Бета-тестирование антивируса "ВирусБлокАда" 2

[COLOR="Red"][SIZE="3"][B]Продолжение темы.
Начало: [url]http://virusinfo.info/showthread.php?t=1356[/url][/B][/SIZE][/COLOR]

[QUOTE=Geser]Кстати, в направлении уменьшения размера баз ведутся какие-то работы? А то уж больно разрослись.[/QUOTE]
начаты конкретные мероприятия по уменьшению количества записей в базе без потери качества детектирования. сегодня первый реальный шаг: -3.000, будем продолжать. в ближайших версиях в планах есть отказ от счётчика вообще, чтобы не смущать пользователей скачками цифр ;)

[QUOTE=Dr.Xmas]начаты конкретные мероприятия по уменьшению количества записей в базе без потери качества детектирования. сегодня первый реальный шаг: -3.000, будем продолжать. в ближайших версиях в планах есть отказ от счётчика вообще, чтобы не смущать пользователей скачками цифр ;)[/QUOTE]

Надеюсь, это не выкидывание процедур восстановления (лечения) результатов поражения (во, блин, загнул ;-))) достаточно древних "гадов".

[b]Dr.Xmas[/b]
Кинь плз линк на текущую бету GUI, а то вот тестирую консольку, интересно еще поганять монитор.

P.S. Не помню, писал ли что готов стать бетатестером.

[QUOTE=Grey][b]Dr.Xmas[/b]
Кинь плз линк на текущую бету GUI, а то вот тестирую консольку, интересно еще поганять монитор.

P.S. Не помню, писал ли что готов стать бетатестером.[/QUOTE]
Для установки бета версии Комплекса нужно взять инсталляцию с Сайта [url]http://anti-virus.by/download/products/[/url] (лучше для раб. станции) , установить путь обновления [url]www.anti-virus.by/beta/update/[/url] и обновить программу. Если у Вас нет ключа для полной бета - версии, то ознакомтесь с [url]http://anti-virus.by/download/beta/[/url] .

[b]HA[/b]
Спасибо за подсказку :)

Доступны для обновления доработанный Карантин (многие пожелания уже реализованы), и антидозвонщик.... По возможности, обратите внимание именно на эти два компонента. Ждем замечания по работоспособности.

[QUOTE=HA]Ждем замечания по работоспособности.[/QUOTE]
Антидиалер работает нормально.
Хотелось бы иметь возможность временно отключать его (не просто «не блокировать попытки дозвона», а убирать из автозагрузки).

[QUOTE=Участковый]Антидиалер работает нормально.
Хотелось бы иметь возможность временно отключать его (не просто «не блокировать попытки дозвона», а убирать из автозагрузки).[/QUOTE]
Спасибо. Предложение принимается. Постараемся реализовать.

[B]к разработчкикам VBA32[/B]
Высылал Вам вот уже пару дней назад файлик crack.zip, запароленный с паролем [B]virus[/B] и пока никакой реакции.
На сей раз предыдущий и еще один файлик в архиве [B]virus.zip[/B] с паролем [B]virus[/B]. Оба этих вируса VBA32 не распознает (надеюсь пока).

Кстати, да. Исключая все горящие "угрозы", которые обрабатываются в первую очередь, хочется понять алгоритм обработки поступающих образцов.
Понятно, что зараза сыпется в огромных количествах и аналитики не сидят без работы.
=====================================================================
2 Grey: А отправляли Вы через Карантин или почтой?
В карантине в настоящее время реализован весьма удобный метод отсылки образцов на анализ.

И мне что-то с [email][email protected][/email] не отвечают :) Напишу-ка я сюда :). Иногда при проверке tar с вложенными другими архивами в vba32 что-то слетает и он проверяет файлы дважды.

[QUOTE=Iceman]Кстати, да. Исключая все горящие "угрозы", которые обрабатываются в первую очередь, хочется понять алгоритм обработки поступающих образцов.
Понятно, что зараза сыпется в огромных количествах и аналитики не сидят без работы.
[/QUOTE]
валится действительно много и непрерывно :\ есть несколько стратегий, как поступить с образцом. если образец действительно "горячий" (эпидемия, заражены компьютеры крупного предприятия), приоритет самый высокий плоть по выпуска внеочередного апдейта. если образец детектируется эвристикой и его уже задетектил какой-то антивирус (тем самым подтвердив предположение эвристики), вирус вставляется с минимальным временем на анализ. что-то "высаживаем" на специально подготовленных компьютерах, чтобы получить экземпляры. что-то изучаем в отладчиках и дизассемблерах. что-то с минимальным проритетом оседает в коллекцию для последующего изучения.

[QUOTE=Dr.Xmas]валится действительно много и непрерывно :\ есть несколько стратегий, как поступить с образцом. если образец действительно "горячий" (эпидемия, заражены компьютеры крупного предприятия), приоритет самый высокий плоть по выпуска внеочередного апдейта. если образец детектируется эвристикой и его уже задетектил какой-то антивирус (тем самым подтвердив предположение эвристики), вирус вставляется с минимальным временем на анализ. что-то "высаживаем" на специально подготовленных компьютерах, чтобы получить экземпляры. что-то изучаем в отладчиках и дизассемблерах. что-то с минимальным проритетом оседает в коллекцию для последующего изучения.[/QUOTE]

Я так и предполагал ;-0). Спасибо. Тогда вопрос: необходимо ли периодически направлять недетектируемые образцы аналитикам или полученные один раз они гарантированно будут обработаны со временем? А то забанят, нафик ;-))) за спам...

[QUOTE=Grey][B]к разработчкикам VBA32[/B]
Высылал Вам вот уже пару дней назад файлик crack.zip, запароленный с паролем [B]virus[/B] и пока никакой реакции.
На сей раз предыдущий и еще один файлик в архиве [B]virus.zip[/B] с паролем [B]virus[/B]. Оба этих вируса VBA32 не распознает (надеюсь пока).[/QUOTE]
crack.zip есть, троян будет вставлен в следующий апдейт, virus.zip найти не удалось. когда (хотя бы примерно) и на какой почтовый ящик было послано письмо?

[QUOTE=Iceman]Я так и предполагал ;-0). Спасибо. Тогда вопрос: необходимо ли периодически направлять недетектируемые образцы аналитикам или полученные один раз они гарантированно будут обработаны со временем? А то забанят, нафик ;-))) за спам...[/QUOTE]
никто банить не будет ;) напротив, лёгкие пинки и тычки приветствуются. бывает, перепоручаем друг другу с чем-то разобраться и.... нет, мы конечно не забываем об этом вообще ;) лучше, если у письма будет чётко выраженная тема и толковый текст. как правило, письма валятся вообще без текста с прикреплёнными архивами. сидим, гадаем, что автор от нас хотел ;)

Спасибо! Вот и чудненько ;-)))).

Файл один и тот же, но из-за разницы в названии директорий, скопирован в карантин 2 раза.

13:52:12 16-10-2005 Монитор загружен
13:52:12 16-10-2005 Пользователь: Official beta tester
13:52:12 16-10-2005 Лицензия №000000119 Действительна до 30.11.2005
13:52:12 16-10-2005 Компьютер: ORG
13:52:12 16-10-2005 Система: Windows XP
13:52:12 16-10-2005 Vba32 WinNT Workstation 3.10.5 beta / 14.10.2005 (Vba32.NT.W)
13:52:12 16-10-2005 Загружено 112850 моделей вирусов.
13:52:12 16-10-2005 Монитор включен
13:56:26 16-10-2005 F:\WINDOWS\system32\Drivers\AMBRIM.sys : похож на Backdoor.Robobot.1 (paranoid heuristics)
14:00:07 16-10-2005 Монитор выгружен

10:55:33 17-10-2005 Монитор загружен
10:55:33 17-10-2005 Пользователь: Official beta tester
10:55:33 17-10-2005 Лицензия №000000119 Действительна до 30.11.2005
10:55:33 17-10-2005 Компьютер: ORG
10:55:33 17-10-2005 Система: Windows XP
10:55:33 17-10-2005 Vba32 WinNT Workstation 3.10.5 beta / 14.10.2005 (Vba32.NT.W)
10:55:33 17-10-2005 Загружено 112850 моделей вирусов.
10:55:33 17-10-2005 Монитор включен
15:42:57 17-10-2005 F:\WINDOWS\system32\drivers\AMBRIM.sys : похож на Backdoor.Robobot.1 (paranoid heuristics)

Почему отличаются директории?

[QUOTE=userr]И мне что-то с [email][email protected][/email] не отвечают :) Напишу-ка я сюда :). Иногда при проверке tar с вложенными другими архивами в vba32 что-то слетает и он проверяет файлы дважды.[/QUOTE]
Есть такое. Спасибо, исправим.

Спасибо Kertis. Действительно в Карантине в подобных случаях - появляются две записи. Файл в Карантине сохраняется один. Будем исправлять.

[QUOTE=Dr.Xmas]лучше, если у письма будет чётко выраженная тема и толковый текст. как правило, письма валятся вообще без текста с прикреплёнными архивами. сидим, гадаем, что автор от нас хотел ;)[/QUOTE]как Что? Прикреплённое файло следует схватить, засунуть в virustotal и наблюдать результаты ;) ... Хмм... что-то я забыл... Когда из карантина отправляю файл, к нему каммент цеплять можно?

По карантину следующие пожелания:
[LIST]
Просто жизненно необходимо увеличить объем текстового поля для написания примечаний. В идеале длинна текста должна быть неограничена. Кроме того неплохо бы иметь возможности прикладывать к тексту логи и снимки экрана и сохранять описание.[/LIST]
[LIST]При повторном добавлении файла в карантин (например при повторном сканировании) происходит сброс статуса послан Да/Нет. Наверное стоит проверять: если добавляемый файл уже имеется в карантине и не изменился, то ни обновлять его и не сбрасывать статус отправки.[/LIST]
[LIST]
Необходима возможность группировать подозрительные файлы в "пакеты", да бы разделять на группы присылаемые файлы. Например разделять скаченное разными TrojanDownloader или сгруппировать несколько образцов одного и того же вируса[/LIST]
[LIST]Четче обозначать конец отправки файлов, например изменив цвет суммарного статусбара после окончания процесса с черного на зеленый.[/LIST]
[LIST]Перед отправкой сжимать и подписывать образцы и у Вас уверенность в целосности и у нас экономия трафика ;)[/LIST]

В целом можно реализовать такой подход запаковывая образцы вирусов расположенные в одном "пакете" в архив с некоторой структурой. В эту же структуру можно добавить и описательную часть например в виде xml файлов.
В итоге должно получиться что-то наподобие:
virarch.zip
>virus
>>virus1.exe
>>virus2.exe
>>...
>>virusn.exe
>note
>>note.xml
>>log
>>>1.log
>>>2.log
>>>...
>>>n.log
>>pic
>>>pic1.jpg
>>>pic2.bmp
>>>...
>>>picn.jpg

Скрипту, получающему файл, передавать перед отправкой контрольную сумму архива.

При перезагрузке компа вдруг перестал загружаться монитор. При клике в трей - иконка disable. Загружается только в ручную.

Причём, при повторном клике на иконку загрузчика(запуск на выполнение) - иконка в трее появляется. Есть такое.

[COLOR="deeppink"][B]Minos[/B][/COLOR]
[COLOR="Blue"]изменив цвет суммарного статусбара[/COLOR]
прогресссёкла? Вообще да, этот момент сейчас не очень как-то.

[COLOR="Blue"]Перед отправкой сжимать и подписывать образцы[/COLOR]
подписывать?

[COLOR="blue"]Скрипту, получающему файл, передавать перед отправкой контрольную сумму архива.[/COLOR]
если по-умному, то контрольная сумма хранится в архиве :)

[QUOTE=Cash]При перезагрузке компа вдруг перестал загружаться монитор. При клике в трей - иконка disable. Загружается только в ручную.[/QUOTE]
можно ли уточнить условия при которых происходит такая "незагрузка" - ОС, комплектация, когда это началось.... Может еще какая особенность вспомнится... ? :)

[QUOTE=Minos]По карантину следующие пожелания:
[LIST]
Просто жизненно необходимо увеличить объем текстового поля для написания примечаний. В идеале длинна текста должна быть неограничена. Кроме того неплохо бы иметь возможности прикладывать к тексту логи и снимки экрана и сохранять описание.[/LIST]
[/QUOTE]
Длину поля увеличим. Остальное - вряд ли. Это все-таки система отправки подозрительных файлов. А скриншоты, 100-килобайтные логи - для этого всегда есть e-mail
[QUOTE]
[LIST]При повторном добавлении файла в карантин (например при повторном сканировании) происходит сброс статуса послан Да/Нет. Наверное стоит проверять: если добавляемый файл уже имеется в карантине и не изменился, то ни обновлять его и не сбрасывать статус отправки.[/LIST]
[/QUOTE]
Спасибо, исправим
[QUOTE]
[LIST]
Необходима возможность группировать подозрительные файлы в "пакеты", да бы разделять на группы присылаемые файлы. Например разделять скаченное разными TrojanDownloader или сгруппировать несколько образцов одного и того же вируса[/LIST]
[/QUOTE]
Сейчас для этого можно просто отправлять группы файлов по очереди, каждой группе давать свое описание. А группировка IMHO будет нужна очень немногим, но при этом усложнит пользовательский интерфейс
[QUOTE]
[LIST]Четче обозначать конец отправки файлов, например изменив цвет суммарного статусбара после окончания процесса с черного на зеленый.[/LIST]
[/QUOTE]
ОК, поправим
[QUOTE]
[LIST]Перед отправкой сжимать и подписывать образцы и у Вас уверенность в целосности и у нас экономия трафика ;)[/LIST]
[/QUOTE]
Сжатие уже реализовано

[QUOTE=maXmo]

прогресссёкла? Вообще да, этот момент сейчас не очень как-то.[/QUOTE]

Да, описался.


[QUOTE=maXmo]подписывать?[/QUOTE]
Да, открытым ключем.


[QUOTE=maXmo]если по-умному, то контрольная сумма хранится в архиве :)[/QUOTE]
Можно и так, но иногда архивы приходят в таком виде... :(, лучше передать отдельно при посылке файла

[QUOTE=Iceman]Причём, при повторном клике на иконку загрузчика(запуск на выполнение) - иконка в трее появляется. Есть такое.[/QUOTE]
Можете ли посмотреть: до клика и до появления иконки в трее есть ли процесс Vba32ldr.exe в памяти?

[QUOTE=HA]Можете ли посмотреть: до клика и до появления иконки в трее есть ли процесс Vba32ldr.exe в памяти?[/QUOTE]
Да, процесс в памяти есть.

[QUOTE=Cash]Да, процесс в памяти есть.[/QUOTE]
Еще раз просьба: уточнить условия при которых происходит такая "незагрузка", а точнее непоявление иконки в трее - всегда ли, какая ОС, комплектация vba, когда это началось.... Может еще какая особенность вспомнится... ?

Происходит после запланированного рестарта, не всегда. ОС -WinXP Sp2 VL. Началось, около недели назад, может быть после одного из апдейтов MS.
VBA - VBA32 WinNT personal 3.10.4.

[QUOTE=Cash]Происходит после запланированного рестарта, не всегда. ОС -WinXP Sp2 VL. Началось, около недели назад, может быть после одного из апдейтов MS.
VBA - VBA32 WinNT personal 3.10.4.[/QUOTE]
Похожая проблема исправлялась в бете 3.10.5. Если есть возможность - попробуйте ее. Скоро бета станет релизом.

[QUOTE=Dimka]Похожая проблема исправлялась в бете 3.10.5. Если есть возможность - попробуйте ее. Скоро бета станет релизом.[/QUOTE]
Я бы с радостью. :)
Да пока видать, опять неполадки с апдейтами.

[QUOTE=Cash]Я бы с радостью. :)
Да пока видать, опять неполадки с апдейтами.[/QUOTE]
Для обновления до бета-версии путь к обновлениям должен быть:
[url]http://www.anti-virus.by/beta/update/[/url]

Спасибо, поправил путь в настройках.

Очередное обновление модулей Карантина, Антидиалера, файлов помощи и языковых файлов. Учтены многие замечания и пожелания бета-тестеров. Большое спасибо за дельные предложения. Ждем сообщения об ошибках в работе модулей.

Хотелось бы НЕ видеть всплывающих окон появляющихся после каждого обновления.

[QUOTE=Мишка]Хотелось бы НЕ видеть всплывающих окон появляющихся после каждого обновления.[/QUOTE]

Диспетчер - вкладка Дополнительно - Обновление периодическое
Интерактивное - "псису" снять.

[QUOTE=Мишка]Хотелось бы НЕ видеть всплывающих окон появляющихся после каждого обновления.[/QUOTE]
Да, была такая проблема - псиса устанавливалась при ручном обновлении. Исправили. Будет повторяться, дайте знать, плз.

Не подскажите, а что сейчас с ICAP-демоном для проверки HTTP-траффика, как обстоят дела?

Интересуюсь, поскольку не получил ответа по email.

Меня интересует, ведуться ли разработки сейчас или проект как и был, так и остаёться замороженным? Обещали в октябре-ноябре продолжить разработку.

umask at yandex dot ru