Бета-тестирование антивируса "ВирусБлокАда"

[QUOTE=serge]
Можно еще попробовать распаковать архив и разобраться с ним персонально, т.е. запустить на собранные файлы сканер со включенным ведением файла отчета. А далее - выбрать из всего этого набора уже самые интересные файлы.
[/QUOTE]
Имеется в виду - собрать каждой твари по паре :) Т.е. если, например, собрано 100 файлов, похожих на new.123, достаточно прислать нам один из таких файлов. Если это ложное срабатывание, то после следующего апдейта, скорее всего, его больше не будет для всех файлов из этой группы.

Мне не удаётся получить файл -LST (список файлов). Запускаю сканер батником heuristics-test-paranoid.bat + вписал туда ключ /L+... Что делать?

А нельзя ли выкадывать консольную версию на ftp или на http, который поддерживает докачку?

[QUOTE=Iceman]
Мне не удаётся получить файл -LST (список файлов). Запускаю сканер батником heuristics-test-paranoid.bat + вписал туда ключ /L+... Что делать?
[/QUOTE]
Данный ключик предназначен для получения списка инфицированных файлов, для подозрительных он не сработает.

Попробуйте просто распаковать собранный архив susp.zip в какой-нибудь каталог и дальнейшие эксперименты проводить уже с этими файлами. Например, запустить сканер только на этот каталог с ведением файла отчета (/r=имя_файла).

Скоро выложим следующую версию, в которой постараемся учесть все вопросы которые возникли на данный момент :)

[QUOTE=HEKTO]
А нельзя ли выкадывать консольную версию на ftp или на http, который поддерживает докачку?
[/QUOTE]
Сервер, на который выкладываются консольные бета-версии, поддерживает докачку.
Какие именно возникли проблемы со скачиванием (чем качали, какое сообщение об ошибке получили)?

Случилась какая-то ерунда в моё отсутствие.
На Win 2003 Std, продукт vba32 для WinNT Server 3.10.0/02.08.2004/.
Прихожу на работу и вижу, что сканер вынесло к чертям (совсем), ладно, пытаемся востановить, а "фигушки", невозможно загрузить с [url]http://www.anti-virus.by/beta/update/62c218f9.bin[/url]
Может вирус? Или болезни беты... ну с этим разберемся, а вот почему не грузит обновление? Оно вобще там есть, если есть - бум у себя разбираться...

И еще вопрос, чем radmin (версия 2.1) провинился, чтож вы его в базу-то, хорошая программа удаленного управления.

[QUOTE=dmi]
И еще вопрос, чем radmin (версия 2.1) провинился, чтож вы его в базу-то, хорошая программа удаленного управления.
[/QUOTE]
обычно ситуация такая. клиент присылает файл и пишет: "Касперский уже вставил и детектит, а вы не детектите. Плохая программа". что-то объяснить или доказать невозможно. как и у Касперского, RAdmin детектится как Riskware. сейчас потихоньку подчищаем самые популярные утилиты из базы.

[QUOTE=dmi]
Случилась какая-то ерунда в моё отсутствие.
На Win 2003 Std, продукт vba32 для WinNT Server 3.10.0/02.08.2004/.
Прихожу на работу и вижу, что сканер вынесло к чертям (совсем), ладно, пытаемся востановить, а "фигушки", невозможно загрузить с [url]http://www.anti-virus.by/beta/update/62c218f9.bin[/url]
Может вирус? Или болезни беты... ну с этим разберемся, а вот почему не грузит обновление? Оно вобще там есть, если есть - бум у себя разбираться...
[/QUOTE]
можно ли нам взглянуть на файл Vba32Ldr.log? можно на [email][email protected][/email]

Еще вопросик, но уже по плагину для MDaemon'a. Он в логах кроме своих настроек еще что-то должен писать или нет? И где смотреть если нет? работает совместно с родным антивирусом(2.2.7), в настройках стоит детальный лог. Сообщения не помечает. У почтовика пишет в системном логе что очередь обрабатывается (но что-то я в этом сумлеваюсь). В настройках обработки очереди (у почтовика же) пришлось поставить галку чтоб пустую не обрабатывал (очередь), иначе лог растет лавинообразно. Еще не понятно сервис должне быть на автозапуске или ручном. По умолчанию он в ручном, в инструкции "написано запустите его" - так это его надо каждый раз руками запускать или он как-то сам (от диспетчера например) или на авто его (сейчас стоит на авто).

Удалось получить от vba32 подарочек - Vba32Err.dmp 33 535 831 b :) Судя по времени создания файла, сканер в этот момент не вырубился, продолжал работать и нормально закончил работу. Может быть, это не удалился временный файл, как бывает у DrWeb?

[QUOTE=userr]
Удалось получить от vba32 подарочек - Vba32Err.dmp. Может быть, это не удалился временный файл, как бывает у DrWeb?
[/QUOTE]
скорее это дамп памяти

[QUOTE=userr]
скорее это дамп памяти
[/QUOTE]
это crash-дамп. если заархивировать с максимальным уровнем сжатия, сколько получится? нам такие файлы интересны

последняя версия консольного сканера доступна здесь [url=http://www.anti-virus.by/download_files/vba32-console-scanner-beta-20041125.zip]http://www.anti-virus.by/download_files/vba32-console-scanner-beta-20041125.zip[/url]. по техническим причинам дополнения по свежим троянам и вирусам чуть запаздывают по сравнению с релизом, приносим свои извинения. уже есть автоматическая обновлялка именно для консоли, но нестабильно работает, пофиксим в ближайшие дни.

а вот я гуёвым сканером пользуюсь, вы их вместе обновляете или как?

[QUOTE=maXmo]
а вот я гуёвым сканером пользуюсь, вы их вместе обновляете или как?
[/QUOTE]
обычно вместе, но сейчас гуйня потянет последний апдейт, который совпадает с релизным, а в архиве с консолью лежит экспериментальный для тестов эвристики. к понедельнику починим эвристику (слегка завалили), и опять они будут синхронными.

[QUOTE=Dr] ... к понедельнику починим эвристику (слегка завалили) ...
[/QUOTE]
Тут поправлю своего коллегу. Я бы так не сказал, что завалили, все идет по плану. Дело в том, что построение эвристики - достаточно сложная и ресурсоемкая вычислительная задача, сейчас она как раз в процессе. К понедельнику все скорее всего будет обсчитано, тогда и выложим новый апдейт :)

Очень не плохая опция была бы вытаскивать из архивов и почтовых баз так же и известных "зверей". очень удобно бывает :)

[QUOTE=Geser]
Очень не плохая опция была бы вытаскивать из архивов и почтовых баз так же и известных "зверей". очень удобно бывает :)
[/QUOTE]
Для сбора зверей в целях пополнения собственной коллекции? ;)

Данный недокументированный ключик мы делали специально для себя (а для кого же еще? ;) ). Известные вирусы нас уже не сильно интересуют, а подозрительные - как раз либо новые звери, либо ложные срабатывания. Ложные срабатывания фиксятся, а реальные трояны вставляются в базу. Таким образом в конце концов, возможно после нескольких итераций, на каждом отдельно взятом компе интересных для нас файлов не остается и сканер перестает вытаскивать что-либо. В результате процесс сходится.

Если начать собирать и вирусы тоже, то на реальных машинах из почтовых баз соберется столько всякого добра, что его забрать никак не получится. И те 130MB, которые собрал Iceman, по сравнению с этим покажутся просто мелочью :) Далее, при повторном запуске сканера не хотелось бы заново вытаскивать те файлы, которые уже были ранее собраны. Получается, что нужно что-то чуть более сложное. Есть идеи? Честно говоря, вероятность добавления какой-либо сложной фичи, которая нам самим бесполезна, очень невелика.

[QUOTE=serge]
Для сбора зверей в целях пополнения собственной коллекции? ;)

[/QUOTE]
Угу :)
Есть же уже такой ключик для подозрительных. Добавить такой-же для вирусов, мне кажется, дело нескольких минут. Мож и Вам пригодится когда-то :)

File G:\Download\vba32\update.bat is corrupted
File G:\Download\vba32\vbaupdx.exe is corrupted
Сбор подозрительных файлов завершен.
ECHO is on.
Теперь можно запустить bat-файл 'recompress-to-7z.bat' для того,
чтобы конвертировать архив с собранными подозрительными файлами
(susp.zip) в 7-zip формат (susp.7z) для лучшей степени сжатия
Press any key to continue . . .

:(

Аналогично.
Я скачиваю только консоль, соотвественно этих файлов у нея нет :(
Можно их где-то отдельно скачать?

Эти файлы - та самая обновлялка, которую собирались добавить, но в самый последний момент убрали из-за обнаруженных в ней багов. Однако, похоже, забыли, что программа проверяет свою целостность при запуске и эти файлы включены в комплектацию :(

Как временное решение, можно добавить ключ [b]/ic[/b] в батник, тогда программа будет игнорировать данную ошибку и продолжать работу.

Хотел послать трояна, но не нашёл на сайте соответствующей кнопочки. Или проверка файла означает одновременную отправку на исследование?

[QUOTE=serge]
Если начать собирать и вирусы тоже, то на реальных машинах из почтовых баз соберется столько всякого добра, что его забрать никак не получится. И те 130MB, которые собрал Iceman, по сравнению с этим покажутся просто мелочью :)
quote]
Ха-ха-ха. Спасибо на добром слове ;D Но всё-таки, в основном, там были ложные тревоги. Кроме помойки, естественно ;D[/QUOTE]

Ну и хорошо, отправлю ДрВебу.

[QUOTE=azza]
Ну и хорошо, отправлю ДрВебу.
[/QUOTE]
Вот только не надо сразу обижаться, ладно? :)

Теперь по сути самого вопроса. Файлы, проверяемые на online-проверке, и в которых программа не нашла вирусов, потом все равно анализируются вирусными аналитиками, так что online-проверка - тоже способ прислать нам нового трояна. Однако лучше всего запаковать его в архив под паролем и прислать на [email][email protected][/email]. В этом случае у нас будет хоть какая-то возможность обратной связи, если, например, Вас интересует, что именно это было, или нам потребуется еще какая-нибудь дополнительная информация.

[QUOTE=Iceman]
Ха-ха-ха. Спасибо на добром слове :D Но всё-таки, в основном, там были ложные тревоги. Кроме помойки, естественно :D
[/QUOTE]
Может все-таки найдется возможность выбрать хотя бы часть таких файлов и прислать нам? Бета тестирование предназначено не только для защиты Вас от вирусов, но и для отладки и исправления проблем в работе програмы :) Так что файлы с ложными тревогами тоже нам очень интересны, чтобы к следующей версии эти ложные тревоги исправить. Конечная цель - программа, которая дает минимум (в идеале - полное отсутствие) ложных срабатываний эвристики, но позволяет достаточно надежно находить модификации и новые версии известных троянов. Сейчас мы постепенно движемся к этой цели и бета-тестеры нам в этом очень сильно помогают, спасибо.

PS. Вообще интересное выражение: "ложное срабатывание эвристики", ведь само слово "эвристика" в некотором смысле происходит от слова "ври" :)

[QUOTE=Dr]
это crash-дамп. если заархивировать с максимальным уровнем сжатия, сколько получится? нам такие файлы интересны
[/QUOTE]
9.5 Mb. Что будем с ним делать? :)

[QUOTE=serge]
Вот только не надо сразу обижаться, ладно? :) [/QUOTE]
Я не обиделся. Решил, что Ваш антивирус в присылке вирусов от пользователей не нуждается. :)
А файл отправил. Кстати, и ссылку на странице нашёл, так что прошу прощения.

Я письма о бета-версии шлю на [email][email protected][/email] (так посоветовали на [email][email protected][/email] ). Это правильно?

[QUOTE=userr]
Я письма о бета-версии шлю на [email][email protected][/email] (так посоветовали на [email][email protected][/email] ). Это правильно?
[/QUOTE]
если речь идёт о функциональности программы (баги, глюки и т.п.), то лучше на beta@. если новые вирусы, подозрения, ложные срабатывания эвристики, то это newvirus@.

в последний осенний день мы выложили для вас подарок ;) свежую версию консоли. взять можно здесь [url=http://www.anti-virus.by/download_files/vba32-console-scanner-beta-20041130.zip]http://www.anti-virus.by/download_files/vba32-console-scanner-beta-20041130.zip[/url]

изменения:
1. в архиве обновлятор для консоли, с этого момента можно будет обновлять только то, что изменилось. сам файл vbaupdx.exe, вспомогательный батник update.bat
2. закрыты ложные срабатывания, которые были присланы за последние дни
3. около 400 семейств переименовано вразумительными названиями вместо new.?

статистика показывает, что ~ 50% присланных файликов действительно являются вредоносными программами (кроме явных ложняков, конечно).

кто сможет, потестируйте плз. просьбы:
1. если получившийся архив небольшой и может быть прислан по почте, вышлите на [email][email protected][/email]
2. если архив большого размера, вышлите плз файл susp.rpt на [email][email protected][/email] для его анализирования.

большое спасибо!

[QUOTE=Dr]
кто сможет, потестируйте плз. просьбы:
1. если получившийся архив небольшой и может быть прислан по почте, вышлите на [email][email protected][/email]
2. если архив большого размера, вышлите плз файл susp.rpt на [email][email protected][/email] для его анализирования.
[/QUOTE]
спасибо всем, кто нашёл время и силы потестировать программу.
ложняки, присланные за сутки, закрыты.
новые трояны вставлены в базу.
можно обновиться при помощи команды vbaupdx.exe [url]http://www.anti-virus.by/beta/update/[/url] (батник update.bat).

маленькая ремарка. некоторые кейгены при объявлении их "хорошими" "размывают" эвристику и "разваливают" уже устоявшиеся группы. мы такие кейгены собираем и анализируем ситуацию, куда двигаться дальше.

Доброго времени суток

Поставил сегодня subj и тут же возникли вопросы
1. Есть ли возможность проверять файлы только при открытии на запись? Не спорю, монитор шустрый, но на старых машинках его работа всё-таки заметна.
2. Насколько я понял, проверенный файл при повторном обращении не проверяется. А как отслеживается, был ли он изменён со времени последней проверки? Дело в том, что у того же Доктора при открытии уже проверенного файла cpu usage != 0 (естетственно, не на ультрасовременных монстрах с сотнями лошадей под капотом :), т.е. какая-то проверка есть (не знаю, хэш или простой crc, но есть), а у subj перманентный зеро.
3. Почтовый сканер. Активно использую осла, а некоторые особенно хитрые для входящих соединений используют TCP110 и 25, а subj вцепляется мёртвой хваткой в такие соединения. В принципе у доктора это лечилось забиванием в настройках перехвата соединений адреса сервера. Здесь после подобной операции антивирус вообще перестал реагировать на почту.

Всё остальное мне ОЧЕНЬ понравилось. Прогнал на своей коллекции - нашёл пару trojan downloader'ов, про которые доктор не знает.

[QUOTE=nowhere]
Доброго времени суток

Поставил сегодня subj и тут же возникли вопросы
1. Есть ли возможность проверять файлы только при открытии на запись? Не спорю, монитор шустрый, но на старых машинках его работа всё-таки заметна.
2. Насколько я понял, проверенный файл при повторном обращении не проверяется. А как отслеживается, был ли он изменён со времени последней проверки? Дело в том, что у того же Доктора при открытии уже проверенного файла cpu usage != 0 (естетственно, не на ультрасовременных монстрах с сотнями лошадей под капотом :), т.е. какая-то проверка есть (не знаю, хэш или простой crc, но есть), а у subj перманентный зеро.
3. Почтовый сканер. Активно использую осла, а некоторые особенно хитрые для входящих соединений используют TCP110 и 25, а subj вцепляется мёртвой хваткой в такие соединения. В принципе у доктора это лечилось забиванием в настройках перехвата соединений адреса сервера. Здесь после подобной операции антивирус вообще перестал реагировать на почту.

Всё остальное мне ОЧЕНЬ понравилось. Прогнал на своей коллекции - нашёл пару trojan downloader'ов, про которые доктор не знает.
[/QUOTE]
1. Сейчас такой возможности нет, и полезность ее несколько сомнительна. При включении такой опции существует вероятность, что кто-то поселится на компе до того, как будет скачано соответствующее дополнение, и будет жить там долго и счастливо, пока пользователь не запустит сканер. И часто будет именно так: опцию эту включат, чтобы все шустро бегало, а на запуск сканера забьют. А потом придется долго рассказывать, почему монитор включен, а на компе вирус живет. Можно, конечно, так спрятать эту настройку, чтобы никто ее не нашел... :)
2. Монитор отслеживает запись в файлы, поэтому чтобы узнать, изменился ли файл, достаточно поискать его в таблице по имени.
3. Как задан адрес сервера? Должен указываться именно IP-адрес, а не DNS-имя почтового сервера.

1. Мне лично комп нужен не для того чтобы запускать на нём антивирус, а производительности хватает только на это. А вот насчёт запрятывания - это самое оно :)
2. Гы, сразу не допёр :) Спасибо. Таблица сбрасывается при выключении монитора?
3. Это я первым делом сделал. Не работает

[QUOTE=nowhere]
1. Мне лично комп нужен не для того чтобы запускать на нём антивирус, а производительности хватает только на это. А вот насчёт запрятывания - это самое оно :)
2. Гы, сразу не допёр :) Спасибо. Таблица сбрасывается при выключении монитора?
3. Это я первым делом сделал. Не работает
[/QUOTE]
1. Подумаем над этим. Реализовать, вообще-то, это не сложно
2. Да, таблица сбрасывается при выключении монитора, при подгрузке нового апдейта и при изменении настроек монитора.
3. Пока единственное предположение - ошибка в адресе сервера. И как проверялась "реакция" антивируса на почту? Конвертик в трее появляется только при приеме письма. Может, просто писем не было? Можно на закладке "Статистика" включить "Подробный" отчет - тогда в лог будут писаться все перехваченные попытки соединения.

3. Ошибки в адресе нет
Проверялось фаерволом (сразу скажу, что настройки не препятствуют перехвату соединения), при приёме письма - только соединени ОЕ с сервером по 110, а vba32ldr даже ничего не слушает. Я так понимаю, коннекты должен перехватывать именно он?

Любопытно оказалось сравнить работу vba и дрвеб на пришедшем с почтой парольном архиве с вирусом. пароль - в bmp файле.
=============================================================
¦ Vba32 Windows/CL 3.10.1 beta / 30.11.2004 (Vba32.W) ¦
Режимы работы программы:
/r+vba32.rpt /ha=2 /rw /af+ /ar+ /qu+ /ok+ /ml+

Загружено 41872 моделей вирусов.
..\tmp\ezividwdn.exe : инфицирован Win32.Worm.Bagle.af
..\tmp\jaokniqk.ini : в порядке
..\tmp\a.eml:<MIME>\001.html : в порядке
..\tmp\a.eml:<MIME>\wcqqrxaiat.bmp : в порядке
..\tmp\a.eml:<MIME>\Updates.zip:<ZIP>\ezividwdn.exe : защищен паролем - обработка невозможна
..\tmp\a.eml:<MIME>\Updates.zip:<ZIP>\jaokniqk.ini : защищен паролем - обработка невозможна
..\tmp\a.eml:<MIME>\Updates.zip : похож на I-Worm.Psw-protected
=====================================

drweb:
====================================
c:\tmp\ezividwdn.exe packed by UPX
>c:\tmp\ezividwdn.exe infected with Win32.HLLM.Beagle
c:\tmp\jaokniqk.ini - Ok
c:\tmp\mime000.txt - Ok
c:\tmp\a.eml - archive MAIL
>c:\tmp\a.eml\html.1 - Ok
>c:\tmp\a.eml\wcqqrxaiat.bmp - Ok
>c:\tmp\a.eml\Updates.zip infected with Win32.HLLM.Beagle.pswzip
==================================
Как это удается проверять парольный архив? При этом когда я распаковал zip и из тех же файлов сам сделал парольный zip, то в нем уже вируса не видно :). Я пробовал разные степени сжатия и только на 0 (NO compression) добился от vba "похож на I-Worm.Psw-protected". drweb всегда писал
c:\temp\b\TEST0.ZIP - archive ZIP
>c:\temp\b\TEST0.ZIP\EZIVIDWD.EXE - password protected, skipped
>c:\temp\b\TEST0.ZIP\JAOKNIQK.INI - password protected, skipped