Бета-тестирование антивируса "ВирусБлокАда"

[QUOTE=kvit]
Не подскажите, а ошибка связанная с обновлением с использованием NTLM тут исправлена или еще нет? Просто так качать не очень хочется.
[/QUOTE]
Так об этом и речь, добавлена поддержка авторизации на прокси, в том числе и NTLM. Для указания логина/пароля используется ключ [b]/u=[/b], причем если задать просто '/u=', т.е. без параметров, то программа сама спросит имя пользователя и пароль, если задать '/u=имя_пользователя', то программа попросит ввести только пароль. Если указать полностью '/u=имя_пользователя:пароль', то программа ничего спрашивать не будет, но хранить пароль в батнике не очень хорошо в плане безопасности.

В любом случае, если будут какие проблемы, пиши, постараемся исправить. Ты пока единственный, кто просил поддержку NTLM прокси :)

На обновление выложена новая бета-версия. Теперь сканер работает заметно быстрее в режиме максимальной эвристики (точнее, теперь эвристика не так сильно замедляет работу), поддерживается больше упаковщиков, в консольный сканер добавлено детектирование в памяти активных rootkit'ов, со следующего обновления размер скачиваемых данных при обновлении должен быть намного меньше (теперь для daily.udb используются обновление с помощью бинарных патчей как и для исполняемых модулей). В комплекс с графическим интерфейсом включена поддержка Security Center Windows XP SP2 (теперь винда признает нас за антивирус :) ).

[QUOTE=serge]
в консольный сканер добавлено детектирование в памяти активных rootkit'ов
[/QUOTE]
Эвристика или по сигнатурам?
Кстати, как на счет защиты реестра. Не планируется?

[QUOTE=Geser]
Эвристика или по сигнатурам?
[/QUOTE]
алгоритмы по обнаружению потенциальных руткитов, без сигнатур

[QUOTE=Geser]
Кстати, как на счет защиты реестра. Не планируется?
[/QUOTE]
планируется, чуть позже. планов громадьё, планируем последовательность

[QUOTE=Dr]
алгоритмы по обнаружению потенциальных руткитов, без сигнатур
[/QUOTE]
Вот это класс :)

[QUOTE=Geser]
Вот это класс :)
[/QUOTE]
Если честно, все пока довольно примитивно, просто используется функция обнаружения наличия руткита, взятая из программы [url=http://virusinfo.info/index.php?board=25;action=display;threadid=87]antikit[/url], если еще кто помнит такую :) Антивирус просто детектирует перехват API-функций и выдает предупреждение об этом (GUI версия комплекса еще и предлагает пользователю исправить перехваченные функции для того, чтобы можно было искать "спрятанные" файлы), вся теория очень хорошо описана Олегом. Кстати, AVZ детектирует руткиты на данный момент надежнее - контролирует больше функций из различных библиотек, но и ложных срабатываний дает больше.

Данный механизм уже довольно давно используется в бета версии GUI-сканера, но до сих пор мы не получили вообще ни одного отзыва от пользователей. В общем, причин может быть много:
1. У пользователей руткитов нет
2. В алгоритме детектирования есть ошибки и он просто "не видит" руткитов
3. GUI-версию антивируса просто никто не использует

Исходя из предположения, что имеет место быть пункт номер 3, было и принято решение добавить этот код в консольный сканер.

[QUOTE=serge]
Исходя из предположения, что имеет место быть пункт номер 3, было и принято решение добавить этот код в консольный сканер.
[/QUOTE]
GUI версию использовали бы, если бы она была бесплатной и работала без инсталяции. Сегодня таких продуктов просто нету, думаю такая вещь пользовалась бы большой популярностью.

Ребят, а как насчет шифрования файла лицензии после предъявления его антивирусу (имеется в виду хранение ключа на диске в зашифрованном виде, причем шифровать с применение уникального ключика, генерирующегося при инсталляции), а то трудно закрыть к нему доступ для пользователей особенно под Windows 9X. А любопытных море, знаю по DrWeb, ключики могут ненароком "уплыть".

Поздравляю любимый антивирус с 50000 отметкой!!! Полдороги до 100000 записей пройдено, так держать. Берегись KAV!!!

консольный антивирусный сканер "ВирусБлокАда" для Linux-систем можно взять по адресу [url]http://www.anti-virus.by/download_files/vba32cl-3.10.3-20050207-beta.tar.gz[/url]

у кого есть возможность, потестируйте плиз и выскажите свои замечания/пожелания

антивирусный ICAP-сервер можно взять по адресу [url]http://www.ant-virus.by/download_files/vbaicap20050204.tbz2[/url]

освежили консольную версию для Windows-систем. архив по адресу [url]http://www.anti-virus.by/download_files/vba32-console-scanner-beta-20050208.zip[/url]

VBA32 пропускает уже давно известные вирусы.
К примеру: попытайтесь скачать с _http://www.crack.am любой файл и все поймёте.
Да и из моей коллекции с максимальными настройками видит не более ~ 60% malware. Даже хваленый эвристик не помогает.
Но в любом случаи удачи проекту.

Так подарите им вашу коллекцию.

[QUOTE=Andrey]
Да и из моей коллекции с максимальными настройками видит не более ~ 60% malware. Даже хваленый эвристик не помогает.
Но в любом случаи удачи проекту.
[/QUOTE]
Ну так помоги людям. Думаю Вам будет чем обменяться ;)

[QUOTE=pig]
Так подарите им вашу коллекцию.
[/QUOTE]
О, pig меня опередил :)
И с Олегом думаю будет чем поменяться. Ему тоже пригодится :)
А в обмен мы поделимся тм что на форуме собираем.

А смысл?
Все равно быстро устаревает.
Каспер 90% детектит.
А остальные х...ен поймешь: одни конторы считают вирусами другие нет.

Антивирусы лечат последствия, а не причину.

Хотелось бы узнать у разработчиков, насколько эффективность эвристика в финальной версии (той, что за деньги продаётся) отличается от беты?

[quote author=Участковый link=board=18;threadid=144;start=120#msg6473 date=1107883600]
Хотелось бы узнать у разработчиков, насколько эффективность эвристика в финальной версии (той, что за деньги продаётся) отличается от беты?
[/quote]
пока она ниже, чем в бете. релиз поставляется корпоративным клиентам, где зачастую за компами сидят тётушки-бухгалтера. чтобы их не пугать, релиз детектит только самые стабильные группы, которые встречаются в "живой" природе. в бете у нас слегка "развязаны руки", можем экспериментировать. сейчас постепенно начнём перетаскивать записи из беты в релиз.

[QUOTE=Dr]
консольный антивирусный сканер "ВирусБлокАда" для Linux-систем можно взять по адресу [url]http://www.anti-virus.by/download_files/vba32cl-3.10.3-20050207-beta.tar.gz[/url]

у кого есть возможность, потестируйте плиз и выскажите свои замечания/пожелания
[/QUOTE]

А для FreeBSD? (и ICAP-сервер тоже)
Или они итак для неё подходят?
ICAP-сервер и под Windows не помешал бы...

[QUOTE=dmi]
А для FreeBSD? (и ICAP-сервер тоже)
Или они итак для неё подходят?
ICAP-сервер и под Windows не помешал бы...
[/QUOTE]
консольный сканер для FreeBSD есть (5.х, 4.х). сейчас скрипт установки не проверяет, в какой системе работает, и в FreeBSD не создает пользователя/группу для консольного сканера. если надо, сделать можно, это быстро. если предпочитаете не использовать такую автоматизацию, можем выложить архив с консольным сканером.

ICAP-сервер для FreeBSD проходит внутреннее тестирование, когда пройдет -- выложим и его. насчет ICAP-сервера под Win -- с каким ICAP-клиентом вы хотите его использовать?

лучше подождать, и получить законченный (хотя для беты это вызывает улыбку).
ICAP-клиент буду использовать прокси-сервер сквид(БСД) или Траффик Инспектор в будущем обещали(Win), в сквидНТ тож может встроят клиента. Сужу по другим антивирусам (Семантек, Вэб, трендмикро) у них на никс и на вин платформы (я понимаю что не всё сразу). Да и универсальнее, можно со шлюза будет его убрать и поставить в локалке где-нибудь.

[QUOTE=Dr]
освежили консольную версию для Windows-систем. архив по адресу [url]http://www.anti-virus.by/download_files/vba32-console-scanner-beta-20050208.zip[/url]
[/QUOTE]
1. ПРавильно я понимаю, что тем, у кого уже стоит консольная версия для Windows-систем, достаточно штатно обновиться?
2. vba не проверяет MS sfx cab архивы.

[QUOTE=userr]
1. ПРавильно я понимаю, что тем, у кого уже стоит консольная версия для Windows-систем, достаточно штатно обновиться?
[/QUOTE]
да

[QUOTE=userr]
2. vba не проверяет MS sfx cab архивы.
[/QUOTE]
проверяет, но есть странные кабы, которые программа не признаёт. выйдет на связь serge, он больше на эту тему расскажет. (в принципе в паранойе /pm программа должна такие архивы видеть)

[QUOTE=Dr]
да проверяет, но есть странные кабы, которые программа не признаёт. выйдет на связь serge, он больше на эту тему расскажет. (в принципе в паранойе /pm программа должна такие архивы видеть)
[/QUOTE]
Я имею ввиду sfx cab, сделанные самим Microsoft. У меня лежит 89 патчей к разным продуктам Microsoft в таком формате. Ни один из этих файлов vba не признает за архив. А режим /pm+ у меня включен всегда.
Total commander с этими архивами работает без проблем.

А что это у нас ВБА не обновляется: ни консолька, ни боевая Гуишная версия? Уже дня 2 как не работает. Что случилось?

[QUOTE=Iceman]
А что это у нас ВБА не обновляется: ни консолька, ни боевая Гуишная версия? Уже дня 2 как не работает. Что случилось?
[/QUOTE]
Консоль сейчас обновил, все работает.

[QUOTE=Iceman]
А что это у нас ВБА не обновляется: ни консолька, ни боевая Гуишная версия? Уже дня 2 как не работает. Что случилось?
[/QUOTE]
хостер без предупреждения решил нас перенести на другой айпишник. пока не обновились DNS, были проблемы с обновлением. приносим всем свои извинения... :-\

[QUOTE=Alexey]
Консоль сейчас обновил, все работает.

[/QUOTE]

Да, буквально после написания сообщения попробовал - заработало.

доступен фтп-сервер [url]ftp://anti-virus.by[/url]. там есть область /upload, куда можно закачивать файлики для нас -- подозрительные, новые вирусы и т.п. будем благодарны за подарки ::)

Онлайн проиверку глючит. Загружаю файл, и ни ответа ни привета. Возврат на тот же экран

Может стоит разделить Adware и Riskware, включать их в проверку раздельно, а то забадался созерцать в логе примочки к асемблеровским компиляторам, я же их сам поставил :(.

[QUOTE=Minos]
Может стоит разделить Adware и Riskware, включать их в проверку раздельно, а то забадался созерцать в логе примочки к асемблеровским компиляторам, я же их сам поставил :(.
[/QUOTE]
лучше вышли лог с названиями, может быть будет проще выбросить их из базы

[QUOTE=Geser]
Онлайн проиверку глючит. Загружаю файл, и ни ответа ни привета. Возврат на тот же экран
[/QUOTE]
спасибо за замечание, хостер взялся делать большие переделки, а они, как известно, до добра не доводят ;)

сейчас для беты будет выложена новая версия эвристики, в которой 2.500 групп. в первые 2-3 дня (пока не подкрутим), возможны ложные срабатывания. всем, кто возьмётся протестировать, заранее огромное спасибо. файлы, на которые прога выругается, можно заливать на [url]ftp://anti-virus.by/upload/[/url]

[QUOTE=Dr]
доступен фтп-сервер [url]ftp://anti-virus.by[/url]. там есть область /upload, куда можно закачивать файлики для нас -- подозрительные, новые вирусы и т.п. будем благодарны за подарки ::)
[/QUOTE]
Не работает докачка файла на указанном ftp. При попытке докачать файл после разрыва связи выдает сообщение, что доступ запрещен. Удалить недокаченный файл также невозможно.

P.S. Используемый клиент - FileZilla 2.2.9

[QUOTE=Minos]
Не работает докачка файла на указанном ftp. При попытке докачать файл после разрыва связи выдает сообщение, что доступ запрещен. Удалить недокаченный файл также невозможно.

P.S. Используемый клиент - FileZilla 2.2.9
[/QUOTE]
так админы хостера раздали права. если бы докачка была, можно было бы перезаписывать чужие файлы или дописывать их, что (наверное) неправильно

[QUOTE=Dr]
так админы хостера раздали права. если бы докачка была, можно было бы перезаписывать чужие файлы или дописывать их, что (наверное) неправильно
[/QUOTE]
Это понятно, но надо что-то придумать, а то возникают проблемы с пересылкой большими порциями различных "вкусностей" ;)

[QUOTE=Dr]
сейчас для беты будет выложена новая версия эвристики, в которой 2.500 групп. в первые 2-3 дня (пока не подкрутим), возможны ложные срабатывания. всем, кто возьмётся протестировать, заранее огромное спасибо. файлы, на которые прога выругается, можно заливать на [url]ftp://anti-virus.by/upload/[/url]
[/QUOTE]
сейчас выложим скорректированную версию эвристики (после получения первой партии "ложняков")

[QUOTE=Minos]Это понятно, но надо что-то придумать, а то возникают проблемы с пересылкой большими порциями различных "вкусностей" ;)[/QUOTE]практически не решаемо. Есть один вариант: для самых активных закачивателей создать по аккаунту и раздать им нужные права.