Бета-тестирование антивируса "ВирусБлокАда"

Что за чертовщина... Ничего не понимаю :(

Поставил subj на почти чистую систему (доктора правда не сносил, только паука). Почту не проверяет :'(
У кого-нибудь вообще pop3 сканер работает?

Вот только что сделал full scan, в половине инсталяшек для pocket pc обнаружился TrojanDropper.Win32.Checkin
Даже в Quarta.MUI.2003.RU.for.iPAQ.2200 ;D

[QUOTE=userr]
Любопытно оказалось сравнить работу vba и дрвеб на пришедшем с почтой парольном архиве с вирусом. пароль - в bmp файле.
...
drweb:
====================================
c:\tmp\ezividwdn.exe packed by UPX
>c:\tmp\ezividwdn.exe infected with Win32.HLLM.Beagle
c:\tmp\jaokniqk.ini - Ok
c:\tmp\mime000.txt - Ok
c:\tmp\a.eml - archive MAIL
>c:\tmp\a.eml\html.1 - Ok
>c:\tmp\a.eml\wcqqrxaiat.bmp - Ok
>c:\tmp\a.eml\Updates.zip infected with Win32.HLLM.Beagle.pswzip
==================================
Как это удается проверять парольный архив? При этом когда я распаковал zip и из тех же файлов сам сделал парольный zip, то в нем уже вируса не видно :). Я пробовал разные степени сжатия и только на 0 (NO compression) добился от vba "похож на I-Worm.Psw-protected". drweb всегда писал
c:\temp\b\TEST0.ZIP - archive ZIP
>c:\temp\b\TEST0.ZIP\EZIVIDWD.EXE - password protected, skipped
>c:\temp\b\TEST0.ZIP\JAOKNIQK.INI - password protected, skipped
[/QUOTE]
ДрВеб детектит этот вирус прямо без распаковки, в том виде, каким его может создать сам вирус. Потому после перепаковки и не детектится.

[QUOTE=nowhere]
Вот только что сделал full scan, в половине инсталяшек для pocket pc обнаружился TrojanDropper.Win32.Checkin
Даже в Quarta.MUI.2003.RU.for.iPAQ.2200 ;D
[/QUOTE]
можешь прислать пару инсталляционных файликов?

[QUOTE=userr]
..\tmp\a.eml:<MIME>\Updates.zip : похож на I-Worm.Psw-protected
[/QUOTE]
эту фишку мы делали на самом деле для почтовых серверов. админы настраивают так, чтобы такие архивы (нулевое сжатие с паролем) прибивать в почте. для обычных пользователей она чисто информативна

[QUOTE=Dr]
можешь прислать пару инсталляционных файликов?
[/QUOTE]

Ок. См ПМ

[QUOTE=Alexey]
ДрВеб детектит этот вирус прямо без распаковки, в том виде, каким его может создать сам вирус. Потому после перепаковки и не детектится.
[/QUOTE]
то есть вирус содержит в себе (часть) алгоритма zip-кодирования? Любопытно.

Сейчас в этом ничего любопытного уже нет. Клез ещё пару лет назад засовывался в RAR и ZIP - тогда это была относительная новинка.

[QUOTE=nowhere]
Ок. См ПМ
[/QUOTE]

Во, совсем другое дело!
А всё-таки, как запустить сканер почты? Готов предоставить всю необходимую информацию ;)

[QUOTE=nowhere]1. Есть ли возможность проверять файлы только при открытии на запись? Не спорю, монитор шустрый, но на старых машинках его работа всё-таки заметна.[/QUOTE]присоединяюсь к предложению.[QUOTE=Dimka]1. Сейчас такой возможности нет, и полезность ее несколько сомнительна.[/QUOTE]Всё быстрее будет летать.[QUOTE=Dimka]При включении такой опции существует вероятность, что кто-то поселится на компе до того, как будет скачано соответствующее дополнение, и будет жить там долго и счастливо, пока пользователь не запустит сканер. И часто будет именно так: опцию эту включат, чтобы все шустро бегало, а на запуск сканера забьют. А потом придется долго рассказывать, почему монитор включен, а на компе вирус живет. Можно, конечно, так спрятать эту настройку, чтобы никто ее не нашел... :)[/QUOTE]Можно монитором "втихую"(в смысле, с низким приоритетом ;)) проверять память и/или пути автозагрузки(после апдейта?..). Этого должно хватить.

А можно отдельные настройки для избранных директорий. Например проверку архивов для всего диска включать не экономно, однако проверять все архивы в некоторых папках (мусорки для скачивания программ интернета, папки для скачивания p2p, папли хранения прикрепленных к письму файлов и т.д.) просто необходимо.

[QUOTE=Minos]
А можно отдельные настройки для избранных директорий. Например проверку архивов для всего диска включать не экономно, однако проверять все архивы в некоторых папках (мусорки для скачивания программ интернета, папки для скачивания p2p, папли хранения прикрепленных к письму файлов и т.д.) просто необходимо.
[/QUOTE]
о какой части комплекса идёт речь? если о мониторе, то проверка архивов в мониторе была, но мы от неё отказались, и пока вряд ли опять восстановим эту функцию. если речь о сканере, то в нём есть такая фишка, как список проверяемых объектов.
например, пишем в командной строке
Vba32w.exe @list,
а файл list составляем следующим образом
---------------------------------------
/fc /ha
C:\Windows\
/af /ar /ha
C:\P2P\
--------------------------------
т.е. перед каждым объявленным объектом для проверки можно менять ключи командной строки для этого объекта. очень удобно для всяких автоматических прогонов

Я имел в виду именно монитор, т.к. зачастую именно в архивах приходят "сюрпризы", а проверять их все время ручками лень ;). У меня недавно был инцидент: на записанном мною диске оказался вирус как раз в архиве, который я скачал из Сети, VBA сканер его увидел, но было поздно... :(

[QUOTE=Minos]
Я имел в виду именно монитор, т.к. зачастую именно в архивах приходят "сюрпризы", а проверять их все время ручками лень ;). У меня недавно был инцидент: на записанном мною диске оказался вирус как раз в архиве, который я скачал из Сети, VBA сканер его увидел, но было поздно... :(
[/QUOTE]


А кто мешает в той же нере настроить сканирование перед записью? Тем более перед тем как пишешь сам бог велел проверить сканером - потом ведь уже поздно будет :)

в алгоритмы для эвристики влита очередная порция троянов/бэкдоров, некоторые "new" переименованы и т.п.
просьба: у кого есть возможность, потестируйте консольный сканер, который собирает подозрительные по эвристике файлы. ссылка для скачивания (у кого нет сканера вообще) [url=http://www.anti-virus.by/download_files/vba32-console-scanner-beta-20041210.zip]http://www.anti-virus.by/download_files/vba32-console-scanner-beta-20041210.zip[/url], у кого есть могут обновиться при помощи батника update.bat (обновятся только базы). особенно интересуют программы, написанные на Дельфи. если есть программисты-Дельфятники, прогон по вашим компам соберёт урожай для усовершенствования эвристики.

как исключить из проверки несколько расширений файлов (в бета версии)? У меня в опцию /ext- не получается воткнуть больше одного параметра

[QUOTE=userr]
как исключить из проверки несколько расширений файлов (в бета версии)? У меня в опцию /ext- не получается воткнуть больше одного параметра
[/QUOTE]
Расширения в этом ключе разделяются точкой:
/ext-aaa.bbb.ccc

Решил я помучить ВБА на архивах с глубокой вложенностью каталогов. На одном архиве получилось так: в режиме /pm- ВБА отработал молча, но не стал проверять большую часть файлов в архиве. В режиме /pm+ ВБА проверил почти все, но иногда писал, например:
1wp10003r.zip:<ZIP>\SiebelBOPortlet41.war:<ZIP>\WEB-INF\lib\commons-collections.jar:<ZIP>\org\apache\commons\collections\BeanMap$4.class : невозможно открыть для чтения
Внимательное сравнение с логом Дрвеб показало, что когда ВБА спотыкался на каком-то файле в данном каталоге архива, оставшиеся файлы этого каталога просто пропускаются (по крайней мере не попадают в лог).
Дрвеб отработал архив без проблем.
И еще - почему ВБА пишет, что обрабатывались "Почтовые сообщения" ?? :)
==================
Режимы работы программы:
/r+vba32.rpt /ha=2 /rw /pm+ /af+ /ar+ /qu+ /ok+ /ml+

1wp10003r.zip:
Каталогов 0 Файлов в архивах: Файлов на дисках:
Архивов: - всего : 4466 - всего : 1
- обработано : 90 - обработано : 4460 - обработано : 1
- содержат вирусы : 0 - инфицированных: 0 - инфицированных: 0
- удалено : 0 - подозрительных: 0 - подозрительных: 0
- обезврежено : 0
Почтовых сообщений: Присоединенных файлов
- обработано : 4461 - всего : 0
- содержат вирусы : 0 - обработано : 0
- подозрительных : 0 - инфицированных: 0
- удалено : 0
===================================================
Режимы работы программы:
/r+vba32.rpt /ha=2 /rw /af+ /ar+ /qu+ /ok+ /ml+

1wp10003r.zip:
Каталогов : 0 Файлов в архивах: Файлов на дисках:
Архивов: - всего : 625 - всего : 1
- обработано : 20 - обработано : 625 - обработано : 1
- содержат вирусы: 0 - инфицированных: 0 инфицированных: 0
- удалено : 0 - подозрительных: 0 - подозрительных: 0

[QUOTE=userr]
Решил я помучить ВБА на архивах с глубокой вложенностью каталогов. На одном архиве получилось так: в режиме /pm- ВБА отработал молча, но не стал проверять большую часть файлов в архиве. В режиме /pm+ ВБА проверил почти все, но иногда писал, например:
1wp10003r.zip:<ZIP>\SiebelBOPortlet41.war:<ZIP>\WEB-INF\lib\commons-collections.jar:<ZIP>\org\apache\commons\collections\BeanMap$4.class : невозможно открыть для чтения
Внимательное сравнение с логом Дрвеб показало, что когда ВБА спотыкался на каком-то файле в данном каталоге архива, оставшиеся файлы этого каталога просто пропускаются (по крайней мере не попадают в лог).
Дрвеб отработал архив без проблем.
[/QUOTE]
Первым делом стоит посмотреть, достаточно ли места во временном каталоге для временных файлов, которые создаются при распаковке архивов. Если места недостаточно, могут появляться такие сообщения об ошибках (невозможно открыть для чтения).

[quote]
И еще - почему ВБА пишет, что обрабатывались "Почтовые сообщения" ?? :)
[/quote]
Это из-за /pm+ режима. В данном режиме программа игнорирует формат файлов и пытается проверить их всеми доступными методами. Соответственно, часть файлов ей показались немного похожими на почтовые сообщения, что и было отражено в отчете.

Чтобы разобраться со всем этим, пожалуйста запустите сканер на проверку этого архива с ведением отчета и ключем /ok (информация о всех файлах в отчете), а также без /pm режима (его вообще использовать не рекомендуется). Пришлите этот файл отчета нам для анализа, а также отчет созданный DrWeb. Также было бы интересно посмотреть на тот файл, на котором Vba32 спотыкается, возможно именно в нем все дело. Еще проверьте пожалуйста, не появился ли файл vba32err.dmp в каталоге Vba32. Все эти результаты пришлите пожалуйста на [email][email protected][/email], будем разбираться и попробуем решить проблему.

Похоже у вас RTF файлы при проверке открываются на запись. :(
Во всяком слючае SpiderGuard от DrWeb их тоже проверяет, а в оптимальном режиме файлы, открываемые на чтение, не проверяются.

22-12-2004 16:47:51 C:\Distr\Delphi\DELPHI5\Runimage\Delphi50\Demos\Richedit\overview.rtf - Ok

Никто другой, кроме VBA сканера, в этот момент обратиться к файлу не мог.

в окне дипетчера кнопка сканера неактивна; так и должно быть или я нарыл баг?

[QUOTE=maXmo]
в окне дипетчера кнопка сканера неактивна; так и должно быть или я нарыл баг?
[/QUOTE]
В случае, если Комплекс корректно проинсталирован и полностью загружен такой ситуации возникать не должно. Если возникает, то опишите, пожалуйста, подробнее.... Описанную Вами картину можно наблюдать в случае, если Диспетчер еще не полностью загружен (не закончена проверка процессов, загрузчиков...), а Вы через иконку вызываете настройки Диспетчера.

[QUOTE=HEKTO]
Похоже у вас RTF файлы при проверке открываются на запись. :(
Во всяком слючае SpiderGuard от DrWeb их тоже проверяет, а в оптимальном режиме файлы, открываемые на чтение, не проверяются.

22-12-2004 16:47:51 C:\Distr\Delphi\DELPHI5\Runimage\Delphi50\Demos\Richedit\overview.rtf - Ok

Никто другой, кроме VBA сканера, в этот момент обратиться к файлу не мог.
[/QUOTE]

Да, большое спасибо. В ближайшей бете это будет изменено. При использовании только одного антивируса это не должно влиять на защитные функции Комплекса. В Вашем случае это действительно может замедлять проверку.

А подписка бета-тестера будет автоматически продлеваться, или надо новую оформлять?

Положил хитрый архив, про который я писал в письме #96, на [url]http://webfile.ru/135893[/url]
пароль "абв". Архив rar распаковать, достать zip и на него уже натравить антивирус.

[QUOTE=maXmo]
А подписка бета-тестера будет автоматически продлеваться, или надо новую оформлять?
[/QUOTE]
список тех, с кем общаемся, постоянно ведётся. им продлённый ключ будет выслан

[QUOTE=maXmo]
А подписка бета-тестера будет автоматически продлеваться, или надо новую оформлять?
[/QUOTE]
ещё есть идея добавить ключевой файл прямо в комплектацию консольной версии. кто пользуется консолькой, всегда будут иметь свежий ключ

[QUOTE=Dr]
ещё есть идея добавить ключевой файл прямо в комплектацию консольной версии. кто пользуется консолькой, всегда будут иметь свежий ключ
[/QUOTE]
Логично, и можно ограничить его действие, скажем, двумя неделями, а свежий ключик выкладывать с новыми тестовыми сигнатурами и обновленными модулями. и эффективность тестирования выше и о старых багах рапортовать не будут ;).

[QUOTE=Dr]
ещё есть идея добавить ключевой файл прямо в комплектацию консольной версии. кто пользуется консолькой, всегда будут иметь свежий ключ
[/QUOTE]
свежий ключевой файл включён в комплектацию консоли, кто не пользует консоль, может скачать здесь [url]http://www.anti-virus.by/beta/update/vba32.key[/url]

С наступающим Новым годом! :)

Поздравляю всех с Рождеством!
Спасибо авторам ВБА за ключик. :)
А комментарии по работе ВБА с архивами будут?

[QUOTE=userr]
Поздравляю всех с Рождеством!
Спасибо авторам ВБА за ключик. :)
А комментарии по работе ВБА с архивами будут?
[/QUOTE]
спасибо за поздравление, очень приятно!
разработчики, которые смотрели архив, до понедельника отдыхают. ответ будет чуть позже.

[QUOTE=userr]
А комментарии по работе ВБА с архивами будут?
[/QUOTE]
а вот и ответ приплыл:
"В общем, там какой-то глюк в алгоритме на распаковке одно файла, а поскольку формат архива немного хитрый (нет информации о запакованном размере файла), то и обработка всего архива на этом прекращается. В чем причина этого глюка пока не разобрался"

[QUOTE=Dr]
а вот и ответ приплыл:
"В общем, там какой-то глюк в алгоритме на распаковке одно файла, а поскольку формат архива немного хитрый (нет информации о запакованном размере файла), то и обработка всего архива на этом прекращается. В чем причина этого глюка пока не разобрался"
[/QUOTE]
Вопросов два (хотя для разработчиков, возможно, это одна проблема):
1. vba * /pm+ В РЕДКИХ случаях на архивах спотыкается, при этом пишет в лог "невозможно открыть для чтения"
2. vba * /pm- НА НЕКОТОРОМ (большем, чем в п.1) числе архивов не проверяет значительную часть файлов архива (не пишет в лог), при этом мирно завершается штатным образом.

А теперь комплименты vba за работу с архивами. :)
vba понимает ZIP, запакованный compression method 9 - Deflate64, достаточно ныне распространенный. Кстати, такие zip не открывает Drweb, за что ему большой минус.
Более того, vba понимает "ZIP compression method 12 - Bzip2" как его делает 7-zip - при этом vba является ЕДИНСТВЕННОЙ из доступных мне программ, (кроме самого 7-zip) работающей с такими zip-ами. Вы сотрудничаете с Павловым, что ли? :)
Вообще, с zip творится беспредел. Например, PowerZip 7.04 делает zip c compression method 12, но "для внутреннего пользования" - ни одна другая из доступных мне программ эти zip не открывает, и с 7-zip они не совместимы :(

Размер ежедневных обновлений (файл daily.udb) больше 300 килобайт. По-моему, многовато. :(

[quote author=Участковый link=board=18;threadid=144;start=100#msg5517 date=1106756849]
Размер ежедневных обновлений (файл daily.udb) больше 300 килобайт. По-моему, многовато. :(
[/quote]
Наверное много много новых зверьков добавили :)

[QUOTE=Geser]
Наверное много много новых зверьков добавили :)
[/QUOTE]
Не только сегодня, а последние пару недель, не меньше. Даже KAV с расширенными базами обновляется, в среднем, быстрее…

[quote author=Участковый link=board=18;threadid=144;start=100#msg5525 date=1106763392]
Не только сегодня, а последние пару недель, не меньше. Даже KAV с расширенными базами обновляется, в среднем, быстрее…
[/quote]
Объемы скачиваемых данных при обновлении официальной версии намного меньше. Для бета версии довольно большой объем в апдейтах занимает информация о дополнительных записях эвристики (кстати, они в счетчике вирусов не учитываются, если так подумать, наверное даже зря). Если это сильно напрягает, пропробуем к следующей версии что-нибудь сделать для более быстрого обновления :)

PS. А новых зверьков в последнее время действительно очень много.

Наверное, нужно просто обновления upNNNNNN.udb выпускать почаще (раз в неделю, например). Тогда всё должно быть OK.

доработан модуль обновления vbaupdx.exe. вот справка об использовании, вроде всё кратко и понятно.

Usage: vbaupdx.exe <update path> [options]

options: /p=<address:port> - Proxy server address and port
/r=[file] - Saving report in file
/r+[file] - Append report to file
/u=<username:password> - Password for proxy authentication
/no-ntlm - Disable NTLM proxy support

"обновлённый" архив консольной бета-версии по адресу [url]http://www.anti-virus.by/download_files/vba32-console-scanner-beta-20050128.zip[/url] (4056 К), у кого пакет уже установлен можно как всегда обновиться батником update.bat.

Вот тут подумалось... Если кто-то новенький случайно заглянет в данную ветку форума и прочитает ее последнюю часть, может решить, что антивирус VBA - это только консольный сканер, поскольку именно он и обсуждается тут в последнее время :)

На самом у нас есть довольно широкий спектр решений для антивирусной защиты рабочих станций и серверов. Кому интересно, может заглянуть на наш сайт и [url=http://www.anti-virus.by/download/products/]почитать про все это подробнее[/url].

То, что мы предлагаем попробовать именно консольный сканер, не случайно (да и появился он, если проследить историю этой ветки, именно по просьбам пользователей). Дело в том, что консольный сканер не требует инсталляции, ни с чем не конфликтует, может без проблем работать совместно с уже установленным другим антивирусом, без проблем обновляется запуском одного bat-файла, легко запускается на проверку всех дисков запуском другого bat-файла. Консольный сканер позволяет оценить работу антивирусного движка, быстродействие проверки, эвристический анализатор, поддерживаемые форматы архивов и почтовых баз, лечение вирусов и других вредоносных программ на дисках и в почтовых базах, проверку памяти и все остальное, связанное именно с поиском и обезвреживанием вирусов. Единственная вещь, котороя есть в полной версии комплекса (правда пока только в бета-версии), но отсутствует в консольном сканере, это детектирование в системе активных rootkit&#039;ов. Но мы планируем к следующему серьезному обновлению бета-версии консольного сканера добавить туда и эту фичу.

Если есть желание использовать антивирус Vba32 в качестве основного антивируса, можно установить полную версию программы, которая включает антивирусный монитор (совершенно необходимая вещь для антивирусной защиты), gui-сканер, а также скрипт-фильтр, pop3-фильтр, плагин для почтового клиента the bat, расширение контекстного меню explorer&#039;а и другие полезные и нужные вещи, если я их здесь забыл перечислить :)

[quote]доработан модуль обновления vbaupdx.exe. вот справка об использовании, вроде всё кратко и понятно.

Usage: vbaupdx.exe <update path> [options]

options: /p=<address:port> - Proxy server address and port
/r=[file] - Saving report in file
/r+[file] - Append report to file
/u=<username:password> - Password for proxy authentication
/no-ntlm - Disable NTLM proxy support[/quote]

Не подскажите, а ошибка связанная с обновлением с использованием NTLM тут исправлена или еще нет? Просто так качать не очень хочется.