PDA

Просмотр полной версии : Бета-тестирование антивируса "ВирусБлокАда"



Страницы : [1] 2 3 4

Dr.Xmas
15.10.2004, 11:46
Тут только о бета-тестировании.
Обсуждение антивируса тут: http://virusinfo.info/index.php?board=18;action=display;threadid=88
Записаться в бета тестеры можно тут: http://anti-virus.by/download/beta/



Кстати. Можно когда выходит новая бета писать что изменилось, что бы знали что тестировать?

хорошо, будем публиковать. до сих пор пока народ не сильно интересовался. в ближайшем времени открываем у себя на сайте форум, и сюда будем постить. пока такая просьба: в последних базах реализована новая эвристика по PE (Win32) вирусам. если не затруднит, погонять где возможно сканер Vba32w.exe [path] /ha /r=
и если будут сообщения "похож" на нормальные файлы, выслать их нам

Geser
15.10.2004, 12:09
пока такая просьба: в последних базах реализована новая эвристика по PE (Win32) вирусам. если не затруднит, погонять где возможно сканер Vba32w.exe [path] /ha /r=
и если будут сообщения "похож" на нормальные файлы, выслать их нам

А если в интерфейсе настраивать, то какие должны быть установки?

Geser
15.10.2004, 18:20
Ок, просканировал комп с максимальным уровнем эвристика. В настройках стоит при нахождении подозрительных файлов спрашивать что делать. Однако почти всегда никакого запроса не выдавалось.
Когда были найдены вирусы в почтовых базах, есть только опция лечить или пропустить. А где опция удалить? И почему нет опции сделать резервную копию?

Minos
15.10.2004, 18:47
пока такая просьба: в последних базах реализована новая эвристика по PE (Win32) вирусам. если не затруднит, погонять где возможно сканер Vba32w.exe [path] /ha /r=
и если будут сообщения "похож" на нормальные файлы, выслать их нам

Не понял только где его взять ;)? У меня сканер есть, но он по всей видимости, в Vba32w.dll, находится. Exe файлов с таким именем нет.

serge
15.10.2004, 21:31
Не понял только где его взять ;)? У меня сканер есть, но он по всей видимости, в Vba32w.dll, находится. Exe файлов с таким именем нет.

В Vba32w.dll находится антивирусное ядро, которое используется сканером, монитором и другими компонентами комплекса. Vba32w.exe - консольный сканер. Скорее всего инсталлирована Personal-версия, в которой нет консольного сканера. Ничего страшного, можно запустить и GUI-сканер с настройками эвристического анализа по максимуму и включенным ведением файла отчета.

Minos
15.10.2004, 22:07
Полная версия - это для рабочих станций? Т.е. нужно скачать и поставить версию для рабочих станций, затем обновиться из бета-раздела и получится полная версия? Чем отличается personal от Workstation? Надо бы сравнительную табличку на сайте выложить.

Geser
16.10.2004, 20:56
В настройках почтового фильтра можно или лечить или переместить. Было бы неплохо если бы можно было лечить, и создавать резервную копию.

HA
20.10.2004, 13:29
В настройках почтового фильтра можно или лечить или переместить. Было бы неплохо если бы можно было лечить, и создавать резервную копию.

Эта настройка была бы полезна в основном для тестирования. Для защиты конечного пользователя действительно не предусмотрена, т.к. считаем это излишним. Почтовые сообщения, чаще всего, не являются чрезмерно ценными и "не восполнимыми", а обезвреживание РОР3-фильтр проводит достаточно корректно. За предложение: Спасибо.

HA
20.10.2004, 14:03
Чем отличается personal от Workstation? Надо бы сравнительную табличку на сайте выложить.

В комплектацию для рабочих станций входит наиболшее количество компонентов. Для тестирования она наиболее удобна (кроме случаев, когда тестируются функциональность и работоспособность серверного монитора). Состав комлектаций:
Vba32.W - сканер и монитор с графическим пользовательским интерфейсом для Win -рабочей станции, расширение меню Проводника, консольные сканеры для DOS и Win32, РОР3-фильтр, скрипт-фильтр, плагин для TheBat!, MS Outlook-модуль,
Vba32.P - сканер и монитор с графическим пользовательским интерфейсом для Win – локального ПК, расширение меню Проводника, консольный сканер для DOS, РОР3-фильтр, скрипт-фильтр, плагин для TheBat!, MS Outlook-модуль.
Vba32.NT.S - сканер и монитор с графическим пользовательским интерфейсом для WinNT – сервера, расширение меню Проводника, консольные сканеры для DOS и Win32.

Geser
20.10.2004, 19:12
Прошу обрартить внимание на пост #2, а так же хотелось бы сказать что не хватает нормального карантина. То что есть очень неудобно :(

maXmo
23.10.2004, 00:14
с UI-based virus reportoм
ЗЫ извиняюсь за выражение ::)

Dr.Xmas
11.11.2004, 19:01
в сегодняшней ежедневной базе для бета-тестеров выложена экспериментальная база по эвристике. если есть возможность, потестируйте, плз.

Geser
13.11.2004, 02:01
С максимальным уровням эвристика нашёл десяток подозрителных файлов среди чистых. Отправлять? И куда?

userr
14.11.2004, 15:19
Нельзя ли для тестирования выложить минимальный набор - консольный сканер, ядро и базы?

Dr.Xmas
15.11.2004, 11:38
С максимальным уровням эвристика нашёл десяток подозрителных файлов среди чистых. Отправлять? И куда?

если суммарный размер файлов большой, можно куда-нибудь выложить и мне дать ссылку, я скачаю. можно на [email protected] с паролем

Dr.Xmas
15.11.2004, 11:40
Нельзя ли для тестирования выложить минимальный набор - консольный сканер, ядро и базы?

можно, сейчас сделаем. я напишу отдельным письмом

serge
15.11.2004, 16:19
Более подробная информация об обновленной эвристике в свежих бета-версиях (взята из списка рассылки для бета-тестеров):


Уважаемые бета-тестеры!

В последних бета-версиях комплекса выложена экспериментальная база по эвристике. В базу добавлены записи для распознавания модификаций и новых версий более тысячи семейств самых разнообразных вредоносных программ (они пока даже не классифицируются по именам, а определяются как 'new.?', где ? - числовой индекс).

Общий принцип действия эвристики - имеется некий робот, которому для анализа выдаются две группы файлов: одна содержит вредоносные программы, другая - обычные файлы. Задача робота - найти характерные признаки (мы называем их 'алгоритмическими сигнатурами'), которые встречаются во вредоносных программах, но которых нет в "хороших". По результатам работы данного робота получается база, используя которую, комплекс Vba32
может находить вредоносные программы и их модификации, но при этом избежать ложных срабатываний на нормальных файлах.

По результатам тестирования, уже даже сейчас среди присланных бета-тестерами файлов обнаруживается целая куча новых модификаций троянов и других вредоносных программ, хотя и ложных срабатываний пока многовато. Но данная база сейчас пока является экспериментальной, количество новых записей достаточно большое, так что это нормально.

Для того, чтобы исключить ложные срабатывания, робота нужно обучать и пополнять его коллекцию "хороших" файлов. Вот тут нам очень пригодится помощь бета-тестеров. Пожалуйста включите максимальный уровень эвристики, установите настройку "делать копии подозрительных файлов" и запустите сканер на проверку всех дисков. Собранные файлы пожалуйста присылайте на [email protected] или, если их очень много, просто напишите письмо с описанием ситуации и списком файлов, мы попробуем придумать, как их забрать.

PS. Как вы возможно помните, одним из условий бета-тестирования является информирование разработчиков об ошибках в программе (или если ошибок совсем не обнаружено, то хотя бы отзыва). Так что присылка ложных срабатываний по новой эвристике, это отличная возможность продлить бета-ключ :)

Geser
15.11.2004, 16:34
Понятно что при обучении на "хороших" программах робот перестанет реагировать и на часть плохих. Конечно это неизбежно, т.к. антивирус не должен иметь большого количества ложных срабатываний.
Однако я думаю многие продвинутые пользователи были бы заинтересованы в утилитке, у которой в базе данных только характерные для вредоносных программ алгоритмические сигнатуры, которую можно запустить и получить список всех подозрительных файлов, а потом уже разбираться самому кто есть кто.

serge
15.11.2004, 18:11
Понятно что при обучении на "хороших" программах робот перестанет реагировать и на часть плохих. Конечно это неизбежно, т.к. антивирус не должен иметь большого количества ложных срабатываний.

Да, верно, после расширения списка "хороших" программ, может получиться так, что какая-то вредоносная программа перестает детектироваться. Но это обычно бывает только для тех троянов, которые содержат очень мало кода (например, только сотня-другая байт у downloader'ов). Там просто практически не за что "зацепиться" и есть вероятность, что такой же фрагмент кода может встретиться и в нормальной программе. Но для относительно больших троянов (10 и более KB), обычно робот всегда может найти уникальные фрагменты кода, по которым можно проводить детектирование.



Однако я думаю многие продвинутые пользователи были бы заинтересованы в утилитке, у которой в базе данных только характерные для вредоносных программ алгоритмические сигнатуры, которую можно запустить и получить список всех подозрительных файлов, а потом уже разбираться самому кто есть кто.

Попробую объяснить, откуда берутся ложные срабатывания эвристики.

Например, мы имеем трояна, написанного на Delphi. Чистый код самого трояна будет совсем небольшим, остальной код берется из стандартных библиотек, использованных дополнительных компонент и библиотек, которые можно скачать на разных Delphi-девелоперовских страничках, а также фрагментов кода, один в один скопированных откуда-нибудь (например example по скачиванию файла, используя http-протокол). Робот, выбирая сигнатуры, может посчитать какую-нибудь редко распространенную библиотеку характерным кодом трояна и детектировать как подозрения все файлы, ее использующие. Пока такие нормальные файлы не попадут в нашу коллекцию "хороших" файлов, будут неизбежны ложные срабатывания. Это все напоминает процесс обучения спам-фильтра.

Насколько я понимаю, более продвинутым пользователям интересен "сверхмаксимальный" уровень эвристики, для которого порог срабатывания выставлен так, что чувствительность максимальна. В таком режиме будут просто неизбежны ложные срабатывания, но это позволит составить список файлов для дальнейшего анализа уже человеком. Кстати, в нашем консольном сканере есть недокументированный ключик командной строки /heuristics_test, который устанавливает именно данный режим эвристики. Но его пока рано использовать на данном этапе тестирования бета-версии, поскольку там сейчас и в обычном (точнее максимальном) режиме ложных срабатываний хватает :)

Geser
16.11.2004, 12:58
Ок, я выслал с десяток файликов.

maXmo
17.11.2004, 18:31
а что слышно по поводу баг-трекера? он будет? не актуально? А то я с полпинка уже 11й баг-репорт пишу.

17.11.2004, 19:35
можно, сейчас сделаем. я напишу отдельным письмом


Уже можно где-нибудь скачать?

serge
17.11.2004, 19:59
Уже можно где-нибудь скачать?

Завтра заканчиваем внутреннее тестирование очередного экспериментального апдейта по эвристике. Исправлены ложные срабатывания на файлах, которые были выявлены на данный момент и присланы бета-тестерами. Добавлено много новых записей эвристики, так что ложные срабатывания скорее всего еще будут :) Но их уже должно быть намного меньше.

Как только все будет готово, выложим апдейт для бета-версии и отдельный архив с консольным сканером.

drongo
17.11.2004, 20:11
есть надежда на версию (монитором ,сканером , апдейтом) с возможностью установки без шедуллера ??? надежда умирает последней ;D

serge
18.11.2004, 12:09
есть надежда на версию (монитором ,сканером , апдейтом) с возможностью установки без шедуллера ??? надежда умирает последней ;D

А зачем? Если шедулер не нужен или мешает работе, его можно просто отключить, убрав птичку 'периодическое обновление' в настройках. Или есть какие-то существенные причины для создания именно такой версии кроме 'идеологических'? ;)

serge
18.11.2004, 19:27
Завтра заканчиваем внутреннее тестирование очередного экспериментального апдейта по эвристике. Исправлены ложные срабатывания на файлах, которые были выявлены на данный момент и присланы бета-тестерами. Добавлено много новых записей эвристики, так что ложные срабатывания скорее всего еще будут :) Но их уже должно быть намного меньше.

Как только все будет готово, выложим апдейт для бета-версии и отдельный архив с консольным сканером.

Все, апдейт готов, можно обновляться и тестировать.

Бета-версию консольного сканера можно скачать здесь (http://www.anti-virus.by/download_files/vba32-console-scanner-beta-20041118.zip).

Для облегчения процесса сбора подозрительных файлов, в архиве с консольным сканером есть бат-файл heuristics-test.bat и подкаталог test-tools. Этот бат-файл запускает консольный сканер на проверку всех дисков, создает файл отчета, находит в отчете подозрительные файлы и запаковывает их в rar-архив susp.rar с паролем virus. Далее с этим архивом уже можно разбираться, что есть настоящий троян, а что - ложное срабатывание эвристики. В любом случае, нам бы хотелось посмотреть на эти собранные файлы. Если батник не утащил в архив ничего секретного и размер архива не очень большой, пожалуйста пришлите его нам на [email protected]

userr
19.11.2004, 14:37
Такое впечатление, что ключи
/AR[+|-] - включение обработки файлов в архивах;
/AD[+|-] - удаление архивов, содержащих инфицированные файлы;
и
/ML[+|-] - проверка почты;
/MD[+|-] - удаление писем с инфицированными файлами;
соответственно не вполне совместимы. Когда запускаешь с ключами /ar+ /ad- /ml+ /md- архивы и почта не проверяется. К счастью, при запуске только с /ar+ /ml+ ничего не удаляется :)

serge
19.11.2004, 15:16
Такое впечатление, что ключи
/AR[+|-] - включение обработки файлов в архивах;
/AD[+|-] - удаление архивов, содержащих инфицированные файлы;
и
/ML[+|-] - проверка почты;
/MD[+|-] - удаление писем с инфицированными файлами;
соответственно не вполне совместимы. Когда запускаешь с ключами /ar+ /ad- /ml+ /md- архивы и почта не проверяется.
Спасибо, похоже действительно есть баг с разбором ключей командной строки. Судя по всему, ключ /ad- сейчас вообще отключает проверку архивов, а /md- отключает проверку почтовых баз и почтовых сообщений соответственно. Будем исправлять.


К счастью, при запуске только с /ar+ /ml+ ничего не удаляется :)
Верно, удаление чего-либо, это такая вещь, которую делать без явной команды совершенно нельзя. Так что это не счастье, а вполне нормальное явление :)

maXmo
19.11.2004, 17:30
ImageReady.exe 8.0.0.117 en из пакета Adobe Photoshop CS попал под раздачу: ImageReady.exe : is suspected of new.1171, он весит 18 метров, что бум делать?

Dr.Xmas
19.11.2004, 17:35
ImageReady.exe 8.0.0.117 en из пакета Adobe Photoshop CS попал под раздачу: ImageReady.exe : is suspected of new.1171, он весит 18 метров, что бум делать?

через час будет свежая версия. если само не отвалится, будем искать этот файлик сами

maXmo
19.11.2004, 17:42
возможно, не понадобится, там на плагин подобное подозрение, его я отошлю, если не отвалится, может быть, с его помощью можно будет пофиксить и ничего не искать... ого!.. полезло!!! аа... это он на мой временный карантин наткнулся, да и на свой, видать, тоже. ;D

serge
19.11.2004, 20:37
Выложено очередное обновление бета-версии. Исправлен баг с разбором ключей командной строки и ложные срабатывания эвристики на присланных бета-тестерами файлах.

Архив с обновленной консольной версией можно скачать здесь:
http://www.anti-virus.by/download_files/vba32-console-scanner-beta-20041119.zip

Geser
19.11.2004, 21:17
А из архивов подозрительные файлы вытаскивать он не умеет :(

serge
20.11.2004, 01:52
А из архивов подозрительные файлы вытаскивать он не умеет :(

Да, верно, вспомогательный батник для сбора файлов довольно примитивный, писался за несколько минут :)

Вообще говоря, если ставить цель искать живущие в системе неизвестные трояны, то лазить по архивам и не обязательно. Если же искать ложные срабатывания эвристики, то тут действительно неплохо бы автоматизировать сбор таких файлов. Много уже нашлось? ;)

Если развивать это дело дальше, то можно будет добавить недокументированный ключик в сам консольный сканер, чтобы он мог собирать подозрительные файлы независимо от того, как глубоко они запакованы в архивах или почтовых базах.

Geser
20.11.2004, 11:02
Если же искать ложные срабатывания эвристики, то тут действительно неплохо бы автоматизировать сбор таких файлов. Много уже нашлось? ;)


Нашлось немножко, но почти всё в архивах :(

serge
22.11.2004, 20:31
Выпущен очередной апдейт бета версии. Как обычно, исправлен ряд ложных срабатываний эвристики :)

Из интересного: в консольном сканере добавлен новый недокументированный ключ командной строки /collect_suspects специально для сбора подозрительных файлов. Так что теперь программа может автоматически собирать и складывать в архив susp.zip подозрительные файлы даже из проверяемых архивов и почтовых баз. Подробности описаны в файле 'readme.txt', который теперь тоже добавлен в архив с консольным сканером.

Линк для скачивания свежего консольного сканера:
http://www.anti-virus.by/download_files/vba32-console-scanner-beta-20041122.zip

Просьба к бета-тестерам та же, что и раньше: распакуйте архив и запустите батник 'heuristics-test.bat', после этого созданный программой архив с подозрительными файлами пришлите нам на [email protected]

Iceman
23.11.2004, 11:56
А каков объём ящика? У меня на 130Мб файлов насобирал ;D. И почему heuristics-test-paranoid.bat параллельно лог или листинг не генерит?

Dr.Xmas
23.11.2004, 12:06
А каков объём ящика? У меня на 130Мб файлов насобирал ;D.

ящик-то выдержит, но не хотелось бы напрягать многоуважаемого сэра. есть возможность куда-нибудь выложить? мы бы качнули быстренько

serge
23.11.2004, 12:13
А каков объём ящика? У меня на 130Мб файлов насобирал ;D. И почему heuristics-test-paranoid.bat параллельно лог или листинг не генерит?

А без paranoid какой размер получается? ;)

Листинг можно получить по самому архиву, который получился в результате. Через 7-zip это делается так: '7z l susp.zip > susp.lst'.

Можно еще попробовать распаковать архив и разобраться с ним персонально, т.е. запустить на собранные файлы сканер со включенным ведением файла отчета. А далее - выбрать из всего этого набора уже самые интересные файлы.

К следующей версии добавим в батник ключ командной строки для ведения отчета, действительно он бы пригодился (/r=susp.rpt). А пока его каждый может добавить вручную.

Iceman
23.11.2004, 12:14
Не владею данным направлением деятельности - подскажите куда, выложу.

serge
23.11.2004, 12:42
Можно еще попробовать распаковать архив и разобраться с ним персонально, т.е. запустить на собранные файлы сканер со включенным ведением файла отчета. А далее - выбрать из всего этого набора уже самые интересные файлы.

Имеется в виду - собрать каждой твари по паре :) Т.е. если, например, собрано 100 файлов, похожих на new.123, достаточно прислать нам один из таких файлов. Если это ложное срабатывание, то после следующего апдейта, скорее всего, его больше не будет для всех файлов из этой группы.

Iceman
23.11.2004, 21:26
Мне не удаётся получить файл -LST (список файлов). Запускаю сканер батником heuristics-test-paranoid.bat + вписал туда ключ /L+... Что делать?

24.11.2004, 00:21
А нельзя ли выкадывать консольную версию на ftp или на http, который поддерживает докачку?

serge
24.11.2004, 11:57
Мне не удаётся получить файл -LST (список файлов). Запускаю сканер батником heuristics-test-paranoid.bat + вписал туда ключ /L+... Что делать?

Данный ключик предназначен для получения списка инфицированных файлов, для подозрительных он не сработает.

Попробуйте просто распаковать собранный архив susp.zip в какой-нибудь каталог и дальнейшие эксперименты проводить уже с этими файлами. Например, запустить сканер только на этот каталог с ведением файла отчета (/r=имя_файла).

Скоро выложим следующую версию, в которой постараемся учесть все вопросы которые возникли на данный момент :)

serge
24.11.2004, 12:01
А нельзя ли выкадывать консольную версию на ftp или на http, который поддерживает докачку?

Сервер, на который выкладываются консольные бета-версии, поддерживает докачку.
Какие именно возникли проблемы со скачиванием (чем качали, какое сообщение об ошибке получили)?

dmi
24.11.2004, 13:07
Случилась какая-то ерунда в моё отсутствие.
На Win 2003 Std, продукт vba32 для WinNT Server 3.10.0/02.08.2004/.
Прихожу на работу и вижу, что сканер вынесло к чертям (совсем), ладно, пытаемся востановить, а "фигушки", невозможно загрузить с http://www.anti-virus.by/beta/update/62c218f9.bin
Может вирус? Или болезни беты... ну с этим разберемся, а вот почему не грузит обновление? Оно вобще там есть, если есть - бум у себя разбираться...

dmi
24.11.2004, 13:11
И еще вопрос, чем radmin (версия 2.1) провинился, чтож вы его в базу-то, хорошая программа удаленного управления.

Dr.Xmas
24.11.2004, 13:18
И еще вопрос, чем radmin (версия 2.1) провинился, чтож вы его в базу-то, хорошая программа удаленного управления.

обычно ситуация такая. клиент присылает файл и пишет: "Касперский уже вставил и детектит, а вы не детектите. Плохая программа". что-то объяснить или доказать невозможно. как и у Касперского, RAdmin детектится как Riskware. сейчас потихоньку подчищаем самые популярные утилиты из базы.

Dr.Xmas
24.11.2004, 13:19
Случилась какая-то ерунда в моё отсутствие.
На Win 2003 Std, продукт vba32 для WinNT Server 3.10.0/02.08.2004/.
Прихожу на работу и вижу, что сканер вынесло к чертям (совсем), ладно, пытаемся востановить, а "фигушки", невозможно загрузить с http://www.anti-virus.by/beta/update/62c218f9.bin
Может вирус? Или болезни беты... ну с этим разберемся, а вот почему не грузит обновление? Оно вобще там есть, если есть - бум у себя разбираться...

можно ли нам взглянуть на файл Vba32Ldr.log? можно на [email protected]

dmi
24.11.2004, 13:43
Еще вопросик, но уже по плагину для MDaemon'a. Он в логах кроме своих настроек еще что-то должен писать или нет? И где смотреть если нет? работает совместно с родным антивирусом(2.2.7), в настройках стоит детальный лог. Сообщения не помечает. У почтовика пишет в системном логе что очередь обрабатывается (но что-то я в этом сумлеваюсь). В настройках обработки очереди (у почтовика же) пришлось поставить галку чтоб пустую не обрабатывал (очередь), иначе лог растет лавинообразно. Еще не понятно сервис должне быть на автозапуске или ручном. По умолчанию он в ручном, в инструкции "написано запустите его" - так это его надо каждый раз руками запускать или он как-то сам (от диспетчера например) или на авто его (сейчас стоит на авто).

userr
25.11.2004, 17:11
Удалось получить от vba32 подарочек - Vba32Err.dmp 33 535 831 b :) Судя по времени создания файла, сканер в этот момент не вырубился, продолжал работать и нормально закончил работу. Может быть, это не удалился временный файл, как бывает у DrWeb?

userr
25.11.2004, 17:30
Удалось получить от vba32 подарочек - Vba32Err.dmp. Может быть, это не удалился временный файл, как бывает у DrWeb?

скорее это дамп памяти

Dr.Xmas
25.11.2004, 17:43
скорее это дамп памяти

это crash-дамп. если заархивировать с максимальным уровнем сжатия, сколько получится? нам такие файлы интересны

Dr.Xmas
26.11.2004, 14:15
последняя версия консольного сканера доступна здесь http://www.anti-virus.by/download_files/vba32-console-scanner-beta-20041125.zip. по техническим причинам дополнения по свежим троянам и вирусам чуть запаздывают по сравнению с релизом, приносим свои извинения. уже есть автоматическая обновлялка именно для консоли, но нестабильно работает, пофиксим в ближайшие дни.

maXmo
26.11.2004, 18:41
а вот я гуёвым сканером пользуюсь, вы их вместе обновляете или как?

Dr.Xmas
26.11.2004, 18:51
а вот я гуёвым сканером пользуюсь, вы их вместе обновляете или как?

обычно вместе, но сейчас гуйня потянет последний апдейт, который совпадает с релизным, а в архиве с консолью лежит экспериментальный для тестов эвристики. к понедельнику починим эвристику (слегка завалили), и опять они будут синхронными.

serge
26.11.2004, 19:22
... к понедельнику починим эвристику (слегка завалили) ...

Тут поправлю своего коллегу. Я бы так не сказал, что завалили, все идет по плану. Дело в том, что построение эвристики - достаточно сложная и ресурсоемкая вычислительная задача, сейчас она как раз в процессе. К понедельнику все скорее всего будет обсчитано, тогда и выложим новый апдейт :)

Geser
26.11.2004, 19:26
Очень не плохая опция была бы вытаскивать из архивов и почтовых баз так же и известных "зверей". очень удобно бывает :)

serge
26.11.2004, 20:41
Очень не плохая опция была бы вытаскивать из архивов и почтовых баз так же и известных "зверей". очень удобно бывает :)

Для сбора зверей в целях пополнения собственной коллекции? ;)

Данный недокументированный ключик мы делали специально для себя (а для кого же еще? ;) ). Известные вирусы нас уже не сильно интересуют, а подозрительные - как раз либо новые звери, либо ложные срабатывания. Ложные срабатывания фиксятся, а реальные трояны вставляются в базу. Таким образом в конце концов, возможно после нескольких итераций, на каждом отдельно взятом компе интересных для нас файлов не остается и сканер перестает вытаскивать что-либо. В результате процесс сходится.

Если начать собирать и вирусы тоже, то на реальных машинах из почтовых баз соберется столько всякого добра, что его забрать никак не получится. И те 130MB, которые собрал Iceman, по сравнению с этим покажутся просто мелочью :) Далее, при повторном запуске сканера не хотелось бы заново вытаскивать те файлы, которые уже были ранее собраны. Получается, что нужно что-то чуть более сложное. Есть идеи? Честно говоря, вероятность добавления какой-либо сложной фичи, которая нам самим бесполезна, очень невелика.

Geser
26.11.2004, 20:47
Для сбора зверей в целях пополнения собственной коллекции? ;)


Угу :)
Есть же уже такой ключик для подозрительных. Добавить такой-же для вирусов, мне кажется, дело нескольких минут. Мож и Вам пригодится когда-то :)

Geser
26.11.2004, 20:53
File G:\Download\vba32\update.bat is corrupted
File G:\Download\vba32\vbaupdx.exe is corrupted
Сбор подозрительных файлов завершен.
ECHO is on.
Теперь можно запустить bat-файл 'recompress-to-7z.bat' для того,
чтобы конвертировать архив с собранными подозрительными файлами
(susp.zip) в 7-zip формат (susp.7z) для лучшей степени сжатия
Press any key to continue . . .

:(

26.11.2004, 21:02
Аналогично.
Я скачиваю только консоль, соотвественно этих файлов у нея нет :(
Можно их где-то отдельно скачать?

serge
26.11.2004, 21:11
Эти файлы - та самая обновлялка, которую собирались добавить, но в самый последний момент убрали из-за обнаруженных в ней багов. Однако, похоже, забыли, что программа проверяет свою целостность при запуске и эти файлы включены в комплектацию :(

Как временное решение, можно добавить ключ /ic в батник, тогда программа будет игнорировать данную ошибку и продолжать работу.

azza
26.11.2004, 23:37
Хотел послать трояна, но не нашёл на сайте соответствующей кнопочки. Или проверка файла означает одновременную отправку на исследование?

Iceman
27.11.2004, 00:08
Если начать собирать и вирусы тоже, то на реальных машинах из почтовых баз соберется столько всякого добра, что его забрать никак не получится. И те 130MB, которые собрал Iceman, по сравнению с этим покажутся просто мелочью :)
quote]
Ха-ха-ха. Спасибо на добром слове ;D Но всё-таки, в основном, там были ложные тревоги. Кроме помойки, естественно ;D

azza
27.11.2004, 14:29
Ну и хорошо, отправлю ДрВебу.

serge
27.11.2004, 16:07
Ну и хорошо, отправлю ДрВебу.

Вот только не надо сразу обижаться, ладно? :)

Теперь по сути самого вопроса. Файлы, проверяемые на online-проверке, и в которых программа не нашла вирусов, потом все равно анализируются вирусными аналитиками, так что online-проверка - тоже способ прислать нам нового трояна. Однако лучше всего запаковать его в архив под паролем и прислать на [email protected]. В этом случае у нас будет хоть какая-то возможность обратной связи, если, например, Вас интересует, что именно это было, или нам потребуется еще какая-нибудь дополнительная информация.

serge
27.11.2004, 16:23
Ха-ха-ха. Спасибо на добром слове :D Но всё-таки, в основном, там были ложные тревоги. Кроме помойки, естественно :D

Может все-таки найдется возможность выбрать хотя бы часть таких файлов и прислать нам? Бета тестирование предназначено не только для защиты Вас от вирусов, но и для отладки и исправления проблем в работе програмы :) Так что файлы с ложными тревогами тоже нам очень интересны, чтобы к следующей версии эти ложные тревоги исправить. Конечная цель - программа, которая дает минимум (в идеале - полное отсутствие) ложных срабатываний эвристики, но позволяет достаточно надежно находить модификации и новые версии известных троянов. Сейчас мы постепенно движемся к этой цели и бета-тестеры нам в этом очень сильно помогают, спасибо.

PS. Вообще интересное выражение: "ложное срабатывание эвристики", ведь само слово "эвристика" в некотором смысле происходит от слова "ври" :)

userr
27.11.2004, 16:38
это crash-дамп. если заархивировать с максимальным уровнем сжатия, сколько получится? нам такие файлы интересны

9.5 Mb. Что будем с ним делать? :)

azza
27.11.2004, 16:58
Вот только не надо сразу обижаться, ладно? :)
Я не обиделся. Решил, что Ваш антивирус в присылке вирусов от пользователей не нуждается. :)
А файл отправил. Кстати, и ссылку на странице нашёл, так что прошу прощения.

userr
30.11.2004, 14:58
Я письма о бета-версии шлю на [email protected] (так посоветовали на [email protected] ). Это правильно?

Dr.Xmas
30.11.2004, 15:15
Я письма о бета-версии шлю на [email protected] (так посоветовали на [email protected] ). Это правильно?

если речь идёт о функциональности программы (баги, глюки и т.п.), то лучше на beta@. если новые вирусы, подозрения, ложные срабатывания эвристики, то это newvirus@.

Dr.Xmas
30.11.2004, 19:37
в последний осенний день мы выложили для вас подарок ;) свежую версию консоли. взять можно здесь http://www.anti-virus.by/download_files/vba32-console-scanner-beta-20041130.zip

изменения:
1. в архиве обновлятор для консоли, с этого момента можно будет обновлять только то, что изменилось. сам файл vbaupdx.exe, вспомогательный батник update.bat
2. закрыты ложные срабатывания, которые были присланы за последние дни
3. около 400 семейств переименовано вразумительными названиями вместо new.?

статистика показывает, что ~ 50% присланных файликов действительно являются вредоносными программами (кроме явных ложняков, конечно).

кто сможет, потестируйте плз. просьбы:
1. если получившийся архив небольшой и может быть прислан по почте, вышлите на [email protected]
2. если архив большого размера, вышлите плз файл susp.rpt на [email protected] для его анализирования.

большое спасибо!

Dr.Xmas
01.12.2004, 18:51
кто сможет, потестируйте плз. просьбы:
1. если получившийся архив небольшой и может быть прислан по почте, вышлите на [email protected]
2. если архив большого размера, вышлите плз файл susp.rpt на [email protected] для его анализирования.

спасибо всем, кто нашёл время и силы потестировать программу.
ложняки, присланные за сутки, закрыты.
новые трояны вставлены в базу.
можно обновиться при помощи команды vbaupdx.exe http://www.anti-virus.by/beta/update/ (батник update.bat).

маленькая ремарка. некоторые кейгены при объявлении их "хорошими" "размывают" эвристику и "разваливают" уже устоявшиеся группы. мы такие кейгены собираем и анализируем ситуацию, куда двигаться дальше.

nowhere
01.12.2004, 22:05
Доброго времени суток

Поставил сегодня subj и тут же возникли вопросы
1. Есть ли возможность проверять файлы только при открытии на запись? Не спорю, монитор шустрый, но на старых машинках его работа всё-таки заметна.
2. Насколько я понял, проверенный файл при повторном обращении не проверяется. А как отслеживается, был ли он изменён со времени последней проверки? Дело в том, что у того же Доктора при открытии уже проверенного файла cpu usage != 0 (естетственно, не на ультрасовременных монстрах с сотнями лошадей под капотом :), т.е. какая-то проверка есть (не знаю, хэш или простой crc, но есть), а у subj перманентный зеро.
3. Почтовый сканер. Активно использую осла, а некоторые особенно хитрые для входящих соединений используют TCP110 и 25, а subj вцепляется мёртвой хваткой в такие соединения. В принципе у доктора это лечилось забиванием в настройках перехвата соединений адреса сервера. Здесь после подобной операции антивирус вообще перестал реагировать на почту.

Всё остальное мне ОЧЕНЬ понравилось. Прогнал на своей коллекции - нашёл пару trojan downloader'ов, про которые доктор не знает.

Dimka
02.12.2004, 14:37
Доброго времени суток

Поставил сегодня subj и тут же возникли вопросы
1. Есть ли возможность проверять файлы только при открытии на запись? Не спорю, монитор шустрый, но на старых машинках его работа всё-таки заметна.
2. Насколько я понял, проверенный файл при повторном обращении не проверяется. А как отслеживается, был ли он изменён со времени последней проверки? Дело в том, что у того же Доктора при открытии уже проверенного файла cpu usage != 0 (естетственно, не на ультрасовременных монстрах с сотнями лошадей под капотом :), т.е. какая-то проверка есть (не знаю, хэш или простой crc, но есть), а у subj перманентный зеро.
3. Почтовый сканер. Активно использую осла, а некоторые особенно хитрые для входящих соединений используют TCP110 и 25, а subj вцепляется мёртвой хваткой в такие соединения. В принципе у доктора это лечилось забиванием в настройках перехвата соединений адреса сервера. Здесь после подобной операции антивирус вообще перестал реагировать на почту.

Всё остальное мне ОЧЕНЬ понравилось. Прогнал на своей коллекции - нашёл пару trojan downloader'ов, про которые доктор не знает.

1. Сейчас такой возможности нет, и полезность ее несколько сомнительна. При включении такой опции существует вероятность, что кто-то поселится на компе до того, как будет скачано соответствующее дополнение, и будет жить там долго и счастливо, пока пользователь не запустит сканер. И часто будет именно так: опцию эту включат, чтобы все шустро бегало, а на запуск сканера забьют. А потом придется долго рассказывать, почему монитор включен, а на компе вирус живет. Можно, конечно, так спрятать эту настройку, чтобы никто ее не нашел... :)
2. Монитор отслеживает запись в файлы, поэтому чтобы узнать, изменился ли файл, достаточно поискать его в таблице по имени.
3. Как задан адрес сервера? Должен указываться именно IP-адрес, а не DNS-имя почтового сервера.

nowhere
02.12.2004, 15:48
1. Мне лично комп нужен не для того чтобы запускать на нём антивирус, а производительности хватает только на это. А вот насчёт запрятывания - это самое оно :)
2. Гы, сразу не допёр :) Спасибо. Таблица сбрасывается при выключении монитора?
3. Это я первым делом сделал. Не работает

Dimka
02.12.2004, 17:56
1. Мне лично комп нужен не для того чтобы запускать на нём антивирус, а производительности хватает только на это. А вот насчёт запрятывания - это самое оно :)
2. Гы, сразу не допёр :) Спасибо. Таблица сбрасывается при выключении монитора?
3. Это я первым делом сделал. Не работает

1. Подумаем над этим. Реализовать, вообще-то, это не сложно
2. Да, таблица сбрасывается при выключении монитора, при подгрузке нового апдейта и при изменении настроек монитора.
3. Пока единственное предположение - ошибка в адресе сервера. И как проверялась "реакция" антивируса на почту? Конвертик в трее появляется только при приеме письма. Может, просто писем не было? Можно на закладке "Статистика" включить "Подробный" отчет - тогда в лог будут писаться все перехваченные попытки соединения.

nowhere
02.12.2004, 18:26
3. Ошибки в адресе нет
Проверялось фаерволом (сразу скажу, что настройки не препятствуют перехвату соединения), при приёме письма - только соединени ОЕ с сервером по 110, а vba32ldr даже ничего не слушает. Я так понимаю, коннекты должен перехватывать именно он?

userr
02.12.2004, 20:31
Любопытно оказалось сравнить работу vba и дрвеб на пришедшем с почтой парольном архиве с вирусом. пароль - в bmp файле.
================================================== ===========
¦ Vba32 Windows/CL 3.10.1 beta / 30.11.2004 (Vba32.W) ¦
Режимы работы программы:
/r+vba32.rpt /ha=2 /rw /af+ /ar+ /qu+ /ok+ /ml+

Загружено 41872 моделей вирусов.
..\tmp\ezividwdn.exe : инфицирован Win32.Worm.Bagle.af
..\tmp\jaokniqk.ini : в порядке
..\tmp\a.eml:<MIME>\001.html : в порядке
..\tmp\a.eml:<MIME>\wcqqrxaiat.bmp : в порядке
..\tmp\a.eml:<MIME>\Updates.zip:<ZIP>\ezividwdn.exe : защищен паролем - обработка невозможна
..\tmp\a.eml:<MIME>\Updates.zip:<ZIP>\jaokniqk.ini : защищен паролем - обработка невозможна
..\tmp\a.eml:<MIME>\Updates.zip : похож на I-Worm.Psw-protected
=====================================

drweb:
====================================
c:\tmp\ezividwdn.exe packed by UPX
>c:\tmp\ezividwdn.exe infected with Win32.HLLM.Beagle
c:\tmp\jaokniqk.ini - Ok
c:\tmp\mime000.txt - Ok
c:\tmp\a.eml - archive MAIL
>c:\tmp\a.eml\html.1 - Ok
>c:\tmp\a.eml\wcqqrxaiat.bmp - Ok
>c:\tmp\a.eml\Updates.zip infected with Win32.HLLM.Beagle.pswzip
==================================
Как это удается проверять парольный архив? При этом когда я распаковал zip и из тех же файлов сам сделал парольный zip, то в нем уже вируса не видно :). Я пробовал разные степени сжатия и только на 0 (NO compression) добился от vba "похож на I-Worm.Psw-protected". drweb всегда писал
c:\temp\b\TEST0.ZIP - archive ZIP
>c:\temp\b\TEST0.ZIP\EZIVIDWD.EXE - password protected, skipped
>c:\temp\b\TEST0.ZIP\JAOKNIQK.INI - password protected, skipped

nowhere
02.12.2004, 21:33
Что за чертовщина... Ничего не понимаю :(

Поставил subj на почти чистую систему (доктора правда не сносил, только паука). Почту не проверяет :&#039;(
У кого-нибудь вообще pop3 сканер работает?

Вот только что сделал full scan, в половине инсталяшек для pocket pc обнаружился TrojanDropper.Win32.Checkin
Даже в Quarta.MUI.2003.RU.for.iPAQ.2200 ;D

Alexey P.
03.12.2004, 04:05
Любопытно оказалось сравнить работу vba и дрвеб на пришедшем с почтой парольном архиве с вирусом. пароль - в bmp файле.
...
drweb:
====================================
c:\tmp\ezividwdn.exe packed by UPX
>c:\tmp\ezividwdn.exe infected with Win32.HLLM.Beagle
c:\tmp\jaokniqk.ini - Ok
c:\tmp\mime000.txt - Ok
c:\tmp\a.eml - archive MAIL
>c:\tmp\a.eml\html.1 - Ok
>c:\tmp\a.eml\wcqqrxaiat.bmp - Ok
>c:\tmp\a.eml\Updates.zip infected with Win32.HLLM.Beagle.pswzip
==================================
Как это удается проверять парольный архив? При этом когда я распаковал zip и из тех же файлов сам сделал парольный zip, то в нем уже вируса не видно :). Я пробовал разные степени сжатия и только на 0 (NO compression) добился от vba "похож на I-Worm.Psw-protected". drweb всегда писал
c:\temp\b\TEST0.ZIP - archive ZIP
>c:\temp\b\TEST0.ZIP\EZIVIDWD.EXE - password protected, skipped
>c:\temp\b\TEST0.ZIP\JAOKNIQK.INI - password protected, skipped

ДрВеб детектит этот вирус прямо без распаковки, в том виде, каким его может создать сам вирус. Потому после перепаковки и не детектится.

Dr.Xmas
03.12.2004, 13:49
Вот только что сделал full scan, в половине инсталяшек для pocket pc обнаружился TrojanDropper.Win32.Checkin
Даже в Quarta.MUI.2003.RU.for.iPAQ.2200 ;D

можешь прислать пару инсталляционных файликов?

Dr.Xmas
03.12.2004, 13:53
..\tmp\a.eml:<MIME>\Updates.zip : похож на I-Worm.Psw-protected

эту фишку мы делали на самом деле для почтовых серверов. админы настраивают так, чтобы такие архивы (нулевое сжатие с паролем) прибивать в почте. для обычных пользователей она чисто информативна

nowhere
03.12.2004, 14:04
можешь прислать пару инсталляционных файликов?


Ок. См ПМ

userr
03.12.2004, 14:05
ДрВеб детектит этот вирус прямо без распаковки, в том виде, каким его может создать сам вирус. Потому после перепаковки и не детектится.

то есть вирус содержит в себе (часть) алгоритма zip-кодирования? Любопытно.

pig
04.12.2004, 03:38
Сейчас в этом ничего любопытного уже нет. Клез ещё пару лет назад засовывался в RAR и ZIP - тогда это была относительная новинка.

nowhere
04.12.2004, 09:24
Ок. См ПМ


Во, совсем другое дело!
А всё-таки, как запустить сканер почты? Готов предоставить всю необходимую информацию ;)

maXmo
08.12.2004, 00:00
1. Есть ли возможность проверять файлы только при открытии на запись? Не спорю, монитор шустрый, но на старых машинках его работа всё-таки заметна.присоединяюсь к предложению.
1. Сейчас такой возможности нет, и полезность ее несколько сомнительна.Всё быстрее будет летать.
При включении такой опции существует вероятность, что кто-то поселится на компе до того, как будет скачано соответствующее дополнение, и будет жить там долго и счастливо, пока пользователь не запустит сканер. И часто будет именно так: опцию эту включат, чтобы все шустро бегало, а на запуск сканера забьют. А потом придется долго рассказывать, почему монитор включен, а на компе вирус живет. Можно, конечно, так спрятать эту настройку, чтобы никто ее не нашел... :)Можно монитором "втихую"(в смысле, с низким приоритетом ;)) проверять память и/или пути автозагрузки(после апдейта?..). Этого должно хватить.

Minos
08.12.2004, 19:14
А можно отдельные настройки для избранных директорий. Например проверку архивов для всего диска включать не экономно, однако проверять все архивы в некоторых папках (мусорки для скачивания программ интернета, папки для скачивания p2p, папли хранения прикрепленных к письму файлов и т.д.) просто необходимо.

Dr.Xmas
09.12.2004, 10:48
А можно отдельные настройки для избранных директорий. Например проверку архивов для всего диска включать не экономно, однако проверять все архивы в некоторых папках (мусорки для скачивания программ интернета, папки для скачивания p2p, папли хранения прикрепленных к письму файлов и т.д.) просто необходимо.

о какой части комплекса идёт речь? если о мониторе, то проверка архивов в мониторе была, но мы от неё отказались, и пока вряд ли опять восстановим эту функцию. если речь о сканере, то в нём есть такая фишка, как список проверяемых объектов.
например, пишем в командной строке
Vba32w.exe @list,
а файл list составляем следующим образом
---------------------------------------
/fc /ha
C:\Windows\
/af /ar /ha
C:\P2P\
--------------------------------
т.е. перед каждым объявленным объектом для проверки можно менять ключи командной строки для этого объекта. очень удобно для всяких автоматических прогонов

Minos
09.12.2004, 18:59
Я имел в виду именно монитор, т.к. зачастую именно в архивах приходят "сюрпризы", а проверять их все время ручками лень ;). У меня недавно был инцидент: на записанном мною диске оказался вирус как раз в архиве, который я скачал из Сети, VBA сканер его увидел, но было поздно... :(

nowhere
10.12.2004, 09:35
Я имел в виду именно монитор, т.к. зачастую именно в архивах приходят "сюрпризы", а проверять их все время ручками лень ;). У меня недавно был инцидент: на записанном мною диске оказался вирус как раз в архиве, который я скачал из Сети, VBA сканер его увидел, но было поздно... :(



А кто мешает в той же нере настроить сканирование перед записью? Тем более перед тем как пишешь сам бог велел проверить сканером - потом ведь уже поздно будет :)

Dr.Xmas
10.12.2004, 19:17
в алгоритмы для эвристики влита очередная порция троянов/бэкдоров, некоторые "new" переименованы и т.п.
просьба: у кого есть возможность, потестируйте консольный сканер, который собирает подозрительные по эвристике файлы. ссылка для скачивания (у кого нет сканера вообще) http://www.anti-virus.by/download_files/vba32-console-scanner-beta-20041210.zip, у кого есть могут обновиться при помощи батника update.bat (обновятся только базы). особенно интересуют программы, написанные на Дельфи. если есть программисты-Дельфятники, прогон по вашим компам соберёт урожай для усовершенствования эвристики.

userr
16.12.2004, 15:08
как исключить из проверки несколько расширений файлов (в бета версии)? У меня в опцию /ext- не получается воткнуть больше одного параметра

Dimka
16.12.2004, 15:20
как исключить из проверки несколько расширений файлов (в бета версии)? У меня в опцию /ext- не получается воткнуть больше одного параметра

Расширения в этом ключе разделяются точкой:
/ext-aaa.bbb.ccc

userr
20.12.2004, 21:59
Решил я помучить ВБА на архивах с глубокой вложенностью каталогов. На одном архиве получилось так: в режиме /pm- ВБА отработал молча, но не стал проверять большую часть файлов в архиве. В режиме /pm+ ВБА проверил почти все, но иногда писал, например:
1wp10003r.zip:<ZIP>\SiebelBOPortlet41.war:<ZIP>\WEB-INF\lib\commons-collections.jar:<ZIP>\org\apache\commons\collections\BeanMap$4.class : невозможно открыть для чтения
Внимательное сравнение с логом Дрвеб показало, что когда ВБА спотыкался на каком-то файле в данном каталоге архива, оставшиеся файлы этого каталога просто пропускаются (по крайней мере не попадают в лог).
Дрвеб отработал архив без проблем.
И еще - почему ВБА пишет, что обрабатывались "Почтовые сообщения" ?? :)
==================
Режимы работы программы:
/r+vba32.rpt /ha=2 /rw /pm+ /af+ /ar+ /qu+ /ok+ /ml+

1wp10003r.zip:
Каталогов 0 Файлов в архивах: Файлов на дисках:
Архивов: - всего : 4466 - всего : 1
- обработано : 90 - обработано : 4460 - обработано : 1
- содержат вирусы : 0 - инфицированных: 0 - инфицированных: 0
- удалено : 0 - подозрительных: 0 - подозрительных: 0
- обезврежено : 0
Почтовых сообщений: Присоединенных файлов
- обработано : 4461 - всего : 0
- содержат вирусы : 0 - обработано : 0
- подозрительных : 0 - инфицированных: 0
- удалено : 0
================================================== =
Режимы работы программы:
/r+vba32.rpt /ha=2 /rw /af+ /ar+ /qu+ /ok+ /ml+

1wp10003r.zip:
Каталогов : 0 Файлов в архивах: Файлов на дисках:
Архивов: - всего : 625 - всего : 1
- обработано : 20 - обработано : 625 - обработано : 1
- содержат вирусы: 0 - инфицированных: 0 инфицированных: 0
- удалено : 0 - подозрительных: 0 - подозрительных: 0

serge
21.12.2004, 17:21
Решил я помучить ВБА на архивах с глубокой вложенностью каталогов. На одном архиве получилось так: в режиме /pm- ВБА отработал молча, но не стал проверять большую часть файлов в архиве. В режиме /pm+ ВБА проверил почти все, но иногда писал, например:
1wp10003r.zip:<ZIP>\SiebelBOPortlet41.war:<ZIP>\WEB-INF\lib\commons-collections.jar:<ZIP>\org\apache\commons\collections\BeanMap$4.class : невозможно открыть для чтения
Внимательное сравнение с логом Дрвеб показало, что когда ВБА спотыкался на каком-то файле в данном каталоге архива, оставшиеся файлы этого каталога просто пропускаются (по крайней мере не попадают в лог).
Дрвеб отработал архив без проблем.

Первым делом стоит посмотреть, достаточно ли места во временном каталоге для временных файлов, которые создаются при распаковке архивов. Если места недостаточно, могут появляться такие сообщения об ошибках (невозможно открыть для чтения).



И еще - почему ВБА пишет, что обрабатывались "Почтовые сообщения" ?? :)

Это из-за /pm+ режима. В данном режиме программа игнорирует формат файлов и пытается проверить их всеми доступными методами. Соответственно, часть файлов ей показались немного похожими на почтовые сообщения, что и было отражено в отчете.

Чтобы разобраться со всем этим, пожалуйста запустите сканер на проверку этого архива с ведением отчета и ключем /ok (информация о всех файлах в отчете), а также без /pm режима (его вообще использовать не рекомендуется). Пришлите этот файл отчета нам для анализа, а также отчет созданный DrWeb. Также было бы интересно посмотреть на тот файл, на котором Vba32 спотыкается, возможно именно в нем все дело. Еще проверьте пожалуйста, не появился ли файл vba32err.dmp в каталоге Vba32. Все эти результаты пришлите пожалуйста на [email protected], будем разбираться и попробуем решить проблему.

22.12.2004, 17:55
Похоже у вас RTF файлы при проверке открываются на запись. :(
Во всяком слючае SpiderGuard от DrWeb их тоже проверяет, а в оптимальном режиме файлы, открываемые на чтение, не проверяются.

22-12-2004 16:47:51 C:\Distr\Delphi\DELPHI5\Runimage\Delphi50\Demos\Ri chedit\overview.rtf - Ok

Никто другой, кроме VBA сканера, в этот момент обратиться к файлу не мог.

maXmo
22.12.2004, 18:03
в окне дипетчера кнопка сканера неактивна; так и должно быть или я нарыл баг?

HA
23.12.2004, 12:01
в окне дипетчера кнопка сканера неактивна; так и должно быть или я нарыл баг?

В случае, если Комплекс корректно проинсталирован и полностью загружен такой ситуации возникать не должно. Если возникает, то опишите, пожалуйста, подробнее.... Описанную Вами картину можно наблюдать в случае, если Диспетчер еще не полностью загружен (не закончена проверка процессов, загрузчиков...), а Вы через иконку вызываете настройки Диспетчера.

HA
23.12.2004, 12:25
Похоже у вас RTF файлы при проверке открываются на запись. :(
Во всяком слючае SpiderGuard от DrWeb их тоже проверяет, а в оптимальном режиме файлы, открываемые на чтение, не проверяются.

22-12-2004 16:47:51 C:\Distr\Delphi\DELPHI5\Runimage\Delphi50\Demos\Ri chedit\overview.rtf - Ok

Никто другой, кроме VBA сканера, в этот момент обратиться к файлу не мог.


Да, большое спасибо. В ближайшей бете это будет изменено. При использовании только одного антивируса это не должно влиять на защитные функции Комплекса. В Вашем случае это действительно может замедлять проверку.

maXmo
26.12.2004, 19:38
А подписка бета-тестера будет автоматически продлеваться, или надо новую оформлять?

userr
26.12.2004, 21:45
Положил хитрый архив, про который я писал в письме #96, на http://webfile.ru/135893
пароль "абв". Архив rar распаковать, достать zip и на него уже натравить антивирус.

Dr.Xmas
27.12.2004, 12:46
А подписка бета-тестера будет автоматически продлеваться, или надо новую оформлять?

список тех, с кем общаемся, постоянно ведётся. им продлённый ключ будет выслан

Dr.Xmas
27.12.2004, 12:52
А подписка бета-тестера будет автоматически продлеваться, или надо новую оформлять?

ещё есть идея добавить ключевой файл прямо в комплектацию консольной версии. кто пользуется консолькой, всегда будут иметь свежий ключ

Minos
27.12.2004, 18:37
ещё есть идея добавить ключевой файл прямо в комплектацию консольной версии. кто пользуется консолькой, всегда будут иметь свежий ключ

Логично, и можно ограничить его действие, скажем, двумя неделями, а свежий ключик выкладывать с новыми тестовыми сигнатурами и обновленными модулями. и эффективность тестирования выше и о старых багах рапортовать не будут ;).

Dr.Xmas
31.12.2004, 15:29
ещё есть идея добавить ключевой файл прямо в комплектацию консольной версии. кто пользуется консолькой, всегда будут иметь свежий ключ

свежий ключевой файл включён в комплектацию консоли, кто не пользует консоль, может скачать здесь http://www.anti-virus.by/beta/update/vba32.key

С наступающим Новым годом! :)

userr
07.01.2005, 16:29
Поздравляю всех с Рождеством!
Спасибо авторам ВБА за ключик. :)
А комментарии по работе ВБА с архивами будут?

Dr.Xmas
07.01.2005, 17:06
Поздравляю всех с Рождеством!
Спасибо авторам ВБА за ключик. :)
А комментарии по работе ВБА с архивами будут?

спасибо за поздравление, очень приятно!
разработчики, которые смотрели архив, до понедельника отдыхают. ответ будет чуть позже.

Dr.Xmas
07.01.2005, 17:31
А комментарии по работе ВБА с архивами будут?

а вот и ответ приплыл:
"В общем, там какой-то глюк в алгоритме на распаковке одно файла, а поскольку формат архива немного хитрый (нет информации о запакованном размере файла), то и обработка всего архива на этом прекращается. В чем причина этого глюка пока не разобрался"

userr
13.01.2005, 16:06
а вот и ответ приплыл:
"В общем, там какой-то глюк в алгоритме на распаковке одно файла, а поскольку формат архива немного хитрый (нет информации о запакованном размере файла), то и обработка всего архива на этом прекращается. В чем причина этого глюка пока не разобрался"

Вопросов два (хотя для разработчиков, возможно, это одна проблема):
1. vba * /pm+ В РЕДКИХ случаях на архивах спотыкается, при этом пишет в лог "невозможно открыть для чтения"
2. vba * /pm- НА НЕКОТОРОМ (большем, чем в п.1) числе архивов не проверяет значительную часть файлов архива (не пишет в лог), при этом мирно завершается штатным образом.

А теперь комплименты vba за работу с архивами. :)
vba понимает ZIP, запакованный compression method 9 - Deflate64, достаточно ныне распространенный. Кстати, такие zip не открывает Drweb, за что ему большой минус.
Более того, vba понимает "ZIP compression method 12 - Bzip2" как его делает 7-zip - при этом vba является ЕДИНСТВЕННОЙ из доступных мне программ, (кроме самого 7-zip) работающей с такими zip-ами. Вы сотрудничаете с Павловым, что ли? :)
Вообще, с zip творится беспредел. Например, PowerZip 7.04 делает zip c compression method 12, но "для внутреннего пользования" - ни одна другая из доступных мне программ эти zip не открывает, и с 7-zip они не совместимы :(

Участковый
26.01.2005, 19:27
Размер ежедневных обновлений (файл daily.udb) больше 300 килобайт. По-моему, многовато. :(

Geser
26.01.2005, 19:28
Размер ежедневных обновлений (файл daily.udb) больше 300 килобайт. По-моему, многовато. :(

Наверное много много новых зверьков добавили :)

Участковый
26.01.2005, 21:16
Наверное много много новых зверьков добавили :)

Не только сегодня, а последние пару недель, не меньше. Даже KAV с расширенными базами обновляется, в среднем, быстрее…

serge
27.01.2005, 00:30
Не только сегодня, а последние пару недель, не меньше. Даже KAV с расширенными базами обновляется, в среднем, быстрее…

Объемы скачиваемых данных при обновлении официальной версии намного меньше. Для бета версии довольно большой объем в апдейтах занимает информация о дополнительных записях эвристики (кстати, они в счетчике вирусов не учитываются, если так подумать, наверное даже зря). Если это сильно напрягает, пропробуем к следующей версии что-нибудь сделать для более быстрого обновления :)

PS. А новых зверьков в последнее время действительно очень много.

Участковый
27.01.2005, 19:50
Наверное, нужно просто обновления upNNNNNN.udb выпускать почаще (раз в неделю, например). Тогда всё должно быть OK.

Dr.Xmas
28.01.2005, 23:47
доработан модуль обновления vbaupdx.exe. вот справка об использовании, вроде всё кратко и понятно.

Usage: vbaupdx.exe <update path> [options]

options: /p=<address:port> - Proxy server address and port
/r=[file] - Saving report in file
/r+[file] - Append report to file
/u=<username:password> - Password for proxy authentication
/no-ntlm - Disable NTLM proxy support

"обновлённый" архив консольной бета-версии по адресу http://www.anti-virus.by/download_files/vba32-console-scanner-beta-20050128.zip (4056 К), у кого пакет уже установлен можно как всегда обновиться батником update.bat.

serge
01.02.2005, 02:08
Вот тут подумалось... Если кто-то новенький случайно заглянет в данную ветку форума и прочитает ее последнюю часть, может решить, что антивирус VBA - это только консольный сканер, поскольку именно он и обсуждается тут в последнее время :)

На самом у нас есть довольно широкий спектр решений для антивирусной защиты рабочих станций и серверов. Кому интересно, может заглянуть на наш сайт и почитать про все это подробнее (http://www.anti-virus.by/download/products/).

То, что мы предлагаем попробовать именно консольный сканер, не случайно (да и появился он, если проследить историю этой ветки, именно по просьбам пользователей). Дело в том, что консольный сканер не требует инсталляции, ни с чем не конфликтует, может без проблем работать совместно с уже установленным другим антивирусом, без проблем обновляется запуском одного bat-файла, легко запускается на проверку всех дисков запуском другого bat-файла. Консольный сканер позволяет оценить работу антивирусного движка, быстродействие проверки, эвристический анализатор, поддерживаемые форматы архивов и почтовых баз, лечение вирусов и других вредоносных программ на дисках и в почтовых базах, проверку памяти и все остальное, связанное именно с поиском и обезвреживанием вирусов. Единственная вещь, котороя есть в полной версии комплекса (правда пока только в бета-версии), но отсутствует в консольном сканере, это детектирование в системе активных rootkit&#039;ов. Но мы планируем к следующему серьезному обновлению бета-версии консольного сканера добавить туда и эту фичу.

Если есть желание использовать антивирус Vba32 в качестве основного антивируса, можно установить полную версию программы, которая включает антивирусный монитор (совершенно необходимая вещь для антивирусной защиты), gui-сканер, а также скрипт-фильтр, pop3-фильтр, плагин для почтового клиента the bat, расширение контекстного меню explorer&#039;а и другие полезные и нужные вещи, если я их здесь забыл перечислить :)

01.02.2005, 08:13
доработан модуль обновления vbaupdx.exe. вот справка об использовании, вроде всё кратко и понятно.

Usage: vbaupdx.exe <update path> [options]

options: /p=<address:port> - Proxy server address and port
/r=[file] - Saving report in file
/r+[file] - Append report to file
/u=<username:password> - Password for proxy authentication
/no-ntlm - Disable NTLM proxy support

Не подскажите, а ошибка связанная с обновлением с использованием NTLM тут исправлена или еще нет? Просто так качать не очень хочется.

serge
01.02.2005, 11:26
Не подскажите, а ошибка связанная с обновлением с использованием NTLM тут исправлена или еще нет? Просто так качать не очень хочется.

Так об этом и речь, добавлена поддержка авторизации на прокси, в том числе и NTLM. Для указания логина/пароля используется ключ /u=, причем если задать просто &#039;/u=&#039;, т.е. без параметров, то программа сама спросит имя пользователя и пароль, если задать &#039;/u=имя_пользователя&#039;, то программа попросит ввести только пароль. Если указать полностью &#039;/u=имя_пользователя:пароль&#039;, то программа ничего спрашивать не будет, но хранить пароль в батнике не очень хорошо в плане безопасности.

В любом случае, если будут какие проблемы, пиши, постараемся исправить. Ты пока единственный, кто просил поддержку NTLM прокси :)

serge
01.02.2005, 19:48
На обновление выложена новая бета-версия. Теперь сканер работает заметно быстрее в режиме максимальной эвристики (точнее, теперь эвристика не так сильно замедляет работу), поддерживается больше упаковщиков, в консольный сканер добавлено детектирование в памяти активных rootkit&#039;ов, со следующего обновления размер скачиваемых данных при обновлении должен быть намного меньше (теперь для daily.udb используются обновление с помощью бинарных патчей как и для исполняемых модулей). В комплекс с графическим интерфейсом включена поддержка Security Center Windows XP SP2 (теперь винда признает нас за антивирус :) ).

Geser
02.02.2005, 15:49
в консольный сканер добавлено детектирование в памяти активных rootkit&#039;ов

Эвристика или по сигнатурам?
Кстати, как на счет защиты реестра. Не планируется?

Dr.Xmas
02.02.2005, 15:59
Эвристика или по сигнатурам?

алгоритмы по обнаружению потенциальных руткитов, без сигнатур



Кстати, как на счет защиты реестра. Не планируется?

планируется, чуть позже. планов громадьё, планируем последовательность

Geser
02.02.2005, 16:10
алгоритмы по обнаружению потенциальных руткитов, без сигнатур

Вот это класс :)

serge
02.02.2005, 16:37
Вот это класс :)

Если честно, все пока довольно примитивно, просто используется функция обнаружения наличия руткита, взятая из программы antikit (http://virusinfo.info/index.php?board=25;action=display;threadid=87), если еще кто помнит такую :) Антивирус просто детектирует перехват API-функций и выдает предупреждение об этом (GUI версия комплекса еще и предлагает пользователю исправить перехваченные функции для того, чтобы можно было искать "спрятанные" файлы), вся теория очень хорошо описана Олегом. Кстати, AVZ детектирует руткиты на данный момент надежнее - контролирует больше функций из различных библиотек, но и ложных срабатываний дает больше.

Данный механизм уже довольно давно используется в бета версии GUI-сканера, но до сих пор мы не получили вообще ни одного отзыва от пользователей. В общем, причин может быть много:
1. У пользователей руткитов нет
2. В алгоритме детектирования есть ошибки и он просто "не видит" руткитов
3. GUI-версию антивируса просто никто не использует

Исходя из предположения, что имеет место быть пункт номер 3, было и принято решение добавить этот код в консольный сканер.

Geser
02.02.2005, 16:42
Исходя из предположения, что имеет место быть пункт номер 3, было и принято решение добавить этот код в консольный сканер.

GUI версию использовали бы, если бы она была бесплатной и работала без инсталяции. Сегодня таких продуктов просто нету, думаю такая вещь пользовалась бы большой популярностью.

Minos
02.02.2005, 19:09
Ребят, а как насчет шифрования файла лицензии после предъявления его антивирусу (имеется в виду хранение ключа на диске в зашифрованном виде, причем шифровать с применение уникального ключика, генерирующегося при инсталляции), а то трудно закрыть к нему доступ для пользователей особенно под Windows 9X. А любопытных море, знаю по DrWeb, ключики могут ненароком "уплыть".

Minos
02.02.2005, 20:00
Поздравляю любимый антивирус с 50000 отметкой!!! Полдороги до 100000 записей пройдено, так держать. Берегись KAV!!!

Dr.Xmas
08.02.2005, 17:40
консольный антивирусный сканер "ВирусБлокАда" для Linux-систем можно взять по адресу http://www.anti-virus.by/download_files/vba32cl-3.10.3-20050207-beta.tar.gz

у кого есть возможность, потестируйте плиз и выскажите свои замечания/пожелания

Dr.Xmas
08.02.2005, 17:42
антивирусный ICAP-сервер можно взять по адресу http://www.ant-virus.by/download_files/vbaicap20050204.tbz2

Dr.Xmas
08.02.2005, 17:43
освежили консольную версию для Windows-систем. архив по адресу http://www.anti-virus.by/download_files/vba32-console-scanner-beta-20050208.zip

Andrey
08.02.2005, 18:51
VBA32 пропускает уже давно известные вирусы.
К примеру: попытайтесь скачать с _http://www.crack.am любой файл и все поймёте.
Да и из моей коллекции с максимальными настройками видит не более ~ 60% malware. Даже хваленый эвристик не помогает.
Но в любом случаи удачи проекту.

pig
08.02.2005, 18:55
Так подарите им вашу коллекцию.

Geser
08.02.2005, 18:55
Да и из моей коллекции с максимальными настройками видит не более ~ 60% malware. Даже хваленый эвристик не помогает.
Но в любом случаи удачи проекту.

Ну так помоги людям. Думаю Вам будет чем обменяться ;)

Geser
08.02.2005, 18:56
Так подарите им вашу коллекцию.

О, pig меня опередил :)
И с Олегом думаю будет чем поменяться. Ему тоже пригодится :)
А в обмен мы поделимся тм что на форуме собираем.

Andrey
08.02.2005, 19:03
А смысл?
Все равно быстро устаревает.
Каспер 90% детектит.
А остальные х...ен поймешь: одни конторы считают вирусами другие нет.

Антивирусы лечат последствия, а не причину.

Участковый
08.02.2005, 20:26
Хотелось бы узнать у разработчиков, насколько эффективность эвристика в финальной версии (той, что за деньги продаётся) отличается от беты?

Dr.Xmas
08.02.2005, 23:46
Хотелось бы узнать у разработчиков, насколько эффективность эвристика в финальной версии (той, что за деньги продаётся) отличается от беты?

пока она ниже, чем в бете. релиз поставляется корпоративным клиентам, где зачастую за компами сидят тётушки-бухгалтера. чтобы их не пугать, релиз детектит только самые стабильные группы, которые встречаются в "живой" природе. в бете у нас слегка "развязаны руки", можем экспериментировать. сейчас постепенно начнём перетаскивать записи из беты в релиз.

dmi
09.02.2005, 07:24
консольный антивирусный сканер "ВирусБлокАда" для Linux-систем можно взять по адресу http://www.anti-virus.by/download_files/vba32cl-3.10.3-20050207-beta.tar.gz

у кого есть возможность, потестируйте плиз и выскажите свои замечания/пожелания


А для FreeBSD? (и ICAP-сервер тоже)
Или они итак для неё подходят?
ICAP-сервер и под Windows не помешал бы...

max
09.02.2005, 11:57
А для FreeBSD? (и ICAP-сервер тоже)
Или они итак для неё подходят?
ICAP-сервер и под Windows не помешал бы...

консольный сканер для FreeBSD есть (5.х, 4.х). сейчас скрипт установки не проверяет, в какой системе работает, и в FreeBSD не создает пользователя/группу для консольного сканера. если надо, сделать можно, это быстро. если предпочитаете не использовать такую автоматизацию, можем выложить архив с консольным сканером.

ICAP-сервер для FreeBSD проходит внутреннее тестирование, когда пройдет -- выложим и его. насчет ICAP-сервера под Win -- с каким ICAP-клиентом вы хотите его использовать?

dmi
09.02.2005, 12:28
лучше подождать, и получить законченный (хотя для беты это вызывает улыбку).
ICAP-клиент буду использовать прокси-сервер сквид(БСД) или Траффик Инспектор в будущем обещали(Win), в сквидНТ тож может встроят клиента. Сужу по другим антивирусам (Семантек, Вэб, трендмикро) у них на никс и на вин платформы (я понимаю что не всё сразу). Да и универсальнее, можно со шлюза будет его убрать и поставить в локалке где-нибудь.

userr
09.02.2005, 17:04
освежили консольную версию для Windows-систем. архив по адресу http://www.anti-virus.by/download_files/vba32-console-scanner-beta-20050208.zip

1. ПРавильно я понимаю, что тем, у кого уже стоит консольная версия для Windows-систем, достаточно штатно обновиться?
2. vba не проверяет MS sfx cab архивы.

Dr.Xmas
09.02.2005, 17:16
1. ПРавильно я понимаю, что тем, у кого уже стоит консольная версия для Windows-систем, достаточно штатно обновиться?

да



2. vba не проверяет MS sfx cab архивы.

проверяет, но есть странные кабы, которые программа не признаёт. выйдет на связь serge, он больше на эту тему расскажет. (в принципе в паранойе /pm программа должна такие архивы видеть)

userr
09.02.2005, 17:38
да проверяет, но есть странные кабы, которые программа не признаёт. выйдет на связь serge, он больше на эту тему расскажет. (в принципе в паранойе /pm программа должна такие архивы видеть)

Я имею ввиду sfx cab, сделанные самим Microsoft. У меня лежит 89 патчей к разным продуктам Microsoft в таком формате. Ни один из этих файлов vba не признает за архив. А режим /pm+ у меня включен всегда.
Total commander с этими архивами работает без проблем.

Iceman
01.03.2005, 22:13
А что это у нас ВБА не обновляется: ни консолька, ни боевая Гуишная версия? Уже дня 2 как не работает. Что случилось?

Alexey P.
02.03.2005, 03:21
А что это у нас ВБА не обновляется: ни консолька, ни боевая Гуишная версия? Уже дня 2 как не работает. Что случилось?

Консоль сейчас обновил, все работает.

Dr.Xmas
02.03.2005, 13:19
А что это у нас ВБА не обновляется: ни консолька, ни боевая Гуишная версия? Уже дня 2 как не работает. Что случилось?

хостер без предупреждения решил нас перенести на другой айпишник. пока не обновились DNS, были проблемы с обновлением. приносим всем свои извинения... :-\

Iceman
02.03.2005, 14:14
Консоль сейчас обновил, все работает.



Да, буквально после написания сообщения попробовал - заработало.

Dr.Xmas
04.03.2005, 17:32
доступен фтп-сервер ftp://anti-virus.by. там есть область /upload, куда можно закачивать файлики для нас -- подозрительные, новые вирусы и т.п. будем благодарны за подарки ::)