Бета-тестирование антивируса "ВирусБлокАда"

Кстати, если у Вас уже всётавно есть эмулятор процессора. Можно анализировать файлы на предмет создания ключей в реестре, записи файлов на диск и т.д. и выдавать предупреждения если программа пытается писать в системные директории или создавать "опасные" ключи реестра?

[QUOTE=Geser]
Кстати, если у Вас уже всётавно есть эмулятор процессора. Можно анализировать файлы на предмет создания ключей в реестре, записи файлов на диск и т.д. и выдавать предупреждения если программа пытается писать в системные директории или создавать "опасные" ключи реестра?
[/QUOTE]
Это называется "динамический анализ", т.е. по результату выполненных на эмуляторе действий принимается решение похож/не похож на вредоносную программу. Он у нас уже достаточно давно используется в эвристике. Однако он имеет и свои недостатки, полностью проэмулировать анализируемую программу достаточно большого размера очень тяжело и заняло бы достаточно много времени (антивирус стал бы страшным тормозом). Эмулятор не является универсальным средством от всех бед и его использование приходится комбинировать с другими методами для получения оптимальных результатов. Чем и пытаемся заниматься :)

[QUOTE=serge]
Это называется "динамический анализ", т.е. по результату выполненных на эмуляторе действий принимается решение похож/не похож на вредоносную программу. Он у нас уже достаточно давно используется в эвристике. Однако он имеет и свои недостатки, полностью проэмулировать анализируемую программу достаточно большого размера очень тяжело и заняло бы достаточно много времени (антивирус стал бы страшным тормозом). Эмулятор не является универсальным средством от всех бед и его использование приходится комбинировать с другими методами для получения оптимальных результатов. Чем и пытаемся заниматься :)

[/QUOTE]
А если сделать опцию глубокого анализа для отдельных файлов? Типа, скачал человек что-то подозрутельное, и хочется ему проверить не троян ли это. Тут время анализа не имеет значения (ну если оно не больше 2-3 минут).

Это уже будет не Code Analayzer и не Code Emulatorв понимании этого слова а OS emulation.. aka Sandbox emulation aka Norman sandbox, BitDefender Hive

на создание такой штуки нужно не мение 2 лет разработки:(

Что-то не то с адресом?

====================================
ВНИМАНИЕ: сообщение на адрес '[email protected]' не доставлено
SMTP module(domain @195.209.41.194:anti-virus.by) reports:
host mx.anti-virus.by says:
550 Requested action not taken: mailbox unavailable or not local
====================================

[QUOTE=HEKTO]
Что-то не то с адресом?

====================================
ВНИМАНИЕ: сообщение на адрес '[email protected]' не доставлено
SMTP module(domain @195.209.41.194:anti-virus.by) reports:
host mx.anti-virus.by says:
550 Requested action not taken: mailbox unavailable or not local
====================================
[/QUOTE]
Прошу прощения, правильный адрес [email][email protected][/email]

[QUOTE=Sanja]
Это уже будет не Code Analayzer и не Code Emulatorв понимании этого слова а OS emulation..[/QUOTE]
В той мере, насколько это необходимо для антивирусного движка, OS emulation, я думаю, есть у всех. И у нас в том числе :)

[quote] aka Sandbox emulation aka Norman sandbox, BitDefender Hive

на создание такой штуки нужно не мение 2 лет разработки:(
[/quote]
Так мы тоже уже не первый год работаем, и свои достаточно интересные наработки тоже есть :) Вот что мне нравится у западных компаний (в хорошем смысле), так это то, что они умеют придумывать красивые названия технологиям. Не то что у нас - просто эвристика, или просто кэш результатов проверки. ::)

[QUOTE=serge]
Так мы тоже уже не первый год работаем, и свои достаточно интересные наработки тоже есть :) [/QUOTE]
наработки это хорошо, но когда будет кнопочка что бы этими наработками пользоваться? :P

[QUOTE=Geser]
наработки это хорошо, но когда будет кнопочка что бы этими наработками пользоваться? :P
[/QUOTE]
Технологии, используемые в антивирусном движке, обычно не так легко заметить. Снаружи видно только время, затраченное на проверку, требования по использованию ресурсов и количество найденных вирусов/троянов :)

Кстати кнопочка, точнее дополнительная настройка уровня эвристики, уже добавлена в последней бете. Примерно в таком виде эвристика и будет работать в официальном релизе 3.10.4.

[QUOTE=serge]
Технологии, используемые в антивирусном движке, обычно не так легко заметить. Снаружи видно только время, затраченное на проверку, требования по использованию ресурсов и количество найденных вирусов/троянов :)

Кстати кнопочка, точнее дополнительная настройка уровня эвристики, уже добавлена в последней бете. Примерно в таком виде эвристика и будет работать в официальном релизе 3.10.4.

[/QUOTE]
Да нет, я не об этом. Я о том, что хотелось бы иметь нечто вроде Norman sandbox, с тщательным анализом файла.

Неужели никто из тестеров кроме меня не пользуется бесплатной Ad-aware ;) :-[? На максимальном и избыточном подозревает вирус в ad-aware.exe ver.1.05, разработчикам отправлял...

[QUOTE=mihail]
Неужели никто из тестеров кроме меня не пользуется бесплатной Ad-aware ;) :-[? На максимальном и избыточном подозревает вирус в ad-aware.exe ver.1.05, разработчикам отправлял...
[/QUOTE]
всё получили, спасибо, просто сейчас идёт перестроение всей базы, изменения будут завтра-послезавтра

[QUOTE=Dr]
всё получили, спасибо, просто сейчас идёт перестроение всей базы, изменения будут завтра-послезавтра
[/QUOTE]
Раз перестраиваете базу, может вынести risk-ware в отдельный определяемый класс и задавать реакцию на них отдельно, а то достает все нужные утилиты в пути исключений прописывать.

[QUOTE=Minos]
Раз перестраиваете базу, может вынести risk-ware в отдельный определяемый класс и задавать реакцию на них отдельно, а то достает все нужные утилиты в пути исключений прописывать.
[/QUOTE]
сейчас базу перестраиваем по эвристике, это перестроение рисквари не затронет, а вот когда через примерно через месяц перевыпустим ВСЕ базы, оттуда выбросим все полезные "рисквари"-утилиты. лучше сейчас нам давать названия таким утилит, или присылать, если есть такая возможность

[QUOTE=Dr]
сейчас базу перестраиваем по эвристике, это перестроение рисквари не затронет, а вот когда через примерно через месяц перевыпустим ВСЕ базы, оттуда выбросим все полезные "рисквари"-утилиты. лучше сейчас нам давать названия таким утилит, или присылать, если есть такая возможность
[/QUOTE]
Правильнее, видимо, сделать, как планируется у дрвеба в 4.33 - отдельную опциональную базу по riskware, отдельную настраиваемую реакцию на riskrware, adware. И извещения разные, чтоб даже чайнику было ясно.

Из полезных, срабатывание на которые нужно вынести в отдельную базу либо убрать:
- Remote Administrator 2.1 (и последующие)
- 3proxy
- srvany (из Resource Kit NT 4 и выше)
- kill.exe (из Resource Kit NT 4 и выше)

Кстати говоря, опубликуйте, плиз - где в России можно купить вашу программу. Народ интересуется понемногу.

[QUOTE=Alexey]
Правильнее, видимо, сделать, как планируется у дрвеба в 4.33 - отдельную опциональную базу по riskware, отдельную настраиваемую реакцию на riskrware, adware. И извещения разные, чтоб даже чайнику было ясно.

Из полезных, срабатывание на которые нужно вынести в отдельную базу либо убрать:
- Remote Administrator 2.1 (и последующие)
- 3proxy
- srvany (из Resource Kit NT 4 и выше)
- kill.exe (из Resource Kit NT 4 и выше)

Кстати говоря, опубликуйте, плиз - где в России можно купить вашу программу. Народ интересуется понемногу.

[/QUOTE]
[url]http://www.virusblokada.ru/[/url]

За ссылку спасибо. Есть небольшие непонятки, думаю, это всем будет интересно знать:
- почтовым/банковским переводом (из сберкассы) домашнему пользователю оплатить можно ? Данные для заполнения квитанции где можно увидеть ?
- для почтовых серверов - 10 лицензий - что включает ? 10 адресов, 10 ящиков ?
- где файловые сервера под линукс (samba) ?
- где решение для интернет - шлюза (squid). Вроде было же.

И еще, куда относятся домашние сети из, скажем, 20 компьютеров - чтобы для них можно было купить лицензию на почтовый сервер (~50 почтовых ящиков, linux, exim), файлопомойку (linux, samba 3.0.11). Что для них есть, учитывая, что с деньгами у них не очень жирно. В смысле, скидываются на такие вещи. Ну, или воруют, т.к. проверять особо некому :).

Вот что наблюдал сегодня на Jotti

File: DragonBot v11.zip
Status: POSSIBLY INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)
MD5 860488f9b4550e1750a4534bcdb5660d
Packers detected: -
Scanner results
AntiVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
mks_vir Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
VBA32 Found Unknown.Win32Virus (probable variant)

Интересно, оправдана ли реакция эвристика.
Файл выслал на [email][email protected][/email]

В данном случае это скорее плюс, чем минус.
На фоне ложных срабатываний было много корректно распознанных экземпляров ;)

[QUOTE=jackie]
Вот что наблюдал сегодня на Jotti

File: DragonBot v11.zip
Status: POSSIBLY INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)
MD5 860488f9b4550e1750a4534bcdb5660d
Packers detected: -
Scanner results
AntiVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
mks_vir Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
VBA32 Found Unknown.Win32Virus (probable variant)

Интересно, оправдана ли реакция эвристика.
Файл выслал на [email][email protected][/email]
[/QUOTE]
отвечу здесь, раз вопрос был задан. для простоты разделим эвристику на две части: реализованная на базе групп (семейств) вирусов и встроенная в код. первая выдаёт сообщения типа "похож на Worm.Bagle.2", а вторая несколько стандартных, в том числе "Unknown.Win32Virus". это значит, что в проверенной программе используются вирусные приёмы и трюки. также это может относиться к некоторым упаковщикам, которые "наворочены" в плане защиты. такое сообщение может означать примерно "уважаемый пользователь, обрати внимание на такую программу. если есть возможность, замени её каким-либо аналогом, в котором такие вирусные трюки не используются"

[QUOTE=Alexey]
За ссылку спасибо. Есть небольшие непонятки, думаю, это всем будет интересно знать:
- почтовым/банковским переводом (из сберкассы) домашнему пользователю оплатить можно ? Данные для заполнения квитанции где можно увидеть ?
- для почтовых серверов - 10 лицензий - что включает ? 10 адресов, 10 ящиков ?
- где файловые сервера под линукс (samba) ?
- где решение для интернет - шлюза (squid). Вроде было же.

И еще, куда относятся домашние сети из, скажем, 20 компьютеров - чтобы для них можно было купить лицензию на почтовый сервер (~50 почтовых ящиков, linux, exim), файлопомойку (linux, samba 3.0.11). Что для них есть, учитывая, что с деньгами у них не очень жирно. В смысле, скидываются на такие вещи. Ну, или воруют, т.к. проверять особо некому :).

[/QUOTE]
приятно, что на программу обращают внимание ;)
по отношению к России политика такая: практически все маркетинговые ходы отданы на откуп российскому дилеру, он сам определяет, как себя вести на рынке, какие пакеты формировать и т.п.

поэтому все такие вопросы лучше задавать на [email][email protected][/email], если возникнут непонятки, мы их обсудим вместе с дилером.

я думаю, стоимость любых "нестандартных" конфигураций сетей можно обсудить с нашим благожелательным дилером.

[QUOTE=serge]По пожеланиям тех, кто пользовался DrWeb, добавлен новый режим работы антивирусного монитора (аналог того, что в DrWeb называется 'smart mode').[/QUOTE][color=Purple]*с облегчением*[/color] наконец-то! Честно говоря, уже и не надеялся.

[QUOTE=serge]Также добавлен дополнительный уровень эвристики (избыточный, или другими словами 'параноидальный' :) ).[/QUOTE]всё равно молчит как партизан.

[QUOTE=serge]Кстати кнопочка, точнее дополнительная настройка уровня эвристики, уже добавлена в последней бете. Примерно в таком виде эвристика и будет работать в официальном релизе 3.10.4.[/QUOTE]имелась в виду возможность [i]быстро[/i] "оприходовать файл [color=Blue]по полной программе[/color]". Сейчас в контекстном меню есть только "проверить vba32", можно [b]это самое[/b] действие переделать на проверку с параноидальными настройками, т.к. обычную защиту, по идее, должен обеспечивать монитор. А если один файл проверяют специально, то это наверняка не просто так. Но, разумеется, можно и просто сделать вторую команду, если дорожите той, что есть сейчас.

[QUOTE=Iceman]
В данном случае это скорее плюс, чем минус.
На фоне ложных срабатываний было много корректно распознанных экземпляров ;)
[/QUOTE]
Угу, подтверждаю. Уже не один раз наблюдал примерно такую картинку касаемо VBA:
This is a report processed by VirusTotal on 05/05/2005 at 23:50:04 (CET)
after scanning the file "soft.exe" file.

Antivirus Version Update Result
AntiVir 6.30.0.12 05.05.2005 no virus found
AVG 718 05.04.2005 no virus found
BitDefender 7.0 05.05.2005 no virus found
ClamAV devel-20050501 05.05.2005 no virus found
DrWeb 4.32b 05.05.2005 no virus found
eTrust-Iris 7.1.194.0 05.05.2005 no virus found
eTrust-Vet 11.9.1.0 05.05.2005 no virus found
Fortinet 2.51 05.05.2005 no virus found
Ikarus 2.32 05.04.2005 suspicious program sequence found
Kaspersky 4.0.2.24 05.05.2005 no virus found
McAfee 4485 05.05.2005 no virus found
NOD32v2 1.1089 05.05.2005 no virus found
Norman 5.70.10 05.03.2005 no virus found
Panda 8.02.00 05.05.2005 no virus found
Sybari 7.5.1314 05.05.2005 no virus found
Symantec 8.0 05.05.2005 no virus found
VBA32 3.10.3 05.05.2005 suspected of Trojan.PWS.Agu.1

причем это точно были не ложные срабатывания - просто новая версия заразы по старым явкам :).

Хотелось бы еще касаемо newvirus :
1. Вот такой тикет:
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
От: Virus Monitoring Service Doctor Web Ltd. <[email protected]>
Кому: мой е-мейл
Написано: 8 мая 2005 г., 17:58:01
Тема: [drweb.com #57366] Создан: Trojan-Dropper.Win32.Mudrop.o (VBA)
Файлы: <none>
--====----====----====----====----====----====----====----====----====----===--
Уважаемый Alexey P,

Это сообщение автоматически сформировано в ответ
на Ваш запрос относительно:
***"Trojan-Dropper.Win32.Mudrop.o (VBA)".
Детальная информация о Вашем запросе представлена ниже.

В данный момент никаких действий от Вас не требуется.
Вашему запросу назначен идентификатор [drweb.com #57366].

Пожалуйста, включайте строку:

***[drweb.com #57366].

в поле Subject всей Вашей корреспонденции по данной теме.
Для этого вы можете просто ответить на это или любое
другое письмо по данной теме.

Спасибо за сотрудничество.


-------------------Запрос------------------------------------------------
Здравствуйте, vms.

[url]http://www.allyoursearch.com/allyoursearch.cab[/url] #18777

www.allyoursearch.com\allyoursearch.cab:<CAB>\64odhr0b.exe : infected Trojan-Dropper.Win32.Mudrop.o
www.allyoursearch.com\allyoursearch.cab:<CAB>\istinstall.exe : infected Trojan-Downloader.Win32.IstBar.er
www.allyoursearch.com\allyoursearch.cab:<CAB>\SearchInstall.exe : infected AdWare.SearchSquire.b

P.S.
DrWeb Trojan.LowZones [url]http://www.allyoursearch.com/Allyoursearch2.cab[/url]

--
С уважением,
Alexey
-------------------------------------------------------------------------

2. Ну, и вот такой ответ.
(Мечтательно) - и по сроку тоже :) :
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
От: Vyacheslav Rusakov - Virus Monitoring Service Doctor Web Ltd. <[email protected]>
Кому: мой е-мейл.
Написано: 8 мая 2005 г., 18:21:53
Тема: [drweb.com #57366] Обработано: Trojan-Dropper.Win32.Mudrop.o (VBA)
Файлы: <none>
--====----====----====----====----====----====----====----====----====----===--
Уважаемый Alexey P.,

Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Trojan.MulDrop.2156
Trojan.Isbar.256
not a virus Adware.SearchSquire


Спасибо за сотрудничество.

--
С уважением,
Служба вирусного мониторинга ООО "Доктор Веб"

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

Хм.. ДрВеб наконец начали работать с нормальной скоростью? :)
А вообще, высылать письмо с результатами очень полезно. Видно что компания работает.

[QUOTE=Geser]
Хм.. ДрВеб наконец начали работать с нормальной скоростью? :)
[/QUOTE]
Я думаю, они сделали правильную вещь - посадили одного дежурного аналитика на оперативную разборку писем.
То, что не требует больших затрат времени, он разбирает сам, а остальное откладывает основной "группе захвата". Результат - см. выше. И никаких завалов.
Впечатляет, и на мой взгляд - очень грамотное решение.
Возможно, заблуждаюсь - идея М. Бачинского. Думаю так, потому что так сделано именно после общения с ним в эхоконференции fido7.ADINF.SUPPORT.
Думаю, VBA тоже стоит так сделать. Просто, эффективно.

[quote]
А вообще, высылать письмо с результатами очень полезно. Видно что компания работает.
[/quote]
Угу, а еще это дает юзерам документ. Соответственно требует и большей ответственности за четкую работу. Но все это однозначно идет в плюс компании.

[QUOTE=Dr]
а вторая несколько стандартных, в том числе "Unknown.Win32Virus". это значит, что в проверенной программе используются вирусные приёмы и трюки. также это может относиться к некоторым упаковщикам, которые "наворочены" в плане защиты. такое сообщение может означать примерно "уважаемый пользователь, обрати внимание на такую программу. если есть возможность, замени её каким-либо аналогом, в котором такие вирусные трюки не используются"
[/QUOTE]
Ну так и прикрутите к стандартным сообщениям кнопку "Подробнее", а за кнопкой линк на текст:" в проверенной программе используются вирусные приёмы и трюки. также это может относиться к некоторым упаковщикам, которые "наворочены" в плане защиты. такое сообщение может означать примерно "уважаемый пользователь, обрати внимание на такую программу. если есть возможность, замени её каким-либо аналогом, в котором такие вирусные трюки не используются"".
Чего уж проще?

[quote author=Палыч link=board=18;threadid=144;start=300#msg11871 date=1115582606]
Ну так и прикрутите к стандартным сообщениям кнопку "Подробнее", а за кнопкой линк на текст:" в проверенной программе используются вирусные приёмы и трюки. также это может относиться к некоторым упаковщикам, которые "наворочены" в плане защиты. такое сообщение может означать примерно "уважаемый пользователь, обрати внимание на такую программу. если есть возможность, замени её каким-либо аналогом, в котором такие вирусные трюки не используются"".
Чего уж проще?
[/quote]
консольная версия (которую используют в технологическом процессе большинство корпоративных клиентов) выводит сообщение на консоль и в гладкий лог. куда прилепить кнопку "Подробнее"? ;)

друзья, спасибо вам за советы, но помните, что кроме персональных пользователей бывают ещё другие варианты использования программы.

Отправил Вам такое письмо 07.05.05

"День добрый!
Получил письмо с ключем, там написано - прописать путь для обновления. Так вот кнопочка "обзор" у меня почему-то не активна, следовательно, я не могу обновить Ваш антивирус.

С уважением,
Антон Дроздов
ООО Сталкер, г.Пермь.
"

Ответа нет до сих пор ???

[QUOTE=anton_dr]
Отправил Вам такое письмо 07.05.05

"День добрый!
Получил письмо с ключем, там написано - прописать путь для обновления. Так вот кнопочка "обзор" у меня почему-то не активна, следовательно, я не могу обновить Ваш антивирус.

С уважением,
Антон Дроздов
ООО Сталкер, г.Пермь.
"

Ответа нет до сих пор ???
[/QUOTE]

В ключевом файле прописан путь, с которого программа должна обновляться ([url]http://www.anti-virus.by/beta/update[/url]), изменить его нельзя. Кнопка "Обновить" и все остальные настройки должны работать, поэтому нажимайте ее - и обновляйтесь.

[QUOTE=Dimka]
В ключевом файле прописан путь, с которого программа должна обновляться ([url]http://www.anti-virus.by/beta/update[/url]), изменить его нельзя. Кнопка "Обновить" и все остальные настройки должны работать, поэтому нажимайте ее - и обновляйтесь.
[/QUOTE]

А вы думаете, не нажимал?

В письме написано
После установки Комплекса на Ваш ПК в настройках Диспетчера (закладка «Дополнительно», раздел «Обновление») в поле «Путь» впишите путь для обновления до Beta-версии [url]http://www.vba.com.by/beta/update/[/url] и обновите Комплекс согласно рекомендациям, выдаваемым программой.

А путь-то я прописать и немогу. По умолчанию стоит [url]http://www.anti-virus.by/beta/update[/url]. Пишет - по указанному пути список файлов не найден

[QUOTE=anton_dr]
А вы думаете, не нажимал?

В письме написано
После установки Комплекса на Ваш ПК в настройках Диспетчера (закладка «Дополнительно», раздел «Обновление») в поле «Путь» впишите путь для обновления до Beta-версии [url]http://www.vba.com.by/beta/update/[/url] и обновите Комплекс согласно рекомендациям, выдаваемым программой.

А путь-то я прописать и немогу. По умолчанию стоит [url]http://www.anti-virus.by/beta/update[/url]. Пишет - по указанному пути список файлов не найден

[/QUOTE]

Путь укзан тот, что нужно. Видимо, какие-то проблемы с подключением.
Дальнейшее выяснение подробностей, думаю, остальным не очень интересно, поэтому предлагаю перебраться в личные сообщения.

А вот не могу я скачать центр обновлений. Качает что фаром, что ИЕ ~50kb и все. Нельзя ли его на мейл получить?

[QUOTE=]Вот что наблюдал сегодня на Jotti

File: DragonBot v11.zip
Status: POSSIBLY INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)
MD5 860488f9b4550e1750a4534bcdb5660d
Packers detected: -
Scanner results
AntiVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
mks_vir Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
VBA32 Found Unknown.Win32Virus (probable variant)

Интересно, оправдана ли реакция эвристика.
Файл выслал на [email][email protected][/email][/QUOTE]

Оказалось, что Д-р Веб включил этот вирус в свои базы. А сегодня уже была такая картина.

File: DragonBot v11.zip
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 860488f9b4550e1750a4534bcdb5660d
Packers detected: -
Scanner results
AntiVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found Trojan.DragonBot
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
mks_vir Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
VBA32 Found Trojan.DragonBot


Ну что ж, эвристик не подкачал. :)

А что означают надписи в отчете типа
G:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\H1BLMW6Y\top[1].js:KAVICHS : невозможно открыть для чтения
Причем их туча.

[QUOTE=anton_dr]А что означают надписи в отчете типа
G:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\H1BLMW6Y\top[1].js:KAVICHS : невозможно открыть для чтения
Причем их туча.[/QUOTE]

Раньше каспер стоял, а он котрольные суммы на ntfs хранит в отдельных потоках. На сайте каспера есть тулза, которая эти потоки удаляет.

[QUOTE=nowhere]На сайте каспера есть тулза, которая эти потоки удаляет.[/QUOTE]
Однако кто-то писал что последствия использования могут быть плачевными.

[QUOTE=Geser]Однако кто-то писал что последствия использования могут быть плачевными.[/QUOTE]

Не заметил, хотя выполнял эту процедуру уже раза три

>Однако кто-то писал что последствия использования могут быть плачевными.
А именно? :)

[QUOTE=Sanja]>Однако кто-то писал что последствия использования могут быть плачевными.
А именно? :)[/QUOTE]
Не помню. Что-то там заглючило у человека после запуска этой утилиты. А вообще хватит офтопить :mad: