Бета-тестирование антивируса "ВирусБлокАда" 2

[COLOR="Red"][SIZE="3"][B]Продолжение темы.
Начало: [url]http://virusinfo.info/showthread.php?t=1356[/url][/B][/SIZE][/COLOR]

[QUOTE=Geser]Кстати, в направлении уменьшения размера баз ведутся какие-то работы? А то уж больно разрослись.[/QUOTE]
начаты конкретные мероприятия по уменьшению количества записей в базе без потери качества детектирования. сегодня первый реальный шаг: -3.000, будем продолжать. в ближайших версиях в планах есть отказ от счётчика вообще, чтобы не смущать пользователей скачками цифр ;)

[QUOTE=Dr.Xmas]начаты конкретные мероприятия по уменьшению количества записей в базе без потери качества детектирования. сегодня первый реальный шаг: -3.000, будем продолжать. в ближайших версиях в планах есть отказ от счётчика вообще, чтобы не смущать пользователей скачками цифр ;)[/QUOTE]

Надеюсь, это не выкидывание процедур восстановления (лечения) результатов поражения (во, блин, загнул ;-))) достаточно древних "гадов".

[b]Dr.Xmas[/b]
Кинь плз линк на текущую бету GUI, а то вот тестирую консольку, интересно еще поганять монитор.

P.S. Не помню, писал ли что готов стать бетатестером.

[QUOTE=Grey][b]Dr.Xmas[/b]
Кинь плз линк на текущую бету GUI, а то вот тестирую консольку, интересно еще поганять монитор.

P.S. Не помню, писал ли что готов стать бетатестером.[/QUOTE]
Для установки бета версии Комплекса нужно взять инсталляцию с Сайта [url]http://anti-virus.by/download/products/[/url] (лучше для раб. станции) , установить путь обновления [url]www.anti-virus.by/beta/update/[/url] и обновить программу. Если у Вас нет ключа для полной бета - версии, то ознакомтесь с [url]http://anti-virus.by/download/beta/[/url] .

[b]HA[/b]
Спасибо за подсказку :)

Доступны для обновления доработанный Карантин (многие пожелания уже реализованы), и антидозвонщик.... По возможности, обратите внимание именно на эти два компонента. Ждем замечания по работоспособности.

[QUOTE=HA]Ждем замечания по работоспособности.[/QUOTE]
Антидиалер работает нормально.
Хотелось бы иметь возможность временно отключать его (не просто «не блокировать попытки дозвона», а убирать из автозагрузки).

[QUOTE=Участковый]Антидиалер работает нормально.
Хотелось бы иметь возможность временно отключать его (не просто «не блокировать попытки дозвона», а убирать из автозагрузки).[/QUOTE]
Спасибо. Предложение принимается. Постараемся реализовать.

[B]к разработчкикам VBA32[/B]
Высылал Вам вот уже пару дней назад файлик crack.zip, запароленный с паролем [B]virus[/B] и пока никакой реакции.
На сей раз предыдущий и еще один файлик в архиве [B]virus.zip[/B] с паролем [B]virus[/B]. Оба этих вируса VBA32 не распознает (надеюсь пока).

Кстати, да. Исключая все горящие "угрозы", которые обрабатываются в первую очередь, хочется понять алгоритм обработки поступающих образцов.
Понятно, что зараза сыпется в огромных количествах и аналитики не сидят без работы.
=====================================================================
2 Grey: А отправляли Вы через Карантин или почтой?
В карантине в настоящее время реализован весьма удобный метод отсылки образцов на анализ.

И мне что-то с [email][email protected][/email] не отвечают :) Напишу-ка я сюда :). Иногда при проверке tar с вложенными другими архивами в vba32 что-то слетает и он проверяет файлы дважды.

[QUOTE=Iceman]Кстати, да. Исключая все горящие "угрозы", которые обрабатываются в первую очередь, хочется понять алгоритм обработки поступающих образцов.
Понятно, что зараза сыпется в огромных количествах и аналитики не сидят без работы.
[/QUOTE]
валится действительно много и непрерывно :\ есть несколько стратегий, как поступить с образцом. если образец действительно "горячий" (эпидемия, заражены компьютеры крупного предприятия), приоритет самый высокий плоть по выпуска внеочередного апдейта. если образец детектируется эвристикой и его уже задетектил какой-то антивирус (тем самым подтвердив предположение эвристики), вирус вставляется с минимальным временем на анализ. что-то "высаживаем" на специально подготовленных компьютерах, чтобы получить экземпляры. что-то изучаем в отладчиках и дизассемблерах. что-то с минимальным проритетом оседает в коллекцию для последующего изучения.

[QUOTE=Dr.Xmas]валится действительно много и непрерывно :\ есть несколько стратегий, как поступить с образцом. если образец действительно "горячий" (эпидемия, заражены компьютеры крупного предприятия), приоритет самый высокий плоть по выпуска внеочередного апдейта. если образец детектируется эвристикой и его уже задетектил какой-то антивирус (тем самым подтвердив предположение эвристики), вирус вставляется с минимальным временем на анализ. что-то "высаживаем" на специально подготовленных компьютерах, чтобы получить экземпляры. что-то изучаем в отладчиках и дизассемблерах. что-то с минимальным проритетом оседает в коллекцию для последующего изучения.[/QUOTE]

Я так и предполагал ;-0). Спасибо. Тогда вопрос: необходимо ли периодически направлять недетектируемые образцы аналитикам или полученные один раз они гарантированно будут обработаны со временем? А то забанят, нафик ;-))) за спам...

[QUOTE=Grey][B]к разработчкикам VBA32[/B]
Высылал Вам вот уже пару дней назад файлик crack.zip, запароленный с паролем [B]virus[/B] и пока никакой реакции.
На сей раз предыдущий и еще один файлик в архиве [B]virus.zip[/B] с паролем [B]virus[/B]. Оба этих вируса VBA32 не распознает (надеюсь пока).[/QUOTE]
crack.zip есть, троян будет вставлен в следующий апдейт, virus.zip найти не удалось. когда (хотя бы примерно) и на какой почтовый ящик было послано письмо?

[QUOTE=Iceman]Я так и предполагал ;-0). Спасибо. Тогда вопрос: необходимо ли периодически направлять недетектируемые образцы аналитикам или полученные один раз они гарантированно будут обработаны со временем? А то забанят, нафик ;-))) за спам...[/QUOTE]
никто банить не будет ;) напротив, лёгкие пинки и тычки приветствуются. бывает, перепоручаем друг другу с чем-то разобраться и.... нет, мы конечно не забываем об этом вообще ;) лучше, если у письма будет чётко выраженная тема и толковый текст. как правило, письма валятся вообще без текста с прикреплёнными архивами. сидим, гадаем, что автор от нас хотел ;)

Спасибо! Вот и чудненько ;-)))).

Файл один и тот же, но из-за разницы в названии директорий, скопирован в карантин 2 раза.

13:52:12 16-10-2005 Монитор загружен
13:52:12 16-10-2005 Пользователь: Official beta tester
13:52:12 16-10-2005 Лицензия №000000119 Действительна до 30.11.2005
13:52:12 16-10-2005 Компьютер: ORG
13:52:12 16-10-2005 Система: Windows XP
13:52:12 16-10-2005 Vba32 WinNT Workstation 3.10.5 beta / 14.10.2005 (Vba32.NT.W)
13:52:12 16-10-2005 Загружено 112850 моделей вирусов.
13:52:12 16-10-2005 Монитор включен
13:56:26 16-10-2005 F:\WINDOWS\system32\Drivers\AMBRIM.sys : похож на Backdoor.Robobot.1 (paranoid heuristics)
14:00:07 16-10-2005 Монитор выгружен

10:55:33 17-10-2005 Монитор загружен
10:55:33 17-10-2005 Пользователь: Official beta tester
10:55:33 17-10-2005 Лицензия №000000119 Действительна до 30.11.2005
10:55:33 17-10-2005 Компьютер: ORG
10:55:33 17-10-2005 Система: Windows XP
10:55:33 17-10-2005 Vba32 WinNT Workstation 3.10.5 beta / 14.10.2005 (Vba32.NT.W)
10:55:33 17-10-2005 Загружено 112850 моделей вирусов.
10:55:33 17-10-2005 Монитор включен
15:42:57 17-10-2005 F:\WINDOWS\system32\drivers\AMBRIM.sys : похож на Backdoor.Robobot.1 (paranoid heuristics)

Почему отличаются директории?

[QUOTE=userr]И мне что-то с [email][email protected][/email] не отвечают :) Напишу-ка я сюда :). Иногда при проверке tar с вложенными другими архивами в vba32 что-то слетает и он проверяет файлы дважды.[/QUOTE]
Есть такое. Спасибо, исправим.

Спасибо Kertis. Действительно в Карантине в подобных случаях - появляются две записи. Файл в Карантине сохраняется один. Будем исправлять.

[QUOTE=Dr.Xmas]лучше, если у письма будет чётко выраженная тема и толковый текст. как правило, письма валятся вообще без текста с прикреплёнными архивами. сидим, гадаем, что автор от нас хотел ;)[/QUOTE]как Что? Прикреплённое файло следует схватить, засунуть в virustotal и наблюдать результаты ;) ... Хмм... что-то я забыл... Когда из карантина отправляю файл, к нему каммент цеплять можно?