Бета-тестирование антивируса "ВирусБлокАда"

на [url]http://virusscan.jotti.org/[/url]
[QUOTE]Norman Virus Control:
Found Sandbox: W32/Malware; [ General information ]

* File might be compressed.
* Attempts to run Visual Basic Script (VBS).
* File length: 3173 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SERVICES.EXE.
* Drops Visual Basic Script: C:\del.vbs.

[ Changes to registry ]
* Creates value "SERVICES.EXE"="C:\WINDOWS\SERVICES.EXE" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".

[ Network services ]
* Looks for an Internet connection.

[ Process/window information ]
* Attemps to NULL C:\WINDOWS\SERVICES.EXE NULL.
* Attemps to NULL c:\del.vbs NULL.
* Creates a mutex DownLoader10.
* Will automatically restart after boot (I'll be back...).[/QUOTE]

Да, есть такое. В данном случае у ВБА 3.10.5 - реакции нет.

hттp://81.176.73.169/bags/BlackBox.class

BlackBox.class обнаружен вирус Exploit.ByteVerify

[QUOTE=shu_b]hттp://81.176.73.169/bags/BlackBox.class

BlackBox.class обнаружен вирус Exploit.ByteVerify[/QUOTE]

А здесь всё нормально ;-)).

[QUOTE=Iceman]Хммм, а у меня - молчит.. Настройки - по максимуму.[/QUOTE]
Хм, и у меня молчит

Есть повод разобраться ;-)).

Нет, у вас, скорее всего, тоже не промолчит.
Такое сообщение выдается при проверке вот этого:
hxxp://81.176.73.169/bags/x.chm
И при этом сообщает, что же оно собирается грузить (тот самый openpass.exe). Вот это новая фишка, имхо, я впервые вижу.

Не обновляется ВБА:
16:15:40 19-09-2005 Начало обновления с [url]http://www.anti-virus.by/beta/update/[/url]
16:15:42 19-09-2005 По указанному пути список файлов не найден

[QUOTE=Iceman]Не обновляется ВБА:
16:15:40 19-09-2005 Начало обновления с [url]http://www.anti-virus.by/beta/update/[/url]
16:15:42 19-09-2005 По указанному пути список файлов не найден[/QUOTE]
Было дело, сейчас должно быть все ОК

Интересная вещь. При работе монитора кушает больше памяти (в пределах 20-25 мега), чем при работающем сканере.

[QUOTE=Cash]Интересная вещь. При работе монитора кушает больше памяти (в пределах 20-25 мега), чем при работающем сканере.[/QUOTE]

У ВБА в памяти висит 1 процесс: VBA32Ldr.exe, который и занимает память в зависимости от загрузки и выполняемой задачи (ИМХО).

[QUOTE=Iceman]У ВБА в памяти висит 1 процесс: VBA32Ldr.exe, который и занимает память в зависимости от загрузки и выполняемой задачи (ИМХО).[/QUOTE]
Ну да, именно про него я и говорю. Просто подметил эдакую странную вещь. То есть, как положено, cpu usage поднимается, а количество свободной памяти - иногда даже больше становится. :)

Не взлюбил VBA AVZ :)

10:13:22 21-09-2005 D:\programm\avz3\avz.exe : инфицирован MalwareScope.Trojan-Spy.Banker.128
10:13:22 21-09-2005 D:\programm\avz3\avz.exe : заблокирован
10:13:51 21-09-2005 D:\programm\avz3\avz.exe : удален

Файлы, скопированые в Карантин, оседают в папке C:\Program Files\Vba32\Qtn, спрашивается, зачем тогда нужны папки:
C:\Program Files\Vba32\Virus\Suspicious
и
C:\Program Files\Vba32\Virus\Infected

У меня в настройках монитора стоит Infected - ask, suspicious - skip.
И если установлен notify about monitor actions, будет ли монитор сообщать про подозрительные файлы? А если не установлен - будет ли спрашивать про инфицированные?

[QUOTE=Casper]Файлы, скопированые в Карантин, оседают в папке C:\Program Files\Vba32\Qtn, спрашивается, зачем тогда нужны папки:
C:\Program Files\Vba32\Virus\Suspicious
и
C:\Program Files\Vba32\Virus\Infected[/QUOTE]

Уже не нужны - пережиток прошлого. Можно удалить.

Опять проблемы с обновлениями [url]http://www.anti-virus.by/beta/update/[/url] ?

Возможно исправляют ошибочную реакцию на AVZ.
Я на всяк случай закинул AVZ virustotal, в результате только VBA обнаружил "гадость"

Удобная вещь это - Карантин! :)
Единственно, неудобство вызывает то, что окно Карантина не способно запоминать те изменения, что я в него внес. В частности его размер, местоположение на Рабочем столе и, что не мало важно, ширину столбцов, которую я ему настроил. ИМХО неудобно просматривать некоторую информацию в столь узких столбцах, по сему я их расширяю вручную, но при последующем запуске Карантина, все мои изменения сбрасываются, что не есть хорошо...

[QUOTE=Grey]Возможно исправляют ошибочную реакцию на AVZ.
Я на всяк случай закинул AVZ virustotal, в результате только VBA обнаружил "гадость"[/QUOTE]
[url=http://www.icpnet.pl/~pest/Pest/download/SytheScape-Reloaded-V0-81.zip]Аналогичный[/url] ложнячок.

[QUOTE=Casper]Удобная вещь это - Карантин! :)
Единственно, неудобство вызывает то, что окно Карантина не способно запоминать те изменения, что я в него внес. В частности его размер, местоположение на Рабочем столе и, что не мало важно, ширину столбцов, которую я ему настроил. ИМХО неудобно просматривать некоторую информацию в столь узких столбцах, по сему я их расширяю вручную, но при последующем запуске Карантина, все мои изменения сбрасываются, что не есть хорошо...[/QUOTE]

Спсб за замечание, в новой версии будет реализовано.

Объясните, почему avz.exe (многоуважаемой утилиты на этом форуме) определяется VBA32 как MalwareScope.Trojan-Spy.Banker.128. Может это досадное недоразумение, но на [url]http://virusscan.jotti.org/[/url] и [url]http://www.virustotal.com[/url] экзешник утилиты определяется как вирус.
Вот лог с сайта:

Service load: 0% 100%

File: avz.exe
Status: INFECTED/MALWARE
MD5 6df0861c5e0ccce57e934eaf450a698d
Packers detected: UPX
Scanner results
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
UNA Found nothing
VBA32 Found MalwareScope.Trojan-Spy.Banker.128

А причём здесь VBA32?
ИМХО этот пост надо перенести в соответствующий раздел [url]http://virusinfo.info/showthread.php?p=55542#post55542[/url]

[QUOTE=Палыч]А причём здесь VBA32?
ИМХО этот пост надо перенести в соответствующий раздел [url]http://virusinfo.info/showthread.php?p=55542#post55542[/url][/QUOTE]

Как это причем? Это же явное ложное срабатывание! Фиксить его будут именно производители VBA32, а не Олег (AVZ)...

...Начало обновления с [url]http://www.vba.com.by/beta/update[/url]
...По указаному пути список файлов не найден

Почему так?!

[QUOTE=Casper]...Начало обновления с [url]http://www.vba.com.by/beta/update[/url]
...По указаному пути список файлов не найден

Почему так?![/QUOTE]

Коллега заметил, что это путь обновления бета-версии?
В этой области может происходить всё, что угодно :)

[QUOTE=Iceman]Коллега заметил, что это путь обновления бета-версии?
В этой области может происходить всё, что угодно :)[/QUOTE]

Уже всё в норме! :)
Про бету задумывался, но делать такие предположения не решался! ;)

[QUOTE=Casper]Уже всё в норме! :)
Про бету задумывался, но делать такие предположения не решался! ;)[/QUOTE]

А давно интересуют пользователя Веба бета-области ВБА? :)

По поводу карантина я ничего не понимаю!
Всё жестоко глючит! Во-первых, я не могу его вообще увидеть. Во-вторых, файлы складываются опять же в Virus\Infected\ никакого карантина нетути. В-третьих, из сканера перемещённое файло не видно (а раньше было). В-четвёртых, с моими установками (skip infected files, create copies) я бы хотел именно то, что там написано: пропускать инфицированные файлы, то есть не трогать их, [B]никуда не перемещать[/B], для этого есть delete, save copy. Бедный мой eicar!

[CODE]User: Official beta tester
License #000000119 Valid till 30.09.2005
Computer: MAXMO
System: Windows XP

Vba32 WinNT Workstation 3.10.5 beta / 21.09.2005 (Vba32.NT.W)
Program settings:
- check memory
- scan boot sectors
- scan all files
- scan in archives
- skip archives containing viruses
- scan mail
- ask user confirmation to delete mail messages containing viruses
- detect Spyware, Adware, Riskware
- heuristic analyzer enabled (Excessive)
- skip suspicious files, create copies
- skip infected files, create copies
- create report file (Vba32Gui.log)
- append to report file
- create list of infected files (Vba32.lst)
- caching enabled
Loaded 108516 virus definitions.


Physical disks:
- total : 1
- accessible : 1
Boot sectors:
- total : 5
- infected : 0
- suspected : 0
- cured : 0

E:\WINDOWS\Microsoft.NET\
E:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\ Temporary ASP.NET Files\eicar.com : infected EICAR-Test-File
E:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\ Temporary ASP.NET Files\eicar.com : backup copy created


Directories : 429 Files in archives: Files on disks:
Archives: - total : 0 - total : 1236
- scanned : 0 - scanned : 0 - scanned : 1236
- contain viruses : 0 - infected : 0 - infected : 1
- deleted : 0 - suspicious : 0 - suspicious : 0
- cured : 0
Mail messages: Attached files - deleted : 0
- scanned : 4 - total : 0 - renamed : 0
- contain viruses : 0 - scanned : 0 - moved : 0
- suspicious : 0 - infected : 0
- deleted : 0 - suspicious : 0
- cured : 0
- deleted : 0

Startup : 15:39:06 22-09-2005
End : 15:41:30 22-09-2005
Total time : 00:02:23[/CODE]

[QUOTE=Iceman]А давно интересуют пользователя Веба бета-области ВБА? :)[/QUOTE]

Почти недельку! ;)
Алексей Подтопталов (Alexey P.) хвалил очень эвристик VBA, я не удержался и попробывал его. Меня до того он впечатлил, что я решил тоже записаться в бета-тестеры!
Кстати, параллельно я и DrWeb 4.33 beta тестирую... :)

[QUOTE=maXmo] [skip] Бедный мой eicar!
[/QUOTE]

У меня вроде бы всё пашет за милую душу! :)
А eicar я Вам пришлю! Сделайте копию, а то мало ли! ;)

[QUOTE=maXmo]По поводу карантина я ничего не понимаю!
Всё жестоко глючит! Во-первых, я не могу его вообще увидеть.
Во-вторых, файлы складываются опять же в Virus\Infected\ никакого карантина нетути. В-третьих, из сканера перемещённое файло не видно (а раньше было). В-четвёртых, с моими установками (skip infected files, create copies) я бы хотел именно то, что там написано: пропускать инфицированные файлы, то есть не трогать их, [B]никуда не перемещать[/B], для этого есть delete, save copy. Бедный мой eicar![/QUOTE]

Что именно глючит? И когда?

1) Увидеть это найти не можеш или он не загружаеться.
Если первое то на иконке Vba32 щелкаешь правой кнопкой в менюшке выбираешь Quarantine (Карантин).
2) Может у тебя там старые файлы лежат, еще до версии Vba32 с карантином.
3) Все что было перемещено находиться в карантине (см. п. 1).
4) В логе написано что файл ни кто не удалял а просто была создана
копия в карантине.

[QUOTE=Casper]Почти недельку! ;)
Алексей Подтопталов (Alexey P.) хвалил очень эвристик VBA, я не удержался и попробывал его. Меня до того он впечатлил, что я решил тоже записаться в бета-тестеры!
Кстати, параллельно я и DrWeb 4.33 beta тестирую... :)[/QUOTE]

По поводу эвристика так оно и есть :) .
По поводу Веба я знаю, правда там я практически уже не появлюсь....

[B][COLOR=deepPink]sbrych[/COLOR][/B]
[COLOR=Blue]Что именно глючит? И когда?[/COLOR] - прямо тогда, когда пост писал.
1) В менюшке лоадера пункта про карантин нету, обещанной папочки Qtn нету, eicar был помещён в Virus\Infected\, в папочке вба есть кто-то, похожий на vba32qtn.exe - говорит, его неправильно установили.
2) Неважно, что у меня там лежит, важно, что туда всё продолжает складываться.
4) [COLOR=Blue]В логе написано что файл ни кто не удалял[/COLOR] - при первом просмотре я его не увидел, но уточню.

Если верить chmview ([url]http://citkit.dl.sourceforge.net/sourceforge/trexinc/CHMView_2.0b3.zip)[/url], то vba при проверке chm:
1. проверяет не все файлы - в любом chm
2. иногда некоторые из проверяемых корежит (смотрел с ключом /unpack_archives)

возможно, в пропускаемых файлах не может сидеть вирус в принципе, но все же посмотрите

[QUOTE=userr]Если верить chmview ([url]http://citkit.dl.sourceforge.net/sourceforge/trexinc/CHMView_2.0b3.zip)[/url], то vba при проверке chm:
1. проверяет не все файлы - в любом chm
2. иногда некоторые из проверяемых корежит (смотрел с ключом /unpack_archives)

возможно, в пропускаемых файлах не может сидеть вирус в принципе, но все же посмотрите[/QUOTE]
Адреса, явки, пароли (с). народное.
Лучше, видимо, е-мылом на саппорт.
Желательно подробно и с приложением образцов.

ЗЫ: Иначе вряд ли стоило упоминания.

А по-моему все ясно. :)
Берем [b]любой[/b] chm. Смотрим лог вба32. Распаковываем chm через вба32 (с ключом /unpack_archives, есть для беты) - совпадает с записями в логе. Распаковываем chm через chmview. И видим большую разницу. :)

[QUOTE=userr]А по-моему все ясно. :)
Берем [b]любой[/b] chm. Смотрим лог вба32. Распаковываем chm через вба32 (с ключом /unpack_archives, есть для беты) - совпадает с записями в логе. Распаковываем chm через chmview. И видим большую разницу. :)[/QUOTE]
Только что взял этот самый любой chm и сравнил результаты распаковки. Все совпадает кроме того, что VBA32 не проверяет и не распаковывает внутренние служебные области данных (chm не простой архив, в нем данные проиндексированы для быстрого поиска нужной информации). Для более корректного тестирования (chmview тут тоже не авторитет:)), лучше взять официальный [url=http://msdn.microsoft.com/library/default.asp?url=/library/en-us/htmlhelp/html/hwMicrosoftHTMLHelpDownloads.asp]Microsoft Html Help Compiler[/url] и попробовать создать пару chm'ок, распаковать их с помощью VBA32 и сравнить результаты. В случае обнаружения проблем с распаковкой, можно сообщить об этом на саппорт с приложенной проблемной chm'кой.

[QUOTE=maXmo]4) [COLOR=Blue]В логе написано что файл ни кто не удалял[/COLOR] - при первом просмотре я его не увидел, но уточню.[/QUOTE]моя неправда, файло на месте. Карантина всё нет.

[QUOTE=maXmo]моя неправда, файло на месте. Карантина всё нет.[/QUOTE]
?????
А может версия обычная, не бета?