, которого нет в базах, можно долго ещё жить с такими "подарками". И совершенно всё равно, как быстро их добавляют в базу...


Потому многие сейчас кроме эвристики добавляют в антивирусы поведенческие анализаторы. Могу поспорить что ДрВеб сделают это одними из последних. Так же как и защиту реестра, которая уже есть у мнегих, а скоро будет у всех.

----------


## AndreyKa

> Хе хе... сегодня с ответа робота до ответа вир.аналитика DrW прошло 22 минуты 
> и ответ что именно добавлены, а не то что ужо были...


Это не рекорд сегодня вот:
[drweb.com #124206] Создан: 16:49
[drweb.com #124206] Обработано: 17:02
Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Adware.Nexus

Итого 13 мин
Отпуска закончились, видимо  :Smiley:

----------


## ALEX(XX)

Кстати, тут много кто пользуется virustotal, скажите, много ли вы видите фраз "подозрение на..." и пр.? Вот это и есть работа эвристика. А сейчас работа антивирей, в основном заключается в "знает-не знает". Прям как в анекдоте: 
Кто там? 
- КГБ.
-Никого нет дома. 
-А кто говорит? 
-Радио. Московское время 12-36

Опознал - хорошо, отмазался вирь, не опознал его антивирус и бог с ним. Редко кто ругнётся. В основном наблюдал ругню VBA, NOD, McAfee, BitDefender. Вот и всё. (может пропустил чего?) Кстати, AVZ усиленно выдаёт подозрения.

----------


## RiC

> ммм...
> "мухи отдельно, котлеты отдельно" (с)


Не мухи и котлеты, а крики и визги, голословные  А лучше Б абсолютно не интересны  :Sad:  Вообще спор без критериев оценки - пустая болтовня.




> По поводу эвристики... А  не кажеться Вам странным, что все популярные антивирусы в том тесте не были в лидерах определения по эвристику только лишь из-за своей популярности? Что КАВ, что Веб - ни один не распознал. Почему-то в моей голове устойчиво задержалась мысль - вирусописатели не совсем идиоты и иногда стремяться избегать эвристики распространённых антивирусов. Вполне закономерно, что на всех АВ проверят смысла нет, достаточно избежать детектирования в распрострянённых вещях.


Не узнать LDPinch может Imho только слепой на ОБА глаза, В любой "упаковке". У Web`a эвристика на Win32 EXE файлы работает отвратительно  :Sad:  Я за 2 года активного использования видел срабатывание эвристика 1 раз (и похоже это был глюк), хотя на всякие VB и Jaba  скрипты материться регулярно и по делу, умудряясь вылавливать даже зашифрованные скрипты, единствинный кстати, кто исправно давит  BankFraud и компанию, похоже не без участия эвристика.




> По поводу BSODa... было какое-то дело, год назад, но я ни на одной и 20 вверенных мне машин (от p2-233 Mhz до AMD Athlon 2400+) проблемы так и не наблюдал.


За 4.32b не замечал.

----------


## Iceman

OFF
Тут пришёл Штирлиц и началась драка.... ;-)))).

----------


## Geser

А в общем, через пол года-год у всех антивирусов будут (а у многих уже есть) комплексные решения в ключающие антивирус, защиту реестра, стенку, проактивную защиту, антифишинг и еще всякое другое анти. Какие шансы что у ДрВеб тоже это будет? Мне кажется никакие. Да, комбайны обычно не лучшее решение, но большинство пользователей предпочтут не морочить себе голову с подбором отдельных компонентов и поставить антивирус дающий комплексную защиту.

----------


## Гость

> А в общем, через пол года-год у всех антивирусов будут (а у многих уже есть) комплексные решения в ключающие антивирус, защиту реестра, стенку, проактивную защиту, антифишинг и еще всякое другое анти. Какие шансы что у ДрВеб тоже это будет? Мне кажется никакие. Да, комбайны обычно не лучшее решение, но большинство пользователей предпочтут не морочить себе голову с подбором отдельных компонентов и поставить антивирус дающий комплексную защиту.


Если бы да кабы, так в саду б росли бобы... (с)

У меня вот лично нету антивируса на десктопе. Нету файрволла. И не жалуюсь.
А ещё есть такая поговорка про длинноногих (предположительно девушек  :Cool: ): если ноги от ушей, то руки из з@дницы.
Она к сожалению подходит к 95% пользователей ПК. Это я к тому, что без минимальной грамотности какой комплекс не ставь, всё равно эффект будет стремиться к нулю.

Так вот же, давайте тогда формулировать недостатки антивирусов и DrWeb в частности? А не просто флейм разводить.

По вопросам эвристики - ложные срабатывания тоже мало кому нужны.
Из вопросов недостатков - я закончил.
Детектирование заразы и добавление онной у DrWeb, может и не на 1-м месте, но уж точно не на последнем.
Мне (_лично_) идеология DrWeb нравиться, и сколько раз я не пытался поставить касперского на линуксовый сервер, так процесс до конца и не дошёл... Ни разу.

----------


## umask

Выше - моё сообщение...
Что-то я не заметил состояние logout'а...

----------


## Iceman

> Если бы да кабы, так в саду б росли бобы... (с)
> 
> У меня вот лично нету антивируса на десктопе. Нету файрволла. И не жалуюсь.
> А ещё есть такая поговорка про длинноногих (предположительно девушек ): если ноги от ушей, то руки из з@дницы.
> Она к сожалению подходит к 95% пользователей ПК. Это я к тому, что без минимальной грамотности какой комплекс не ставь, всё равно эффект будет стремиться к нулю.
> 
> Так вот же, давайте тогда формулировать недостатки антивирусов и DrWeb в частности? А не просто флейм разводить.
> 
> По вопросам эвристики - ложные срабатывания тоже мало кому нужны.
> ...


Если бы было 95% гениев, или хотя бы "подкованных" - мы не вели бы эти милые беседы :-)). Т.к. все эти антивирусы, файрволы и т.д были бы не нужны... Что касается длинноногих ;-))) - видимо Вам просто не везёт, бывает.... И последнее. ввиду появления продуктов равнозначных в классе Доктора, Вебовцам будет тяжело ещё долго, особенно с проводимой политикой... Например, _http://virusinfo.info/showthread.php?t=3244&page=5&pp=20 (топик #100). Сделали продукт на базе 4,32 - и неплохой продукт. Я готов был, скорее его купить.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

> Если бы да кабы, так в саду б росли бобы... (с)
> 
> У меня вот лично нету антивируса на десктопе. Нету файрволла. И не жалуюсь.
> А ещё есть такая поговорка про длинноногих (предположительно девушек ): если ноги от ушей, то руки из з@дницы.
> Она к сожалению подходит к 95% пользователей ПК. Это я к тому, что без минимальной грамотности какой комплекс не ставь, всё равно эффект будет стремиться к нулю.


Совершенно неверно. Простой пример. Посоверовал КАВ одному кадру с работы. Поставил он его на компьютер ребёнка и счастлив как слон. Раньше у него стоял там Трендмайкро и он каждые несколько месяцев винду переставлял т.к. ребёнок его лазит где попало и комп быстро забивался всякой трояно-адварной дрянью.



> По вопросам эвристики - ложные срабатывания тоже мало кому нужны.


Я предпочитаю чуствительный эвристик даже если есть некоторая доля ложных срабатываний. Некоторые мои знакомые того же мнения.



> сколько раз я не пытался поставить касперского на линуксовый сервер, так процесс до конца и не дошёл... Ни разу.


Не знаю, про Линукс ничего сказать не могу.

----------


## umask

Я в шоке...
[drweb.com #124265]
Создан:  31.08.05 23:57
Обработано: 01.09.05 00:07

>Вирус: Trojan.Funweb,Program.PopcapLoader.
>Trojan.Funweb,Program.PopcapLoader

----------


## Alexey P.

> ммм...
> ИМХО, мой выбор - DrWeb.
> DrWeb for UNIX-servers.


 Брат !  :Smiley: .




> P.S. Всё хочу поставить два squid'а и icapd'ы от DrWeb'а и от VBA32.
> Alexey. P. есть мысли?
> И кстати, может кто ещё реализации icap видел? (clamAV не предлагать)


 Не, есть еще webwasher, но они, имхо, давно это дело не двигают.
Хотя и начали раньше. А вебовцы сквид еще будут патчить на предмет нормальной работы icap, Антон обещал.
 Меня и существующая реализация 100% устраивает, проблем нет, работает как часы.
Говорят, под большой нагрузкой бывают "замирания" прокси минут до 10-15, потом работает дальше. У меня нагрузка невелика, такого нет.
Вот и тест-лаб пока не отловил этот эффект.

 А VBA свой icapd пока не продает, в прайсе нету вроде ?
 У них очень хороши виндовые беты, а линуксовые, имхо, отстают. Хотя, честно говоря, сам не пробовал линуксовые пока, надо будет все же заняться этим.
ЗЫ: Чуть позже, сейчас на работе запарка, да и тестирование 4.33 время отнимает прилично.

----------


## umask

Отправил в саппорт ВБА примерно сотню файлов с ложными срабатываниями...
Посмотрим, что ответят.
Склонен полагать, что 100% из "работы" эвристика - ложные срабатывания.
У DrWeb ни одного онного (ложного).
Уж простите меня, но эвристика и ложные срабатывания это немного разные, хоть и неразрывно связные вещи. Но не до такой степени, что одно перетекает в другое.

Затем, среди недостатков VBA я заметил отсутствие файлов-документации в бетах для Linux.
Например, ключи командной строки нормально не документированы (не говоря уже про русский файл-документации или его английский аналог, а уж поверьте, документация нужна - ох как она много решает. Чёткая, грамотная документация).
В icap-реализации от VBA я нашёл файл документации, который говорил какой squid нужно использовать и что ещё нужно использовать какой-то патч. Простите, а можно было подробнее рассказать, как настроить сквид, как нормально запустить демон icap? Или предполагаеться, что пользователь (администратор) сам должен до этого догадаться?
Самый лучший, imho, вариант - рассказать как получить работающую связку "от" и "до".
Читали документацию для *nix версий DrWeb? Вот-вот. После VBA там даже для меня всё безупречно.
А как с icap у ВБА не для squid'а? Какие ещё прокси поддерживаються?
Так и не понял я как работать с Вашим (к VBA) icap-демоном. Не знаю что запускать, а гадать не хочу. Как его конфигурировать тоже не совсем ясно, а что с карантином?
Почему vbacl ставиться в /opt, а vba-icapd ставиться в /usr/куда-то_там ?

В сканере коммандной строки VBA32 for linux я не могу сделать так, что бы все инфицированные файлы перемещались (я не о "чистой" инфекции, а про архивы и контейнеры. Ну не умеет сканер архивы и контейнеры с инфицированным контентом перемещать...  :Sad: ( ) в заданный каталог.
Не могу заставить перемещаться и подозрительные файлы. Ну нету таких ключей или я слепой?
Это пока всё, что меня тронуло за последние часов 20 работы со сканером VBA32 for linux.

Прошу представителей VBA прокомментировать мои слова.
P.S. Без обид!

----------


## Dimka

> Отправил в саппорт ВБА примерно сотню файлов с ложными срабатываниями...
> Посмотрим, что ответят.
> Склонен полагать, что 100% из "работы" эвристика - ложные срабатывания.
> У DrWeb ни одного онного (ложного).
> Уж простите меня, но эвристика и ложные срабатывания это немного разные, хоть и неразрывно связные вещи. Но не до такой степени, что одно перетекает в другое.
> 
> Затем, среди недостатков VBA я заметил отсутствие файлов-документации в бетах для Linux.
> Например, ключи командной строки нормально не документированы (не говоря уже про русский файл-документации или его английский аналог, а уж поверьте, документация нужна - ох как она много решает. Чёткая, грамотная документация).
> В icap-реализации от VBA я нашёл файл документации, который говорил какой squid нужно использовать и что ещё нужно использовать какой-то патч. Простите, а можно было подробнее рассказать, как настроить сквид, как нормально запустить демон icap? Или предполагаеться, что пользователь (администратор) сам должен до этого догадаться?
> ...


Начну с конца.
Консольный сканер не является основным продуктом, это по большей части технологический сканер, поэтому всех наворотов в нем нет. Если даже их реализовать, то командная строка станет слишком сложной. В современных антивирусах даже в графическом интерфейсе представить настройки так, чтобы в них можно было разобраться, достаточно сложно, хотя GUI на порядок нагляднее и понятнее, чем командная строка. К тому же пользователь, которому надо выполнять какие-то задачи при помощи консольного сканера, обычно в состоянии написать вспомогательный .BAT-файл/shell-скрипт, который выполнит все необходимые действия.

Что касается документации, то тут мы согласны, что в ней может быть отражено не все, что пользователи хотели бы там увидеть. Но это пользователи должны нам сказать, чего им не хватает, поэтому в этом вопросе мы надеемся на сотрудничество с вами.

Ну и про эвристик.
Во-первых, желательно приводить ключи, с которыми работала программа. В письме Вы их указали, приведу их здесь:

-heuristics_test+ -af -ha=3 -rw -m=3 -pm+ -ar+ -ml+ -bc+

Ключ -heuristics_test - это НЕДОКУМЕНТИРОВАННЫЙ ключ для ТЕСТИРОВАНИЯ эвристика. При его включении отбираются файлы, которые интересны НАМ, поэтому сообщения о подозрениях на "new.signature..." нельзя называть ложными срабатываниями эвристика. За файлы, конечно, спасибо, они помогут нам в дальнейшем улучшении эвристика.

Ключ -ha=3 - это избыточный уровень эвристика, на котором по определению возможны ложные срабатывания (хотя значительно меньше, чем при использовании ключа -heuristics_test)

Ключ -pm, избыточный режим, также не рекомендуется для "ежедневного употребления", поскольку приводит к значительному замедлению работы и может вызывать ложные срабатывания. В частности, подозрения на Unknown.OvrVirus вызваны включением этого режима.

Со всем этим добром мы разбираемся, но беглый взгляд позволил выявить в нем несколько диалеров.

----------


## Iceman

Кстати, "ломают копья " не только у нас ;-)).
Забугорные тоже склонны к этому: 
_http://www.wilderssecurity.com/showthread.php?t=95775

----------


## Geser

> Кстати, "ломают копья " не только у нас ;-)).
> Забугорные тоже склонны к этому: 
> _http://www.wilderssecurity.com/showthread.php?t=95775


По моему, когда пользователи высказывают претензии а разработчики мотают на ус или разъясняют недопонимания это нормальная и полезная ситуация. И это одна из целей днного форума.

----------


## Iceman

> По моему, когда пользователи высказывают претензии а разработчики мотают на ус или разъясняют недопонимания это нормальная и полезная ситуация. И это одна из целей днного форума.


Согласен. Но ведь немногие разработчики "разъясняют недопонимания"? не так ли? $-)).

----------


## umask

> К тому же пользователь, которому надо выполнять какие-то задачи при помощи консольного сканера, обычно в состоянии написать вспомогательный .BAT-файл/shell-скрипт, который выполнит все необходимые действия.


Так и пришлось делать...




> Что касается документации, то тут мы согласны, что в ней может быть отражено не все, что пользователи хотели бы там увидеть. Но это пользователи должны нам сказать, чего им не хватает, поэтому в этом вопросе мы надеемся на сотрудничество с вами.


Нет вопросов. Что было в голове, то и сказал. К сожалению выразить все мысли едва ли возможно текстом: некоторые неуспеваешь зафиксировать.



> Ну и про эвристик.
> Во-первых, желательно приводить ключи, с которыми работала программа. В письме Вы их указали, приведу их здесь:
> 
> -heuristics_test+ -af -ha=3 -rw -m=3 -pm+ -ar+ -ml+ -bc+
> 
> Ключ -heuristics_test - это НЕДОКУМЕНТИРОВАННЫЙ ключ для ТЕСТИРОВАНИЯ эвристика. При его включении отбираются файлы, которые интересны НАМ, поэтому сообщения о подозрениях на "new.signature..." нельзя называть ложными срабатываниями эвристика. За файлы, конечно, спасибо, они помогут нам в дальнейшем улучшении эвристика.


И тем не менее, по эвристику - много вопросов. Как антивирус с хорошим эвристиком, VBA у меня живёт. База несколько отличная от других. Но более ничего примечательного, по крайней мере для себя я не увидел.




> Со всем этим добром мы разбираемся, но беглый взгляд позволил выявить в нем несколько диалеров.


Вот cut-лога от VBA:


```
./00186954:<CHM>\exploit.htm : infected Trojan-Downloader.VBS.Psyme.y
./000D633F:<RAR>\Astrogeddon_Loader/loader.exe : infected
Trojan.Win32.Delf.np
./000D9068:<CHM>\load.exe : infected Backdoor.Win32.Haxdoor.cn
./000D9068:<CHM>\x.htm : infected Exploit.HTML.CodeBaseExec
./000E56FB:<ZIP>\GetAccess.class : infected Trojan.Java.ClassLoader.c
./000E56FB:<ZIP>\InsecureClassLoader.class : infected
Exploit.Java.Bytverify
./000E56FB:<ZIP>\Dummy.class : infected Trojan.Java.ClassLoader.Dummy.a
./000E56FB:<ZIP>\Installer.class : infected
TrojanDownloader.Java.OpenConnection.f
./000DCEE5:<CHM>\MegaInstaller.exe : infected Trojan.Win32.StartPage.rn
./000DCFA2:<ZIP>\GetAccess.class : infected Trojan.Java.ClassLoader.c
./000DCFA2:<ZIP>\InsecureClassLoader.class : infected
Exploit.Java.Bytverify
./000DCFA2:<ZIP>\Dummy.class : infected Trojan.Java.ClassLoader.Dummy.a
./000DCFA2:<ZIP>\Installer.class : infected
TrojanDownloader.Java.OpenConnection.f
./0019E8C9:<ZIP>\filmato.exe : infected Trojan.Win32.Dialer.hh
./0019E8C9:<ZIP>\images\avi.exe : infected Trojan.Win32.Dialer.hh
./000DE9E7:<CAB>\UniDist.ocx : infected TrojanDownloader.Win32.Dyfuca.bm
./000F27E4:<ZIP>\BlackBox.class : infected Exploit.Java.ByteVerify
./000F27E4:<ZIP>\VerifierBug.class : infected Exploit.Java.ByteVerify
./000F27E4:<ZIP>\Dummy.class : infected Java.BlackBox.AA.3
./000F27E4:<ZIP>\Beyond.class : infected
Trojan-Downloader.Java.OpenConnection.aa
./000F2B43:<CAB>\istactivex.dll : infected
Trojan-Downloader.Win32.IstBar.gen
./001A15A8:<ZIP>\BlackBox.class : infected Exploit.Java.ByteVerify
./001A15A8:<ZIP>\VerifierBug.class : infected Exploit.Java.ByteVerify
./001A15A8:<ZIP>\Dummy.class : infected Java.BlackBox.AA.3
./001A15A8:<ZIP>\Beyond.class : infected
Trojan-Downloader.Java.OpenConnection.aa
./001D1783:<CAB>\azesearch4.ocx : infected AdWare.AzSearch.b
./001F4DE3:<CAB>\f3Setup1.exe : infected TrojanDropper.Win32.FunWeb.a
./001F9DD3:<ZIP>\web.exe : infected Trojan.Win32.TrojanDropper.Oleloa
./001F9DD3:<ZIP>\Xeyond.class : infected Trojan.Java.Femad
./001F9DD3:<ZIP>\Worker.class : infected Trojan.Java.Femad
./001F9DD3:<ZIP>\VerifierBug.class : infected Trojan.Java.Femad
./001F9DD3:<ZIP>\Gummy.class : infected Exploit.ByteVerify
./001F9DD3:<ZIP>\Counter.class : infected Trojan.Java.Femad
- contain viruses : 14      -  infected   : 33      - infected    : 14
```

Файлы отослал в вирлаб DrWeb, ответили, что 



> Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
> Trojan.MulDrop.2526


Т.е. из всего выше приведённого, аналитики DrWeb добавили только этот троян.
К сожалению, проверить сколько файлов детектиться сейчас не могу: база ещё не вышла с этой сигнатурой.

О результатах сообщу позже. Может и выложу найденное (но врятли).

----------


## Dimka

> Файлы отослал в вирлаб DrWeb, ответили, что 
> 
> 
> 
> 
> 
> 
>  Сообщение от [email protected]
> 
> ...


Э-э-э... Даже не глядя на файлы:


```
./000F2B43:<CAB>\istactivex.dll : infected Trojan-Downloader.Win32.IstBar.gen
```

- это точно Trojan-Downloader.Win32.IstBar.gen, ну ладно, насколько я знаю, Adware-базы у Веба сейчас в состоянии беты.


```
./000D9068:<CHM>\load.exe : infected Backdoor.Win32.Haxdoor.cn
./000D9068:<CHM>\x.htm : infected Exploit.HTML.CodeBaseExec
```

- это явно эксплоит одной из уязвимостей MS IE, кулхацкеры даже не утруждают себя изменить имя EXE-файла, и я на 100% уверен, что load.exe - это и есть троян.


```
./000DCEE5:<CHM>\MegaInstaller.exe : infected Trojan.Win32.StartPage.rn
```

- EXEшник в CHMке, да еще с таким названием? Тоже наводит не нехорошие мысли...
Я думаю, стОит последить некоторое время, за тем, как Веб будет реагировать на эти файлы. Подозреваю, что через некоторое время аналитики все-таки до них доберутся и вставят в базы.

----------


## umask

> Э-э-э... Даже не глядя на файлы:
> <cut>
> Я думаю, стОит последить некоторое время, за тем, как Веб будет реагировать на эти файлы. Подозреваю, что через некоторое время аналитики все-таки до них доберутся и вставят в базы.


Я и не спорю...
Да, про документация для icapd я немного ошибся: файл проглядел...

Приношу свои извинения.

Но всё равно, про упомянутое не забывайте...

И неплохо было бы icap держать тоже в /opt/vba, imho.

Попробую вечером\ночью поставить Ваш icap.

----------


## umask

Кстати, на форуме DrWeb появился коммент одного из представителей - Павла Ершова.
Стало известно, что с выходом 4.33 планируеться выход http-proxy для windows с поддержкой проверки антивирусом.

В приватной беседе с одим из разработчиков UNIX, тот упомянул про работу над новым проектом.
Что за проект пока не известно, но это что-то совершенно новое. Ждём новостей.

----------


## serge

> И тем не менее, по эвристику - много вопросов. Как антивирус с хорошим эвристиком, VBA у меня живёт. База несколько отличная от других.


По эвристике постараюсь ответить на вопросы. Есть 4 варианта настройки эвристики:
*-ha=0* (отключен), 
*-ha=1* (оптимален) - самый быстрый режим работы, почти не замедляет быстродействия, 
*-ha=2* (максимален) - работает медленнее, ловит больше, 
*-ha=3* (избыточен) - работает еще чуть медленнее, плюс заметно выше вероятность ложных тревог. 

Ключ *-ha=3* рекомендуется только для опытных пользователей и только с обязательной отправкой файлов на анализ. Принимать решения самостоятельно не рекомендуется, поскольку в этом режиме высока вероятность ложных срабатываний эвристики. Все "ненадежные" сообщения эвристики имеют суффикс "(paranoid heuristics)", поэтому их легко отличить от всех остальных.

И это все. Ключ -heuristics_test является недокументированным и его использование крайне не рекомендуется, особенно если пользователь не понимает, что он делает. Я уже тут спрашивал: откуда взята информация о данном ключе? Ответа пока нет. Но, похоже, придется просто его переименовать в одной из следующих версий, чтобы решить проблему раз и навсегда.

Надеюсь, теперь все вопросы касательно эвристики прояснились  :Smiley: 




> Но более ничего примечательного, по крайней мере для себя я не увидел.


Задача антивируса - ловить вирусы и прочие нехорошие файлы, плюс еще все это должно быть удобным в использовании и настройке и оптимальным образом использовать ресурсы компьютера (не тормозить). Насчет примечательного, вспомнилось описание из соседней ветки:  :Smiley: 



> Тут еще под горячую руку попал *BPS Spyware & Adware Remover (Spyware Striker)*. Продукт внушительного размера, в верхней части окна крутится мультик - летает дракон (явно с несварением желудка) и вертолет (с борта которого палят по дракону). Такое детство я не наблюдал ни в одном из изученных продуктов ...





> О результатах сообщу позже. Может и выложу найденное (но врятли).


Подводим итоги. Если исключить результаты, полученные с использованием ключей -heuristics_test и -pm, эвристик показал очень неплохие результаты и нашел довольно много настоящей заразы, о 'склонен полагать, что 100% из "работы" эвристика - ложные срабатывания.' в данном случае не может быть и речи. Поскольку архив довольно большой, полный анализ его содержимого займет некоторое время (как у нас, так и у DrWeb). Полную статистику по данному архиву и оценку эффективности работы эвристика в данном конкретном случае, если нужно, приведем позже.

Похоже, у вас там настоящий Клондайк в плане новых вирусов и троянов  :Smiley:  Так что дальнейшее тесное сотрудничество, возможно, было бы полезным и нам и вам. И еще, чтобы минимизировать размер архива с подозрительными файлами, можно запускать сканер vba с ключем *-collect_suspects*, в этом случае все подозрения эвристика будут запакованы в архив *susp.zip* с паролем *virus*, при этом в архив не попадают дубли одного и того же файла.

----------


## umask

> По эвристике постараюсь ответить на вопросы. Есть 4 варианта настройки эвристики:
> ...
> Надеюсь, теперь все вопросы касательно эвристики прояснились


Для меня вопросов и не было. Я _специально_ использовал максимально возможные по эффективности обнаружения настройки.




> Насчет примечательного, вспомнилось описание из соседней ветки:


Вы мне про "мультик" хотели сказать, да? ;-)
У меня linux дома стоит. Только под ним и работаю. Из графических и мультимедиа приблуд:
X.org + fluxbox, mplayer, mpg123, licq (ну как же без аськи... консольный клиент мне не нравиться), opera + firefox.
И антивируса нету вообще. Не нужен как-то, знаете ли.
Поэтому для меня _очень_ актуален сканер командной строки, если проводить испытания.




> Похоже, у вас там настоящий Клондайк в плане новых вирусов и троянов


Нет, не клондайк  :Smiley: ) это просто кешь сквида... раздел гигов на 40. Кажеться даже я его весь не проверил.... ну через недельку контент там измениться, запустим сканер ещё раз ;-). 500 пользователей.




> Так что дальнейшее тесное сотрудничество, возможно, было бы полезным и нам и вам.


Спасибо. Но тут скорее Вам, чем мне это нужно ;-) 
Антивирусы - моё хобби, поэтому бывает меня задвигает на пару дней влесть по уши в это дело. А иногда просто нет времени.
Помогу, чем смогу.




> И еще, чтобы минимизировать размер архива с подозрительными файлами, можно запускать сканер vba с ключем *-collect_suspects*, в этом случае все подозрения эвристика будут запакованы в архив *susp.zip* с паролем *virus*, при этом в архив не попадают дубли одного и того же файла.


В консольном сканере для Linux это поддерживается 100%?

Добавлено:
Да... проверил - работает. Только вот одно плохо - это зип-архив. Всё равно, не смотря на пароль, могут по пути убить файлик.

Добавлено:
Поставил vbaicapd, работает, конечно же... правда Squid я взял с последним патчём от DrWeb. Не хватает очень сильно карантина.
Кстати, а vbaicapd какие-то настройки эвристика понимает, если да, то как ему нормально их скормить? Не хватает карантина! Очень не хватает.
Если будет карантин+эвристик (причём карантины для инфекции и для подозрительных лучше сделать разные, и юзеру подозрительные что бы можно было отдавать с предупреждением... только это невозможно скорее всего), то на сервере покручу сколько-то.
Учитывая, что патченный DrWeb'овцами squid работает лучше всех дотупных (из icap-поддерживающих), но выпадает при большой нагрузке, на сколько меня хватит, столько и потестирую.

Из мыслей о структуре... У DrWeb очень хороша структура их решений для *nix и не только:
1. Движок и базы одни и теже для всех ОС.
2. В *никс имееться демон и клиенты для демона. Ну и сканер.
3. Нагрузку можно балансировать на несколько антивирусных серверов или держать один сервер с демоном антивируса, и множество компьютеров-клиентов, обращающихся к демону по сети.
4. и т.п. наработок у DrWeb много...

У ВБА пока не наблюдаю ничего похожего.

P.S. Не нужно говорить, что



> Задача антивируса - ловить вирусы и прочие нехорошие файлы, плюс еще все это должно быть удобным в использовании и настройке и оптимальным образом использовать ресурсы компьютера (не тормозить).


тут дело в другом: возможности разные, масштабируемость разная, имхо, у DrWeb показатели намного выше. Намного.
Про касперского и не говорю. Не пользую. И не хочу.
А что из "подобного" может предложить VBA?

----------


## azza

Ложняк VBA - h**p://install.wildtangent.com/bgn/partners/shockwave/polarbowler/install.cab

----------


## umask

Кстати, а лицензия Гостехкомиссии РФ у VBA есть?

----------


## Зайцев Олег

> Ложняк VBA - h**p://install.wildtangent.com/bgn/partners/shockwave/polarbowler/install.cab


Почему ложняк ?
AdWare.WildTangent собственной персоной, его инсталлер (я его SpyWare считаю ..., за то, что он скрытно висит в памяти, ведет обмен со своим сайтом, таскает и устанавливает апдейты ... Правда KAV детектирует только его EXE файлы ...).  Обитает эта штука в папке Windows\WT

----------


## Dr.Xmas

> Кстати, а лицензия Гостехкомиссии РФ у VBA есть?


нет. есть экпертное заключение Государственного Центра Безопасности Информации РБ (это аналог вашей Гостехкомиссии, между этими организациями тесная связь и сотрудничество). Есть сертификат качества нашей национальной системы сертификации.

----------


## umask

> нет. есть экпертное заключение Государственного Центра Безопасности Информации РБ (это аналог вашей Гостехкомиссии, между этими организациями тесная связь и сотрудничество). Есть сертификат качества нашей национальной системы сертификации.


Это скорее маленький плюс...  :Smiley: 
Вопрос не в тесном сотрудничестве, а в том, что многие госструктуры уже "обречены" на использование средств сертифицированных только Гостехкомиссией РФ. Некоторые "поддерживают" отечественных производителей, коих хватает.

Хорошо, что "сотрудничают": не такие жёсткие рамки.

----------


## Dr.Xmas

> Это скорее маленький плюс... 
> Вопрос не в тесном сотрудничестве, а в том, что многие госструктуры уже "обречены" на использование средств сертифицированных только Гостехкомиссией РФ. Некоторые "поддерживают" отечественных производителей, коих хватает.
> 
> Хорошо, что "сотрудничают": не такие жёсткие рамки.


это известный факт. у нас тоже многие госструктуры предпочитают устанавливать национальный антивирус. здесь вопрос в другом: в России действительно разрабатываются (и конкурируют между собой) очень сильные антивирусы. даже если бы мы получили лицензию Гостехкомиссии, вопросы конкурентной борьбы стояли бы очень остро.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## SDA

Незнаю, как по времени (частота) обновляется VBA (любопытно узнать), Веб на 04.09.05 - 15.45 по московскому  времени - последнее обновление 02.09.05 23.42., выходные, что ли мешают. Немного не по теме антивирусов, Каспер обновляется практически через каждые 3 часа (я не беру в счет эпидемии, там частота идет еще быстрее).

----------


## umask

> Незнаю, как по времени (частота) обновляется VBA (любопытно узнать), Веб на 04.09.05 - 15.45 по московскому  времени - последнее обновление 02.09.05 23.42., выходные, что ли мешают. Немного не по теме антивирусов, Каспер обновляется практически через каждые 3 часа (я не беру в счет эпидемии, там частота идет еще быстрее).


Да, это недостаток DrWeb - в выходные обновления не часты.
Но, если попадаеться серьёзная зараза, они как ни странно выходят и в выходные.

----------


## Dr.Xmas

> Незнаю, как по времени (частота) обновляется VBA (любопытно узнать), Веб на 04.09.05 - 15.45 по московскому  времени - последнее обновление 02.09.05 23.42., выходные, что ли мешают. Немного не по теме антивирусов, Каспер обновляется практически через каждые 3 часа (я не беру в счет эпидемии, там частота идет еще быстрее).


как правило, у нас обновления выходят 2 раза в сутки: примерно в 16-17 по Минску и потом глубокой ночью. дело в том, что мы в Беларуси позиционируемся как антивирус для органов госуправления, поэтому тестирование апдейтов тщательное и занимает сейчас 3 - 3.5 часа. технически выпускать апдейты чаще нет никаких проблем, но рисковать как-то не сильно хочется  :Wink:

----------


## Xen

Хочу высказаться по поводу ВБА32...

Какого [censored] эта [censored] делает на моей рабочей машине после якобы корректного анинсталла и ребута? [censored]! Мне что, теперь вручную чекать каждый драйвер на его принадлежность к пакету? Или ставить продукт заново, чтобы отследить, что именно он прописывает?

В обычных обстоятельствах я бы так и поступил, но ввот в данный конкретный момент Вба устроил мне ОЧЕНЬ большое западло.

Не могу считать его ничем иным, как спайварем, нах.

Может, кто-нибудь подскажет, какой драйвер мог остаться от монитора?

----------


## Xen

Соответственно, в текущем варианте его нельзя тестировать и использовать, если планируется переход на другой антивирус, установка файрвола или специфичных драйверов во избежание конфликтов в системе.

----------


## Iceman

Xen, всё должно удаляться нормально. Делал анинстал не раз и не два. На всякий случай, сообщил разработчикам.

----------


## Dimka

> Хочу высказаться по поводу ВБА32...
> 
> Какого [censored] эта [censored] делает на моей рабочей машине после якобы корректного анинсталла и ребута? [censored]! Мне что, теперь вручную чекать каждый драйвер на его принадлежность к пакету? Или ставить продукт заново, чтобы отследить, что именно он прописывает?
> 
> В обычных обстоятельствах я бы так и поступил, но ввот в данный конкретный момент Вба устроил мне ОЧЕНЬ большое западло.
> 
> Не могу считать его ничем иным, как спайварем, нах.
> 
> Может, кто-нибудь подскажет, какой драйвер мог остаться от монитора?


Подробности, пожалуйста. Что осталось после разинсталляции, какие драйвера?
Если неизвестно, "какой драйвер мог остаться от монитора", то по каким признакам Вы сделали вывод, что что-то осталось и оно именно от Vba32?

----------


## Geser

> Подробности, пожалуйста. Что осталось после разинсталляции, какие драйвера?


Вообще говоря полезно иметь утилитку которая вычищает следы антивируса если анинстал не отработал как нужно.

----------


## anton_dr

У меня на днях было то же самое. Чистил потом хвосты с помощью AVZ - оставалось куча ключей в реестре и сервисы, причем один из них работал.
К сожалению, рег файл потер уже  :Sad: 
А последствия были таковы.  Не работал интернет и сеть.
АВЗ нашел ошибки в SPI/LSP. И все заработало.

----------


## Xen

Система вин2к сп2, до Вба никакого антивируса не устанавливалось, после деинсталляции остался какой-то драйвер монитора (не спрашивайте меня, какой именно, не было времени выяснить), симптомы: при попытке открытия файла, идентифицируемого как вирус, раздается бип и доступ обламывается.

Может предыдущие постинги я писал под влиянием эмоций, но уж точно не без причины...

----------


## Dimka

> Система вин2к сп2, до Вба никакого антивируса не устанавливалось, после деинсталляции остался какой-то драйвер монитора (не спрашивайте меня, какой именно, не было времени выяснить), симптомы: при попытке открытия файла, идентифицируемого как вирус, раздается бип и доступ обламывается.
> 
> Может предыдущие постинги я писал под влиянием эмоций, но уж точно не без причины...


Проверка файлов осуществляется в Ring3, антивирусное ядро с базами находится в каталоге, куда устанавливалась программа (по умолчанию - %PROGRAMFILES%\Vba32), если его там нет, то вирусы обнаруживать просто некому, поэтому драйвер ничего блокировать не может, и уж тем более он не издает никаких "бипов". Я не утверждаю, что подобной ситуации не может быть в принципе, всякое может случиться (хотя с такими проблемами мы не сталкивались), но в любом случае хотелось бы иметь немного больше информации, чем "раздающиеся бипы".

----------


## Xen

Отребутился еще раз, ситуация нормализовалась...

----------


## Iceman

Так что было-то?

----------


## Xen

Вот сам гадаю, эх, жаль, логгирование не поставил...

----------


## Lamazz

Здесь хорошо видно, что лучше 

http://virusinfo.info/attachment.php...0&d=1199339206

----------


## Макcим

Да, детект у VBA упал, что называется ниже плинтуса  :Sad:  Непонятно только почему.

----------


## alexx2156

> Здесь хорошо видно, что лучше 
> 
> http://virusinfo.info/attachment.php...0&d=1199339206


Здесь Вы простых юзеров вводите в заблуждение.



> Да, детект у VBA упал, что называется ниже плинтуса


Вовсе не упал.



> Непонятно только почему.


Не верная методика исследования. По этому графику можно судить только о том, что в данный период времени одни антивирусы могут видеть зловред, а другие нет и не более. Говорить о чем-то большем было бы ошибочно.

P. S. Отдам свой голос за VBA32.

----------


## ALEX(XX)

> Здесь вы простых юзеров вводите в заблуждение.


Просветите, в чём заблуждение?

----------


## alexx2156

> Просветите, в чём заблуждение?


Ответил выше.

----------


## Lamazz

> Не верная методика исследования. По этому графику можно судить только о том, что в данный период времени одни антивирусы могут видеть зловред, а другие нет и не более. Говорить о чем-то большем было бы ошибочно.
> 
> P. S. Отдам свой голос за VBA32.


Я наивно полагал, что основная задача антивирусной программы = _вовремя суметь увидеть зловре_д. Вы, возлагаете на антивирусник другие задачи? Или хотите сказать, что правильнее поставить бал выше программе пропустившей свежий зловред?

У VBA пропусков предостаточно. Намного больше чем у Dr.Web

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Groft

Думаю это это не так
Лично у меня, веб пропускает НАМНОГО больше вирусов, чем вба

... из личного опыта

----------


## borka

> Лично у меня, веб пропускает НАМНОГО больше вирусов, чем вба


Может, он у Вас не настроен?

----------


## Groft

> Может, он у Вас не настроен?

----------

