Из антивирусного мониторинга [url]http://virusinfo.info/showthread.php?p=223427#post223427[/url]
[QUOTE]Сообщение от Karlson
во-вторых нужен не ответ, а подтверждение, что дошло.. а то вдруг по дороге выронили...[/QUOTE]
Поддерживаю,надо сделать!
Printable View
Из антивирусного мониторинга [url]http://virusinfo.info/showthread.php?p=223427#post223427[/url]
[QUOTE]Сообщение от Karlson
во-вторых нужен не ответ, а подтверждение, что дошло.. а то вдруг по дороге выронили...[/QUOTE]
Поддерживаю,надо сделать!
На немецком сайте Vba32 существует отправка вирусов, подозрительных файлов или просто фолсы без почты, ограничение стоит до 2 метров, так что присылайте. Внизу страницы справо.
[url]http://www.vba32.de/demo/index.php?option=com_content&task=view&id=20&Itemid=38[/url]
ps так сказать, чтобы знали :)
Привет, уважаемые бета-тестеры консольного сканера под linux.
Совсем недавно было замечена ужасная вещь: vbacl на релизе и бете
содержал путь обновления с беты!
Дабы вернуть бедных пользователей релиза на правильный ресурс, на обновления был положен скрипт с умолчальным путём:
[url]http://anti-virus.by/update[/url] (aka release)
Чтобы остаться на бете всем бета-тестерам строго рекомендуется:
ознакомиться с содержанием файла /opt/vba/vbacl/vbacl.ini.example
и создать по его подобию свой: /opt/vba/vbacl/vbacl.ini .
Собственно интересующая строка:
UPDATE_PATH = [url]http://anti-virus.by/beta/update[/url]
А вообще файлик довольной интересный.
Может, будут какие-нибудь пожелания на счет него или с ним связанным?
(например, иметь файлик ~/.vbacl/ini для каждого ползователя, иметь дополнительные параметры в .ini)
Заранее приношу извинения всем за лишние выкачанные мегабайты.
На счет дополнительных параметров в .ini я бы не отказался! А что можно добавить?
Уважаемые бета-тестеры.
Компания ВирусБлокАда выпустила обновление бета-версии, которое включает в себя изменения по улучшению работы эмулятора
Компания ВирусБлокАда представляет Вашему вниманию пребета-версию антируткита Vba32 AntiRootkit.
Данная программа будет доступна пользователям комплекса Vba32 бета-версии 3.12.7 и релиз-версии 3.12.8
Для совместимости программы с текущим релизом или бета-версией антивируса Вам необходимо
распаковать архив в ОТДЕЛЬНУЮ папку (не %VBA32% !!!).
В составе архива идут следующие файлы:
Vba32arkit.exe - исполняемый файл
Vba32ar.dll
Vba32ArkitEN.chm - файл помощи на английском языке
Vba32ArkitRU.chm - файл помощи на русском языке
Все предложения по усовершенствованию программы принимаются на адреc [email][email protected][/email].
линк:
[url]ftp://www.open.by/vba/Vba32AntiRootkit.rar[/url]
Уважаемые бета-тестеры.
Компания ВирусБлокАда выпустила обновление бета-версии, которое включает в себя:
[QUOTE]* Исправлены ошибки в работе GUI сканера и диспетчера
* Исправлены ошибки в работе модуля Активация
* Улучшена работа утилиты SendLogs[/QUOTE]
Уважаемые бета-тестеры.
Компания ВирусБлокАда выпустила обновление бета-версии, которое включает в себя:[QUOTE]
+ Добавлена технология, позволяющая избежать ложных срабатываний на файлах, подписанных ЭЦП
+ Добавлена технология, позволяющая детектировать вредоносные файлы, подписанные "троянской" ЭЦП
+ Добавлена технология, позволяющая детектировать эвристическим анализатором модифицированные файлы с внедренной ЭЦП
(доступна на Избыточном уровне эвристики /ha=3)
+ Добавлена эвристика на вредоносные упаковщики
+ Добавлено детектирование вредоносных файлов в формате PDF
+ Добавлена эвристика на вредоносные INF-файлы
* Улучшена работа эмулятора ОС
* Кардинально изменен алгоритм эмуляции и определения вредоносных упаковщиков
* Увеличена общая стабильность работы АВ-ядра на поврежденных файлах
* Увеличена на 25% скорость работы АВ-ядра на неинфицированных файлах[/QUOTE]
+ начинается уменьшение размеров баз, если кто-то не заметил :)
Я вот сегодня заходил на open.by и там было интервью с разработчиками VBA32. Вот бы к нам тоже заглянули на VirusInfo.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
По поводу нововведений хорошо бы по подробней.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Также хотелось бы услышать комментарии по поводу нового зверья и как с ним справляется VBA32.
[QUOTE=Синауридзе Александр;240158]Я вот сегодня заходил на open.by и там было интервью с разработчиками VBA32. Вот бы к нам тоже заглянули на VirusInfo.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
По поводу нововведений хорошо бы по подробней.[/QUOTE]
я вот тоже хотел задать свой вопросик, да вот нет не вовремя умер :(
Хорошо бы и здесь провести тоже он-лайн интервью :)
и по нововведниям тоже интересует :)
[QUOTE=Groft;240144]Уважаемые бета-тестеры.
Компания ВирусБлокАда выпустила обновление бета-версии, которое включает в себя:
[/QUOTE]
Ну ты, конечно, быстрый ганзалес :). Запостил ровно через 2 минуты после обновления.
На самом деле в вотснью нужно еще добавить вот это (исправим завтра):
* Усовершенствован модуль-антируткит Vba32 AntiRootkit (Vba32arkit.exe)
* Актуализирована документация
Уважаемые бета-тестеры, сегодня в бету вышла новая версия ядра и новая версия антируткита. Ядро было значительно усовершенствовано, были разработаны новые технологии, производились работы по оптимизации (более подробно написано выше). Антируткит также улучшен (к нему имеется файл помощи на русском и английском языках). Просьба ко всем ознакомиться, погонять по своим коллекциям. Очень ждем ваших замечаний и предложений.
[QUOTE=slyfox;229829]
Может, будут какие-нибудь пожелания на счет него или с ним связанным?
(например, иметь файлик ~/.vbacl/ini для каждого ползователя, иметь дополнительные параметры в .ini)[/QUOTE]
Сергей! Хотелось бы сначала услышать от Вас, что можно добавить.
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
[QUOTE=Groft;240162]я вот тоже хотел задать свой вопросик, да вот нет не вовремя умер :(
Хорошо бы и здесь провести тоже он-лайн интервью :)
и по нововведниям тоже интересует :)[/QUOTE]
Да было бы супер! Особенно если г-н Каледа вспомнил про наше существование и заглянул к нам в гости.
Хотел тоже вопрос задать на open.by, но не понял как это можно сделать. Жаль, народ в большинстве случаев задавал глупые вопросы.:(
Это кстати не первое интервью на open.by.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[QUOTE=vile;240163]Ну ты, конечно, быстрый ганзалес :). Запостил ровно через 2 минуты после обновления.[/QUOTE]
Он наверно на рассылку новостей подписался.:)
[QUOTE=Синауридзе Александр;240165]
Он наверно на рассылку новостей подписался.:)[/QUOTE]
Да нет :)
на open.by дочитал посты и решил обновиться, а тут бац обновление... время даром решил не терять :) и айда пост писать8)
ps ждем каменты по обновлениям :)
[quote=Синауридзе Александр;240165]
Жаль, народ в большинстве случаев задавал глупые вопросы.:(
[/quote]
Спасибо за оценку 18 моих вопросов...
[QUOTE=MiStr;240181]Спасибо за оценку 18 моих вопросов...[/QUOTE]
А что, их было всего 18? Про больной целерончик тоже Ваш вопрос?
[size="1"][color="#666686"][B][I]Добавлено через 45 секунд[/I][/B][/color][/size]
[QUOTE=Groft;240171]ps ждем каменты по обновлениям :)[/QUOTE]
Угу, ждем.;)
[QUOTE=MiStr;240181]Спасибо за оценку 18 моих вопросов...[/QUOTE]
мдя:(
=======
Кстати, циферку думаю можно на 3.12.[B]8[/B] заменить
[B]vile[/B] слышал, что антиспам скоро появится, что о нем может сказать?
Думаю вот и фаервольчик не помешал бы, как думаете?:)
[quote=Синауридзе Александр;240184]А что, их было всего 18? Про больной целерончик тоже Ваш вопрос?
[/quote]
Моих было 18, а всего 54 (+/- несколько вопросов). Мои вопросы под именем Михаил.
[QUOTE=MiStr;240194]Моих было 18, а всего 54 (+/- несколько вопросов).[/QUOTE]
Ну вот видите, Ваши претензии не обоснованы.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[QUOTE=Groft;240193][B]vile[/B] слышал, что антиспам скоро появится, что о нем может сказать?
Думаю вот и фаервольчик не помешал бы, как думаете?:)[/QUOTE]
Не знаю как на счет комбайна для винды, но вот антиспам для unix серверов для меня куда более актуально.
[QUOTE=Синауридзе Александр;240165]
Да было бы супер! Особенно если г-н Каледа вспомнил про наше существование и заглянул к нам в гости.
[/QUOTE]
ну зачем же в гости, регулярно тут бываю. всех помню... ;-)
[QUOTE=MiStr;240194]Моих было 18, а всего 54 (+/- несколько вопросов). Мои вопросы под именем Михаил.[/QUOTE]
Михаил, большое спасибо за Ваши вопросы на форуме ([url]news.open.by[/url]). Действительно приятно отвечать на умные, хорошо поставленные вопросы, даже если в них есть доля критики.
[size="1"][color="#666686"][B][I]Добавлено через 1 час 24 минуты[/I][/B][/color][/size]
[COLOR="Red"]+ Добавлена технология, позволяющая избежать ложных срабатываний на файлах, подписанных ЭЦП[/COLOR]
Многие вендоры попадали в ситуацию, когда в базу вставлялась “нехорошая” запись, начинавшая срабатывать на чистые файлы. После этого у пользователя сносились winlogon, explorer или spoolsv.
Все эти файлы подписаны ЭЦП Microsoft. Мы контролируем эту подпись и в случае обнаружения такого файла, понижаем его детектирование с точного до эвристического. Например, так:
Файл spoolsv.exe: похож на Trusted.(wups.dll).Virus.Win32.ZMist.EPO
[COLOR="#ff0000"]+ Добавлена технология, позволяющая детектировать вредоносные файлы, подписанные "троянской" ЭЦП[/COLOR]
Некоторое количество программ (семейств программ), детектируемых как вредоносные, содержат встроенную ЭЦП. Это позволяет, обнаружив программу, подписанную сертификатом, используемым для подписи определенного семейства вредоносных программ, классифицировать ее как принадлежащую к этому семейству.
Файл xxx.xxx: инфицирован Signed-<имя_из_базы>
[COLOR="#ff0000"]+ Добавлена технология, позволяющая детектировать эвристическим анализатором модифицированные файлы с внедренной ЭЦП (доступна на Избыточном уровне эвристики /ha=3)[/COLOR]
Очень интересная функция :) На которую уже пошли отклики (привет Грофту). Если файл с ЭЦП модифицирован (сознательно ли или в результате воздействия вируса), то на такие файлы срабатывает эвристики:
Файл autoruns.exe: похож на Win32.BrokenEmbeddedSignature (paranoid heuristic)
Данный функционал был сознательно вынесен на Избыточный уровень эвристики, т.к. таких файлов на компьютере пользователя может быть немало.
Все три технологии работают только с ОС Windows версии 2000 и выше.
[COLOR="#ff0000"]+ Добавлена эвристика на вредоносные упаковщики
* Улучшена работа эмулятора ОС
* Кардинально изменен алгоритм эмуляции и определения вредоносных упаковщиков[/COLOR]
Проделана большая работа по улучшению работы эмулятора и эвристического анализатора.
[COLOR="#ff0000"]* Увеличена на 25% скорость работы АВ-ядра на неинфицированных файлах[/COLOR]
Также очень и очень немаловажное улучшение. Работы по оптимизации ядра будут проводиться и дальше, есть куда расти :)
[COLOR="#ff0000"]+ начинается уменьшение размеров баз, если кто-то не заметил[/COLOR]
Действительно такие работы идут. Уже удалось снизить размер на 10%. Детект не пострадал.
[COLOR="#ff0000"]+ Усовершенствован модуль-антируткит Vba32 AntiRootkit (Vba32arkit.exe)[/COLOR]
Выпустили в бету новую версию антируткита. В данной версии реализованы следующие методы поиска kernel-mode руткитов:
• поиск перехватов методом замены адресов в таблице SSDT;
• поиск скрытых в памяти модулей ядра. Если объект обнаружен как скрытый, ему присваивается статус Hidden in memory;
• поиск скрытых в памяти процессов. Если объект обнаружен как скрытый, ему присваивается статус Hidden in memory;
• поиск модулей ядра, образ которых на диске не соответствует образу в памяти. Такому объекту присваивается статус Modified image.
В качестве вспомогательных методов реализованы:
• проверка антивирусным ядром всех обнаруженных объектов (файлов процессов и модулей ядра);
• проверка электронно-цифровой подписи у всех обнаруженных объектов (файлов процессов и модулей ядра);
• вывод дополнительной информации из ресурсов файлов.
Для нейтрализации руткитов в системе разработаны следующие функции:
• восстановление перехватов в таблице SSDT;
• копирование указанных файлов в карантин на ранних этапах загрузки системы;
• удаление указанных файлов на ранних этапах загрузки системы.
Для обеспечения обратной связи с пользователем реализована функция сбора информации о состоянии системы.