Бета-тестирование антивируса "ВирусБлокАда"

Тут [b]только[/b] о бета-тестировании.
Обсуждение антивируса тут: [url]http://virusinfo.info/index.php?board=18;action=display;threadid=88[/url]
Записаться в бета тестеры можно тут: [url]http://anti-virus.by/download/beta/[/url]

[QUOTE=Geser]
Кстати. Можно когда выходит новая бета писать что изменилось, что бы знали что тестировать?
[/QUOTE]
хорошо, будем публиковать. до сих пор пока народ не сильно интересовался. в ближайшем времени открываем у себя на сайте форум, и сюда будем постить. пока такая просьба: в последних базах реализована новая эвристика по PE (Win32) вирусам. если не затруднит, погонять где возможно сканер Vba32w.exe [path] /ha /r=
и если будут сообщения "похож" на нормальные файлы, выслать их нам

[QUOTE=Dr]
пока такая просьба: в последних базах реализована новая эвристика по PE (Win32) вирусам. если не затруднит, погонять где возможно сканер Vba32w.exe [path] /ha /r=
и если будут сообщения "похож" на нормальные файлы, выслать их нам
[/QUOTE]
А если в интерфейсе настраивать, то какие должны быть установки?

Ок, просканировал комп с максимальным уровнем эвристика. В настройках стоит при нахождении подозрительных файлов спрашивать что делать. Однако почти всегда никакого запроса не выдавалось.
Когда были найдены вирусы в почтовых базах, есть только опция лечить или пропустить. А где опция удалить? И почему нет опции сделать резервную копию?

[QUOTE=Dr]
пока такая просьба: в последних базах реализована новая эвристика по PE (Win32) вирусам. если не затруднит, погонять где возможно сканер Vba32w.exe [path] /ha /r=
и если будут сообщения "похож" на нормальные файлы, выслать их нам
[/QUOTE]
Не понял только где его взять ;)? У меня сканер есть, но он по всей видимости, в Vba32w.dll, находится. Exe файлов с таким именем нет.

[QUOTE=Minos]
Не понял только где его взять ;)? У меня сканер есть, но он по всей видимости, в Vba32w.dll, находится. Exe файлов с таким именем нет.
[/QUOTE]
В Vba32w.dll находится антивирусное ядро, которое используется сканером, монитором и другими компонентами комплекса. Vba32w.exe - консольный сканер. Скорее всего инсталлирована Personal-версия, в которой нет консольного сканера. Ничего страшного, можно запустить и GUI-сканер с настройками эвристического анализа по максимуму и включенным ведением файла отчета.

Полная версия - это для рабочих станций? Т.е. нужно скачать и поставить версию для рабочих станций, затем обновиться из бета-раздела и получится полная версия? Чем отличается personal от Workstation? Надо бы сравнительную табличку на сайте выложить.

В настройках почтового фильтра можно или лечить или переместить. Было бы неплохо если бы можно было лечить, и создавать резервную копию.

[QUOTE=Geser]
В настройках почтового фильтра можно или лечить или переместить. Было бы неплохо если бы можно было лечить, и создавать резервную копию.
[/QUOTE]
Эта настройка была бы полезна в основном для тестирования. Для защиты конечного пользователя действительно не предусмотрена, т.к. считаем это излишним. Почтовые сообщения, чаще всего, не являются чрезмерно ценными и "не восполнимыми", а обезвреживание РОР3-фильтр проводит достаточно корректно. За предложение: Спасибо.

[QUOTE=Minos]
Чем отличается personal от Workstation? Надо бы сравнительную табличку на сайте выложить.
[/QUOTE]
В комплектацию для рабочих станций входит наиболшее количество компонентов. Для тестирования она наиболее удобна (кроме случаев, когда тестируются функциональность и работоспособность серверного монитора). Состав комлектаций:
Vba32.W - сканер и монитор с графическим пользовательским интерфейсом для Win -рабочей станции, расширение меню Проводника, консольные сканеры для DOS и Win32, РОР3-фильтр, скрипт-фильтр, плагин для TheBat!, MS Outlook-модуль,
Vba32.P - сканер и монитор с графическим пользовательским интерфейсом для Win – локального ПК, расширение меню Проводника, консольный сканер для DOS, РОР3-фильтр, скрипт-фильтр, плагин для TheBat!, MS Outlook-модуль.
Vba32.NT.S - сканер и монитор с графическим пользовательским интерфейсом для WinNT – сервера, расширение меню Проводника, консольные сканеры для DOS и Win32.

Прошу обрартить внимание на пост #2, а так же хотелось бы сказать что не хватает нормального карантина. То что есть очень неудобно :(

с UI-based virus reportoм
ЗЫ извиняюсь за выражение ::)

в сегодняшней ежедневной базе для бета-тестеров выложена экспериментальная база по эвристике. если есть возможность, потестируйте, плз.

С максимальным уровням эвристика нашёл десяток подозрителных файлов среди чистых. Отправлять? И куда?

Нельзя ли для тестирования выложить минимальный набор - консольный сканер, ядро и базы?

[QUOTE=Geser]
С максимальным уровням эвристика нашёл десяток подозрителных файлов среди чистых. Отправлять? И куда?
[/QUOTE]
если суммарный размер файлов большой, можно куда-нибудь выложить и мне дать ссылку, я скачаю. можно на [email][email protected][/email] с паролем

[QUOTE=userr]
Нельзя ли для тестирования выложить минимальный набор - консольный сканер, ядро и базы?
[/QUOTE]
можно, сейчас сделаем. я напишу отдельным письмом

Более подробная информация об обновленной эвристике в свежих бета-версиях (взята из списка рассылки для бета-тестеров):
[quote]
Уважаемые бета-тестеры!

В последних бета-версиях комплекса выложена экспериментальная база по эвристике. В базу добавлены записи для распознавания модификаций и новых версий более тысячи семейств самых разнообразных вредоносных программ (они пока даже не классифицируются по именам, а определяются как 'new.?', где ? - числовой индекс).

Общий принцип действия эвристики - имеется некий робот, которому для анализа выдаются две группы файлов: одна содержит вредоносные программы, другая - обычные файлы. Задача робота - найти характерные признаки (мы называем их 'алгоритмическими сигнатурами'), которые встречаются во вредоносных программах, но которых нет в "хороших". По результатам работы данного робота получается база, используя которую, комплекс Vba32
может находить вредоносные программы и их модификации, но при этом избежать ложных срабатываний на нормальных файлах.

По результатам тестирования, уже даже сейчас среди присланных бета-тестерами файлов обнаруживается целая куча новых модификаций троянов и других вредоносных программ, хотя и ложных срабатываний пока многовато. Но данная база сейчас пока является экспериментальной, количество новых записей достаточно большое, так что это нормально.

Для того, чтобы исключить ложные срабатывания, робота нужно обучать и пополнять его коллекцию "хороших" файлов. Вот тут нам очень пригодится помощь бета-тестеров. Пожалуйста включите максимальный уровень эвристики, установите настройку "делать копии подозрительных файлов" и запустите сканер на проверку всех дисков. Собранные файлы пожалуйста присылайте на [email][email protected][/email] или, если их очень много, просто напишите письмо с описанием ситуации и списком файлов, мы попробуем придумать, как их забрать.

PS. Как вы возможно помните, одним из условий бета-тестирования является информирование разработчиков об ошибках в программе (или если ошибок совсем не обнаружено, то хотя бы отзыва). Так что присылка ложных срабатываний по новой эвристике, это отличная возможность продлить бета-ключ :)
[/quote]

Понятно что при обучении на "хороших" программах робот перестанет реагировать и на часть плохих. Конечно это неизбежно, т.к. антивирус не должен иметь большого количества ложных срабатываний.
Однако я думаю многие продвинутые пользователи были бы заинтересованы в утилитке, у которой в базе данных [b]только[/b] характерные для вредоносных программ алгоритмические сигнатуры, которую можно запустить и получить список всех подозрительных файлов, а потом уже разбираться самому кто есть кто.

[QUOTE=Geser]
Понятно что при обучении на "хороших" программах робот перестанет реагировать и на часть плохих. Конечно это неизбежно, т.к. антивирус не должен иметь большого количества ложных срабатываний.
[/QUOTE]
Да, верно, после расширения списка "хороших" программ, может получиться так, что какая-то вредоносная программа перестает детектироваться. Но это обычно бывает только для тех троянов, которые содержат очень мало кода (например, только сотня-другая байт у downloader'ов). Там просто практически не за что "зацепиться" и есть вероятность, что такой же фрагмент кода может встретиться и в нормальной программе. Но для относительно больших троянов (10 и более KB), обычно робот всегда может найти уникальные фрагменты кода, по которым можно проводить детектирование.

[quote]
Однако я думаю многие продвинутые пользователи были бы заинтересованы в утилитке, у которой в базе данных [b]только[/b] характерные для вредоносных программ алгоритмические сигнатуры, которую можно запустить и получить список всех подозрительных файлов, а потом уже разбираться самому кто есть кто.
[/quote]
Попробую объяснить, откуда берутся ложные срабатывания эвристики.

Например, мы имеем трояна, написанного на Delphi. Чистый код самого трояна будет совсем небольшим, остальной код берется из стандартных библиотек, использованных дополнительных компонент и библиотек, которые можно скачать на разных Delphi-девелоперовских страничках, а также фрагментов кода, один в один скопированных откуда-нибудь (например example по скачиванию файла, используя http-протокол). Робот, выбирая сигнатуры, может посчитать какую-нибудь редко распространенную библиотеку характерным кодом трояна и детектировать как подозрения все файлы, ее использующие. Пока такие нормальные файлы не попадут в нашу коллекцию "хороших" файлов, будут неизбежны ложные срабатывания. Это все напоминает процесс обучения спам-фильтра.

Насколько я понимаю, более продвинутым пользователям интересен "сверхмаксимальный" уровень эвристики, для которого порог срабатывания выставлен так, что чувствительность максимальна. В таком режиме будут просто неизбежны ложные срабатывания, но это позволит составить список файлов для дальнейшего анализа уже человеком. Кстати, в нашем консольном сканере есть недокументированный ключик командной строки [b]/heuristics_test[/b], который устанавливает именно данный режим эвристики. Но его пока рано использовать на данном этапе тестирования бета-версии, поскольку там сейчас и в обычном (точнее максимальном) режиме ложных срабатываний хватает :)

Ок, я выслал с десяток файликов.