-
[quote=Jef239;229154]В запароленных? Ну как-то не верится. Разве что на пароль Virus проверять могут. Уж больно оно накладно по времени - пароль вскрывать.[/quote]
Многие почтовые антивирусы содержат фичу - блокировать запароленные архивы. Т.е. если антивирус не может вскрыть архив и проверить его, то он прибивает письмо с ним (или на корпоративном почтаре отправляет в отстойник). У меня в сети так KAV почтовый настроен ... и это разумная мера, так как юзеры получив письмо из Зимбабве от Васи Пупкина с запароленным архивом и подсказкой по паролю типа "пароль на архив является числом, которое вычисляется по формуле 15+162*9" вооружаются куркулятором, вычисляют пароль, сохраняют архив, распаковывают его и запускают содержащийся там файл с именем типа "Запусти меня, если ты не лох.exe". Разъяснительная работа бесполезна (один юзер у меня так запускал несколько раз подряд подобные вещи, раз за разом ему чистили компьютер и впроводили внушение, и раз за разом ответ один - "а вдруг там что-то важно или интересное ?"). Поэтому я думаю или отказаться от архивов (и пересылать карантин AVZ в каком-то бинарном формате, который не будет восприниматься как архив), или вообще отказаться от приема семплов по почте, заменив их на форму на сайте (тогда в форме придется сделать выдачу некоего тикета, чтобы его можно было включить в письмо)
-
[QUOTE=Зайцев Олег;229170]или вообще отказаться от приема семплов по почте, заменив их на форму на сайте (тогда в форме придется сделать выдачу некоего тикета, чтобы его можно было включить в письмо)[/QUOTE]Очень хорошая идея, тогда и максимально допустимый размер файлы увеличьте, только что хотел прислать AdWare, а он оказался на 500 Кб больше допустимого. :(
-
Олег, может добавить такую фичу: при удалении библиотеки проводить ее дерегистрацию, аля regsvr32 /u .
-
[quote=Alex_Goodwin;229407]Олег, может добавить такую фичу: при удалении библиотеки проводить ее дерегистрацию, аля regsvr32 /u .[/quote]
Такой функционал бых по умолчанию в старых версиях - при удалении DLL проводился анализ, есть ли в ней функция дерегистрации - если есть, то она выполнялась. Но оказалось, что у некоторых зловредов код дерегистрации весьма зловредный и вместо удаления выполняет заражение.
-
[QUOTE]файл с именем типа "Запусти меня, если ты не лох.exe".[/QUOTE]
Да, социальная инженерия :L
-
[url]http://virusinfo.info/showthread.php?t=23208[/url] - успешное лечение base*.dll при помощи AVZ 4.30. Это не может не радовать. ;)
-
[quote=PavelA;230123][URL]http://virusinfo.info/showthread.php?t=23208[/URL] - успешное лечение base*.dll при помощи AVZ 4.30. Это не может не радовать. ;)[/quote]
кстати, раньше эти base*32.dll жили в основном в \system32\drivers\ а сейчас просто в \system32\..
-
[QUOTE=Karlson;230170]кстати, раньше эти base*32.dll жили в основном в \system32\drivers\ а сейчас просто в \system32\..[/QUOTE]
Никогда их в папке drivers не видел. Только в %system32%.
-
[quote=kps;230204]Никогда их в папке drivers не видел. Только в %system32%.[/quote]
пардон... абсдался... :)
попутал я..
-
Можно поправить? При работе с карантином после сортировки по размеру, например, удаляем любой (любые) файл(ы). И вот:
[URL=http://imageshack.us][IMG]http://img205.imageshack.us/img205/1561/48026323zs7.png[/IMG][/URL]
-
AhnLab-V3 2008.5.22.1 2008.05.23 -
AntiVir 7.8.0.19 2008.05.23 -
Authentium 5.1.0.4 2008.05.23 -
Avast 4.8.1195.0 2008.05.23 -
AVG 7.5.0.516 2008.05.23 -
BitDefender 7.2 2008.05.24 -
CAT-QuickHeal 9.50 2008.05.24 -
ClamAV 0.92.1 2008.05.24 -
DrWeb 4.44.0.09170 2008.05.24 -
eSafe 7.0.15.0 2008.05.22 -
eTrust-Vet 31.4.5817 2008.05.23 -
Ewido 4.0 2008.05.23 -
F-Prot 4.4.4.56 2008.05.23 -
F-Secure 6.70.13260.0 2008.05.23 -
Fortinet 3.14.0.0 2008.05.24 -
GData 2.0.7306.1023 2008.05.23 -
Ikarus T3.1.1.26.0 2008.05.24 Trojan-PWS.Win32.Lmir.bey
Kaspersky 7.0.0.125 2008.05.24 -
McAfee 5302 2008.05.23 -
Microsoft 1.3520 2008.05.24 -
NOD32v2 3128 2008.05.23 -
Norman 5.80.02 2008.05.23 -
Panda 9.0.0.4 2008.05.23 -
Prevx1 V2 2008.05.24 -
Rising 20.45.42.00 2008.05.23 -
Sophos 4.29.0 2008.05.24 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.24 -
TheHacker 6.2.92.318 2008.05.23 -
VBA32 3.12.6.6 2008.05.24 -
VirusBuster 4.3.26:9 2008.05.23 -
Webwasher-Gateway 6.6.2 2008.05.24 - Я посылал на Virustotal - он блокировал AVZ 4.30 , блокировал и много другие проверки и тесты ! Всего хорошего....
-
@tnn Отправь этот файл Олегу на анализ, глядишь и картинка изменится.
-
[quote=PavelA;232148]@tnn Отправь этот файл Олегу на анализ, глядишь и картинка изменится.[/quote]
Конечно изменится - у меня есть 3 штуки Trojan-PWS.Win32.Lmir.bey, этот имеет шансы стать четвертым :)
-
Олег! Вот такая строчка в логе:
\FileSystem\ntfs[IRP_MJ_CREATE] = F59E1BA3 -> C:\WINDOWS\system32\sywtdxaz.sys, драйвер опознан как безопасный
По многим признакам это руткит, или все-таки кто-то под него подделывается?
-
[quote=PavelA;232607]Олег! Вот такая строчка в логе:
\FileSystem\ntfs[IRP_MJ_CREATE] = F59E1BA3 -> C:\WINDOWS\system32\sywtdxaz.sys, драйвер опознан как безопасный
По многим признакам это руткит, или все-таки кто-то под него подделывается?[/quote]
Чисто теоретически может быть, что при обращении к файлу выдается не его содержимое, а содержимое чего-то типа Beep.Sys. Можно попробовать закарантинить его через BC - посмотрим, что за зверь
-
Попробовал взять обычным Quarantine с послед. включением ВС_ImportAll.
В ВС завершение копирования = 0, но в карантине его нет.
М.б. его убил Доктор Веб, если пользователь не отключил.
Теперь уже поздно. V_Bond убил файл скриптом.
С этим именем в паре тем в разделе "Помогите!" у нас эти файлики проскакивали. В ответах из ЛК было что нашли что-то новое, но непонятно на этом файле или нет.
-
Просьба к Олегу - сделать в следующих версиях AVZ ключ запуска AVZ для обновления баз, чтобы можно было делать это из зашедуленного батника. У меня так каждый день wget-ом качается cureit и база для SpybotSD (если обновилась) .
А может, он уже есть, и я что-то не знаю ?
-
Есть. Читать хелп полезно бывает :)
[quote]Задача: выполнить обновление базы в "тихом" режиме (без отображения GUI) с протоколированием успешности операций. Это в частности удобно в случае размещения AVZ на сервере - в этом случае процедуру обновления баз можно включить в планировщик и в результате на сервере будет находиться AVZ с актуальной базой.
Скрипт имеет вид:
var
S : string;
begin
// Обновление баз
if ExecuteAVUpdate then S := 'Обновление прошло успешно'
else S := 'Ошибка обновления баз AVZ';
// Протоколирование
AddLineToTxtFile(GetAVZDirectory + 'avz_upd.log', DateTimeToStr(Now)+' '
+S);
// Завершение работы AVZ
ExitAVZ;
end.
Запуск AVZ в данном случае должен производиться с параметрами:
avz.exe HiddenMode=1 script=update.txt
В данном случае предполагается, что скрипт сохранен в папке AVZ в файле с именем update.txt. Параметр HiddenMode=1 предписывает AVZ запуститься свернутым в трей. В качестве усовершенствования в данном скрипте можно применить функцию ExecuteAVUpdateEx
AVZ, (C) Зайцев О.В., http:[/quote]
[size="1"][color="#666686"][B][I]Добавлено через 5 часов 41 минуту[/I][/B][/color][/size]
Олег, по моему предыдущему сообщению - в таком виде копируется из справки АВЗ.
URL не дописывается. Бага вроде как :)
-
AVZ часто запускается в безопасном режиме. А на некоторых машинах именно в безопасном режиме разрешение экрана больше, чем 640х480 не поставить. Неудобность в том, что интерфейс явно не расчитан на 640х480 :( Там ведь, наверное, совсем чуть-чуть поправить ...
-
+10
Надо это обязательно поправить. Как же мы такое пропустили? :(
Page generated in 0.00581 seconds with 10 queries