VBA32 vs DrWeb

[QUOTE=Гость]Если бы да кабы, так в саду б росли бобы... (с)

У меня вот лично нету антивируса на десктопе. Нету файрволла. И не жалуюсь.
А ещё есть такая поговорка про длинноногих (предположительно девушек 8)): если ноги от ушей, то руки из з@дницы.
Она к сожалению подходит к 95% пользователей ПК. Это я к тому, что без минимальной грамотности какой комплекс не ставь, всё равно эффект будет стремиться к нулю.

Так вот же, давайте тогда формулировать недостатки антивирусов и DrWeb в частности? А не просто флейм разводить.

По вопросам эвристики - ложные срабатывания тоже мало кому нужны.
Из вопросов недостатков - я закончил.
Детектирование заразы и добавление онной у DrWeb, может и не на 1-м месте, но уж точно не на последнем.
Мне (_лично_) идеология DrWeb нравиться, и сколько раз я не пытался поставить касперского на линуксовый сервер, так процесс до конца и не дошёл... Ни разу.[/QUOTE]

Если бы было 95% гениев, или хотя бы "подкованных" - мы не вели бы эти милые беседы :-)). Т.к. все эти антивирусы, файрволы и т.д были бы не нужны... Что касается длинноногих ;-))) - видимо Вам просто не везёт, бывает.... И последнее. ввиду появления продуктов равнозначных в классе Доктора, Вебовцам будет тяжело ещё долго, особенно с проводимой политикой... Например, _http://virusinfo.info/showthread.php?t=3244&page=5&pp=20 (топик #100). Сделали продукт на базе 4,32 - и неплохой продукт. Я готов был, скорее его купить.

[QUOTE=Гость]Если бы да кабы, так в саду б росли бобы... (с)

У меня вот лично нету антивируса на десктопе. Нету файрволла. И не жалуюсь.
А ещё есть такая поговорка про длинноногих (предположительно девушек 8)): если ноги от ушей, то руки из з@дницы.
Она к сожалению подходит к 95% пользователей ПК. Это я к тому, что без минимальной грамотности какой комплекс не ставь, всё равно эффект будет стремиться к нулю.

[/QUOTE]
Совершенно неверно. Простой пример. Посоверовал КАВ одному кадру с работы. Поставил он его на компьютер ребёнка и счастлив как слон. Раньше у него стоял там Трендмайкро и он каждые несколько месяцев винду переставлял т.к. ребёнок его лазит где попало и комп быстро забивался всякой трояно-адварной дрянью.
[QUOTE]По вопросам эвристики - ложные срабатывания тоже мало кому нужны.
[/QUOTE]Я предпочитаю чуствительный эвристик даже если есть некоторая доля ложных срабатываний. Некоторые мои знакомые того же мнения.
[QUOTE]сколько раз я не пытался поставить касперского на линуксовый сервер, так процесс до конца и не дошёл... Ни разу.[/QUOTE]Не знаю, про Линукс ничего сказать не могу.

Я в шоке...
[drweb.com #124265]
Создан: 31.08.05 23:57
Обработано: 01.09.05 00:07

>Вирус: Trojan.Funweb,Program.PopcapLoader.
>Trojan.Funweb,Program.PopcapLoader

[QUOTE=Гость (umask)]ммм...
ИМХО, мой выбор - DrWeb.
DrWeb for UNIX-servers.
[/QUOTE]
Брат ! :).

[QUOTE]
P.S. Всё хочу поставить два squid'а и icapd'ы от DrWeb'а и от VBA32.
Alexey. P. есть мысли?
И кстати, может кто ещё реализации icap видел? (clamAV не предлагать)[/QUOTE]
Не, есть еще webwasher, но они, имхо, давно это дело не двигают.
Хотя и начали раньше. А вебовцы сквид еще будут патчить на предмет нормальной работы icap, Антон обещал.
Меня и существующая реализация 100% устраивает, проблем нет, работает как часы.
Говорят, под большой нагрузкой бывают "замирания" прокси минут до 10-15, потом работает дальше. У меня нагрузка невелика, такого нет.
Вот и тест-лаб пока не отловил этот эффект.

А VBA свой icapd пока не продает, в прайсе нету вроде ?
У них очень хороши виндовые беты, а линуксовые, имхо, отстают. Хотя, честно говоря, сам не пробовал линуксовые пока, надо будет все же заняться этим.
ЗЫ: Чуть позже, сейчас на работе запарка, да и тестирование 4.33 время отнимает прилично.

Отправил в саппорт ВБА примерно сотню файлов с ложными срабатываниями...
Посмотрим, что ответят.
Склонен полагать, что 100% из "работы" эвристика - ложные срабатывания.
У DrWeb ни одного онного (ложного).
Уж простите меня, но эвристика и ложные срабатывания это немного разные, хоть и неразрывно связные вещи. Но не до такой степени, что одно перетекает в другое.

Затем, среди недостатков VBA я заметил отсутствие файлов-документации в бетах для Linux.
Например, ключи командной строки нормально не документированы (не говоря уже про русский файл-документации или его английский аналог, а уж поверьте, документация нужна - ох как она много решает. Чёткая, грамотная документация).
В icap-реализации от VBA я нашёл файл документации, который говорил какой squid нужно использовать и что ещё нужно использовать какой-то патч. Простите, а можно было подробнее рассказать, как настроить сквид, как нормально запустить демон icap? Или предполагаеться, что пользователь (администратор) сам должен до этого догадаться?
Самый лучший, imho, вариант - рассказать как получить работающую связку "от" и "до".
Читали документацию для *nix версий DrWeb? Вот-вот. После VBA там даже для меня всё безупречно.
А как с icap у ВБА не для squid'а? Какие ещё прокси поддерживаються?
Так и не понял я как работать с Вашим (к VBA) icap-демоном. Не знаю что запускать, а гадать не хочу. Как его конфигурировать тоже не совсем ясно, а что с карантином?
Почему vbacl ставиться в /opt, а vba-icapd ставиться в /usr/куда-то_там ?

В сканере коммандной строки VBA32 for linux я не могу сделать так, что бы все инфицированные файлы перемещались (я не о "чистой" инфекции, а про архивы и контейнеры. Ну не умеет сканер архивы и контейнеры с инфицированным контентом перемещать... :(( ) в заданный каталог.
Не могу заставить перемещаться и подозрительные файлы. Ну нету таких ключей или я слепой?
Это пока всё, что меня тронуло за последние часов 20 работы со сканером VBA32 for linux.

Прошу представителей VBA прокомментировать мои слова.
P.S. Без обид!

[QUOTE=umask]Отправил в саппорт ВБА примерно сотню файлов с ложными срабатываниями...
Посмотрим, что ответят.
Склонен полагать, что 100% из "работы" эвристика - ложные срабатывания.
У DrWeb ни одного онного (ложного).
Уж простите меня, но эвристика и ложные срабатывания это немного разные, хоть и неразрывно связные вещи. Но не до такой степени, что одно перетекает в другое.

Затем, среди недостатков VBA я заметил отсутствие файлов-документации в бетах для Linux.
Например, ключи командной строки нормально не документированы (не говоря уже про русский файл-документации или его английский аналог, а уж поверьте, документация нужна - ох как она много решает. Чёткая, грамотная документация).
В icap-реализации от VBA я нашёл файл документации, который говорил какой squid нужно использовать и что ещё нужно использовать какой-то патч. Простите, а можно было подробнее рассказать, как настроить сквид, как нормально запустить демон icap? Или предполагаеться, что пользователь (администратор) сам должен до этого догадаться?
Самый лучший, imho, вариант - рассказать как получить работающую связку "от" и "до".
Читали документацию для *nix версий DrWeb? Вот-вот. После VBA там даже для меня всё безупречно.
А как с icap у ВБА не для squid'а? Какие ещё прокси поддерживаються?
Так и не понял я как работать с Вашим (к VBA) icap-демоном. Не знаю что запускать, а гадать не хочу. Как его конфигурировать тоже не совсем ясно, а что с карантином?
Почему vbacl ставиться в /opt, а vba-icapd ставиться в /usr/куда-то_там ?

В сканере коммандной строки VBA32 for linux я не могу сделать так, что бы все инфицированные файлы перемещались (я не о "чистой" инфекции, а про архивы и контейнеры. Ну не умеет сканер архивы и контейнеры с инфицированным контентом перемещать... :(( ) в заданный каталог.
Не могу заставить перемещаться и подозрительные файлы. Ну нету таких ключей или я слепой?
Это пока всё, что меня тронуло за последние часов 20 работы со сканером VBA32 for linux.

Прошу представителей VBA прокомментировать мои слова.
P.S. Без обид![/QUOTE]
Начну с конца.
Консольный сканер не является основным продуктом, это по большей части технологический сканер, поэтому всех наворотов в нем нет. Если даже их реализовать, то командная строка станет слишком сложной. В современных антивирусах даже в графическом интерфейсе представить настройки так, чтобы в них можно было разобраться, достаточно сложно, хотя GUI на порядок нагляднее и понятнее, чем командная строка. К тому же пользователь, которому надо выполнять какие-то задачи при помощи консольного сканера, обычно в состоянии написать вспомогательный .BAT-файл/shell-скрипт, который выполнит все необходимые действия.

Что касается документации, то тут мы согласны, что в ней может быть отражено не все, что пользователи хотели бы там увидеть. Но это пользователи должны нам сказать, чего им не хватает, поэтому в этом вопросе мы надеемся на сотрудничество с вами.

Ну и про эвристик.
Во-первых, желательно приводить ключи, с которыми работала программа. В письме Вы их указали, приведу их здесь:

-heuristics_test+ -af -ha=3 -rw -m=3 -pm+ -ar+ -ml+ -bc+

Ключ -heuristics_test - это НЕДОКУМЕНТИРОВАННЫЙ ключ для ТЕСТИРОВАНИЯ эвристика. При его включении отбираются файлы, которые интересны НАМ, поэтому сообщения о подозрениях на "new.signature..." нельзя называть ложными срабатываниями эвристика. За файлы, конечно, спасибо, они помогут нам в дальнейшем улучшении эвристика.

Ключ -ha=3 - это избыточный уровень эвристика, на котором по определению возможны ложные срабатывания (хотя значительно меньше, чем при использовании ключа -heuristics_test)

Ключ -pm, избыточный режим, также не рекомендуется для "ежедневного употребления", поскольку приводит к значительному замедлению работы и может вызывать ложные срабатывания. В частности, подозрения на Unknown.OvrVirus вызваны включением этого режима.

Со всем этим добром мы разбираемся, но беглый взгляд позволил выявить в нем несколько диалеров.

Кстати, "ломают копья " не только у нас ;-)).
Забугорные тоже склонны к этому:
_http://www.wilderssecurity.com/showthread.php?t=95775

[QUOTE=Iceman]Кстати, "ломают копья " не только у нас ;-)).
Забугорные тоже склонны к этому:
_http://www.wilderssecurity.com/showthread.php?t=95775[/QUOTE]
По моему, когда пользователи высказывают претензии а разработчики мотают на ус или разъясняют недопонимания это нормальная и полезная ситуация. И это одна из целей днного форума.

[QUOTE=Geser]По моему, когда пользователи высказывают претензии а разработчики мотают на ус или разъясняют недопонимания это нормальная и полезная ситуация. И это одна из целей днного форума.[/QUOTE]

Согласен. Но ведь немногие разработчики "разъясняют недопонимания"? не так ли? $-)).

[QUOTE=Dimka]К тому же пользователь, которому надо выполнять какие-то задачи при помощи консольного сканера, обычно в состоянии написать вспомогательный .BAT-файл/shell-скрипт, который выполнит все необходимые действия.
[/QUOTE]
Так и пришлось делать...

[QUOTE=Dimka]
Что касается документации, то тут мы согласны, что в ней может быть отражено не все, что пользователи хотели бы там увидеть. Но это пользователи должны нам сказать, чего им не хватает, поэтому в этом вопросе мы надеемся на сотрудничество с вами.
[/QUOTE]
Нет вопросов. Что было в голове, то и сказал. К сожалению выразить все мысли едва ли возможно текстом: некоторые неуспеваешь зафиксировать.
[QUOTE=Dimka]
Ну и про эвристик.
Во-первых, желательно приводить ключи, с которыми работала программа. В письме Вы их указали, приведу их здесь:

-heuristics_test+ -af -ha=3 -rw -m=3 -pm+ -ar+ -ml+ -bc+

Ключ -heuristics_test - это НЕДОКУМЕНТИРОВАННЫЙ ключ для ТЕСТИРОВАНИЯ эвристика. При его включении отбираются файлы, которые интересны НАМ, поэтому сообщения о подозрениях на "new.signature..." нельзя называть ложными срабатываниями эвристика. За файлы, конечно, спасибо, они помогут нам в дальнейшем улучшении эвристика.
[/QUOTE]

И тем не менее, по эвристику - много вопросов. Как антивирус с хорошим эвристиком, VBA у меня живёт. База несколько отличная от других. Но более ничего примечательного, по крайней мере для себя я не увидел.

[QUOTE=Dimka]
Со всем этим добром мы разбираемся, но беглый взгляд позволил выявить в нем несколько диалеров.[/QUOTE]

Вот cut-лога от VBA:
[code]
./00186954:<CHM>\exploit.htm : infected Trojan-Downloader.VBS.Psyme.y
./000D633F:<RAR>\Astrogeddon_Loader/loader.exe : infected
Trojan.Win32.Delf.np
./000D9068:<CHM>\load.exe : infected Backdoor.Win32.Haxdoor.cn
./000D9068:<CHM>\x.htm : infected Exploit.HTML.CodeBaseExec
./000E56FB:<ZIP>\GetAccess.class : infected Trojan.Java.ClassLoader.c
./000E56FB:<ZIP>\InsecureClassLoader.class : infected
Exploit.Java.Bytverify
./000E56FB:<ZIP>\Dummy.class : infected Trojan.Java.ClassLoader.Dummy.a
./000E56FB:<ZIP>\Installer.class : infected
TrojanDownloader.Java.OpenConnection.f
./000DCEE5:<CHM>\MegaInstaller.exe : infected Trojan.Win32.StartPage.rn
./000DCFA2:<ZIP>\GetAccess.class : infected Trojan.Java.ClassLoader.c
./000DCFA2:<ZIP>\InsecureClassLoader.class : infected
Exploit.Java.Bytverify
./000DCFA2:<ZIP>\Dummy.class : infected Trojan.Java.ClassLoader.Dummy.a
./000DCFA2:<ZIP>\Installer.class : infected
TrojanDownloader.Java.OpenConnection.f
./0019E8C9:<ZIP>\filmato.exe : infected Trojan.Win32.Dialer.hh
./0019E8C9:<ZIP>\images\avi.exe : infected Trojan.Win32.Dialer.hh
./000DE9E7:<CAB>\UniDist.ocx : infected TrojanDownloader.Win32.Dyfuca.bm
./000F27E4:<ZIP>\BlackBox.class : infected Exploit.Java.ByteVerify
./000F27E4:<ZIP>\VerifierBug.class : infected Exploit.Java.ByteVerify
./000F27E4:<ZIP>\Dummy.class : infected Java.BlackBox.AA.3
./000F27E4:<ZIP>\Beyond.class : infected
Trojan-Downloader.Java.OpenConnection.aa
./000F2B43:<CAB>\istactivex.dll : infected
Trojan-Downloader.Win32.IstBar.gen
./001A15A8:<ZIP>\BlackBox.class : infected Exploit.Java.ByteVerify
./001A15A8:<ZIP>\VerifierBug.class : infected Exploit.Java.ByteVerify
./001A15A8:<ZIP>\Dummy.class : infected Java.BlackBox.AA.3
./001A15A8:<ZIP>\Beyond.class : infected
Trojan-Downloader.Java.OpenConnection.aa
./001D1783:<CAB>\azesearch4.ocx : infected AdWare.AzSearch.b
./001F4DE3:<CAB>\f3Setup1.exe : infected TrojanDropper.Win32.FunWeb.a
./001F9DD3:<ZIP>\web.exe : infected Trojan.Win32.TrojanDropper.Oleloa
./001F9DD3:<ZIP>\Xeyond.class : infected Trojan.Java.Femad
./001F9DD3:<ZIP>\Worker.class : infected Trojan.Java.Femad
./001F9DD3:<ZIP>\VerifierBug.class : infected Trojan.Java.Femad
./001F9DD3:<ZIP>\Gummy.class : infected Exploit.ByteVerify
./001F9DD3:<ZIP>\Counter.class : infected Trojan.Java.Femad
- contain viruses : 14 - infected : 33 - infected : 14
[/code]

Файлы отослал в вирлаб DrWeb, ответили, что
[[email protected]]
Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Trojan.MulDrop.2526
[/quote]
Т.е. из всего выше приведённого, аналитики DrWeb добавили только этот троян.
К сожалению, проверить сколько файлов детектиться сейчас не могу: база ещё не вышла с этой сигнатурой.

О результатах сообщу позже. Может и выложу найденное (но врятли).

[QUOTE=umask]

Файлы отослал в вирлаб DrWeb, ответили, что

[[email protected]]
Сообщение от [email][email protected][/email]
Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Trojan.MulDrop.2526
[/QUOTE]

Т.е. из всего выше приведённого, аналитики DrWeb добавили только этот троян.
К сожалению, проверить сколько файлов детектиться сейчас не могу: база ещё не вышла с этой сигнатурой.

О результатах сообщу позже. Может и выложу найденное (но врятли).[/QUOTE]
Э-э-э... Даже не глядя на файлы:
[CODE]
./000F2B43:<CAB>\istactivex.dll : infected Trojan-Downloader.Win32.IstBar.gen
[/CODE]
- это точно Trojan-Downloader.Win32.IstBar.gen, ну ладно, насколько я знаю, Adware-базы у Веба сейчас в состоянии беты.
[CODE]
./000D9068:<CHM>\load.exe : infected Backdoor.Win32.Haxdoor.cn
./000D9068:<CHM>\x.htm : infected Exploit.HTML.CodeBaseExec
[/CODE]
- это явно эксплоит одной из уязвимостей MS IE, кулхацкеры даже не утруждают себя изменить имя EXE-файла, и я на 100% уверен, что load.exe - это и есть троян.
[CODE]
./000DCEE5:<CHM>\MegaInstaller.exe : infected Trojan.Win32.StartPage.rn
[/CODE]
- EXEшник в CHMке, да еще с таким названием? Тоже наводит не нехорошие мысли...
Я думаю, стОит последить некоторое время, за тем, как Веб будет реагировать на эти файлы. Подозреваю, что через некоторое время аналитики все-таки до них доберутся и вставят в базы.

[QUOTE=Dimka]Э-э-э... Даже не глядя на файлы:
<cut>
Я думаю, стОит последить некоторое время, за тем, как Веб будет реагировать на эти файлы. Подозреваю, что через некоторое время аналитики все-таки до них доберутся и вставят в базы.[/QUOTE]

Я и не спорю...
Да, про документация для icapd я немного ошибся: файл проглядел...

Приношу свои извинения.

Но всё равно, про упомянутое не забывайте...

И неплохо было бы icap держать тоже в /opt/vba, imho.

Попробую вечером\ночью поставить Ваш icap.

Кстати, на форуме DrWeb появился коммент одного из представителей - Павла Ершова.
Стало известно, что с выходом 4.33 планируеться выход http-proxy для windows с поддержкой проверки антивирусом.

В приватной беседе с одим из разработчиков UNIX, тот упомянул про работу над новым проектом.
Что за проект пока не известно, но это что-то совершенно новое. Ждём новостей.

[QUOTE=umask]
И тем не менее, по эвристику - много вопросов. Как антивирус с хорошим эвристиком, VBA у меня живёт. База несколько отличная от других.[/QUOTE]
По эвристике постараюсь ответить на вопросы. Есть 4 варианта настройки эвристики:
[b]-ha=0[/b] (отключен),
[b]-ha=1[/b] (оптимален) - самый быстрый режим работы, почти не замедляет быстродействия,
[b]-ha=2[/b] (максимален) - работает медленнее, ловит больше,
[b]-ha=3[/b] (избыточен) - работает еще чуть медленнее, плюс заметно выше вероятность ложных тревог.

Ключ [b]-ha=3[/b] рекомендуется только для опытных пользователей и только с обязательной отправкой файлов на анализ. Принимать решения самостоятельно не рекомендуется, поскольку в этом режиме высока вероятность ложных срабатываний эвристики. Все "ненадежные" сообщения эвристики имеют суффикс "(paranoid heuristics)", поэтому их легко отличить от всех остальных.

И это все. Ключ -heuristics_test является недокументированным и его использование крайне не рекомендуется, особенно если пользователь не понимает, что он делает. Я уже тут спрашивал: откуда взята информация о данном ключе? Ответа пока нет. Но, похоже, придется просто его переименовать в одной из следующих версий, чтобы решить проблему раз и навсегда.

Надеюсь, теперь все вопросы касательно эвристики прояснились :)

[QUOTE]Но более ничего примечательного, по крайней мере для себя я не увидел.[/QUOTE]
Задача антивируса - ловить вирусы и прочие нехорошие файлы, плюс еще все это должно быть удобным в использовании и настройке и оптимальным образом использовать ресурсы компьютера (не тормозить). Насчет примечательного, вспомнилось описание из соседней ветки: :)
[QUOTE=Зайцев Олег]Тут еще под горячую руку попал [b]BPS Spyware & Adware Remover (Spyware Striker)[/b]. Продукт внушительного размера, в верхней части окна крутится мультик - летает дракон (явно с несварением желудка) и вертолет (с борта которого палят по дракону). Такое детство я не наблюдал ни в одном из изученных продуктов ... [/QUOTE]

[QUOTE]О результатах сообщу позже. Может и выложу найденное (но врятли).[/QUOTE]
Подводим итоги. Если исключить результаты, полученные с использованием ключей -heuristics_test и -pm, эвристик показал очень неплохие результаты и нашел довольно много настоящей заразы, о 'склонен полагать, что 100% из "работы" эвристика - ложные срабатывания.' в данном случае не может быть и речи. Поскольку архив довольно большой, полный анализ его содержимого займет некоторое время (как у нас, так и у DrWeb). Полную статистику по данному архиву и оценку эффективности работы эвристика в данном конкретном случае, если нужно, приведем позже.

Похоже, у вас там настоящий Клондайк в плане новых вирусов и троянов :) Так что дальнейшее тесное сотрудничество, возможно, было бы полезным и нам и вам. И еще, чтобы минимизировать размер архива с подозрительными файлами, можно запускать сканер vba с ключем [b]-collect_suspects[/b], в этом случае все подозрения эвристика будут запакованы в архив [b]susp.zip[/b] с паролем [b]virus[/b], при этом в архив не попадают дубли одного и того же файла.

[QUOTE=serge]По эвристике постараюсь ответить на вопросы. Есть 4 варианта настройки эвристики:
...
Надеюсь, теперь все вопросы касательно эвристики прояснились :)
[/QUOTE]
Для меня вопросов и не было. Я _специально_ использовал максимально возможные по эффективности обнаружения настройки.

[QUOTE=serge]Насчет примечательного, вспомнилось описание из соседней ветки: :)
[/QUOTE]
Вы мне про "мультик" хотели сказать, да? ;-)
У меня linux дома стоит. Только под ним и работаю. Из графических и мультимедиа приблуд:
X.org + fluxbox, mplayer, mpg123, licq (ну как же без аськи... консольный клиент мне не нравиться), opera + firefox.
И антивируса нету вообще. Не нужен как-то, знаете ли.
Поэтому для меня _очень_ актуален сканер командной строки, если проводить испытания.

[QUOTE=serge]
Похоже, у вас там настоящий Клондайк в плане новых вирусов и троянов :)
[/QUOTE]
Нет, не клондайк :)) это просто кешь сквида... раздел гигов на 40. Кажеться даже я его весь не проверил.... ну через недельку контент там измениться, запустим сканер ещё раз ;-). 500 пользователей.

[QUOTE=serge]
Так что дальнейшее тесное сотрудничество, возможно, было бы полезным и нам и вам.
[/QUOTE]
Спасибо. Но тут скорее Вам, чем мне это нужно ;-)
Антивирусы - моё хобби, поэтому бывает меня задвигает на пару дней влесть по уши в это дело. А иногда просто нет времени.
Помогу, чем смогу.

[QUOTE=serge]
И еще, чтобы минимизировать размер архива с подозрительными файлами, можно запускать сканер vba с ключем [b]-collect_suspects[/b], в этом случае все подозрения эвристика будут запакованы в архив [b]susp.zip[/b] с паролем [b]virus[/b], при этом в архив не попадают дубли одного и того же файла.[/QUOTE]
В консольном сканере для Linux это поддерживается 100%?

Добавлено:
Да... проверил - работает. Только вот одно плохо - это зип-архив. Всё равно, не смотря на пароль, могут по пути убить файлик.

Добавлено:
Поставил vbaicapd, работает, конечно же... правда Squid я взял с последним патчём от DrWeb. Не хватает очень сильно карантина.
Кстати, а vbaicapd какие-то настройки эвристика понимает, если да, то как ему нормально их скормить? Не хватает карантина! Очень не хватает.
Если будет карантин+эвристик (причём карантины для инфекции и для подозрительных лучше сделать разные, и юзеру подозрительные что бы можно было отдавать с предупреждением... только это невозможно скорее всего), то на сервере покручу сколько-то.
Учитывая, что патченный DrWeb'овцами squid работает лучше всех дотупных (из icap-поддерживающих), но выпадает при большой нагрузке, на сколько меня хватит, столько и потестирую.

Из мыслей о структуре... У DrWeb очень хороша структура их решений для *nix и не только:
1. Движок и базы одни и теже для всех ОС.
2. В *никс имееться демон и клиенты для демона. Ну и сканер.
3. Нагрузку можно балансировать на несколько антивирусных серверов или держать один сервер с демоном антивируса, и множество компьютеров-клиентов, обращающихся к демону по сети.
4. и т.п. наработок у DrWeb много...

У ВБА пока не наблюдаю ничего похожего.

P.S. Не нужно говорить, что
[quote=serge]
Задача антивируса - ловить вирусы и прочие нехорошие файлы, плюс еще все это должно быть удобным в использовании и настройке и оптимальным образом использовать ресурсы компьютера (не тормозить).
[/quote]
тут дело в другом: возможности разные, масштабируемость разная, имхо, у DrWeb показатели намного выше. Намного.
Про касперского и не говорю. Не пользую. И не хочу.
А что из "подобного" может предложить VBA?

Ложняк VBA - h**p://install.wildtangent.com/bgn/partners/shockwave/polarbowler/install.cab

Кстати, а лицензия Гостехкомиссии РФ у VBA есть?

[QUOTE=azza]Ложняк VBA - h**p://install.wildtangent.com/bgn/partners/shockwave/polarbowler/install.cab[/QUOTE]
Почему ложняк ?
AdWare.WildTangent собственной персоной, его инсталлер (я его SpyWare считаю ..., за то, что он скрытно висит в памяти, ведет обмен со своим сайтом, таскает и устанавливает апдейты ... Правда KAV детектирует только его EXE файлы ...). Обитает эта штука в папке Windows\WT

[QUOTE=umask]Кстати, а лицензия Гостехкомиссии РФ у VBA есть?[/QUOTE]
нет. есть экпертное заключение Государственного Центра Безопасности Информации РБ (это аналог вашей Гостехкомиссии, между этими организациями тесная связь и сотрудничество). Есть сертификат качества нашей национальной системы сертификации.

[QUOTE=Dr.Xmas]нет. есть экпертное заключение Государственного Центра Безопасности Информации РБ (это аналог вашей Гостехкомиссии, между этими организациями тесная связь и сотрудничество). Есть сертификат качества нашей национальной системы сертификации.[/QUOTE]

Это скорее маленький плюс... :)
Вопрос не в тесном сотрудничестве, а в том, что многие госструктуры уже "обречены" на использование средств сертифицированных только Гостехкомиссией РФ. Некоторые "поддерживают" отечественных производителей, коих хватает.

Хорошо, что "сотрудничают": не такие жёсткие рамки.