PDA

Просмотр полной версии : avast! antivirus



Andrey
07.12.2004, 18:35
Вышла финальная версия чешской программы avast! 4.5 (текущий релиз 4.5.549):
Существенные изменения:
Поддержка 64-битных ОС + улучшены сканирующие модули (теперь проверяет HDD не за 3 часа, а за 1,5 :) , проверка HDD при начальной загрузки ОС проходит за 20 минут :)).
Подробнее на http://www.avast.com/eng/av4_revision_history.html
Существуют две версии программы Pro и Free (в последней отсутствует проверка на скрипт вирусы в реальном времени).

На 06.12.2004 в базу добавлены след. вирусы:

Abme, FormatC-B [Trj], HLLP-Almat, HLLP-Nolon-19945, Win32:Gaobot-1139 [Wrm], Win32:Gaobot-1140 [Wrm], Win32:Maslan [Wrm], Win32:Mydoom-Z [Wrm], Win32:PSW-Lmir [Trj], Win32:Rbot-BB [Trj], Win32:Rbot-GC [Trj], Win32:Rbot-LI [Trj], Win32:SdBot-1193 [Trj], Win32:SdBot-1194 [Trj], Win32:SdBot-1195 [Trj], Win32:SdBot-1196 [Trj], Win32:SdBot-1197 [Trj], Win32:Wootbot-CQ [Trj], Win32:Wootbot-CR [Trj], Win32:Wootbot-CS [Trj], Win32:Wootbot-CT [Trj], Win32:Wootbot-CU [Trj], Win32:Wootbot-CV [Trj], Win32:Wootbot-CW [Trj], Win32:Wootbot-CX [Trj], Win32:Wootbot-CY [Trj], Win32:Wootbot-CZ [Trj], Win32:Wootbot-DA [Trj], Win32:Wootbot-DB [Trj], Win32:Wootbot-DC [Trj], Win32:Wootbot-DD [Trj], Win32:Wootbot-DE [Trj], Win32:Wootbot-DF [Trj], Win32:Wootbot-DG [Trj], Win32:Wootbot-DH [Trj], Win32:Wootbot-DI [Trj], Win32:Wootbot-DJ [Trj], Win32:Wootbot-DK [Trj], Win32:Wootbot-DL [Trj], Win32:Wootbot-DM [Trj], Win32:Wootbot-DN [Trj]

http://www.avast.com/eng/vps_history.html

drongo
07.12.2004, 18:54
а что насчёт паковщиков? знает хоть самых популярных или нет ?

Andrey
07.12.2004, 19:25
а что насчёт паковщиков? знает хоть самых популярных или нет ?

Нужно протестировать!
Знаю точно, что в новой версии есть проверка 7-zip архивов и простенький брандмауэр + производитель заявлял, что "программа соответствует европейским стандартам" (Европа большая :)).

Minos
08.12.2004, 19:10
Нужно протестировать!
Знаю точно, что в новой версии есть проверка 7-zip архивов и простенький брандмауэр + производитель заявлял, что "программа соответствует европейским стандартам" (Европа большая :)).

а стандарты маленькие :), он у меня находит вирусы даже после KAV (обратное тоже справидливо), особенно понравился модуль для защиты p2p, такого я еще нигде не встречал. В качестве второго антивируса можно рекомендовать 100%, в качестве основного пока немного отстает от брендов, однако, если вы не проводите все время на варезниках и т.д., то его защиты должо хватить.

Geser
08.12.2004, 19:13
особенно понравился модуль для защиты p2p, такого я еще нигде не встречал.
Есть у BitDefender

Iceman
09.12.2004, 15:27
Всё-таки есть ложные срабатывания: нашёл вирусы в нескольких дистрибутивах, например в серверной бета-версии ДоктораВеба ;D
Что понравилось: После нахождения заражённого файла (заблокированного процессом), можно уйти на перезагруз и в среде Доса автоматом будет запущена проверка дисков . При нахождении вируса выдаётся подробная менюшка.
Так что весьма интересный продукт. Правда некоторых вещей, таки не видит.

Andrey
14.12.2004, 16:53
а что насчёт паковщиков? знает хоть самых популярных или нет ?

avast! версия 4.5 Home Edition
Сборка: Nov2004 (4.5.549)


Упаковщики:
Самораспаковывающиеся выполняемые программы DOS.
Само-извлекающий Win32 архив
ZIP архив
7ZIP архив
ACE архив
ARJ архив
ARC архив
BZIP2 архив
CAB архив
CHM архив
CPIO архив
GZIP архив
ISO архив
LHA архив
MIME
Файлы MAPI
RAR архив
RPM архив
потоки файловой системы NTFS
TAR архив
Потоки TNEF
ZOO архив

Программа вкл. следующие модули:
Сканер доступа avast!
a) Instant Messaging (MSN/Windows Messenger, Yahoo! Messenger, ICQ, AIM (AOL Instant Messenger, Trillian, mIRC*, Miranda*, gaim*, Odigo*, Gadu-Gadu*, Psi Jabber Client*)
* только Windows NT/2000/XP/2003
b) Outlok/Exchange
c) P2P (Kazaa, Kazaa Lite, Direct Connect, Direct Connect++, BearShare, iMesh, WinXM*, LimeWire*, Bit Torrent*, Overnet*, Shareaza*, CZDC++*, Morpheus*, eDonkey*, eMule*, Ares*, SoulSeek*, Opera’s DC++)
* только Windows NT/2000/XP/2003
d) Сетевой экран
e) Стандартный
f) Эл. Почта

avast! Генератор базы данных восстановления (VRDB) (аналог ADinf).

avast! antivirus «Экранная заставка» (сканирование во время бездействия системы)

avast! Вирусное хранилище

Антивирусная база данных (Информация об известных вирусах).

Утилита обновления iAvs

Сканирование во время начальной загрузки

и т.д и т.п.

P.S.: такая полная автоматизация просто поражает воображение.

kps
14.12.2004, 19:05
Упаковщики:
Самораспаковывающиеся выполняемые программы DOS.
Само-извлекающий Win32 архив
ZIP архив
7ZIP архив


Это архиваторы. А упаковщики хотя бы самые распостраненные (aspack, upx) он знает?

Andrey
15.12.2004, 17:23
Это архиваторы. А упаковщики хотя бы самые распостраненные (aspack, upx) он знает?

На официальном сайте данных нет, а протестировать нет времени.

azza
15.12.2004, 17:36
А упаковщики хотя бы самые распостраненные (aspack, upx) он знает?

Не знает.

Andrey
18.12.2004, 18:31
Это архиваторы. А упаковщики хотя бы самые распостраненные (aspack, upx) он знает?


PKLite, Diet, UPX, AsPack, PeShield, PeProtect (см. http://www.avast.com/eng/av4_version_comp.html, http://www.avast.com/eng/whats_new_in_avast_v.html#1 - v4.5, http://www.avast.com/eng/whats_new_in_avast_v2.html#1 - v4.1) знает, остальные упаковщики под вопросом.
Недостаток avast! 4.5 Home Edition - отсутствие механизма Script Blocking (в версии avast! 4.5 Professional Edition он есть).
Сравнение Home и Pro версии см. здесь http://www.avast.com/eng/av4_version_comp.html

azza
18.12.2004, 20:46
-------------------------------------------------------
File: calc.zip
Status: INFECTED/MALWARE
Packers detected: None

AntiVir TR/Bagle.AL (0.14 seconds taken)
Avast Win32:Beagle-AK1 (1.51 seconds taken)
BitDefender Trojan.Dropper.Small.KV (0.33 seconds taken)
ClamAV Trojan.Bagle.AK (0.33 seconds taken)
Dr.Web Win32.HLLM.Beagle.9728 (0.51 seconds taken)
F-Prot Antivirus dropper for W32/Mitglieder.AB (0.06 seconds taken)
Kaspersky Anti-Virus Trojan.Win32.Glieder.gen (0.61 seconds taken)
mks_vir Trojan.Dropper.Small.Kv (0.20 seconds taken)
NOD32 Win32/TrojanDropper.Small.NAQ (0.37 seconds taken)
--------------------------------------------------------
File: calc_asp.zip
Status: INFECTED/MALWARE
Packers detected: ASPACK

AntiVir TR/Glieder.A (0.26 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender BehavesLike:Win32.AV-Killer (probable variant) (0.79 seconds taken)
ClamAV No viruses found (0.68 seconds taken)
Dr.Web Win32.HLLM.Beagle.9728 (1.06 seconds taken)
F-Prot Antivirus dropper for W32/Mitglieder.AB (0.13 seconds taken)
Kaspersky Anti-Virus Trojan.Win32.Glieder.gen (1.26 seconds taken)
mks_vir Trojan.Glieder.Gen (0.46 seconds taken)
NOD32 Win32/TrojanDropper.Small.NAQ (0.76 seconds taken)
---------------------------------------------------------
File: calc_upx.zip
Status: INFECTED/MALWARE
Packers detected: UPX

AntiVir No viruses found (0.14 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender BehavesLike:Win32.AV-Killer (probable variant) (0.39 seconds taken)
ClamAV Trojan.Bagle.AK (0.33 seconds taken)
Dr.Web Win32.HLLM.Beagle.9728 (0.52 seconds taken)
F-Prot Antivirus dropper for W32/Mitglieder.AB (0.06 seconds taken)
Kaspersky Anti-Virus Trojan.Win32.Glieder.gen (0.62 seconds taken)
mks_vir Trojan.Glieder, Trojan.Dropper.Small.Kv (0.21 seconds taken)
NOD32 Win32/TrojanDropper.Small.NAQ (0.40 seconds taken)
---------------------------------------------------------
File: calc_pesh.zip
Status: INFECTED/MALWARE
Packers detected: PE-SHIELD

AntiVir No viruses found (0.15 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender Trojan.Dropper.Small.KV (0.73 seconds taken)
ClamAV No viruses found (0.34 seconds taken)
Dr.Web Win32.HLLM.Beagle.9728 (0.85 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus Trojan.Win32.Glieder.gen (0.76 seconds taken)
mks_vir Win32.4 (probable variant) (0.24 seconds taken)
NOD32 No viruses found (0.71 seconds taken)
--------------------------------------------------------
File: calc_pkl.zip
Status: INFECTED/MALWARE
Packers detected: PKLITE32

AntiVir No viruses found (0.14 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender BehavesLike:Win32.AV-Killer (probable variant) (0.39 seconds taken)
ClamAV No viruses found (0.34 seconds taken)
Dr.Web No viruses found (0.51 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus Trojan.Win32.Glieder.gen (0.62 seconds taken)
mks_vir No viruses found (0.24 seconds taken)
NOD32 Win32/TrojanDropper.Small.NAQ (0.40 seconds taken)
------------------------------------------------------
Нифига он не знает!

Andrey
19.12.2004, 12:24
Нифига он не знает!

Судя по всему использовали http://virusscan.jotti.dhs.org ? Но на данном сайте (как и на http://www.virustotal.com) используются старые антивирусные движки (обновляются только антивирусные базы).
P.S.: А придраться можно к любому антивирусу - NOD 32 (к примеру) не знает PE-SHIELD.

Sanja
19.12.2004, 13:19
nod32 - не показатель
здесь как и во многом другом - КАВ - лидер

Andrey
19.12.2004, 19:35
nod32 - не показатель
здесь как и во многом другом - КАВ - лидер

Для кого-то KAV и лидер (для Geser'а к примеру), но не для меня лично.
Сколько идет жалоб на продукт тов. Касперского от обычных пользователей не пересчитать. Причем Каспера ругают не только обычные user'ы, но и профессионалы. У всех, кого я спрашивал, выработан четкий рвотный рефлекс на подделку тов. Касперского (в особенности на версию 5.0 (не в пользу KAV :)). Уж лучше NAV от Symantec (чтобы не говорил Geser) - сторожила AV рынка с тех самых пор, когда тов. Касперский ещё на горшок ходил. Да и NAV понадежнее будет.
P.S.: А если честно, то нет еще на земле антивируса, который бы без сигнатур определял есть вирус в файле или нет.
У Каспера процент ложного срабатывания более 7, у Нортона к примеру 1. (А Norman'a 0 :) - так что и это не показатель).
KAV, к большему моему сожалению очень, не стабильный продукт. В плане технической поддержки вообще сущий мрак.
Придраться можно к любой программе. Недостатки есть у всех AV программ.

Надо завести раздел: «Мой идеальный антивирус». Монитор от этого, глазки :) от того.

Geser
19.12.2004, 19:54
У Каспера процент ложного срабатывания более 7

Это кто считал? :)

А Norman'a 0
И процент обнаружения 0 :)

Andrey
19.12.2004, 20:03
Это кто считал? :)И процент обнаружения 0 :)

Тест проводил AV-Test.org.
Источник PC Magazine/Russian Edition 10/2004 стр. 116
Довольно интересная статья "Антивирусные утилиты. Почему ваша антивирусная программа не остановит следующую атаку."
Могу выслать.

Andrey
19.12.2004, 20:39
Всё-таки есть ложные срабатывания: нашёл вирусы в нескольких дистрибутивах, например в серверной бета-версии ДоктораВеба ;D
Что понравилось: После нахождения заражённого файла (заблокированного процессом), можно уйти на перезагруз и в среде Доса автоматом будет запущена проверка дисков . При нахождении вируса выдаётся подробная менюшка.
Так что весьма интересный продукт. Правда некоторых вещей, таки не видит.

В своё время и KAV в Dr.Web'е вирус находил - исправили, а здесь похоже нет.

Andrey
19.12.2004, 20:47
Мысли вслух:
Странно и чего я защищаю avast! ???, если сам им не пользуюсь :).
Наверное, это просто моя любовь к freeware программам ;D.

Minos
19.12.2004, 22:50
По поводу упаковщиков, кое какие, например старые версии UPX avast 4.5 поддерживает, но все же это его слабое место. Лично, вчера видел обнаружение Trojan.* {UPX}

Geser
19.12.2004, 23:50
Тест проводил AV-Test.org.
Источник PC Magazine/Russian Edition 10/2004 стр. 116
Довольно интересная статья "Антивирусные утилиты. Почему ваша антивирусная программа не остановит следующую атаку."
Могу выслать.

Давай статью :)

Andrey
20.12.2004, 17:36
Давай статью :)

Отправлено на virus@virusinfo.info
PDF ~ 4 MB.

Geser
20.12.2004, 22:52
Отправлено на virus@virusinfo.info
PDF ~ 4 MB.

Статья бессистемная. Единственно правильно данное сравнение это сравнение времени реагирования антивирусов, да и то не понятно что такое бета-сигнатура, что делает результаты не совсем понятными.

Andrey
21.12.2004, 17:12
Единственно правильно данное сравнение это сравнение времени реагирования антивирусов, да и то не понятно что такое бета-сигнатура, что делает результаты не совсем понятными.

Бета-сигнатура - предварительная сигнатура (вирус обнаруживается, но лечение невозможно), служит для предотвращения заражения еще чистых (незараженных машин) и распространения (размножения) на уже зараженных. Бета-сигнатуры выпускают многие AV компании (в т.ч. и "любимый всеми" Касперский), но официально об этом особо не распространяются. Косвенную информацию можно найти на сайте AV программы (характерно для KAV, NAV). И т.д и т.п.

Andrey
21.12.2004, 19:06
Единственно правильно данное сравнение это сравнение времени реагирования антивирусов, да и то не понятно что такое бета-сигнатура, что делает результаты не совсем понятными.

Оригинал статьи о скорости реакции известных AV компаний на вирус MyDoom.A смотри на http://antivirus.about.com/cs/allabout/a/mydoomddos_p.htm . Там более интересные и полные результаты.

Geser
21.12.2004, 20:14
Оригинал статьи о скорости реакции известных AV компаний на вирус MyDoom.A смотри на http://antivirus.about.com/cs/allabout/a/mydoomddos_p.htm . Там более интересные и полные результаты.

Я не совсем понимаю каким образом Symantec начал детектировать его в 3 ночи, если даже обновления которые устанавливаются вручную выкладываются раз в день?

Andrey
22.12.2004, 09:03
Я не совсем понимаю каким образом Symantec начал детектировать его в 3 ночи, если даже обновления которые устанавливаются вручную выкладываются раз в день?

a) Либо через Live-Update оперативность обновления у Symantec выше.
в) Либо такая скорость реакции обусловлена тем, что вирус был получен напрямую от компании MessageLabs. Соответственно приоритет обработки сообщения выше.

Geser
22.12.2004, 09:22
a) Либо через Live-Update оперативность обновления у Symantec выше.

На сайте заявлено что Live-Update обновляется раз в неделю. С пол года назад Symantec ещё стоял у меня на работе, и я могу сказать что обновлялся он не чаще чем раз в пару дней.

Либо такая скорость реакции обусловлена тем, что вирус был получен напрямую от компании MessageLabs. Соответственно приоритет обработки сообщения выше.
Вот это уже ближе к истине :) Показуа :)

Andrey
22.12.2004, 17:24
Вот это уже ближе к истине :) Показуа :)

Тогда тоже самое можно сказать обо всех антивирусах представленных в обзоре.:)

Geser
22.12.2004, 18:28
Тогда тоже самое можно сказать обо всех антивирусах представленных в обзоре.:)

Согласен. Но например от ЛК лично я получал в 4 ночи ответ что добавили трояна которого я прислал. А так же не редко ответ приходит в течении 2 чсов с момента отправки нового трояна.
Очень сомниваюсь что вирусные аналитики Symantec работают с такой-же оперативностью.

Andrey
22.12.2004, 18:57
Согласен. Но например от ЛК лично я получал в 4 ночи ответ что добавили трояна которого я прислал. А так же не редко ответ приходит в течении 2 чсов с момента отправки нового трояна.
Очень сомниваюсь что вирусные аналитики Symantec работают с такой-же оперативностью.

Добавлен-то, добавлен. А когда ты фактически получил готовую сигнатуру от Касперского (причем не бета, а нормальную - наверняка в течении суток)?

Geser
22.12.2004, 19:16
Добавлен-то, добавлен. А когда ты фактически получил готовую сигнатуру от Касперского (причем не бета, а нормальную - наверняка в течении суток)?

Не проверял, но типа того. Но я ничего эпидемиологического не посылал. Думаю нового червя добавили бы за несколько часов. Ведь создать сигнатуру дело не долгое. Просто скорее всего новые базы сначала тестируют.

Alexey P.
23.12.2004, 00:53
В той статье не эти ли цифры использованы:
Andreas Marx
09.11.2004 15:21
Test: Reaktionszeiten von Antiviren-Herstellern
Оригинал:
http://www.pcwelt.de/news/sicherheit/104653/index2.html
Перевод мой.

Тест: Время реакции производителей антивирусов.

Время реакции: Win32/Bagle.BB
----------------------------------------------------------------------
BB-вариант впервые получен Messagelabs 29 октября 2004 года вскоре после 6:00 часов (GMT)
К этому времени его определяли Bitdefender (Win32.Bagle.10.Gen@mm), F-Prot ('возможно, неизвестный вирус')
и Sophos (W32/Bagle-Gen). McAfee также распознавала и удаляла характерные для Bagle письма.
Собственно червь стал определяться лишь после выпуска обновления.
В пик эпидемии Messagelabs останавливала около 170.000 зараженных писем в час.
У других антивирусов обычные обновления были выпущены в следующее время:

Производитель, Дата, Время, Hазвание

Dr. Web, 29.10.2004, 06:21, Win32.HLLM.Beagle.18848
Ikarus, 29.10.2004, 07:04, I-Worm.GEN
Kaspersky, 29.10.2004, 07:15, I-Worm.Bagle.at
F-Secure, 29.10.2004, 07:31, I-Worm.Bagle.at
Clam-AV, 29.10.2004, 07:34, Worm.Bagle.AT
Panda, 29.10.2004, 08:04, W32/Bagle.BC.worm
E-Trust (VET Engine), 29.10.2004, 08:26, Win32.Bagle.AQ
Avast, 29.10.2004, 08:47, Win32:Beagle-AQ [Wrm]
AVG, 29.10.2004, 09:17, I-Worm/Bagle.AX
Antivir, 29.10.2004, 09:20, Worm/Bagle.AQ.2
Virusbuster, 29.10.2004, 09:26, I-Worm.Bagle.AY
Norman, 29.10.2004, 09:38, Bagle.AQ@mm
Quickheal, 29.10.2004, 09:47, W32.Bagle.AT
Trend Micro, 29.10.2004, 09:51, WORM_BAGLE.AT
McAfee, 29.10.2004, 10:57, W32/Bagle.bb@MM
Command, 29.10.2004, 11:14, W32/Bagle.AP@mm
Symantec, 29.10.2004, 12:39, W32.Beagle.AV@mm
E-Trust (CA Engine), 29.10.2004, 13:16, Win32/Bagle.AQ.Worm
RAV, 29.10.2004, 16:06, Win32/Bagle.AQ@mm
Fortinet, 29.10.2004, 16:11, W32/Bagle.AX-mm

Загружаемые вручную бета-сигнатуры были готовы и раньше:

Производитель, Дата, Время, Hазвание

F-Secure, 29.10.2004, 07:15, I-Worm.Bagle.at
Panda, 29.10.2004, 08:20, W32/Bagle.BC.worm
Trend Micro, 29.10.2004, 09:51, WORM_BAGLE.AT
McAfee, 29.10.2004, 10:11, W32/Bagle.bb@MM
Symantec, 29.10.2004, 10:34, W32.Beagle.AV@mm


Время реакции: Win32/Bagle.BC
----------------------------------------------------------------------
Червь Bagle.BC стартовал явно позже. По данным Messagelabs первые экземпляры были перехвачены около 14:50 часов (GMT).
О большом массовом вбросе говорить нельзя, т.к. нами было зафиксировано "только" до пяти тысяч вирусных писем в час.
Bagle.BB и Bagle.BC сходны, многие антивирусы детектировали оба варианта одним обновлением.
Вообще без обновления определяли его Bitdefender
(BehavesLike:Win32.AV-Killer), F-Prot ('возможно, неизвестный вирус') и Sophos (W32/Bagle-Gen)
Как и для Bagle.BB, McAfee распознавал и блокировал характерные для Bagle письма. Собственно червь стал определяться лишь после выпуска обновления.
Clam-AV на время выхода статьи (09.11.2004 15:21) еще не распознавал этот вирус.

Hами было измерено следующее время реакции:

Производитель, Дата, Время, Hазвание

Dr. Web, 29.10.2004, 06:21, Win32.HLLM.Beagle.18848
Kaspersky, 29.10.2004, 07:15, I-Worm.Bagle.at
F-Secure, 29.10.2004, 07:31, I-Worm.Bagle.at
E-Trust (VET Engine), 29.10.2004, 08:26, Win32.Bagle.AP
Avast, 29.10.2004, 08:47, Win32:Beagle-AR [Wrm]
AVG, 29.10.2004, 09:17, I-Worm/Bagle.AY
Antivir, 29.10.2004, 09:20, Worm/Bagle.AP
Virusbuster, 29.10.2004, 09:26, I-Worm.Bagle.AZ
Norman, 29.10.2004, 09:38, Bagle.AR@mm
Panda, 29.10.2004, 10:08, W32/Bagle.BD.worm
Command, 29.10.2004, 11:14, W32/Bagle.AO@mm
Symantec, 29.10.2004, 12:39, W32.Beagle.AU@mm
E-Trust, (CA Engine) 29.10.2004, 13:16, Win32/Bagle.AP.Worm
RAV, 29.10.2004, 16:06, Win32/Bagle.AP@mm
Fortinet, 29.10.2004, 16:11, W32/Bagle.BB-mm
McAfee, 29.10.2004, 16:11, W32/Bagle.bc@MM
Trend Micro, 29.10.2004, 17:26, WORM_BAGLE.AN
Ikarus, 30.10.2004, 00:15, I-Worm.Bagle.AV
Quickheal, 30.10.2004, 01:42, W32.Bagle.AN

Загружаемые вручную бета-сигнатуры были готовы в следующее время:

Производитель, Дата, Время, Hазвание

F-Secure, 29.10.2004, 07:15, I-Worm.Bagle.at
Panda, 29.10.2004, 09:48, W32/Bagle.BD.worm
McAfee, 29.10.2004, 10:11, W32/Bagle.bc@MM
Symantec, 29.10.2004, 10:34, W32.Beagle.AU@mm
Trend Micro, 29.10.2004, 15:00, WORM_BAGLE.AN


Время реакции: Win32/Bagle.BD
----------------------------------------------------------------------
Messagelabs сообщила о распространении Bagle.BD около 12:00 часов. В пике
зафиксировано около 24 000 копий червя в час.
Bitdefender (Win32.Bagle.10.Gen@mm) и Sophos (W32/Bagle-Gen) также
разпознавали червя без обновления.
Так же мог распознавать вирусные письма и блокировать заражение через е-мейл McAfee.

Hами было измерено следующее время реакции:

Производитель, Дата, Время, Hазвание

Kaspersky, 29.10.2004, 09:45 I-Worm.Bagle.au
Panda, 29.10.2004, 10:08, W32/Bagle.BE.worm
Dr. Web, 29.10.2004, 10:21, Win32.HLLM.Beagle.18848
Clam-AV, 29.10.2004, 10:27, Worm.Bagle.AX
F-Prot, 29.10.2004, 10:40, W32/Bagle.AQ@mm
Avast, 29.10.2004, 10:52, Win32:Beagle-AS [Wrm]
Ikarus, 29.10.2004, 10:58, I-Worm.Bagle.AU
AVG, 29.10.2004, 11:09, I-Worm/Bagle.AZ
Command, 29.10.2004, 11:53, W32/Bagle.AQ@mm
Antivir, 29.10.2004, 12:08, Worm/Bagle.AT
Virusbuster, 29.10.2004, 12:14, I-Worm.Bagle.BA
E-Trust (VET Engine), 29.10.2004, 12:46, Win32.Bagle.AR
E-Trust (CA Engine), 29.10.2004, 13:16, Win32/Bagle.AQ.Worm
Norman, 29.10.2004, 13:18, Bagle.AR@mm
F-Secure, 29.10.2004, 14:31, I-Worm.Bagle.au
Fortinet, 29.10.2004, 16:11, W32/Bagle.AW-mm
McAfee, 29.10.2004, 16:11, W32/Bagle.bd@MM
Trend Micro, 29.10.2004, 17:26, WORM_BAGLE.AU
Quickheal, 29.10.2004, 19:04, W32.Bagle.AU
Symantec, 29.10.2004, 20:34, W32.Beagle.AW@mm
RAV, 31.10.2004, 23:11, Win32/Bagle.BD@mm

Бета-сигнатуры были готовы так:

Hersteller, Datum, Uhrzeit, Name
Panda, 29.10.2004, 10:06, W32/Bagle.BE.worm
McAfee, 29.10.2004, 11:30, W32/Bagle.bd@MM
Symantec, 29.10.2004, 11:39, W32.Beagle.AW@mm
F-Secure, 29.10.2004, 14:00, I-Worm.Bagle.au
Trend Micro, 29.10.2004, 17:26 WORM_BAGLE.AU

Alexey P.
23.12.2004, 01:12
Не проверял, но типа того. Но я ничего эпидемиологического не посылал. Думаю нового червя добавили бы за несколько часов. Ведь создать сигнатуру дело не долгое. Просто скорее всего новые базы сначала тестируют.

Да. Из неофициального интервью одного из работников Касперски Лаб (оригинал здесь (http://groups.google.ru/groups?q=+%22%D0%B3%D0%B0p%D0%B0%D0%BD%D1%82%D0%B8 p%D0%BE%D0%B2%D0%B0%D0%BD%D0%BD%D1%8B%D0%B9+%D1%86 %D0%B8%D0%BA%D0%BB%22+group:fido7.ru.security&hl=ru&lr=&ie=UTF-8&inlang=ru&scoring=r&selm=1091146129%40p409.f2731.n5030.z2.ftn&rnum=2&filter=0) ):
-----------------------------------------------------------------------
Докладываю. (Это бyдет пpочитать интеpесно многим. Здесь и о дpyгих
антивиpyсных компаниях).

Мною был задан следyющий вопpос: "Если вам пpишлют некий виpyс (он может быть пpостым, сложным - неизвестно, абстpактный). Чеpез какой пеpиод он ГАРАHТИРОВАHО должен быть добавлен в новый апдейт? То есть 3 часа, 6 часов, 9 часов, несколько сyток? Есть y вас такой гаpантиpованный сpок. Виpyс вам пpислали, а его неделю не добавляют, напpимеp. Расскажи, пожалyйста, пpо политикy".

Ответ: "Все очень пpосто: если письмо от пользователя, то оно добавится в течении тpех часов. Иначе дежypного дятла/дятлов взъе#yт. Если это обмен коллекциями, то может и тpи месяца пpолежать. Hо и за это деpyт сильно".

Вопpос: "А если виpyс очень сложный? За тpи часа не пpоанализиpовать".
Ответ: "А никто и не анализиpyет полностью. Главное задетектить. А потом pазбеpемся. Апдейты с сегодняшнего дня выходят pаз в час"
(Подчеpкнy: *ВHИМАHИЕ* ! Апдейты с сегодняшнего дня выходят РАЗ В ЧАС!)

Вопpос: "Hy а лечить? В базе может отсyтствовать алго лечения? Главное - детект? А лечилкy добавить чеpез несколько часов, когда все yже полностью pазобpано бyдет?".

Ответ: "Лечение вообще pедко пишyт. Только когда эпидемии... Сейчас же в основном чеpви, да тpояны. Там одно лечение - delete. И лечение можно добавлять когда yгодно. Как пpавило это делается по запpосy".
-----------------------------------------------------------------------

О добавлении одного из червей (AVP - I-Worm.Moodown.b
DrWeb - HLLM.Foo.41984) ДрВебом можно посмотреть, например, здесь (http://forum.drweb.ru/view/62118).

Alexey P.
23.12.2004, 01:51
О добавлении одного из червей (AVP - I-Worm.Moodown.b
DrWeb - HLLM.Foo.41984) ДрВебом можно посмотреть, например, здесь (http://forum.drweb.ru/view/62118).

Сигнатура червяка была добавлена в этом дополнении:
drwtoday.vdb (2004-02-18 13:45:00)
... Win32.HLLM.Foo.41984, ...

В последнее время дрвебовцы увеличили число вирус-аналитиков. Это чувствуется.

Geser
23.12.2004, 09:03
Вот данные выше ближе к истине. В основном лидируют КАВ и ДрВеб, как и предпологалось. Семантек как и предпологалось один из последних.

Andrey
23.12.2004, 17:44
Все-таки верно подметил Андреас Маркс, сотрудник AV-Test, что компания первой проанализировавшая конкретный вирус, не обязательно будет первой в следующий раз.

Geser твоя любовь к Касперскому, просто не скрываема. Фирма, в которой ты работаешь, случайно не является представителем ЛК на территории Израиля? В Израиле так много IT компаний, неужели нет своего родного антивируса?

Geser
23.12.2004, 18:10
Все-таки верно подметил Андреас Маркс, сотрудник AV-Test, что компания первой проанализировавшая конкретный вирус, не обязательно будет первой в следующий раз.

Выше дали не один пример, а 3.

Geser твоя любовь к Касперскому, просто не скрываема.
Любовь здесь ни при чём. Лично у меня стоит ДрВеб. Но во многом ЛК действительно стоят на первом месте.

azza
23.12.2004, 21:46
Судя по всему использовали http://virusscan.jotti.dhs.org ? Но на данном сайте (как и на http://www.virustotal.com) используются старые антивирусные движки (обновляются только антивирусные базы).
P.S.: А придраться можно к любому антивирусу - NOD 32 (к примеру) не знает PE-SHIELD.

Проверил то же на _http://onlinescan.avast.com
-------------------------------------------------------
calc_asp.exe clear

VPS version: VPS 0452-1 22.12.2004
Scaner version: 1.0.8 beta4
Scanned files: 1
Scanned directories: 0
Archives count: 0
Infected files: 0
Errors: 0
File count: 10.5 kB
Scan time: 0s 36ms
Scanned speed: 287.2 kB/s
------------------------------------------------------
calc_pesh.exe clear

VPS version: VPS 0452-1 22.12.2004
Scaner version: 1.0.8 beta4
Scanned files: 1
Scanned directories: 0
Archives count: 0
Infected files: 0
Errors: 0
File count: 18.0 kB
Scan time: 0s 15ms
Scanned speed: 1.1 MB/s
------------------------------------------------------
calc_pkl.exe clear

VPS version: VPS 0452-1 22.12.2004
Scaner version: 1.0.8 beta4
Scanned files: 1
Scanned directories: 0
Archives count: 0
Infected files: 0
Errors: 0
File count: 11.5 kB
Scan time: 0s 29ms
Scanned speed: 386.8 kB/s
-----------------------------------------------------
calc_upx.exe clear

VPS version: VPS 0452-1 22.12.2004
Scaner version: 1.0.8 beta4
Scanned files: 1
Scanned directories: 0
Archives count: 0
Infected files: 0
Errors: 0
File count: 6.0 kB
Scan time: 0s 23ms
Scanned speed: 258.3 kB/s
--------------------------------------------------------
Лапшу вешают...

Andrey
02.01.2005, 14:30
Проверил то же на _http://onlinescan.avast.com


Да у них там совсем глючный сканер какой-то! ;D
Даже не упакованные вирусы, имеющиеся у них в базе, не видит! ;D

Geser
02.01.2005, 14:37
Ну так чево Вы хотите нахаляву?:)

Andrey
03.01.2005, 12:31
Проверил то же на _http://onlinescan.avast.com
Лапшу вешают...

Странно, в Off-Line другая картина:

Sign of "Win32:Trojan-gen. {Other}" has been found in "F:\virus\TrojanDownloader.Win32.Wintrim.ax [UPX]\LiveService_3_EN_XP.cab\LiveService_3.dll" file.

Sign of "Win32:Trojan-gen. {Other}" has been found in "F:\virus\TrojanDownloader.Win32.Wintrim.bb [UPX]\netpe32_EN_XP.cab\netpe32.dll" file.

Sign of "Win32:Trojan-gen. {Other}" has been found in "F:\virus\TrojanDownloader.Win32.Wintrim.bj [UPX]\one2oneSvcEN.cab\one2oneSvc.dll" file.

Sign of "Win32:Trojan-gen. {Other}" has been found in "F:\virus\TrojanDownloader.Win32.Wintrim.bk [UPX]\LiveService_4_EN_XP.cab\LiveService_4.dll" file.

azza
03.01.2005, 15:26
Лови в приват ссылку на эти тестовые вирусы. Засветишь - не беда. Настрогаю ещё себе из вирусных коллекций. Пароль на архив - virus

Andrey
03.01.2005, 15:59
Сканировал в Off-Line.
Вот результат:
avast! версия 4.5 Home Edition [Сборка: Nov2004 (4.5.549)], VPS [Дата компиляции: 31.12.2004, Версия файла: 0453-1]

03.01.2005 15:49:53***Андрей***2924***Sign of "Win32:Beagle-AK [Wrm]" has been found in "C:\Documents and Settings\Андрей\Мои документы\Issled\calc.zip\calc.exe" file.

03.01.2005 15:49:55***Андрей***2924***Sign of "Win32:Beagle-AK1 [Zip]" has been found in "C:\Documents and Settings\Андрей\Мои документы\Issled\calc.zip" file.

03.01.2005 15:49:56***Андрей***2924***Sign of "Win32:Beagle-AK [Wrm]" has been found in "C:\Documents and Settings\Андрей\Мои документы\Issled\calc_asp.zip\calc_asp.exe\[AsPack]" file.

03.01.2005 15:49:58***Андрей***2924***Sign of "Win32:Glieder [Trj]" has been found in "C:\Documents and Settings\Андрей\Мои документы\Issled\calc_neo.zip\calc_neo.exe" file.

03.01.2005 15:49:59***Андрей***2924***Sign of "Win32:Beagle-AK [Wrm]" has been found in "C:\Documents and Settings\Андрей\Мои документы\Issled\calc_pesh.zip\calc_pesh.exe\[PeShield]" file.

03.01.2005 15:50:00***Андрей***2924***Sign of "Win32:Beagle-AK [Wrm]" has been found in "C:\Documents and Settings\Андрей\Мои документы\Issled\calc_upx.zip\calc_upx.exe\[UPX]" file.

Вывод: По крайней мере, AsPack, NeoLite, PeShield, UPX знает. Остальные упаковщики нет.

azza
03.01.2005, 16:39
Знает этот вирус, упакованный Неолитом, а самого пакера не знает, т.к. другое название.

Andrey
05.01.2005, 09:02
Неплохо использовать, совместно с avast! HE, ScripTrap 1.03 http://keir.net/scriptrap.html, по причине отсутствия в домашней версии avast! блокировки скрипт-вирусов.
Единственный недостаток ScripTrap 1.03 - блокировка любых документов Word и Excel содержащих макросы.

Andrey
07.01.2005, 20:32
Знает этот вирус, упакованный Неолитом, а самого пакера не знает, т.к. другое название.

Ты прав. Вот что откопал в Help'е:

"Packers" Page

This page allows you to set which packers (archives) avast! will test during the task processing. The default setting is self-extracting executables only. You can set additional archives to be processed, though it will slow down the test, of course. When All packers options is checked, avast! will scan all archives it is able to process.

avast! is able to process the following archives:

Self-extracting DOS executables
Self-extracting Win32 executables (UPX, AsPack, PEShield, PEProtect) ;D
7ZIP archive
ACE archive
ARC archive
ARJ archive
BZIP2 archive
CAB archive
CHM archive
CPIO archive
GZIP archive
ISO archive
LHA archive
MAPI files (*.pst)
MIME
NTFS streams
RAR archive
RPM archive
TAR archive
TNEF streams
ZIP archive
ZOO archive

Кроме UPX, AsPack, PEShield, PEProtect других паковщиков не
знает. :'(

Для тестирования на знания паковщиков неплохо создать нормальный тест: файл EICAR http://www.eicar.org/anti_virus_test_file.htm запаковать различными пакерами (надежно и безопасно). Кто возьмется за благородное дело? ???

13.01.2005, 09:23
Для тестирования на знания паковщиков неплохо создать нормальный тест: файл EICAR http://www.eicar.org/anti_virus_test_file.htm запаковать различными пакерами (надежно и безопасно). Кто возьмется за благородное дело?

ничего не получиться, его пакованные образцы, даже без анализа пакеров будут добавлены в базы антивирусов...

Andrey
19.01.2005, 17:06
Да еще одна беда у программы avast! 4.5 :'( :пока архив не распакован, монитор не черта не видит внутри архива вирус (и это с настройками на максимум) (данная проблема характерна и для монитора AVG Free Edition).

P.S.: AntiVir (http://www.free-av.com/) forever!

Minos
19.01.2005, 18:09
Да еще одна беда у программы avast! 4.5 :'( :пока архив не распакован, монитор не черта не видит внутри архива вирус (и это с настройками на максимум) (данная проблема характерна и для монитора AVG Free Edition).

P.S.: AntiVir (http://www.free-av.com/) forever!


А пока вирус запакован, он не опасен для вашего компьютера. Максимум что может случится - вы передадите зараженный архив другому человеку.

Andrey
19.01.2005, 18:53
А пока вирус запакован, он не опасен для вашего компьютера. Максимум что может случится - вы передадите зараженный архив другому человеку.

Ну, об этом я знал давно ;D, однако обидно :'(.

azza
19.01.2005, 19:11
А пока вирус запакован, он не опасен для вашего компьютера. Максимум что может случится - вы передадите зараженный архив другому человеку.

Только за одно это - невозможность проверить архивированный файл (zip, rar) - этот антивирус надо выкинуть нафиг.

Andrey
19.01.2005, 19:16
Только за одно это - невозможность проверить архивированный файл (zip, rar) - этот антивирус надо выкинуть нафиг.

Согласен!
P.S.: По началу все антивирусы кажутся не плохими, а как начнешь копаться, то большинство полное говно!

Geser
19.01.2005, 19:20
А че вы хотели за бесплатно?

Minos
19.01.2005, 20:05
Только за одно это - невозможность проверить архивированный файл (zip, rar) - этот антивирус надо выкинуть нафиг.

Ну ты хватанул, проверка архивов антивирусным монитором в реальном режиме - это все равно, что носить с собой чесалку для спины "а вдруг зачешется". Я у DrWeb отключил проверку архивов, как только начал активно использовать архивы с HTML документами. Представь архивчик в 8 Mb с 248 файлами HTML и вложенными архивами, при обращении к которому происходит его распаковка и проверка - на P III700 чаю попить можно.
Нет, проверка архивов дело нужное, но пока "скоростных" реализаций не предвидится и в монитор эту функциональность засовывать не стоит.

azza
19.01.2005, 21:34
Не монитором, а сканером.
Представь, что ты разархивировал архив, чтобы проверить файл авастом, проверил, а потом Far'oм решил копирнуть файл куда-нить. Нажимаешь F5 и ... запускаешь вирус, потому что перед этим у тебя запускался ProcViewer от Сани.

Minos
19.01.2005, 22:11
Не монитором, а сканером.
Представь, что ты разархивировал архив, чтобы проверить файл авастом, проверил, а потом Far'oм решил копирнуть файл куда-нить. Нажимаешь F5 и ... запускаешь вирус, потому что перед этим у тебя запускался ProcViewer от Сани.

Сканер Avast нормально работает с основными форматами архивов, а так же с некоторыми пакерами. Сканер чуесно видит вирусы в архивах. Даже, если вы пользуетесь нестандартным архиватором, то при распаковке файлы записываются на диск, и при этом проверяются монитором.

azza
19.01.2005, 23:07
03.01.2005 15:49:53 Андрей 2924 Sign of "Win32:Beagle-AK [Wrm]" has been found in "C:\Documents and Settings\Андрей\Мои документы\Issled\calc.zip\calc.exe" file.

03.01.2005 15:49:55 Андрей 2924 Sign of "Win32:Beagle-AK1 [Zip]" has been found in "C:\Documents and Settings\Андрей\Мои документы\Issled\calc.zip" file.

Почему один и тот же вирус в архиве и без оного по-разному называется?

Andrey
20.01.2005, 09:08
03.01.2005 15:49:53 Андрей 2924 Sign of "Win32:Beagle-AK [Wrm]" has been found in "C:\Documents and Settings\Андрей\Мои документы\Issled\calc.zip\calc.exe" file.

03.01.2005 15:49:55 Андрей 2924 Sign of "Win32:Beagle-AK1 [Zip]" has been found in "C:\Documents and Settings\Андрей\Мои документы\Issled\calc.zip" file.

Почему один и тот же вирус в архиве и без оного по-разному называется?

Тут еще интереснее:
Creation date of the report file: 20 января 2005 г. 09:00

AntiVir®/XP (2000 + NT) Personal Edition v6.29.00.03 of 13.12.2004
VDF file v6.29.0.71 (0) of 19.01.2005


C:\ISSLED
calc.zip
ArchiveType: ZIP
--> calc.exe
[DETECTION] The Trojan horse TR/Bagle.AL
calc_asp.zip
ArchiveType: ZIP
--> calc_asp.exe
[DETECTION] The Trojan horse TR/Glieder.A
calc_fsg2.zip
ArchiveType: ZIP
--> calc_fsg2.exe
[DETECTION] The Trojan horse TR/Glieder.C
calc_pec.zip
ArchiveType: ZIP
--> calc_pec.exe
[DETECTION] The Trojan horse TR/Glieder.B

End of scan: 20 января 2005 г. 09:00
Time taken: 00:03 min

Интересное превращение из TR/Bagle.AL в варианты TR/Glieder.

azza
20.01.2005, 16:10
Это объясняется очень просто - часть этой коллекции, где были ASPack 2.12, FSG 2.0, NEOLITE 2.0, PECompact 2.40, UPX 1.25 я выкладывал на одном из форумов для тестирования народом своих антивирей. Естественно, эта коллекция попала "куда следует". И разные названия у AntiVir говорят о том, что он этих пакеров не знает.

P.S. Вчерашние мои высказывания были не совсем адекватными, т.к. находился под шафе.
Всем сорри, кого обидел.

Andrey
20.01.2005, 18:04
Сканер Avast нормально работает с основными форматами архивов, а так же с некоторыми пакерами. Сканер чуесно видит вирусы в архивах. Даже, если вы пользуетесь нестандартным архиватором, то при распаковке файлы записываются на диск, и при этом проверяются монитором.

Да, но при скачивании зараженного архива NOD32, к примеру, все мозги отрахает. Конечно, это перестраховка, но все же монитор у avast! полный отстой.

Minos
20.01.2005, 18:26
Да, но при скачивании зараженного архива NOD32, к примеру, все мозги отрахает. Конечно, это перестраховка, но все же монитор у avast! полный отстой.

А перед тем как выдать сообщение, для большого и сложного архива, будет тупить как админ по утрам.

Почему, все исполняемые файлы которые обнаруживает сканер обнаруживает и монитор, систему сильно не грузит, мониторинг разбит на несколько модулей: мониторинг системы, мониторинг P2P трафика, мониторинг Messager-ов. Причем каждый модуль можно настроить индивидуально и даже вообще отключить.

И вообще, на мой взгляд, Avast имеет лучшую систему мониторинга среди бесплатно распространяемых для домашнего пользования антивирусов. Единственная главная, беда этого, да и большинства бесплатных антивирусов - это довольно маленькие базы, но я думаю эта проблемма решится за счет все большего числа пользователей . ;)

Andrey
20.01.2005, 18:49
Когда ребята из avast! выкладывают такие обновления как сегодня (http://www.avast.com/eng/vps_history.html), то начинаешь думать, что программа нечего себе, приличная. Но когда обновлений нет по паре дней, в голове поселяются нехорошие мысли.

Geser
20.01.2005, 18:54
Когда ребята из avast! выкладывают такие обновления как сегодня (http://www.avast.com/eng/vps_history.html), то начинаешь думать, что программа нечего себе, приличная. Но когда обновлений нет по паре дней, в голове поселяются нехорошие мысли.

Ну так если такие крупные фирмы как ДрВеб и КАВ не справляются с потоком новых зверей, то какие шансы у мелких?

vicyo
20.01.2005, 20:50
Когда ребята из avast! выкладывают такие обновления как сегодня (http://www.avast.com/eng/vps_history.html), то начинаешь думать, что программа нечего себе, приличная. Но когда обновлений нет по паре дней, в голове поселяются нехорошие мысли.

есть такое понятие "вирусная активность".
Когда у этой активности пик, то может быть и по три обновления баз в день, на спаде - одно обновление в три дня ( например, у НОДа так бывает ) и это нормально.

Andrey
21.01.2005, 20:50
Пинаем бездушную прогу, забывая, что среди бесплатных антивирусов avast! одно из лучших решений, хотя и не столь надёжное как коммерческие (платные) антивирусы.

Minos
22.01.2005, 12:55
Пинаем бездушную прогу, забывая, что среди бесплатных антивирусов avast! одно из лучших решений, хотя и не столь надёжное как коммерческие (платные) антивирусы.

Полностью согласен, рекомендую всем, у кого нет возможности поставить коммерческий продукт, поставить именно этот антивирус и помнить, что "дареному коню в зубы не смотрят".

Andrey
02.02.2005, 16:01
Решил узнать, сколько вирусов знает avast.
Результат удручающий:

VPS info
Database version: 7.70-92.12, 1/31/2005.
Total number of known viruses: 36102.

Возможно, используют метод подсчета вирусов аналогичный Dr.Web'у (http://www.drweb.ru/faq.shtml#1), хотя мало вероятно.

Хотя с другой стороны, тест Virus Bulletin (Feb 2005) на знание вирусов из WildList avast прошел.
(см. http://www.avast.com/eng/awards.html).

Полный список известных avas'у вирусов доступен здесь:
http://www.webfile.ru/176450
Файл будет доступен до 15:54 22.02.2005.

Andrey
02.02.2005, 23:29
Решил узнать, сколько вирусов знает avast.
Результат удручающий:
VPS info
Database version: 7.70-92.12, 1/31/2005.
Total number of known viruses: 36102.

Хотя как-то не сходится с результатами теста http://www.virus.gr/fullxml/redirect.asp?id=220&type=dw, где avast нашел 61663 (80,55%) вирусов из общего количества 76556 (100%).
Наверно правы многие AV компании, когда не указывают общее количество вирусов в своей базе, чтобы не вводить пользователей в сомнения.

Сибиряк
05.03.2005, 07:37
Новая версия антивируса Аваст (www.avast.com) имеет встроенный Web Shield, который "на лету" сканирует все файлы при работе в интернете и отлавливает spy и malware.

Geser
05.03.2005, 12:23
Написал бы в теме версию, а то человек через год прийсдот, а Аваст всё еще новый :)

Сибиряк
06.03.2005, 13:41
Пожалуйста!

версия 4.6.603

;)

Сибиряк
16.03.2005, 07:37
Установил самую последнюю версию Аваста.
Обновления очень компактные. WebShield работает отлично. Кстати, есть ли у других антивирусов подобная функция? Этот WebShield на лету проверяет все загружаемые из интернета файлы на наличие вирусов, spyware и malware.
Думаю, что из бесплатных антивирусных программ эта - лучшая.

Andrey
16.03.2005, 08:40
Кстати, есть ли у других антивирусов подобная функция?

Есть у NOD'a 32, к примеру.
Нужна ли такая функция, когда в любом случаи файлы загружаются на PC и AV монитор любой программы не допустит запуска вредоносного кода. Вопрос спорный.

Сибиряк
16.03.2005, 09:39
Вот точное описание WebShield:

Web Shield

The main highlight of avast 4.6 is undoubtly the new avast! on-access scanning provider - Web Shield. It is able to monitor and filter all HTTP traffic coming from the Web sites on the Internet. Since an increasing number of viruses (and other malware, such as adware, spyware and dialers) are being distributed via the World Wide Web, the need for an effective countermeasures has also increased. The Web Shield acts as a transparent HTTP proxy and is compatible with all major web browsers, including Microsoft Internet Explorer, FireFox, Mozilla and Opera.

Unlike most competitive solutions, the Web Shield's impact on browsing speed is almost negligible. This is because of a unique feature called "Intelligent Stream Scan" that lets the Web Shield module scan objects on-the-fly, without the need of caching them locally. Stream scanning is performed in operating memory only (without the necessity to flush the contents to disk), providing maximum possible throughput rates.

Andrey
16.03.2005, 15:22
К большому сожалению WebShield на моём тестовом PC работает с глюками: то проверка осуществляется, то нет. Скорее всего, текущая версия WebShield еще сыровата.
В конце концов, многие идеи avast'a мне симпатичны. Им бы еще базы как у KAV и сканер пошустрее (как у AntiVir'a или NOD'a 32 (с максимальными настройками, последний, работает очень шустро)).
Но в целом компания ALWIL Software избрала верный путь комплексной защиты PC. В данном направлении работают многие компании (KAV со своим Kaspersky Personal Security Suite и т.д).

Andrey
16.03.2005, 15:31
Установил самую последнюю версию Аваста.
Обновления очень компактные.

В настройках программы не забудь указать: обновлять программные модули, т.к. приблизительно раз в месяц обновляется сканирующий движок (обновления также очень компактны). Это помимо обновления самих AV баз.

В целом не поленись посмотреть настройки avast'a - их у него много. Программу вообще можно заставить работать на полном автомате.
Возможно, летом напишу подробную инструкцию по всем скрытым настройкам avast'a.

drongo
16.03.2005, 20:39
ест он много , хоть я почти всё поотключал .
2 процесса в сумме - выходит 38 мб :(

Minos
16.03.2005, 22:04
ест он много , хоть я почти всё поотключал .
2 процесса в сумме - выходит 38 мб :(

Не знаю у меня 8 и 13 при том что в системе куча DLL от мышки и клавиатуры Logitech, которые наровят внедрится во все, что "шевелится".

Andrey
16.03.2005, 22:22
Все зависит от настроек: со стандартными относительно быстр, но много пропускает, с высокими (тщательными) настройками даже неслабая машина притормаживает.

Andrey
19.03.2005, 17:19
Интересная статья об avast:
http://www.uchebka.ru/articles/21/21_3.html
Архивный вариант ~600 KБ:
http://www.uchebka.ru/arhiv/21.zip

Andrey
19.03.2005, 19:03
Новая версия 4.6.623 от 12.03.2005, исправлены различные ошибки:

-fixed various problems in the new WebShield provider (ZoneAlarm privacy control related problems, access to SSL sites, access to HTTP/0.9 servers etc).
-fixed various problems in the new NNTP scanner (part of the Internet Mail provider)
-corrected installation-related problems in the case of the odd system setting NtfsDisable8dot3NameCreation
-IM Shield: added support for Skype and IM2 Messenger (NT-based systems only)
-corrected some hyperlinks in the program
-attempt to solve seldom Windows 9x virus dialog related freezes
-attempt to solve ashServ.exe system shutdown related issues
-added Norwegian language pack

Источник: http://www.avast.com/eng/av4_revision_history.html

Andrey
21.03.2005, 17:35
Для лучшей работы WebShield.
В настройках "WebShield" ("Настройка сканера доступа" -> "Детали >>") выбрать "Настроить..." -> "Basic" и в графе "Redirected HTTP port(s)" указать следующие значения "80,8080,3128".
На закладке "Расширенный", поставить галку "Показывать подробную информацию о выполнении".
Если вовремя просмотра страниц не выскакивает строка с адресами проверяемых страниц, значит WebShield не работает. В данном случаи нужно перезапустить WebShield "Пауза" -> "Продолжить" или "Приостановить работу провайдера WebShield" -> "Возобновить работу провайдера WebShield".

-Если есть желание, видеть результат проверки файлов из контекстного меню, выберите пункт "Настройки программы..." и поставьте галочку напротив "Показать результаты Расширения Проводника".

-Если надоел, аляпистый интерфейс программы выберите пункт "Настройки программы..." и уберите галочку напротив "Включить обложки для Простого Интерфейса Пользователя".

Andrey
21.03.2005, 18:02
ест он много , хоть я почти всё поотключал .
2 процесса в сумме - выходит 38 мб :(

ashDisp.exe - 1*925*120
ashMaiSv.exe - 1 925 120
ashServ.exe - 5 001 216
ashWebSv.exe - 4 382 720
aswUpdSv.exe - 294*912
Итого: 13 529 088 байт.
Система Windows XP SP2.

P.S.: При сканировании PC, сканер расходует 15 945 728 байт памяти.

Andrey
21.03.2005, 18:17
Новая версия антивируса Аваст (www.avast.com) имеет встроенный Web Shield, который "на лету" сканирует все файлы при работе в интернете и отлавливает spy и malware.

Что нового в avast! 4.6
Новая версия антивируса avast! - 4.6 - снова предоставляет нашим пользователям дополнительные функции и возможности. Здесь вы найдете описание наиболее важных из них.
Web Shield
Основное отличие версии avast 4.6 - это несомненно новый механизм сканирования on-access - Web Shield. Он дает возможность сканировать и фильтровать весь трафик HTTP, поступающий с веб-сайтов из интернета. С ростом числа вирусов (и других вредносных программ, например, adware, spyware и набирателей номера), распространяющихся во всемирной паутине, появляется необходимость в эффективных контрмерах. Web Shield работает как незаметный прокси HTTP, совместимый со всеми основными веб-браузерами, включая Microsoft Internet Explorer, FireFox, Mozilla и Opera.

В отличие от большинства конкурентных решений, Web Shield's практически не влияет на скорость браузера за счет уникальной функции, называемой "Intelligent Stream Scan" (Потоковое интеллектуальное сканирование), которая позволяет модулю Web Shield сканировать объекты на лету, без необходимости кэширования их локально. Потоковое сканирование производится только в оперативной памяти (без необходимости использования дискового пространства), тем самым обеспечивая максимально возможные пропускные способности.

Сканер NNTP (Newsgroup)
Еще одна особенность нового релиза avast 4.6 - возможность сканирования трафика NNTP (Usenet Newsgroup). В то время, как большинство Usenet newsgroups не позволяют использовать бинарные вложения, некоторые позволяют и на самом деле являются потенциальным направлением для вирусных атак и заражений. Фактически, получается, что очень большое количество червей и вирусов массовых рассылок первым делом распространяется через Usenet Newsgroups.

Сканирование NNTP выполняет функцию обычного провайдера интернет-почты. Под операционными системами на основе NT(Windows NT, Windows 2000, Windows XP и Windows 2003) работа выполняется совсем незаметно - нет необходимости в перенастройках для существующих клиентах новостной группы.

Распаковщик архивов Outlook Express
Новая версия также содержит возможность разархивирования и лечения архивных файлов в Microsoft Outlook Express (версии OE 5.x и 6) - также известных как файлы "dbx". Используя простое сканирование HDD (с возможностью сканирования архивов), пользователь Outlook Express теперь получил возможность обнаруживать и удалять вирусы, скрытые в почтовых папках (но все равно обладающие потенциальной возможностью нанести вред при активации) - включая заархивированные.

Снижения влияния на расходование памяти
Популярная возможность, особенно для пользователей с не очень высокими системными ресурсами - полностью переделанная схема распределения памяти. Благодаря новым оптимизированным возможностям расходы ресурсов памяти процессами avast! значительно снизились. Это особенно относится к главному антивирусному сервису avast! (ashServ.exe/aswServ.exe), который теперь использует различные методы оптимизации распределения памяти.

Пакет новых языков
Интернациональная поддержка - ключевая особенность антивируса avast!. За последние 2 года avast! был переведен на многие языки, а версия 4.6 включает в себя дополнительные модули языков. Сегодня поддерживаются версии на следующих языках: английский, болгарский, чешский, датский, финский, французский, немецкий, венгерский, итальянский, норвежский (скоро появится), корейский, польский, португальский, японский, румынский, русский, сербский, словацкий, испанский, турецкий.

Улучшенные возможности распознавания
Команда ALWIL постоянно пополняет базу известных вирусов и угроз. Теперь это не только вирусные агенты, но также трояны, интернет-черви, spyware, adware, набиратели номера и другие типы злонамерянных программ. Однако версии продукта ранее 4.6 содержали не совсем безупречный механизм обнаружения.

C выходом новой версии avast точно обнаруживает и отображает тип угрозы, и таким образом, дает пользователю более подробный отчет о том, что происходит и как решать возможные проблемы.


Источник: http://www.avast.ru/avast_whats_new.htm

Andrey
20.04.2005, 18:09
Новые изменения в avast! 4.6:

Version 4.6.652
April 19, 2005

*WebShield: solved problems with displaying of certain pages (incorrect handling of connection close)
*WebShield: removed NETBIOS reverse lookup (access to UDP port 137) (same applies to the mail scanner)
*WebShield: added detection of ZoneAlarm and subsequent deactivation of transparent proxy mode
*better ability of dealing with corrupted archives
*minor enhancements in some unpackers (RAR, ZIP, TAR, GZIP, ZOO)
*added support for SIS archives (SymbianOS installation archives)
*fixes in the mail scanner: problems with multiple simultaneous connections, removal of superfluous sending in case of client timeout
*boot-time scan: removed limit of total length of the folder paths (1024B)
*fixed a bug causing lack of detection of certain virus types under Windows NT 4.0

Источник: http://www.avast.com/eng/av4_revision_history.html