Версия 4.21 от 26.10.2005
Почему то не хочет обновлятся с серверов -
На z-oleg.com/secur/avz_up/ -висит около 3 минут, затем выдает как и на другом серве обнавлений -
В ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zim с .... [21, 00002eef]
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
А сам сайт z-oleg.com/secur/ открывается из браузера ?Сообщение от NKRF
Какой браузер применяется ?
Какие настройки у автообновления версий (прямое соединение, по настройкам браузера и т.п.) ? Судя по коду ошибки доступ в Инет идет через прокси с авторизацией.
Последний раз редактировалось Зайцев Олег; 01.12.2006 в 10:17.
У меня почему-то плагин АВЗ для Бата не определил червя в письме с приаттаченным архивом ЗИП, но при сохранении этого архива на диск тот же АВЗ легко определил червя как Email-Worm.Win32.Warezov.hb.
Версия АВЗ 4.21, плагина 1.08, Бата 3.85.03.
До этого плагин работал нормально (буквально вчера перехватил вирус).
Настройки Бата в норме.
Что делать?
Такого вообще-то быть не должно ... движок то у них одинаковый. У меня тоже бат 3.85.03, все работает нормально. Возможны варианты:
1. Какой-то косяк в письме, приводящий к тому, что AVZ не видит в нем вложенного зловреда (это письмо стоит сохранить и прислать мне для анализа в архиве с паролем virus)
2. Плагин грузит AV базу в момент запуска Bat и инициализации плагина. Если Bat остается загруженным в течении дня, то может оказаться так, что база AVZ за это время обновилась и плагин работает с ее устаревшим вариантом. Проверить это легко - перезапустить BAT и принудительно запустить проверку папки с вирусов. Если вирус отправится в папку "Карантин" - эта гипотеза подтверждается. Если нет - то п.п. 1.
2Зайцев Олег:
Я файл выслал через Ваш сайт; как будет результат - черкните, плз, сюда пару слов (если не сложно) - забыл написать своё обратное мыло...
Странно - вот результат проверки:
Это на старой базе, без детекта. Далее я беру базу с сайта:Mail.MSG/{E-MAIL:7bit}/Part1 - чист, в базе безопасных НЕ значится
C:\2\2006-12-01\vf20061201-125701\mail\Mail.MSG/{E-MAIL:base64}/Update-KB6359-x86.zip - чист, в базе безопасных НЕ значится
Mail.MSG/{E-MAIL:base64}/Update-KB6359-x86.zip/{ZIP}/Update-KB6359-x86.exe - чист, в базе безопасных НЕ значится
Т.е. детектирует без проблем. далее импортирую его в TheBat - вот результат проверки папки:Mail.MSG - чист, в базе безопасных НЕ значится
Mail.MSG/{E-MAIL:7bit}/Part1 - чист, в базе безопасных НЕ значится
Mail.MSG/{E-MAIL:base64}/Update-KB6359-x86.zip - чист, в базе безопасных НЕ значится
Mail.MSG/{E-MAIL:base64}/Update-KB6359-x86.zip/{ZIP}/Update-KB6359-x86.exe >>>>> Email-Worm.Win32.Warezov.hb
Письмо от "---" к "---" с темой "Mail server report." заражено вирусом: "Email-Worm.Win32.Warezov.hb".Сохранено в папке "Карантин"
Последний раз редактировалось Зайцев Олег; 01.12.2006 в 16:22.
Есть две проблемы, которые уже очень старые, но так и не решены
Можно увидеть на примере этого лога:
http://virusinfo.info/attachment.php...9&d=1164978968
Первая:
Файлы прописанные без полного пути не находятся. Следовательно не проверяются по базе безопасных и информация о них отсутствует. Нужно что бы АВЗ искал такие файлы по всем стандартным местам загрузки, плюс все директории указанные в PATH. В случае если файл найден в лог должен подставляться полный путь. Если не найден, в логе должна быть отметка что файл не найден.
С автокарантином то же. Если файл дан без пути, та же схема поиска.
Вторая более сложная. Разбор строк автозагрузки с параметрами. Опять же файлы на находятся. Я думаю нужно собирать статистику по таким строкам, и поправлять парсер, что бы корректно вытаскивал путь к файлу отделяя параметры.
2Зайцев Олег:
Странно, у меня при обратном импорте тоже определилось (именно плагином для Бата - а у меня только плагин АВЗ стоит) - а вот утром проскочило.
Единственная разница:
Утром такие письма Avast не определял (он у меня стоит одновременно), я им послал образец - сейчас пришло и установлено обновление их базы...
Есть ли в AVZ функция "Отложенное удаление папки"?
Опыт — это слово, которым люди называют свои ошибки.
Такого нет - удаляется только один файл. Удаление папки было бы очень опасным - если зарядить на удаление папку Windows, то системе каюк ... Но тем не менее в boot драйвере для отложенных операций с собираюсь ввести такую фичу.
Imho надо искать только по Patch причём немаловажно Patch обходить строго по порядку иначе есть шанс найти не тот файл но с таким-же именем.
Значит копировать в карантин все файлы с этим именем. Лучше чем ничего.
Для начала я сделаю по Path в том порядке, в котором это делает система. Это логично, так как если файл прописан в автозапуске без пути, то соответственно запустится первый файл, найденный системой по стандартному алгоритму.
На nnm.ru выложили довольно безграмотный, но зато превозносящий KAV, тест программы AVZ.
http://doci.nnm.ru/vmf/01.12.2006/te...virus_zajceva/
Желающие могут высказаться.
Высказываться где? Здесь или на NoNaMe?
Если здесь, так здесь и так все всё знают про AVZ. И сразу поймут, что статья -- заказуха. Собственно, можно ни разу в жизни и не видеть AVZ, но по стилю и тону статьи понять, что статейка заказная. Серьёзные статьи пишут по-другому.
А там писать... просто не хочется... Ну, лично мне, по крайней мере. Просто жаль время и трафика.
Кто в теме, тому эта статья побоку. Кстати в комментариях таких людей не так уж и мало.
Кто не в теме, но в принципе сможет разобраться и понять сущность AVZ, тот заинтересуется и сам найдёт ссылки на VirusInfo или z-oleg. Почитает, скачает AVZ, погоняет программу, всё правильно поймёт и будет дальше юзать AVZ.
Кто же в вопросах компьютерной безопасности слаб, как марлевые трусы, тому что-либо объяснять и доказывать в коментариях бесполезно. Набьют шишек -- сами поумнеют.
ЗЫ. Я сейчас припомнил, что орицательная реклама это тоже реклама. Кто бы не был заказчиком этой глупой статейки, он скорее всего, сам того не ведая, помог продвижению AVZ в массы.
И ещё восточная поговорка вспомнилась:"Собака лает, а караван идёт"
Наше дело правое--победа будет за нами!!!
Я почитал ... давно я так не смеялсяНесколько комментариев:
1. Я не совсем понял, откуда автор нашел название "Антивирус Зайцева". Я нигде не встречал такого названия, кроме как в его "тестировании"
2. В "тесте" применяется знаменитая "коллекция на 1600 вирусов", которая давно бродит по Инет. Состоит она из древних вирусов под MSDOS, последний из которых встречался в живой природе примерно 10-12 лет назад. В документации по AVZ четко сказано "вирусы не лечит", тем более неработоспособные по Windows ... но документацию автор явно не читал. Хуже то, что к сожалению эту коллекцию неоднократно и весьма бестолково пытаются применять для неких непонятных тестирований, причем если с AVZ все понятно и документировано, то вот попытки сравнения современных антивирусов по этой коллекции являются верхом безграмотности и собственно будут давать весьма неадекватные результаты, совершенно не отражающие возможности антивирусов
3. Интересна картинка с AdAware и a-squared - последний детектировал 5 ключей в реестре
4. Насчет нагрузки на ЦП я вообще ничего не понял - человек запускает полное сканирование диска утилитой, и пытается параллельно работать. Возникает глупый вопрос -а что он ожидал ? Что сканирование будет идти при нулевой загрузке ЦП и дисковой системы ... вот если бы речь шла о тестировании монитора - другое дело, тут нагрузка от проверки системы крайне важна.
Вообще у меня сложилось впечатление, что автор не читал доку и не посещал раздел "Помогите" virusinfo по указанной в логе ссылке, и в результате так и не понял, что назначение AVZ - это работа в дополнение к антивирусу, исследование/чистка системы в случае, когда применяемый антивирус не справился с задачей и пропустил заразу на ПК.
Ну и понаписал ерунду.А коллекция то просто супер!!!
Статистика - кривая анализа файлов и пополнения базы сигнатур AVZ за 11.2006. Кривая "исследовано" - это в сущности количество отловленных в живой природе зловредов, которые изучены и подтвержден их статус "зловреда".
Лучше дать нарастающим итогом - так будет эффектнее
примерно то же самое по всем пунктам я написал от имени ashalimovЯ почитал ... давно я так не смеялся
1. Я не совсем понял, откуда автор нашел название "Антивирус Зайцева". Я нигде не встречал такого названия, кроме как в его "тестировании"
...
Ваши права в разделе
