Бета-тестирование антивируса "ВирусБлокАда" 2

[QUOTE=antanta;451377]Нащёт обсуждения в другой ветке, согласен. Только скажите, в какой именно. Хотя, скорее окончательно уйду в потчту, а там по результатам.
Ссылка на антируткит станет рабочей, если я кликну ее из другой ветки? Я не сильно удивлюсь. "Вопросы крови — самые сложные вопросы в мире!" (тоже чей-то копирайт, какого-то провинциального автора, не заслуживающего упоминания). Вопросы адресации в глобальных сетях вообще, и резольвинга в частности - тож не подарок. Видел (и правил) такие чудеса расчудесные! :O
Касаемо данного случая: раньше был путь /pub/beta/... а теперь просто /beta/... Конечно же, оно теперь работает. Ладно бы Опера кешировала, дык я ж и ослом проверял, и другими путями на фтп лазил, чай не впервой. Я не тетушка Полли, а Вы не Том Сойер (хотя,аватар подходящий), и речь не о серебряных ложках. Хватит делать из меня дурака, и так плющит :O
Ну почему при любой тактичной попытке указать на маленькую оплошность на этом ресурсе всегда нарываешься на подколы и прочие мухо-котлеты? Неужели трудно сказать "Спасиба, братан, чо бы мы биз тибя делали?" (Тут мне скащуха нащет языка по правилам форума, я нииз России)
В общем, все в русле форума, все в стиле %GlobalModerName%. Если что-то не про дизайн и прочую ботву, то либо не видим, либо ни слова по делу.[/QUOTE]

Обсуждение антируткита здесь:

[URL="http://virusinfo.info/showthread.php?t=41137"]http://virusinfo.info/showthread.php?t=41137[/URL]

[QUOTE=antanta;451377]
[B] Что с ключами в Services, если путь не указан? Тищина-а-а... Ляпота...[/B] На... (кой черт) тогда объявлять бетатестинг?[/QUOTE]

Еще раз повторяю (первый раз было в письме): предоставьте скриншоты или ключи реестра того, что вы там творите со своей системой. Из ваших постов ничего не ясно.

И переползайте в соответствующую ветку форума.

[QUOTE=sergey ulasen;451335]Сегодня ночью выходит обновление антивирусного ядра. В данный апдейт вошли работы по оптимизации эмулятора. Благодаря этому прирост скорости сканирования PE-файлов доходит до 20%! Это очень здорово, на мой взгляд :)[/QUOTE]

Сегодня еще немножко подрихтовали эмулятор, исправив в нем небольшие ошибки. Также взяли винчестер "среднестатического юзверя" и произвели на нем замеры скорости с максимальными настройками:

Было - 05:31:56
Стало - 03:39:57

Поставил на Win 7, по работе пока сказать нечего, еще пробую.
С центром поддержки семерки не дружит, он его просто не узнает и просит антивирь.
При первом запуске после установки зависание системы, после принудительного перестарта все в норме.

[QUOTE=prowler;461468]С центром поддержки семерки не дружит, он его просто не узнает и просит антивирь.[/QUOTE]

У Microsoft теперь несколько иная политика выдачи SDK к Security Center. Решаем эту проблему.

[size="1"][color="#666686"][B][I]Добавлено через 5 часов 41 минуту[/I][/B][/color][/size]

*** 03.09.2009

* Улучшена эвристика на вредоносные упаковщики (Malware-Cryptor.Win32.General.3)

* Улучшена эвристика на вредоносные программы на AutoIT-скриптах

* Увеличена общая стабильность работы АВ-ядра

Я все-таки дождалась утрешних обновлений и перед уходом на работу протестировала сканер. Работает все не так как должно и это видно даже визуально (нет зависимости от скорости сканирования). Скорее всего, в линуксовой версии алгоритм реализован по-другому. В нескольких местах наблюдалась полная остановка, хотя это должно быть только при зависании.

+ В консольный сканер под Windows добавлен маркер загруженности потока проверки

+ Добавлено детектирование новых веток автозагрузки

* Внесены изменения в технологию, позволяющую избегать ложных срабатываний на файлах, подписанных ЭЦП

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

[QUOTE=Aleksandra;468915]Я все-таки дождалась утрешних обновлений и перед уходом на работу протестировала сканер. Работает все не так как должно и это видно даже визуально (нет зависимости от скорости сканирования). Скорее всего, в линуксовой версии алгоритм реализован по-другому. В нескольких местах наблюдалась полная остановка, хотя это должно быть только при зависании.[/QUOTE]
Вы имеете ввинду первый пункт сегодняшнего обновления?

[QUOTE=Aleksandra;468915]Я все-таки дождалась утрешних обновлений и перед уходом на работу протестировала сканер. Работает все не так как должно и это видно даже визуально (нет зависимости от скорости сканирования). Скорее всего, в линуксовой версии алгоритм реализован по-другому. В нескольких местах наблюдалась полная остановка, хотя это должно быть только при зависании.[/QUOTE]

Не готов это признать. Используется один и тот же механизм. Разница только в отрисовке, но это проблема терминалов.

Летом прошлого года нами были выпущены в свет следующие изменения в ядре:

[QUOTE=sergey ulasen;240372]
[COLOR="Red"]+ Добавлена технология, позволяющая избежать ложных срабатываний на файлах, подписанных ЭЦП[/COLOR]

[COLOR="#ff0000"]+ Добавлена технология, позволяющая детектировать вредоносные файлы, подписанные "троянской" ЭЦП[/COLOR]

[COLOR="#ff0000"]+ Добавлена технология, позволяющая детектировать эвристическим анализатором модифицированные файлы с внедренной ЭЦП (доступна на Избыточном уровне эвристики /ha=3)[/COLOR]
[/QUOTE]

Сейчас данные изменения были серьезно пересмотрены и улучшены.
Во-первых, избавились от детектирования параноидальной эвристикой модифицированных файлов с ЭЦП. Практического применения ей не нашлось, а вопросов она вызывала тьму тьмущую.
Во-вторых, вместо понижения детекта при FP до эвристического на файлах с ЭЦП, было решено вообще его убрать. Добавив при это соответствующую настройку в комплекс.
Поэтому сегодня ночью (по традиции) в бете появятся следующие изменения:

+ В антивирусное ядро добавлен новый режим работы, который исключает ложные срабатывания на файлах, подписанных ЭЦП. При попадании некорректной записи в базу и срабатывании этой записи на файле с ЭЦП, детектирование такого файла не произойдет. Данный режим включен по умолчанию

* В консольный сканер под Windows добавлен ключ /na, который отключает режим исключения ложных срабатываний на файлах с ЭЦП

Сегодня в бете:

[COLOR="Red"]+ Поддержка 7zip-архивов[/COLOR]

"Как долго я тебя ждала....." (с)

[COLOR="Red"]+ В консольные сканеры добавлены ключи:
/SD[+|-] - удаление подозрительных файлов
/SR[+|-] - переименование подозрительных файлов
/SM+[каталог] - перемещение подозрительных файлов в указанный каталог (по умолчанию C:\Virus)[/COLOR]

Необходимость в данных ключах давно назрела. А появление Vba32 Rescue и Vba32 Check, в которых используются консольные сканеры, заставило нас решить эту проблему :).

[COLOR="Red"]+ В консольные сканеры в список расширений обрабатываемых по умолчанию добавлены *.pdf, *.swf[/COLOR]

[COLOR="Red"]+ Обновился модуль Vba32 AntiRootkit до версии 3.12.3.3 beta[/COLOR]

Модули антируткита обновлены в комплексе и заодно добавлены в консольный сканер под Windows.

[COLOR="Red"]* Улучшена работа эмулятора ОС[/COLOR]

[COLOR="Red"]* Исправлены ошибки в алгоритме обработки архивов (спасибо Thierry Zoller)[/COLOR]

[COLOR="Red"]* Актуализированы языковые файлы[/COLOR]

В бете могут наблюдаться некоторые проблемы с детектирование скриптовых вирусов и эксплоитов. Данный функционал был подвергнут большой переработке, но еще до конца не завершен. В течение ближайших нескольких недель должны с ним окончательно разобраться.

Если вдруг столкнетесь с чем-то непонятным, жалуйтесь.

Какие-то проблемы с ключом /DUMP_ROOTKITS после обновлений?

[QUOTE=Aleksandra;484550]Какие-то проблемы с ключом /DUMP_ROOTKITS после обновлений?[/QUOTE]

Ключ /dump_rootkits удален из консольного сканера. Логика следующая:

1. Все длинные ключи в консольном сканере являются недокументированными, а некоторые из них имеют короткую жизнь. К примеру, на время подключения и отладки некоторой новой технологии;
2. Достаточно серьезно развился антируткит, и перед нами встал вопрос расширения той информации, которая выводилась по данному ключу в сканере;
3. В состав комплекса давно входил антируткит, а сейчас он был добавлен и в состав консольного сканера;
4. В антирутките ведется достаточно хороший лог;
5. Было решено не дублировать ту информацию, которая уже и так есть в антирутките, в лог сканера, а вообще от нее отказаться;
6. Чуть позже эта же судьба ждет и ключ /dump_autorun.

Консольный сканер умеет обновляться через прокси? В экзешнике есть путь в реестре к настройкам Internet Explorer, но сканер пытается обновляться напрямую. Проверял ветки HKLM и HKCU.
Антируткит в составе консольного сканера - 2.1, а отдельная версия уже 3.12.3.3. Положил свежий антируткит в каталог консольного сканера вместо старой версии - новая версия не увидела антивирусные базы сканера. Старый антируткит видит их нормально.

[QUOTE=Oyster;485057]Консольный сканер умеет обновляться через прокси?[/QUOTE]
Умеет. :) Создайте батник с содержимым:

[QUOTE]@vbaupdx.exe [url]http://anti-virus.by/beta/update/[/url] /p=<address:port> /r+update.log[/QUOTE]

[QUOTE=Oyster;485057]Антируткит в составе консольного сканера - 2.1, а отдельная версия уже 3.12.3.3. Положил свежий антируткит в каталог консольного сканера вместо старой версии - новая версия не увидела антивирусные базы сканера. Старый антируткит видит их нормально.[/QUOTE]

Так, давайте разбираться по порядку...
Вопрос: вы пользуетесь бета- или релиз-версией консольного сканера? Вопрос связан с тем, что в релизную версию консольного сканера антируткит еще не добавлен. Он был добавлен только на прошлой неделе и только в бета-версию.

[QUOTE=sergey ulasen;485510]Вопрос: вы пользуетесь бета- или релиз-версией консольного сканера?[/QUOTE]
Брал по ссылке [URL]ftp://vba.ok.by/vba/Vba32Check.exe[/URL] , пишет про себя:
+----------------------------------------------------------+
| VirusBlokAda (Console scanner) |
| Vba32 Windows/CL 3.12.10.11 / 2009.10.12 11:22 (Vba32.W) |
| Copyright (c) 1993-2009 by VBA Ltd. |
+----------------------------------------------------------+
User: Vba32 Check
License #000002294 Valid till 31.12.09

[B]2Oyster[/B]

Теперь стало яснее :)

Вы скопировали файлы в папку Vba32Check\Vba32AntiRootkit или в Vba32Check\vba32w ?
Если в Vba32Check\vba32w, то проверка ядром в антирутките должна работать. Но так как есть некоторые проблемы совместимости текущего релизного ядра и беты антируткита, в релизном консольном сканере не будут работать некоторые режимы проверки памяти.

[QUOTE=sergey ulasen;485989]Вы скопировали файлы в папку Vba32Check\Vba32AntiRootkit или в Vba32Check\vba32w ?[/QUOTE]Как правильная Маша, копировал в Vba32Check\Vba32AntiRootkit :D

[QUOTE=Oyster;486117]Как правильная Маша, копировал в Vba32Check\Vba32AntiRootkit :D[/QUOTE]

Понятно :)

В таком режиме антируткит не загружает антивирусное ядро. Для того, чтобы он его загрузил, скопируйте его в папку Vba32Check\vba32w.
Но:

1) при копировании будет произведена замена файла vba32ar.dll (c 2.1 на 3.12.3.3);
2) после копирования и замены файла, антируткит будет работать нормально, а с работой консольного сканера будут некоторые проблемы;
3) каждый раз после обновления консольного сканера, файл vba32ar.dll будет восстанавливаться в исходное состояние.

Все указанные проблемы решены в текущей бете и будут доступны с релизом 3.12.12.0

Есть вопросы по консольному сканеру, версия Vba32 Windows/CL 3.12.10.11
1. В bat-файлах check_all.bat, collect_susp.bat и т.д. встречаются параметры командной строки /ic и /nc, а команда /help про них не пишет. Каково их значение?
2. В файле cure_PE.bat используются параметры /af (обрабатывать все файлы), /ar (проверять архивы), /ml (проверка почтовых баз), и в то же время /ext=exe.sys.dll.scr.pif Нет ли здесь противоречия? Проверка архивов ещё понятна, но почта и "все файлы"?
3. Для архивации используется консольный Rar - всё ли в порядке с лицензией? :) Как вариант - 7Zip-ом паковать в zip.

[QUOTE=Oyster;488939]Есть вопросы по консольному сканеру, версия Vba32 Windows/CL 3.12.10.11[/QUOTE]

Готов на них отвечать.

[QUOTE=Oyster;488939]1. В bat-файлах check_all.bat, collect_susp.bat и т.д. встречаются параметры командной строки /ic и /nc, а команда /help про них не пишет. Каково их значение?[/QUOTE]

Это недокументированные ключи.

/ic - "ignore corrupted". Игнорирует проверку целостности при запуске консольного сканера.

/nc - "no com". В случае установленного на компьютер комплекса Vba32, не будет работать через COM, а загрузит свою копию ядра и баз.

[QUOTE=Oyster;488939]2. В файле cure_PE.bat используются параметры /af (обрабатывать все файлы), /ar (проверять архивы), /ml (проверка почтовых баз), и в то же время /ext=exe.sys.dll.scr.pif Нет ли здесь противоречия? Проверка архивов ещё понятна, но почта и "все файлы"?[/QUOTE]

Да, явное противоречие. Спасибо.

[QUOTE=Oyster;488939]3. Для архивации используется консольный Rar - всё ли в порядке с лицензией? :) Как вариант - 7Zip-ом паковать в zip.[/QUOTE]

Да, проблемы точно есть :) Еще раз спасибо.

После выхода релиза 3.12.12.0 мы обязательно пересмотрим Vba32Check. Нужно будет и батники откорректировать, т.к. там добавятся новые ключи. Часть батников вообще нужно будет убрать, т.к. они ниразу не пригодились. А возможность отправки на сервер отчетов, скорее всего, отрубим, т.к. это тоже явно избыточный функционал. Тогда ни rar ни 7zip не понадобятся :) До НГ исправимся.

Сегодня выходят следующие изменения в бета-версию антивируса:

[COLOR="Red"]+ Добавлена эвристика на вредоносные упаковщики (Malware-Cryptor.Win32.General.5)

+ Добавлена эвристика на вредоносные упаковщики (Malware-Cryptor.Win32.General.6)

+ Добавлена эвристика на вредоносные упаковщики (Malware-Cryptor.Win32.General.7)

* Улучшена эвристика на вредоносные упаковщики (Malware-Cryptor.Win32.General.4)[/COLOR]

Продолжаем развивать эвристические методы детектирования класса Malware-Cryptor. От бета-тестеров ждем файликов с FP, если таковые будут встречаться.

[COLOR="Red"]* Улучшена работа эмулятора ОС

* Улучшена работа эмулятора процессора

* Улучшен алгоритм детектирования эксплоитов[/COLOR]

Произведены серьезные работы в данном направлении. Также ждем ложняков.

[COLOR="Red"]* Исправлена ошибка с детектированием файлов в карантине консольного сканера[/COLOR]

Должно решить [URL="http://virusinfo.info/showpost.php?p=489763&postcount=21"]известную[/URL] проблему в Vba32 Rescue.

[COLOR="Red"]* Актуализированы языковые файлы[/COLOR]

Напоминаю ящик для связи: [B]beta[at]anti-virus.by[/B]

Наконец-то в бета-тестирование вышла версия с поддержкой Windows 7. Если есть интерес - налетайте :)
Кроме того, обновилось антивирусное ядро. Все изменения касаются эмулятора и должны поднять детект.

*** 09.11.2009

* Увеличена общая стабильность работы АВ-ядра

[QUOTE=Groft;505846]*** 09.11.2009

* Увеличена общая стабильность работы АВ-ядра[/QUOTE]
Дубль два: :)
[QUOTE]*** 12.11.2009

* Увеличена общая стабильность работы АВ-ядра[/QUOTE]

Итак, вышло следующие обновление в бету, которое в себя включает:

* Улучшено детектирование вредоносных программ на AutoIT-скриптах

* Улучшена работа эмулятора ОС

* Улучшена работа эмулятора процессора

* Увеличена общая стабильность работы АВ-ядра

Ждем-с замечания, предложения и ложные срабатывания по новой эвристике, если таковые найдутся :)

Ну и небольшое дополнение по эвристике:
* Улучшена эвристика на вредоносные упаковщики (Malware-Cryptor.Win32.General.4) :)

Как давно я не был здесь... :)
Всем привет, большой привет двум Сашам - ему и ей - давно с вами не общался... Надеюсь, в скором времени появится возможность заходить сюда как можно чаще :)

Бета в очередной раз радует во многом, а в чем не радует - разработчики уже знают, спасибо за новую версию :)

[QUOTE=Rashevskiy]Бета в очередной раз радует во многом, а в чем не радует - разработчики уже знают, спасибо за новую версию[/QUOTE]

Рома, спасибо :santa:

После более чем месячного затишья, связанного с выпуском очередного "большого" релиза, начинаем регулярно обновлять бета-версию. Пару дней назад обновили ядро (спасибо за присланные ложняки), а сегодня добрались до клиентской части:

+ Исправлены ошибки, возникающие при переходе на новый Центр Управления

+ В Мониторе в список расширений, обрабатываемых по умолчанию, добавлены *.pdf, *.swf

+ Добавлена настройка "Доверять технологии Authenticode" в GUI-Сканере

* Актуализирована документация

* Увеличен период обновления ключевого файла с 7 до 21 дня

Ждем фидбэк :cool:

После такого:
[url]http://www.shadowserver.org/wiki/pmwiki.php/Stats/VirusMonthlyStats[/url]
Получить такое:
[url]http://www.shadowserver.org/wiki/pmwiki.php/Stats/VirusDailyStats[/url]
и
[url]http://www.shadowserver.org/wiki/pmwiki.php/Stats/VirusWeeklyStats[/url]

ну вы, ребят, даете... Просто нет слов :thumbs:

Ну детект они подтянули, мне нравиться

Первая бета в новом году ;)

[B]+ Добавлена проверка новых типов автозагрузки[/B]

Добавили проверку job-ов Task Scheduler, линков Quick Start и др. Данные возможности доступны в Полном и Избыточном режимах проверки памяти и автозагрузки.

[B]* Улучшена распаковка MIME[/B]

Проблемы были в linux-версии ядра. Поправили.

[B]* Улучшена работа эмулятора ОС[/B]

Постоянно пилим свой эмулятор, поднимаем детект :)

[B]* Увеличена общая стабильность работы АВ-ядра[/B]

Исправлены некоторые ошибки, приводившие к падению ядра.

Обновили антивирусное ядро в бете:

[B]+ Добавлено детектирование новых типов автозагрузки[/B]

Добавлена проверка автозапускаемых файлов расширения меню эксплорера. Доступно в Полном и Избыточном режимах.

[B]* Исправлены ложные срабатывания эвристики (Crafted.Win32File.OLS)[/B]

[B]* Улучшена работа эмулятора ОС[/B]

[B]* Увеличена общая стабильность работы АВ-ядра[/B]

Обновление будет доступно сегодня ночью.

[QUOTE=sergey ulasen;566693]
[B]* Улучшена работа эмулятора ОС[/B]
[/QUOTE]
Пилим дальше:
[QUOTE]*** 03.02.2010

[B]* Улучшена работа эмулятора ОС[/B][/QUOTE]
8)

Внесены изменения в бета-версию антивирусного ядра:

* Улучшена работа эмулятора ОС

* Улучшен алгоритм детектирования mailbomb

* Исправлены ошибки в алгоритме обработки RAR-архивов

* Увеличена общая стабильность работы АВ-ядра

Ввиду последних изменения, было бы неплохо зарядить пробег по своим домашним коллекциям архивов. Если встретятся ложные срабатывания на Archive.MailBomb, ими можно с нами поделиться на beta[at]anti-virus.by.

И еще небольшие изменения в бету:

* Улучшена работа эмулятора ОС

* Улучшен алгоритм детектирования mailbomb

* Исправлены ошибки в алгоритме обработки архивов

* Увеличена общая стабильность работы АВ-ядра

З.Ы.: начались плановые работы по оптимизации баз. В скором будущем постараемся сделать их поменьше.

Представители VBA, подскажи, может ли ваш антивирус влиять на отображение гаджетов на семерке? а то после последнего обновления VBa получается на загрузке винды следующее:
[IMG]http://i082.radikal.ru/1004/cd/86d400feb05a.jpg[/IMG]
при наведении справа панелька управления гаджетом появляется как обычно. если закрыть и добавить заново этот гаджет, все нормально, но только до перезагрузки. или я грешу не в ту сторону?

видимо все таки в ту. отключил автозапуск антивируса, гаджет стал работать нормально после перезагрузки

[QUOTE=Sob;616818]Представители VBA, подскажи, может ли ваш антивирус влиять на отображение гаджетов на семерке? а то после последнего обновления VBa получается на загрузке винды следующее:
[IMG]http://i082.radikal.ru/1004/cd/86d400feb05a.jpg[/IMG]
при наведении справа панелька управления гаджетом появляется как обычно. если закрыть и добавить заново этот гаджет, все нормально, но только до перезагрузки. или я грешу не в ту сторону?

видимо все таки в ту. отключил автозапуск антивируса, гаджет стал работать нормально после перезагрузки[/QUOTE]
Да, есть такая проблема. Дело в скрипт-фильтре. Временно его можно отключить.

*** 28.04.2010

* Улучшена работа эмулятора ОС

* Исправлены ошибки в алгоритме обработки архивов

* Улучшена технология BScope

* Увеличена скорость сканирования на PE-файлах

Было бы неплохо прогнать сканер на выявление ложных срабатываний. Спасибо :)

*** 07.05.2010

* Улучшена работа эмулятора ОС

*** 05.05.2010

* Улучшена обработка некорректных RAR и ZIP архивов

* Добавлена поддержка эмулятором ОС новых упаковщиков PE-файлов

* Увеличена скорость сканирования на PE-файлах

*** 17.05.2010

* Улучшена работа эмулятора ОС