Бета-тестирование антивируса "ВирусБлокАда" 2

[QUOTE=Синауридзе Александр;342140]Надо бы поощрить этого товарища. :)[/QUOTE]

Обязательно!
Именным релизным ключом до 2020 года ;)

Сегодня выходит бета со следующими изменениями:

* Улучшена работа эмулятора ОС

* Улучшена функциональность самозащиты комплекса

* Улучшен драйвер монитора для Windows Vista и Windows Server 2008

* Актуализирована документация

Кроме того, в бете пересобраны почтовые фильтры.
Список продуктов: vbacgpf, vbaeximf, vbapostfixf, vbaqmailf, vbasmf
Поддерживаемые ОС: Linux начиная с версии glibc 2.3.2; FreeBSD5
Новенькое:
* Добавлена многоязыковая поддержка
* Добавлен русский язык
* Добавлен испанский язык

[quote=sergey ulasen;345451]Обязательно!
Именным релизным ключом до 2020 года ;)
[/quote]
Я согласен на бета-ключ до 2030 года 8)

сорри за оффтоп. а что будет в 30-м году?) конец света?))

[quote=priv8v;345631]сорри за оффтоп. а что будет в 30-м году?) конец света?))[/quote]
Да нет, релиз платный, а бетка бесплатная. Решил лучше мне бетку, дабы не клянчить каждые 3 месяца, а сразу на годы вперед :)

[quote=priv8v;345631]сорри за оффтоп. а что будет в 30-м году?) конец света?))[/quote]

Планируем сменить формат ключа на более секьюрный :]

На машине с XP SP3 VBA32W периодически падает в синий экран. По данным анализа дампа - из-за Vba32mNT.sys.
Можете что-нибудь подсказать?

[QUOTE=MedvedD;346863]На машине с XP SP3 VBA32W периодически падает в синий экран. По данным анализа дампа - из-за Vba32mNT.sys.
Можете что-нибудь подсказать?[/QUOTE]

Пришлите нам дамп, пожалуйста.
Для этого установите следующее:

My Copmuter->Properties->Startup and Recovery->Small memory dump

После того, как случится беда, найдите этот дампик в папке %SystemRoot%\Minidump и пришлите нам на beta[at]anti-virus.by для анализа.

[QUOTE=Groft;345653]Да нет, релиз платный, а бетка бесплатная. Решил лучше мне бетку, дабы не клянчить каждые 3 месяца, а сразу на годы вперед :)[/QUOTE]
Ну не глупи, бери релизный ключ! Он аж до 2020 года. Я же специально про поощрение написал. ;)

[quote=Синауридзе Александр;349429]Ну не глупи, бери релизный ключ! Он аж до 2020 года. *;)[/quote]
Ты знаешь, если таковой потребуется - выпишут, а так он мне не нужен*;)
[QUOTE]Я же специально про поощрение написал.[/QUOTE]
Спасибо, учту :)

По прежнему продолжаем улучшать :) :

* Улучшена эвристика на вредоносные INF-файлы

Хоть бы на одно письмо ответили. Как в чёрную дыру - три года шлю в ВБА письма - никогда ни одного ответа. Как вообще так можно!?

Где-то [B]Groft[/B] уже писал, что если посылать на один адрес - отвечают, на второй - нет. Если ему не трудно, пускай еще раз напишет где отвечают, а где нет

[QUOTE=MedvedD;360549]Хоть бы на одно письмо ответили. Как в чёрную дыру - три года шлю в ВБА письма - никогда ни одного ответа. Как вообще так можно!?[/QUOTE]
Что шлем? Если вирусы, то для получения ответа нужно выслать таковые на [email][email protected][/email]. Вы, вероятно, шлете все на [email][email protected][/email]... оттуда ответов не приходит, но все то, что присылаете - вставляют ;)

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=senyak;360587]Где-то [B]Groft[/B] уже писал, что если посылать на один адрес - отвечают, на второй - нет. Если ему не трудно, пускай еще раз напишет где отвечают, а где нет[/QUOTE]
Ага, в службах вирусного мониторинга :)

[quote=sergey ulasen;346925]Пришлите нам дамп, пожалуйста.
Для этого установите следующее:

My Copmuter->Properties->Startup and Recovery->Small memory dump

После того, как случится беда, найдите этот дампик в папке %SystemRoot%\Minidump и пришлите нам на beta[at]anti-virus.by для анализа.[/quote]

Отсюда тоже ответа можно не ждать? :)

[QUOTE=MedvedD;360773]Отсюда тоже ответа можно не ждать? :)[/QUOTE]
С беты тоже приходят ответы, выходные просто, завтра ответят ;)

[QUOTE=MedvedD;360773]Отсюда тоже ответа можно не ждать? :)[/QUOTE]

Ответ обязательно будет. На прошлой неделе была куча релизов, потому мы тут немного в мыле :) (Хотя нас это и не оправдывает :( )

Дампы уже смотрим. Ответ будет.

Уважаемые разработчики!

Можно сделать лог утилиты VBA32 AntiRootkit более читабельным? Если смотреть в блокноте, то вообще черт ногу сломит.

[QUOTE=Aleksandra;367212]Уважаемые разработчики!

Можно сделать лог утилиты VBA32 AntiRootkit более читабельным? Если смотреть в блокноте, то вообще черт ногу сломит.[/QUOTE]

[url]http://virusinfo.info/showthread.php?p=367353#post367353[/url]

:)

Тема [url]http://virusinfo.info/showthread.php?t=41234[/url] У человека новый вирут

Дал ссылку ему на Live CD/ Возьмите под контроль

Уважаемые разработчики!

Есть предложение добавить в Live CD возможность копирования загрузочных секторов жесткого диска. Идея заключается в том, чтобы иметь возможность посмотреть его под микроскопом на предмет наличия буткита. По моему, это даже можно сделать командой dd. Но я не очень сильна в этом. Как Вам такая идея?

[QUOTE=Aleksandra;376331]
Есть предложение добавить в Live CD возможность копирования загрузочных секторов жесткого диска. Идея заключается в том, чтобы иметь возможность посмотреть его под микроскопом на предмет наличия буткита. По моему, это даже можно сделать командой dd. Но я не очень сильна в этом. Как Вам такая идея?[/QUOTE]

Идея имеет право на жизнь.
Сейчас готовится новая бета Live CD с обновленным загрузчиком и другими изменениями. Обсудим необходимость и возможность вашего предложения. Спасибо!

[quote=sergey ulasen;376382]Идея имеет право на жизнь.
Сейчас готовится новая бета Live CD с обновленным загрузчиком и другими изменениями. Обсудим необходимость и возможность вашего предложения.[/quote]

Спасибо. Как будет готова новая версия, то мы можем вернуться к этому разговору. Идею еще можно развить.

Уважаемые бета-тестеры!
Пересобраны инсталяги комплекса.
[URL="ftp://anti-virus.by/beta"]Качаем[/URL], не стесняемся :)

Сегодня в бете:

* Усовершенствован метод детектирования вредоносных программ на AutoIT-скриптах

* Улучшена эвристика на вредоносные INF-файлы

* Улучшена работа эмулятора ОС

* Улучшена работа эмулятора процессора

* Улучшен алгоритм детектирования mailbomb

[QUOTE]Усовершенствован метод детектирования вредоносных программ на AutoIT-скриптах[/QUOTE]
а каким образом?

[QUOTE=priv8v;378811]а каким образом?[/QUOTE]
Секрет фирмы ;)

[quote=Groft;378851]Секрет фирмы [/quote]на самом деле никакого секрета тут нет.
по теме:
обавилось три метода детектирования вредоносных AutoIt-скриптов:
Trojan.Autoit.FINT
Trojan.Autoit.ITN
Trojan.Autoit.F

[QUOTE=priv8v;378811]а каким образом?[/QUOTE]
Если Вы имели ввиду это:
[QUOTE=vile;379022]
обавилось три метода детектирования вредоносных AutoIt-скриптов:
Trojan.Autoit.FINT
Trojan.Autoit.ITN
Trojan.Autoit.F[/QUOTE]
то Vile Вам ответил :)

не совсем это имел в виду.
допустим - качаю я аутоит, пишу в нем аналог пинча (вынимает пассы из файлов, пишет все в файл и отправляет все, допустим, на почту). Все это дело компилим, жмем с помощью UPX и наш троянчик будет весить в районе 250 кб.
Теперь это дело даем потестить тому у кого старая версия ВБА и тому у кого новая - вот новая версия теперь лучше борется с вредоносами на аутоит скриптах.
Вопрос - каким образом?..
Декомпилирует и ищет подозрительное в коде?..

[quote=priv8v;379188]не совсем это имел в виду.
допустим - качаю я аутоит, пишу в нем аналог пинча (вынимает пассы из файлов, пишет все в файл и отправляет все, допустим, на почту). Все это дело компилим, жмем с помощью UPX и наш троянчик будет весить в районе 250 кб.
Теперь это дело даем потестить тому у кого старая версия ВБА и тому у кого новая - вот новая версия теперь лучше борется с вредоносами на аутоит скриптах.
Вопрос - каким образом?..
Декомпилирует и ищет подозрительное в коде?..[/quote]

Только распространять не вздумайте - уголовщина :]

Детектированием AutoIT у нас занимается сразу несколько частей антивирусного ядра: эмулятор PE и некоторое подобие декомпилятора скриптов.

Эмулятор PE был доработан до более полной распаковки (возможно обфусцированного) скрипта AutoIT (с UPX у нас проблем нет :]).

Декомпилятор также был улучшен, но уже в сторону более точного определения сути обфуцированного скрипта (закрыты некоторые ложные срабатывания, добавлены вышеперечисленные классы вредоносов на AutoIT).

Так что - да, пребета от релиза несколько отличается лучшим (как минимум мы к этому стремились :]) детектированием AutoIT.

*** 06.04.2009

* В Монитор добавлена настройка "Блокировать автозапуск USB-устройств"


При включённом экспертном анализе активирует блокировку автоматического запуска устройств, подключаемых через USB-порт, что исключает заражение компьютера при использовании, например, флэш-диска. Также предотвращается выполнение действий, заданных в файле autorun.inf, когда он помещён в корневой каталог локального логического диска.

*** 15.04.2009

+ В модуль Активации добавлена страна Иран.

* Исправлены ошибки в работе Диспетчера.

* Исправлены ошибки в работе модуля Активации.

Счастливым обладателям халявного гостя у белорусского провайдера byfly:

С сегодняшнего дню beltelecom зеркалит наши апдейты раз в 6 часов с [url]www.anti-virus.by[/url].

release брать тут:
[url]http://ftp.mgts.by/pub/vba/update[/url]
beta тут:
[url]http://ftp.mgts.by/pub/vba/beta/update[/url]

Тестим, жалуемся ;)

После отключения защиты проблемы пока не наблюдается. То что сказали сделала. Вот скрин:

Скажите что мне еще нужно сделать?

[size="1"][color="#666686"][B][I]Добавлено через 30 минут[/I][/B][/color][/size]

Может лог работы программы нужно сделать или еще протестировать железо? Но с компьютером у меня вроде все в порядке. На нем несколько ОС и сбоев в работе не наблюдала.

[QUOTE=Aleksandra;392820]Скажите что мне еще нужно сделать?[/QUOTE]

Понятно. Если это действительно дело в самозащите, тогда возможные шаги напишу в личку.

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 58 минут[/I][/B][/color][/size]

Выпускаем сегодня бету со следующими исправлениями/добавлениями:

* Улучшен механизм проверки автозапускаемых файлов в ОС Windows

* Улучшен механизм "лечения" реестра

* Улучшена работа эмулятора ОС

* Исправлены ошибки в функциональности самозащиты комплекса

В связи с изменениями в работе эмулятора возможны ложные срабатывания, о которых просим вас нас проинформировать.

Также полностью заменили существовавший ранее механизм "лечения" реестра, в будущем будем его еще наращивать. Потому если замечены какие-то проблемы с этим, также сообщайте.

После предыдущего апдейта беты стали поступать жалобы на то, что при старте антивируса происходит зависание системы на некоторое время. Скорее всего это связано каким-то образом с измененным алгоритмом проверки автозагрузки, который был выпущен в прошлый раз. Потому всем, кто столкнулся с данной проблемой, рекомендую отключить проверку автозапускаемых файлов в Диспетчере. Как только мы разберемся с данной проблемой, сразу вас уведомим.

Следующий апдейт беты включает:

* Улучшена эвристика на вредоносные программы на AutoIT-скриптах

* Улучшено детектирование вируса Virus.Win32.Virut

* Улучшена работа эмулятора процессора

* Улучшена эвристика на вредоносные INF-файлы

* Увеличена общая стабильность работы АВ-ядра

Почему при инсталяции АВАСТ воспринимает VBAgent.exe как вирус Win32:Rootkit-gen. Это нормально? Так же и при обновлении.

[QUOTE=madison;396853]Почему при инсталяции АВАСТ воспринимает VBAgent.exe как вирус Win32:Rootkit-gen.[/QUOTE]
Вы знаете... лучше спросите у них самих ;)
[QUOTE] Это нормально?[/QUOTE]
Нет, это ненормально. :)
[QUOTE] Так же и при обновлении.[/QUOTE]
В смысле?

+ Добавлена поддержка Windows 7 в функциональность самозащиты комплекса

* Улучшена функциональность самозащиты комплекса