Бета-тестирование антивируса "ВирусБлокАда"

Тут [b]только[/b] о бета-тестировании.
Обсуждение антивируса тут: [url]http://virusinfo.info/index.php?board=18;action=display;threadid=88[/url]
Записаться в бета тестеры можно тут: [url]http://anti-virus.by/download/beta/[/url]

[QUOTE=Geser]
Кстати. Можно когда выходит новая бета писать что изменилось, что бы знали что тестировать?
[/QUOTE]
хорошо, будем публиковать. до сих пор пока народ не сильно интересовался. в ближайшем времени открываем у себя на сайте форум, и сюда будем постить. пока такая просьба: в последних базах реализована новая эвристика по PE (Win32) вирусам. если не затруднит, погонять где возможно сканер Vba32w.exe [path] /ha /r=
и если будут сообщения "похож" на нормальные файлы, выслать их нам

[QUOTE=Dr]
пока такая просьба: в последних базах реализована новая эвристика по PE (Win32) вирусам. если не затруднит, погонять где возможно сканер Vba32w.exe [path] /ha /r=
и если будут сообщения "похож" на нормальные файлы, выслать их нам
[/QUOTE]
А если в интерфейсе настраивать, то какие должны быть установки?

Ок, просканировал комп с максимальным уровнем эвристика. В настройках стоит при нахождении подозрительных файлов спрашивать что делать. Однако почти всегда никакого запроса не выдавалось.
Когда были найдены вирусы в почтовых базах, есть только опция лечить или пропустить. А где опция удалить? И почему нет опции сделать резервную копию?

[QUOTE=Dr]
пока такая просьба: в последних базах реализована новая эвристика по PE (Win32) вирусам. если не затруднит, погонять где возможно сканер Vba32w.exe [path] /ha /r=
и если будут сообщения "похож" на нормальные файлы, выслать их нам
[/QUOTE]
Не понял только где его взять ;)? У меня сканер есть, но он по всей видимости, в Vba32w.dll, находится. Exe файлов с таким именем нет.

[QUOTE=Minos]
Не понял только где его взять ;)? У меня сканер есть, но он по всей видимости, в Vba32w.dll, находится. Exe файлов с таким именем нет.
[/QUOTE]
В Vba32w.dll находится антивирусное ядро, которое используется сканером, монитором и другими компонентами комплекса. Vba32w.exe - консольный сканер. Скорее всего инсталлирована Personal-версия, в которой нет консольного сканера. Ничего страшного, можно запустить и GUI-сканер с настройками эвристического анализа по максимуму и включенным ведением файла отчета.

Полная версия - это для рабочих станций? Т.е. нужно скачать и поставить версию для рабочих станций, затем обновиться из бета-раздела и получится полная версия? Чем отличается personal от Workstation? Надо бы сравнительную табличку на сайте выложить.

В настройках почтового фильтра можно или лечить или переместить. Было бы неплохо если бы можно было лечить, и создавать резервную копию.

[QUOTE=Geser]
В настройках почтового фильтра можно или лечить или переместить. Было бы неплохо если бы можно было лечить, и создавать резервную копию.
[/QUOTE]
Эта настройка была бы полезна в основном для тестирования. Для защиты конечного пользователя действительно не предусмотрена, т.к. считаем это излишним. Почтовые сообщения, чаще всего, не являются чрезмерно ценными и "не восполнимыми", а обезвреживание РОР3-фильтр проводит достаточно корректно. За предложение: Спасибо.

[QUOTE=Minos]
Чем отличается personal от Workstation? Надо бы сравнительную табличку на сайте выложить.
[/QUOTE]
В комплектацию для рабочих станций входит наиболшее количество компонентов. Для тестирования она наиболее удобна (кроме случаев, когда тестируются функциональность и работоспособность серверного монитора). Состав комлектаций:
Vba32.W - сканер и монитор с графическим пользовательским интерфейсом для Win -рабочей станции, расширение меню Проводника, консольные сканеры для DOS и Win32, РОР3-фильтр, скрипт-фильтр, плагин для TheBat!, MS Outlook-модуль,
Vba32.P - сканер и монитор с графическим пользовательским интерфейсом для Win – локального ПК, расширение меню Проводника, консольный сканер для DOS, РОР3-фильтр, скрипт-фильтр, плагин для TheBat!, MS Outlook-модуль.
Vba32.NT.S - сканер и монитор с графическим пользовательским интерфейсом для WinNT – сервера, расширение меню Проводника, консольные сканеры для DOS и Win32.

Прошу обрартить внимание на пост #2, а так же хотелось бы сказать что не хватает нормального карантина. То что есть очень неудобно :(

с UI-based virus reportoм
ЗЫ извиняюсь за выражение ::)

в сегодняшней ежедневной базе для бета-тестеров выложена экспериментальная база по эвристике. если есть возможность, потестируйте, плз.

С максимальным уровням эвристика нашёл десяток подозрителных файлов среди чистых. Отправлять? И куда?

Нельзя ли для тестирования выложить минимальный набор - консольный сканер, ядро и базы?

[QUOTE=Geser]
С максимальным уровням эвристика нашёл десяток подозрителных файлов среди чистых. Отправлять? И куда?
[/QUOTE]
если суммарный размер файлов большой, можно куда-нибудь выложить и мне дать ссылку, я скачаю. можно на [email][email protected][/email] с паролем

[QUOTE=userr]
Нельзя ли для тестирования выложить минимальный набор - консольный сканер, ядро и базы?
[/QUOTE]
можно, сейчас сделаем. я напишу отдельным письмом

Более подробная информация об обновленной эвристике в свежих бета-версиях (взята из списка рассылки для бета-тестеров):
[quote]
Уважаемые бета-тестеры!

В последних бета-версиях комплекса выложена экспериментальная база по эвристике. В базу добавлены записи для распознавания модификаций и новых версий более тысячи семейств самых разнообразных вредоносных программ (они пока даже не классифицируются по именам, а определяются как 'new.?', где ? - числовой индекс).

Общий принцип действия эвристики - имеется некий робот, которому для анализа выдаются две группы файлов: одна содержит вредоносные программы, другая - обычные файлы. Задача робота - найти характерные признаки (мы называем их 'алгоритмическими сигнатурами'), которые встречаются во вредоносных программах, но которых нет в "хороших". По результатам работы данного робота получается база, используя которую, комплекс Vba32
может находить вредоносные программы и их модификации, но при этом избежать ложных срабатываний на нормальных файлах.

По результатам тестирования, уже даже сейчас среди присланных бета-тестерами файлов обнаруживается целая куча новых модификаций троянов и других вредоносных программ, хотя и ложных срабатываний пока многовато. Но данная база сейчас пока является экспериментальной, количество новых записей достаточно большое, так что это нормально.

Для того, чтобы исключить ложные срабатывания, робота нужно обучать и пополнять его коллекцию "хороших" файлов. Вот тут нам очень пригодится помощь бета-тестеров. Пожалуйста включите максимальный уровень эвристики, установите настройку "делать копии подозрительных файлов" и запустите сканер на проверку всех дисков. Собранные файлы пожалуйста присылайте на [email][email protected][/email] или, если их очень много, просто напишите письмо с описанием ситуации и списком файлов, мы попробуем придумать, как их забрать.

PS. Как вы возможно помните, одним из условий бета-тестирования является информирование разработчиков об ошибках в программе (или если ошибок совсем не обнаружено, то хотя бы отзыва). Так что присылка ложных срабатываний по новой эвристике, это отличная возможность продлить бета-ключ :)
[/quote]

Понятно что при обучении на "хороших" программах робот перестанет реагировать и на часть плохих. Конечно это неизбежно, т.к. антивирус не должен иметь большого количества ложных срабатываний.
Однако я думаю многие продвинутые пользователи были бы заинтересованы в утилитке, у которой в базе данных [b]только[/b] характерные для вредоносных программ алгоритмические сигнатуры, которую можно запустить и получить список всех подозрительных файлов, а потом уже разбираться самому кто есть кто.

[QUOTE=Geser]
Понятно что при обучении на "хороших" программах робот перестанет реагировать и на часть плохих. Конечно это неизбежно, т.к. антивирус не должен иметь большого количества ложных срабатываний.
[/QUOTE]
Да, верно, после расширения списка "хороших" программ, может получиться так, что какая-то вредоносная программа перестает детектироваться. Но это обычно бывает только для тех троянов, которые содержат очень мало кода (например, только сотня-другая байт у downloader'ов). Там просто практически не за что "зацепиться" и есть вероятность, что такой же фрагмент кода может встретиться и в нормальной программе. Но для относительно больших троянов (10 и более KB), обычно робот всегда может найти уникальные фрагменты кода, по которым можно проводить детектирование.

[quote]
Однако я думаю многие продвинутые пользователи были бы заинтересованы в утилитке, у которой в базе данных [b]только[/b] характерные для вредоносных программ алгоритмические сигнатуры, которую можно запустить и получить список всех подозрительных файлов, а потом уже разбираться самому кто есть кто.
[/quote]
Попробую объяснить, откуда берутся ложные срабатывания эвристики.

Например, мы имеем трояна, написанного на Delphi. Чистый код самого трояна будет совсем небольшим, остальной код берется из стандартных библиотек, использованных дополнительных компонент и библиотек, которые можно скачать на разных Delphi-девелоперовских страничках, а также фрагментов кода, один в один скопированных откуда-нибудь (например example по скачиванию файла, используя http-протокол). Робот, выбирая сигнатуры, может посчитать какую-нибудь редко распространенную библиотеку характерным кодом трояна и детектировать как подозрения все файлы, ее использующие. Пока такие нормальные файлы не попадут в нашу коллекцию "хороших" файлов, будут неизбежны ложные срабатывания. Это все напоминает процесс обучения спам-фильтра.

Насколько я понимаю, более продвинутым пользователям интересен "сверхмаксимальный" уровень эвристики, для которого порог срабатывания выставлен так, что чувствительность максимальна. В таком режиме будут просто неизбежны ложные срабатывания, но это позволит составить список файлов для дальнейшего анализа уже человеком. Кстати, в нашем консольном сканере есть недокументированный ключик командной строки [b]/heuristics_test[/b], который устанавливает именно данный режим эвристики. Но его пока рано использовать на данном этапе тестирования бета-версии, поскольку там сейчас и в обычном (точнее максимальном) режиме ложных срабатываний хватает :)

Ок, я выслал с десяток файликов.

а что слышно по поводу баг-трекера? он будет? не актуально? А то я с полпинка уже 11й баг-репорт пишу.

[QUOTE=Dr]
можно, сейчас сделаем. я напишу отдельным письмом
[/QUOTE]

Уже можно где-нибудь скачать?

[QUOTE=HEKTO]
Уже можно где-нибудь скачать?
[/QUOTE]
Завтра заканчиваем внутреннее тестирование очередного экспериментального апдейта по эвристике. Исправлены ложные срабатывания на файлах, которые были выявлены на данный момент и присланы бета-тестерами. Добавлено много новых записей эвристики, так что ложные срабатывания скорее всего еще будут :) Но их уже должно быть намного меньше.

Как только все будет готово, выложим апдейт для бета-версии и отдельный архив с консольным сканером.

есть надежда на версию (монитором ,сканером , апдейтом) с возможностью установки без шедуллера ??? надежда умирает последней ;D

[QUOTE=drongo]
есть надежда на версию (монитором ,сканером , апдейтом) с возможностью установки без шедуллера ??? надежда умирает последней ;D
[/QUOTE]
А зачем? Если шедулер не нужен или мешает работе, его можно просто отключить, убрав птичку 'периодическое обновление' в настройках. Или есть какие-то существенные причины для создания именно такой версии кроме 'идеологических'? ;)

[QUOTE=serge]
Завтра заканчиваем внутреннее тестирование очередного экспериментального апдейта по эвристике. Исправлены ложные срабатывания на файлах, которые были выявлены на данный момент и присланы бета-тестерами. Добавлено много новых записей эвристики, так что ложные срабатывания скорее всего еще будут :) Но их уже должно быть намного меньше.

Как только все будет готово, выложим апдейт для бета-версии и отдельный архив с консольным сканером.
[/QUOTE]
Все, апдейт готов, можно обновляться и тестировать.

Бета-версию консольного сканера можно скачать [url=http://www.anti-virus.by/download_files/vba32-console-scanner-beta-20041118.zip]здесь[/url].

Для облегчения процесса сбора подозрительных файлов, в архиве с консольным сканером есть бат-файл [b]heuristics-test.bat[/b] и подкаталог [b]test-tools[/b]. Этот бат-файл запускает консольный сканер на проверку всех дисков, создает файл отчета, находит в отчете подозрительные файлы и запаковывает их в rar-архив [b]susp.rar[/b] с паролем [b]virus[/b]. Далее с этим архивом уже можно разбираться, что есть настоящий троян, а что - ложное срабатывание эвристики. В любом случае, нам бы хотелось посмотреть на эти собранные файлы. Если батник не утащил в архив ничего секретного и размер архива не очень большой, пожалуйста пришлите его нам на [email][email protected][/email]

Такое впечатление, что ключи
/AR[+|-] - включение обработки файлов в архивах;
/AD[+|-] - удаление архивов, содержащих инфицированные файлы;
и
/ML[+|-] - проверка почты;
/MD[+|-] - удаление писем с инфицированными файлами;
соответственно не вполне совместимы. Когда запускаешь с ключами /ar+ /ad- /ml+ /md- архивы и почта не проверяется. К счастью, при запуске только с /ar+ /ml+ ничего не удаляется :)

[QUOTE=userr]
Такое впечатление, что ключи
/AR[+|-] - включение обработки файлов в архивах;
/AD[+|-] - удаление архивов, содержащих инфицированные файлы;
и
/ML[+|-] - проверка почты;
/MD[+|-] - удаление писем с инфицированными файлами;
соответственно не вполне совместимы. Когда запускаешь с ключами /ar+ /ad- /ml+ /md- архивы и почта не проверяется. [/QUOTE]
Спасибо, похоже действительно есть баг с разбором ключей командной строки. Судя по всему, ключ /ad- сейчас вообще отключает проверку архивов, а /md- отключает проверку почтовых баз и почтовых сообщений соответственно. Будем исправлять.

[quote]К счастью, при запуске только с /ar+ /ml+ ничего не удаляется :)[/quote]
Верно, удаление чего-либо, это такая вещь, которую делать без явной команды совершенно нельзя. Так что это не счастье, а вполне нормальное явление :)

[color=Maroon]ImageReady.exe 8.0.0.117 en[/color] из пакета Adobe Photoshop CS попал под раздачу: ImageReady.exe : is suspected of new.1171, он весит 18 метров, что бум делать?

[QUOTE=maXmo]
[color=Maroon]ImageReady.exe 8.0.0.117 en[/color] из пакета Adobe Photoshop CS попал под раздачу: ImageReady.exe : is suspected of new.1171, он весит 18 метров, что бум делать?
[/QUOTE]
через час будет свежая версия. если само не отвалится, будем искать этот файлик сами

возможно, не понадобится, там на плагин подобное подозрение, его я отошлю, если не отвалится, может быть, с его помощью можно будет пофиксить и ничего не искать... ого!.. полезло!!! аа... это он на мой временный карантин наткнулся, да и на свой, видать, тоже. ;D

Выложено очередное обновление бета-версии. Исправлен баг с разбором ключей командной строки и ложные срабатывания эвристики на присланных бета-тестерами файлах.

Архив с обновленной консольной версией можно скачать здесь:
[url=http://www.anti-virus.by/download_files/vba32-console-scanner-beta-20041119.zip]http://www.anti-virus.by/download_files/vba32-console-scanner-beta-20041119.zip[/url]

А из архивов подозрительные файлы вытаскивать он не умеет :(

[QUOTE=Geser]
А из архивов подозрительные файлы вытаскивать он не умеет :(
[/QUOTE]
Да, верно, вспомогательный батник для сбора файлов довольно примитивный, писался за несколько минут :)

Вообще говоря, если ставить цель искать живущие в системе неизвестные трояны, то лазить по архивам и не обязательно. Если же искать ложные срабатывания эвристики, то тут действительно неплохо бы автоматизировать сбор таких файлов. Много уже нашлось? ;)

Если развивать это дело дальше, то можно будет добавить недокументированный ключик в сам консольный сканер, чтобы он мог собирать подозрительные файлы независимо от того, как глубоко они запакованы в архивах или почтовых базах.

[QUOTE=serge]
Если же искать ложные срабатывания эвристики, то тут действительно неплохо бы автоматизировать сбор таких файлов. Много уже нашлось? ;)

[/QUOTE]
Нашлось немножко, но почти всё в архивах :(

Выпущен очередной апдейт бета версии. Как обычно, исправлен ряд ложных срабатываний эвристики :)

Из интересного: в консольном сканере добавлен новый недокументированный ключ командной строки [b]/collect_suspects[/b] специально для сбора подозрительных файлов. Так что теперь программа может автоматически собирать и складывать в архив [b]susp.zip[/b] подозрительные файлы даже из проверяемых архивов и почтовых баз. Подробности описаны в файле 'readme.txt', который теперь тоже добавлен в архив с консольным сканером.

Линк для скачивания свежего консольного сканера:
[url]http://www.anti-virus.by/download_files/vba32-console-scanner-beta-20041122.zip[/url]

Просьба к бета-тестерам та же, что и раньше: распакуйте архив и запустите батник 'heuristics-test.bat', после этого созданный программой архив с подозрительными файлами пришлите нам на [email][email protected][/email]

А каков объём ящика? У меня на 130Мб файлов насобирал ;D. И почему heuristics-test-paranoid.bat параллельно лог или листинг не генерит?

[QUOTE=Iceman]
А каков объём ящика? У меня на 130Мб файлов насобирал ;D.
[/QUOTE]
ящик-то выдержит, но не хотелось бы напрягать многоуважаемого сэра. есть возможность куда-нибудь выложить? мы бы качнули быстренько

[QUOTE=Iceman]
А каков объём ящика? У меня на 130Мб файлов насобирал ;D. И почему heuristics-test-paranoid.bat параллельно лог или листинг не генерит?
[/QUOTE]
А без paranoid какой размер получается? ;)

Листинг можно получить по самому архиву, который получился в результате. Через 7-zip это делается так: '7z l susp.zip > susp.lst'.

Можно еще попробовать распаковать архив и разобраться с ним персонально, т.е. запустить на собранные файлы сканер со включенным ведением файла отчета. А далее - выбрать из всего этого набора уже самые интересные файлы.

К следующей версии добавим в батник ключ командной строки для ведения отчета, действительно он бы пригодился (/r=susp.rpt). А пока его каждый может добавить вручную.

Не владею данным направлением деятельности - подскажите куда, выложу.