Опять глюки с плагином к Бату:
- Бат говорит:
- АВЗ-плагин говорит:ANTIVIRUS - Антивирусная программа сообщает об ошибке, объект не может быть проверен на наличие вирусов
И что с этим делать? Что реально произошло и где - в Бате или в плагине или в самой утилите?База загружена успешно. Кол-во сигнатур = 87238
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
угу было такое... вчера не до него было, просто выгрузил его, а сегодня подгрузился без проблем.Сообщение от Nick222
ps ошибка возникла когда поставил галочку ведения лога.
кстати, да, откуда столько? Подпольный вирлаб?
Олег говорил , что-то типа приманки сетевой сделал для ловли гадости . точнее сказать не могу , Смоленск от меня далековато будет
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
А вот и приманка!Олег говорил , что-то типа приманки сетевой сделал для ловли гадости . точнее сказать не могу , Смоленск от меня далековато будетПрислать файл с вирусом.
Опыт — это слово, которым люди называют свои ошибки.
Вряд ли , может 10 процентов от общего количества зловредов , не более . А что мы спорим ,подождём ответа ОлегаА вот и приманка!
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Вопрос несколько не в тему:
Раньше я пользовался BHODemon, сейчас его развитие прекратилось, даже файл базы нельзя скачать
Какая из программ его заменяет и в какой степени его можно заменить утилитой AVZ?
В базовой форме это есть и сейчас :Вопрос несколько не в тему:
Раньше я пользовался BHODemon, сейчас его развитие прекратилось, даже файл базы нельзя скачать
Какая из программ его заменяет и в какой степени его можно заменить утилитой AVZ?
AVZ -> Сервис- менеджер расширений IE , BHO
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
А Вы небоитесь, что эту приманку потом занесут в черный список?
Это вы Олега спросили? Олег тут на форуме, в статьях многократно писал, что вирусы он получает разными путями. Это веб-форма, почтовый ящик, закрытый канал антивирусных компаний и, конечно, ловушки. Вот про ловушки Олег сам и расскажет, если сочтет нужным, имхо.
Опыт — это слово, которым люди называют свои ошибки.
Да, конечно
1. Пользователи AVZ. Есть ряд активных пользователей (в основном админы крупных сетей), которые периодически присылают отловленное у них в сетях зверье (многие содержат на почте и прокси антиврусные фильтры, поэтому зверей у них избыток). Это в среднем дает не менее 1-2 тыс зловредов в месяц, многие присылают архивами по 20-50, а то и 100 зловредов за раз, и так по несколько раз в месяц. Плюс форма на моем сайте - но она дает очень немного, не более 50-100 зловредов за месяц в лучшем случае. Через форму шлют в основном DLL, которые ловит детектор внедренных DLL.
2. virusinfo.info. Присылаемые на анализ файлы пополняют как базу зверей, так и базу чистых. Это тоже не очень много, но стабильно.
3. Почтовые ловушки. У меня их много, применяются для сбора почтовых зловредов или ссылок на них. Самая хорошая ловушка - это карантин почтового антивируса на крупном корпоративном почтовом сервере. У нас к примеру более 1000 ящиков на сервере, так вот за сутки в карантин (фильтры или антивирус) падает до нескольких тысяч файлов. Я вот сейчас проверил текущий карантин - 257 зловредов менее чем за сутки.
4. База прямых URL на зловредов и система их пополнения или контроля. В базе у меня порядка 36 тыс прямых ссылок, многие зловреды периодически меняются. База пополняется в ходе изучения Trojan-Downloader, плюс многие админы присылают. Делается это просто - если на крупном прокси или трафигометре отфильтровать только "*.exe" при размере файла менее 1 мб, то можно упасть в обморок от результата
5. Закрытые каналы обмена с другими вирлабами. Сейчас это достаточно мощная сеть обмена ITW, в ней участвует несколько вирлабов, по ней приходит не менее 50-70 ITW зловредов ежедневно. Это один из основных источников пополнения базы
6. Обмен зверями. Происходит не очень часто, но зато счет идет на тысячи "голов"
7. Автоматические искатели и "охотники". У меня есть система полуавтоматической охоты на зверей, но к сожалению особо нет трафика не ее эксплуатацию. Но она дает десятки зловредов в день.
8. Чистка и лечение ПК знакомых или пользователей AVZ, обратившихся за помощью (последних я стараюсь отруливать на virusinfo). Рекорд - порядка 100 зловредов за раз при чистке одного пораженного
Сейчас получается примерно такой расклад - порядка 20 зверей присылают пользователи, штук 10 дает virusinfo, штук 50-70 присылают админы + ловят мои фильтры/ловушки, штук 50-70 приходит по закрытой сети обмена. т.е. 20+10+50+50 = 130 зловредов в день, причем это в среднем, нередко бывает больше. Причем имеются в виду уникальные зловреды для базы, почтовые ловушки, контроль ссылок и WEB анализаторы дают тысячи повторов. Естественно, что далее все автоматизированно - база в Oracle, образы автоматом раскладываются в коллекцию, отбираются образцы для сети обменя и т.п. Классификация коллекции у меня от ЛК, и она же де факто она является стандартом при обмене), идет контроль повторов по MD5 - дубликаты автоматом отсекаются, но учитываются для статистики. И плюс моя гордость - автоматический анализатор, позволяющий изучать зверей. Естетсвенно, что для изучения зловредов есть отдельный компьютер (вирутуалка для этого мало подходит), изучение тоже полуавтоматическое. Часто изучение зверя дает кумулятивный эфект - он к примеру загружает штуки 4-5 других зловредов (значит, ссылки для базы URL), они что-то тоже загружают и дропают ... и "раскрутка" одного Downloader иной раз дает 20-30 экспонатов для базы - это еще один из источников.
Последний раз редактировалось Зайцев Олег; 17.02.2007 в 11:51.
Я понимаю, что многое автоматизировано... Но, господи! Это же просто не человеческий объём!!! Когда вы всё это успеваете? Неужели в одиночку и без всякой помощи? В конце-то концов нужно ведь и на другие дела время. Например, код отлаживать, книги писать...
Угу ещё типа прибедняется: «не хочу велосипеды строить»
Успеваю ... главное - это автоматизировать рутину и накопить большую базу данных. Чем больше база с разными признаками зловредов, тем проще их классифицировать (это делается автоматически). Текущий объем базы признаков - порядка 500 ГБ, сама система вирлаба - кластер с распределенной архитектурой. Плюс у меня много добровольных помошников (не даром они идут пунктом 1 в списке). Так что в день я трачу на анализ зловредов не более часа ... но так было не всегда - еще пару лет назад ежедневно в базу AVZ попадало 0-5 зловредов, базы обновлялись раз в месяц. Я искал слабые места, развивал инфраструктуру, автоматизировал что можно. Сейчас не автоматизировано только одно - автоотправка зловредов, который детектированы моим автоматическим анализатором, в вирлабы AV компаний. Этого пока нет, исключение - я периодически напускаю на кеш анализатора VBA и отсылаю им архив по 10-20 МБ зловредов, которые детектирует их эвристик. Но в планах подобный эксперимент заложен ... так как мне не жалко семплов ITW зловредов.Я понимаю, что многое автоматизировано... Но, господи! Это же просто не человеческий объём!!! Когда вы всё это успеваете? Неужели в одиночку и без всякой помощи? В конце-то концов нужно ведь и на другие дела время. Например, код отлаживать, книги писать...
Последний раз редактировалось Зайцев Олег; 19.02.2007 в 14:45.
Это даУгу ещё типа прибедняется: «не хочу велосипеды строить»
Прошу прощения, но с моим сообщением - #261 от 15.02.2007 21:05 - будет что-нибудь?
Так и осталось непонятно: как определить источник ошибки и как разобраться, что вообще происходит не так?
Будет конечно. Требуется уточнение:
1. В какой точно момент выводится данное сообщение (открытие Bat, прием почты, отправка почты, сохранение вложений) ? Повторяется ли данная ситуация ?
2. Точная версия TheBat!
3. Настройки AV проверки самого Bat (можно скриншот странички настроек)
4. Какова настройка ящика в плане хранения вложений ? (в базе или отдельно)
К концу месяца выходит новая версия AVZ, вот список доработок для обсуждения, не забыл ли я чего):
1. Отключаемое ведение логов в AVZPM [в стадии]
2. Сохранение настройки действий для HackTool в профиле [исправлено]
3. Расширенный поиск файлов при карантине из скрипта с протоколом [реализовано]
4. Копирование и карантин файлов в BootCleaner [реализовано]
5. Формирование кода возврата при выходе из AVZ (0-нет зловредов, 1-найден хотя бы один зловред, 2 - зловредов нет, есть подозрения) [реализовано]
6. Перемещение карантина и журнала в отдельную папку для запуска AVZ с BootCD или иного ReadOnly носителя [реализовано]
7. Отображение PID процесса в списке портов и TCP соединений [реализовано]
8. Новая раскраска протоколов [в процессе]
9. Поиск DLL, используемой процессами (функция "кто использует DLL") [в процессе]
10. Усовершенствование протокола BC [реализовано]
11. Сортировка в тех менеджерах, где ее еще нет [в процессе]
12. Выверка диспетчера автозапуска по "45 экзотическим методам автозагрузки" [в процессе, масса мелких доработок]
13. Добавление в HTML лог новых опций для автогенерации скрипта [в процессе, основное доработано]
14. Новые скрипты восстановления и эвристики [реализовано, уже доступны при обновлении баз]
15. Столбцы "Описание" и "Производитель" для "Модулей пространства ядра" [реализовано]
16. Скрипты - убиение процесса по имени [реализовано]
17. Скрипты - сканирование реестра и поиск заданного образца с выводом результатов в протокол [реализовано]
18. Нормализация имен в списке драйверов и модулей пространства ядра [в процессе]
Последний раз редактировалось Зайцев Олег; 20.02.2007 в 16:43.
Олег, у меня бат 3,95,1(CE) ошибку повторно воспроизвести не удалось.
У меня лицензионный 3.85.03 Professional Edition, сейчас обновлюсь для опыта, он предлагает скачать 3.95.06 ..... 3.95.06 скачался, на нем тоже все нормально срабатывает.
Последний раз редактировалось Зайцев Олег; 20.02.2007 в 11:53.
Ваши права в разделе
