Бета-тестирование антивируса "ВирусБлокАда" 2

[QUOTE=Aleksandra;376331]
Есть предложение добавить в Live CD возможность копирования загрузочных секторов жесткого диска. Идея заключается в том, чтобы иметь возможность посмотреть его под микроскопом на предмет наличия буткита. По моему, это даже можно сделать командой dd. Но я не очень сильна в этом. Как Вам такая идея?[/QUOTE]

Идея имеет право на жизнь.
Сейчас готовится новая бета Live CD с обновленным загрузчиком и другими изменениями. Обсудим необходимость и возможность вашего предложения. Спасибо!

[quote=sergey ulasen;376382]Идея имеет право на жизнь.
Сейчас готовится новая бета Live CD с обновленным загрузчиком и другими изменениями. Обсудим необходимость и возможность вашего предложения.[/quote]

Спасибо. Как будет готова новая версия, то мы можем вернуться к этому разговору. Идею еще можно развить.

Уважаемые бета-тестеры!
Пересобраны инсталяги комплекса.
[URL="ftp://anti-virus.by/beta"]Качаем[/URL], не стесняемся :)

Сегодня в бете:

* Усовершенствован метод детектирования вредоносных программ на AutoIT-скриптах

* Улучшена эвристика на вредоносные INF-файлы

* Улучшена работа эмулятора ОС

* Улучшена работа эмулятора процессора

* Улучшен алгоритм детектирования mailbomb

[QUOTE]Усовершенствован метод детектирования вредоносных программ на AutoIT-скриптах[/QUOTE]
а каким образом?

[QUOTE=priv8v;378811]а каким образом?[/QUOTE]
Секрет фирмы ;)

[quote=Groft;378851]Секрет фирмы [/quote]на самом деле никакого секрета тут нет.
по теме:
обавилось три метода детектирования вредоносных AutoIt-скриптов:
Trojan.Autoit.FINT
Trojan.Autoit.ITN
Trojan.Autoit.F

[QUOTE=priv8v;378811]а каким образом?[/QUOTE]
Если Вы имели ввиду это:
[QUOTE=vile;379022]
обавилось три метода детектирования вредоносных AutoIt-скриптов:
Trojan.Autoit.FINT
Trojan.Autoit.ITN
Trojan.Autoit.F[/QUOTE]
то Vile Вам ответил :)

не совсем это имел в виду.
допустим - качаю я аутоит, пишу в нем аналог пинча (вынимает пассы из файлов, пишет все в файл и отправляет все, допустим, на почту). Все это дело компилим, жмем с помощью UPX и наш троянчик будет весить в районе 250 кб.
Теперь это дело даем потестить тому у кого старая версия ВБА и тому у кого новая - вот новая версия теперь лучше борется с вредоносами на аутоит скриптах.
Вопрос - каким образом?..
Декомпилирует и ищет подозрительное в коде?..

[quote=priv8v;379188]не совсем это имел в виду.
допустим - качаю я аутоит, пишу в нем аналог пинча (вынимает пассы из файлов, пишет все в файл и отправляет все, допустим, на почту). Все это дело компилим, жмем с помощью UPX и наш троянчик будет весить в районе 250 кб.
Теперь это дело даем потестить тому у кого старая версия ВБА и тому у кого новая - вот новая версия теперь лучше борется с вредоносами на аутоит скриптах.
Вопрос - каким образом?..
Декомпилирует и ищет подозрительное в коде?..[/quote]

Только распространять не вздумайте - уголовщина :]

Детектированием AutoIT у нас занимается сразу несколько частей антивирусного ядра: эмулятор PE и некоторое подобие декомпилятора скриптов.

Эмулятор PE был доработан до более полной распаковки (возможно обфусцированного) скрипта AutoIT (с UPX у нас проблем нет :]).

Декомпилятор также был улучшен, но уже в сторону более точного определения сути обфуцированного скрипта (закрыты некоторые ложные срабатывания, добавлены вышеперечисленные классы вредоносов на AutoIT).

Так что - да, пребета от релиза несколько отличается лучшим (как минимум мы к этому стремились :]) детектированием AutoIT.

*** 06.04.2009

* В Монитор добавлена настройка "Блокировать автозапуск USB-устройств"


При включённом экспертном анализе активирует блокировку автоматического запуска устройств, подключаемых через USB-порт, что исключает заражение компьютера при использовании, например, флэш-диска. Также предотвращается выполнение действий, заданных в файле autorun.inf, когда он помещён в корневой каталог локального логического диска.

*** 15.04.2009

+ В модуль Активации добавлена страна Иран.

* Исправлены ошибки в работе Диспетчера.

* Исправлены ошибки в работе модуля Активации.

Счастливым обладателям халявного гостя у белорусского провайдера byfly:

С сегодняшнего дню beltelecom зеркалит наши апдейты раз в 6 часов с [url]www.anti-virus.by[/url].

release брать тут:
[url]http://ftp.mgts.by/pub/vba/update[/url]
beta тут:
[url]http://ftp.mgts.by/pub/vba/beta/update[/url]

Тестим, жалуемся ;)

После отключения защиты проблемы пока не наблюдается. То что сказали сделала. Вот скрин:

Скажите что мне еще нужно сделать?

[size="1"][color="#666686"][B][I]Добавлено через 30 минут[/I][/B][/color][/size]

Может лог работы программы нужно сделать или еще протестировать железо? Но с компьютером у меня вроде все в порядке. На нем несколько ОС и сбоев в работе не наблюдала.

[QUOTE=Aleksandra;392820]Скажите что мне еще нужно сделать?[/QUOTE]

Понятно. Если это действительно дело в самозащите, тогда возможные шаги напишу в личку.

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 58 минут[/I][/B][/color][/size]

Выпускаем сегодня бету со следующими исправлениями/добавлениями:

* Улучшен механизм проверки автозапускаемых файлов в ОС Windows

* Улучшен механизм "лечения" реестра

* Улучшена работа эмулятора ОС

* Исправлены ошибки в функциональности самозащиты комплекса

В связи с изменениями в работе эмулятора возможны ложные срабатывания, о которых просим вас нас проинформировать.

Также полностью заменили существовавший ранее механизм "лечения" реестра, в будущем будем его еще наращивать. Потому если замечены какие-то проблемы с этим, также сообщайте.

После предыдущего апдейта беты стали поступать жалобы на то, что при старте антивируса происходит зависание системы на некоторое время. Скорее всего это связано каким-то образом с измененным алгоритмом проверки автозагрузки, который был выпущен в прошлый раз. Потому всем, кто столкнулся с данной проблемой, рекомендую отключить проверку автозапускаемых файлов в Диспетчере. Как только мы разберемся с данной проблемой, сразу вас уведомим.

Следующий апдейт беты включает:

* Улучшена эвристика на вредоносные программы на AutoIT-скриптах

* Улучшено детектирование вируса Virus.Win32.Virut

* Улучшена работа эмулятора процессора

* Улучшена эвристика на вредоносные INF-файлы

* Увеличена общая стабильность работы АВ-ядра

Почему при инсталяции АВАСТ воспринимает VBAgent.exe как вирус Win32:Rootkit-gen. Это нормально? Так же и при обновлении.

[QUOTE=madison;396853]Почему при инсталяции АВАСТ воспринимает VBAgent.exe как вирус Win32:Rootkit-gen.[/QUOTE]
Вы знаете... лучше спросите у них самих ;)
[QUOTE] Это нормально?[/QUOTE]
Нет, это ненормально. :)
[QUOTE] Так же и при обновлении.[/QUOTE]
В смысле?

+ Добавлена поддержка Windows 7 в функциональность самозащиты комплекса

* Улучшена функциональность самозащиты комплекса