Бета-тестирование антивируса "ВирусБлокАда" 2

Уважаемые бета-тестеры. Для Beta For Vista - добавлен, а для остальных комплектаций обновлен почтовый фильтр (РОР3, IMAP). Обратите, пожалуйста, внимание на работоспособность и устойчивость работы с различными почтовыми клиентами.

Инструкция по доустановке находится в Whatsnew. В ближайшее время будет доступна и Бета-инсталляция с компонентом "Почтовый фильтр".
*** 02.11.2007

+ модуль "Vba32AntiRootkit" ( запуск производится из файла vba32arkit.exe )

+ русский файл поддержки ( vba32arkitru.chm )

Всю необходимую информацию вместе с вопросами и предложениями желательно высылать используя программу SendLogs.exe (Диспетчер– Поддержка – Обратиться за поддержкой)

Я вот думаю, что в карантине надо, чтобы отображались скрытые папки и файлы,при их добавке, а то как то муторно приходится доставать их с винды и вообще с других дисков :D
И еще 1 вопросик, вот когда как вам приходят подозрительные файлы, когда вы на них сигнатурки сругаете? я вот скок не отправлял вам подозрительных файлов, так и не дождался на них сигнатурок...:embarasse хоть бы ответили на них... вирус не вирус...:*
Надо бы вам с этим делом решать: отвечать хоть как-то:?
Было бы конечно хорошо, если бы расширили поддержку упаковщиков...

Ничего не могу сказать про подозрительные файлы...
Они приходят и если не проходят и ставятся в очередь,
ими занимаюсь не я, но вот эмулятором занимаюсь я, и
поддержка упаковщиков все время улучшается.
Просто есть вполне конкретные задачи, и порой самый
популярный упаковщик далеко не самый рапространенный
среди троянописателей...
На сегодняшний день у нас около 140 именнованных упаковщиков
из которых тест проходят 70%, я уже не говорю о поддержке кучи
приватных, которых кроме как на троянах нигде и нет.
Если есть особые и конкретные пожелания по упаковщикам, то
пиши конкретнее, что и почему.

:smile:oops) с упаковщиками я немного погарячился, все норм, так держать!
Да вот кста, совсем забыл, хорошо бы было добавить такую фишку: при проверке файлов сканером с графическим интерфейсом, можно было останавливать проверку, допустим надо перезагурузиться, уйти и т.п., допроверить файлы.
P.S оч нужная и полезная вещь!

Ммм... даже не знаю что и сказать...
Там вроде есть кнопочка паузы...
А по поводу перезагрузки... Возьмем ситуацию когда системный
диск не до конца досканирован.Останавливаем, идем в ребут,
после ребута некий вирус заражает уже проверенные файлы(если запустится раньше монитора)
Так что вещь может и нужная, но уж больно безопасность понижает.

[quote=Lafiel;164474]
Так что вещь может и нужная, но уж больно безопасность понижает.[/quote]
Думаю вещь полезная... Вообщем решение остается за вами :xmas:
Если не секрет, над чем сейчас идут работы по нововведию?:huh:

У меня все как всегда (новые пакеры, вирусы, трояны, улучшение эмулятора) =>
Добавил эвристику на попытку установить сервис, драйвер, запись в некоторые
ключи реестра и открытие портов. (это только в эмуляторе НЕ В МОНИТОРЕ)
Теперь будет соответственно ругаться на все что не нравится :cool:
Только если пойдем много запросов типа "Зачем вы ругаетель на мой инсталятор", это наверное придется убрать... или сделать галочку в гуи...

В бета-версии появился антируткитный модуль... до AVZ ему еще далеко,
но даже сейчас многим помогает.

Добиваем версию под висту

Вообще много чего еще крутится...

[QUOTE=Lafiel;164474]Там вроде есть кнопочка паузы...[/QUOTE]
Это другое.
[QUOTE=Lafiel;164474]Так что вещь может и нужная, но уж больно безопасность понижает.[/QUOTE]
И все же такая возможность должна присутствовать.

И еще 1 вопросик:когда я обновляюсь у время обновления идет на часа 3 позже, чем написано в обновлении, хотя я сам в то время тоже пытался обновиться, НО! его не было.
Не подскажите в чем дело?


==== повесте на [url]www.anti-virus.by[/url] даты и время сигнатур, что бы можно было проверяться

[quote=Groft;165207]И еще 1 вопросик:когда я обновляюсь у время обновления идет на часа 3 позже, чем написано в обновлении, хотя я сам в то время тоже пытался обновиться, НО! его не было.
Не подскажите в чем дело?[/quote]Если возможно, опишите более подробно ситуацию. Вышлите логи на [EMAIL="[email protected]"][email protected][/EMAIL] c описанием.

допустим я пытаюсь обновиться в 12-00 - обновлений нет, обновляюсь в, к примеру в 15-00) - обновления есть - время сигнатур - 11-00 :smile:

[quote=Groft;165244]допустим я пытаюсь обновиться в 12-00 - обновлений нет, обновляюсь в, к примеру в 15-00) - обновления есть - время сигнатур - 11-00 :smile:[/quote]Дело в том, что время сигнатур указано по Гринвичу

[QUOTE=vile;165252]Дело в том, что время сигнатур указано по Гринвичу[/QUOTE]
тогда все ясно, но все равно - повесте на [URL="http://www.anti-virus.by"]www.anti-virus.by[/URL] время и дату сигнатур, по белорусскому времени:smile:

Лучше по петропавловско-камчатскому - оно впереди планеты всей.

Что нового в начале этого года нам ждать?:xmas:

В январе планируется выпустить версию, в которой будет организован новый алгоритм проверки памяти, поиск скрытых процессов и драйверов.

Уважаемые бета-тестеры.
Компания ВирусБлокАда выпустила beta-версию.
Обновление бета-версии включает в себя следующие изменения:
* В ядре изменен алгоритм проверки памяти
+ К ядру подключен алгоритм поиска руткитов
* Усовершенствован алгоритм работы эвристического анализатора
* Улучшена работа с ВП, обработанными крипторами и пакерами


К антивирусному ядру был подключен модуль Vba32AntiRootkit. С его помощью вы можете находить скрытые в памяти драйверы и процессы. На данный момент эта технология доступна в консольном сканере. Для того, что бы ее использовать необходимо задать следующие ключи: /as /ha (для ОС Vista дополнительно -- /nc). Скрытые драйверы и процессы отобразятся следующим образом:

Драйвер <путь к драйверу>: похож на HiddenDriver

или

Процесс <путь к процессу>: похож на HiddenProcess


Данная технология работает в ОС: 2000-я и выше. Для 32-х битных систем.

Ждем ваших замечаний и предложений.

Уважаемые разработчики!
У Вас движок уже 3.12.6, а для тестеров 3.12.3 beta (это я про консольный сканер). Что же мы тестируем? Мне не совсем ясно.

Кстати, при сканировании 3.12.6 в некоторых случаях не находит вирусы в почтовых вложениях, а 3.12.3 beta находит (естественно, в обоих случаях ключ /ml включен).

[QUOTE=vile;171830]К антивирусному ядру был подключен модуль Vba32AntiRootkit. С его помощью вы можете находить скрытые в памяти драйверы и процессы. На данный момент эта технология доступна в консольном сканере. Для того, что бы ее использовать необходимо задать следующие ключи: /as /ha (для ОС Vista дополнительно -- /nc).[/QUOTE]
В батнике heuristics-test, который скачивается при обновлении ключ /as отключен. Может имеет смысл его включить? Подправьте его.

Перезалейте на [url]ftp://anti-virus.by[/url] и [url]ftp://open.by[/url] архивы. Приходится тянуть по 25 Mb обновлений.

[quote=Синауридзе Александр;182432]Уважаемые разработчики!
У Вас движок уже 3.12.6, а для тестеров 3.12.3 beta (это я про консольный сканер). Что же мы тестируем? Мне не совсем ясно.[/quote]

Спасибо что обратили на это внимание. Версии 3.12.3 beta с минимальными доработками была выпущена как 3.12.6 release. Прыжок цифры 3 на 6 объясняется следующим:
1. релизные версии нумеруются четными номерами, а beta-версии нечетными номерами.
2. в данном случае релиз должен был иметь номер 4, но "по политическим" соображениям ему был присвоен номер 6.

В ближайшее время beta версии будет присвоен номер 3.12.7

[quote] Кстати, при сканировании 3.12.6 в некоторых случаях не находит вирусы в почтовых вложениях, а 3.12.3 beta находит (естественно, в обоих случаях ключ /ml включен).[/quote]

Нам это очень интересно. Если можно, представьте какую-нибудь дополнительную информацию в виде логов и файлов.

[quote] В батнике heuristics-test, который скачивается при обновлении ключ /as отключен. Может имеет смысл его включить? Подправьте его.[/quote]

Во-первых, сразу же извиняюсь. В данном случае нужно использовать ключ /mr+
А данный батник все же используется не для проверки корректности работы алгоритма проверки памяти. Потому все ключи, касающиеся проверки памяти, автозагрузки и бут-секторов там отключены.

[quote] Перезалейте на [URL]ftp://anti-virus.by[/URL] и [URL]ftp://open.by[/URL] архивы. Приходится тянуть по 25 Mb обновлений.[/quote]

В ближайшее время постараемся это сделать.

Спасибо за участие в бета-тестировании.

[QUOTE=vile;183340]Нам это очень интересно. Если можно, представьте какую-нибудь дополнительную информацию в виде логов и файлов.[/QUOTE]
Постараюсь сегодня ночью все сделать и выслать на [email][email protected][/email].
[QUOTE=vile;183340]Во-первых, сразу же извиняюсь. В данном случае нужно использовать ключ /mr+
А данный батник все же используется не для проверки корректности работы алгоритма проверки памяти. Потому все ключи, касающиеся проверки памяти, автозагрузки и бут-секторов там отключены.[/QUOTE]
OK.
[QUOTE=vile;183340]В ближайшее время постараемся это сделать.[/QUOTE]
Спасибо. Сделайте пожалуйста, не тяните с этим.
[QUOTE=vile;183340]Спасибо за участие в бета-тестировании.[/QUOTE]
Главное чтобы Вы не пропадали и периодически заглядывали сюда, а мы то будем стараться.

P. S. Что нового для бета-тестеров под linux?

[quote=Синауридзе Александр;182432]Перезалейте на [URL]ftp://anti-virus.by[/URL] и [URL]ftp://open.by[/URL] архивы.[/quote]
Да, хорошо бы.

Меня интересует такой вопрос: 100 кб обновления - это примерно сколько сигнатур?

PS Интересно просто :)

[quote=Groft;183926]Меня интересует такой вопрос: 100 кб обновления - это примерно сколько сигнатур?

PS Интересно просто :)[/quote]

Рассуждать о количестве сигнатур в 100 кб обновлений не совсем корректно. Нашей системой обновления используется т.н. технология дельта-патчей. И в этих 100 кб обновлений может содержаться не только информация о новых сигнатур, но также и бинарная информация, которую необходимо удалить из базы.

Ну я так думал, что Вы так и ответите. :)
ЗЫ
А все так плохо, что убрали счетчик о кол-ве вирусов в базе;)

[quote=Синауридзе Александр;183353]Постараюсь сегодня ночью все сделать и выслать на [EMAIL="[email protected]"][email protected][/EMAIL].

OK.

Спасибо. Сделайте пожалуйста, не тяните с этим.

Главное чтобы Вы не пропадали и периодически заглядывали сюда, а мы то будем стараться.

P. S. Что нового для бета-тестеров под linux?[/quote]

Здравствуйте! Наконец-то начали наводить порядок с beta для linux.

Обновляться с - [URL="http://anti-virus.by/update"]http://anti-virus.by/beta/update[/URL]
(vbacl.ini, параметр UPDATE_LOCATION)

Отныне она будет синхронно обновляться с beta windows консолью. То есть (почти) всё, что справедливо для windows консоли для beta - справедливо и для linux. Сейчас она идентична релизу.

Интересно Ваше мнение о beta для остальных linux продуктов.
Есть ли у Вас или еще у кого желание теститовать еще не попавшие в релиз баги и фичи :]? Создавать ли нам ресурс для них на beta?

[QUOTE=slyfox;184262]Здравствуйте! Наконец-то начали наводить порядок с beta для linux.[/QUOTE]
Здравствуйте Сергей! Большое спасибо.
[QUOTE=slyfox;184262]Обновляться с - [URL="http://anti-virus.by/update"]http://anti-virus.by/beta/update[/URL]
(vbacl.ini, параметр UPDATE_LOCATION)[/QUOTE]
С этим все ясно.
[QUOTE=slyfox;184262]Отныне она будет синхронно обновляться с beta windows консолью. То есть (почти) всё, что справедливо для windows консоли для beta - справедливо и для linux. Сейчас она идентична релизу.[/QUOTE]
Вообще, консольные сканеры VBA32 близки к идеалу. Надеюсь вращающийся слэш остался в linux версии?;)
[QUOTE=slyfox;184262]Интересно Ваше мнение о beta для остальных linux продуктов.
Есть ли у Вас или еще у кого желание теститовать еще не попавшие в релиз баги и фичи :]? Создавать ли нам ресурс для них на beta?[/QUOTE]
По этому поводу, я Вам завтра напишу на e-mail.

[size="1"][color="#666686"][B][I]Добавлено через 5 часов 9 минут[/I][/B][/color][/size]

Обновился до версии 3.12.7 beta и начал ее гонять. Какие в ней изменения и на что надо обратить внимание?

Обновили инсталяги комплекса
[url]http://anti-virus.by/download/products/[/url]

Да, действительно обновили до 3.12.6.1. Спасибо за новость.:)

[QUOTE=Синауридзе Александр;191587]Да, действительно обновили до 3.12.6.1. Спасибо за новость.:)[/QUOTE]
Это релизные, бетки тоже обновили:D
[url]ftp://open.by/vba/beta[/url]

Уважаемые бета-тестеры.
Компания ВирусБлокАда выпустила beta-версию.
Обновление бета-версии включает в себя следующие изменения:
* Исправлены ошибки в алгоритме обработки RAR-архивов

* Исправлены ошибки при обезвреживании PST-файлов

* Улучшена работа эмулятора

* Исправлены ошибки при обезвреживании inf-файлов

* Улучшен алгоритм работы с ключом командной строки консольного сканера /fm и сложными ключами /m= и /ha=

----
Ждем ваших замечаний и предложений.

[QUOTE=vile;196354]* Улучшен алгоритм работы с ключом командной строки консольного сканера /fm и сложными ключами /m= и /ha=[/QUOTE]
Можно поподробней. В чем состоит улучшение?

[quote=Синауридзе Александр;196580]Можно поподробней. В чем состоит улучшение?[/quote]ничего серьезного там не изменилось. Теперь уровень эвристики определяется по последнему значению /ha в командной строке. Раньше уровень эвристики определялся наибольшим значением /ha в строке, если таковых было несколько.
То же самое касается /m. Для /fm из-под Windows с ключом /nc без него возникали проблемы с относительными путями. Сейчас они решены.

А как узнать чем обноружена угроза? По сигнатурам или эвристикой и какой?

Уважаемые бета-тестеры.
Компания ВирусБлокАда выпустила обновление бета-версии, которое включает в себя следующие изменения:

* Улучшена работа эмулятора

* Улучшен алгоритм кэширования файлов

* Улучшен алгоритм детектирования INF-файлов

* Исправлены ошибки, возникающие при проверке автозапуска под Windows 9x

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[quote=dr.Faust;204483]А как узнать чем обноружена угроза? По сигнатурам или эвристикой и какой?[/quote]если сработала эвристика, то объект будет обозначен как подозрительный.

С избыточным эвристиком пишется "paranoid heuriststicks"

O_o.
А почему нет кнопки Игнорировать? У меня на флэшке мой любимый троянчик - запускается через автозапуск, и вот вставляю я её дома, и на тебе - Trojan.Autoran.inf. Варианты - Обезвредить, Блокировать, Удалить.
Я им может пароли с компа своего бэкаплю!

[QUOTE=dr.Faust;204823]O_o.
А почему нет кнопки Игнорировать? У меня на флэшке мой любимый троянчик - запускается через автозапуск, и вот вставляю я её дома, и на тебе - Trojan.Autoran.inf. Варианты - Обезвредить, Блокировать, Удалить.
Я им может пароли с компа своего бэкаплю![/QUOTE]
Задавал я уже такой вопрос... Сказали противоречит основным правилам и функциям антивируса.
Как вариант просто в Мониторе поставить список исключений, а если надо проверить на вирусы - сканер по требованию.

А второму закону робототехники это не противоречит?
Я понимаю, сто это можно использовать как дыру в безопасности, но сайты уже придумали способ определения - человек работает с ним или робот...

И вот, что ещё интересно - любые действия с GUI Comodo Antivirus, например, вызов двойным кликом из трея, переключение страниц главного окна и тп., инициируют запуск диспетчера vba32. C чего бы это?

[QUOTE=dr.Faust;204878]
И вот, что ещё интересно - любые действия с GUI Comodo Antivirus, например, вызов двойным кликом из трея, переключение страниц главного окна и тп., инициируют запуск диспетчера vba32. C чего бы это?[/QUOTE]
так ядро антивируса заточено...
Если тебе не надо, чтобы антивирус не запускался - убери галку в настройках диспетчера "включать монитор при старте"

Я может как-то плохо описал...
Если VBA32 выгружен из памяти (галка автозапуска снята) и запущен Comodo, то любые действия с Comodo приводят к запуску VBA32. Какая между ними может быть связь?