А я так не полагаю, потому что Вы это с авторами теста не обговорили.Сообщение от Зайцев Олег
А я так не полагаю, потому что Вы это с авторами теста не обговорили.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Может быть - но тесты то не я провожу. Авторы теста попросили зверьем помочь, я и помог. Мы в принципе обсудили возможные методики теста - при этом отлов зловредав по сигнатурам предполагается всеми антивирусами в тесте, иначе он просто бессмысленен. Тут как раз идея в том, что антивирь знает зверя по сигнатурам - вот и интересно, насколько хорошо он его увидит и насколько чисто прибъет, особенно когда зверь запущен и защищается.
Объясню еще раз, что я имел ввиду: все реальные "звери", которые имеются в коллекции Олега, отсылаются в ЛК (и не только им) и имеют классификацию ЛК, в связи с чем сигнатурный детект (как минимум) этих зверей у KAV-а (и у AVZ, естественно) обещает быть 100%!
Будут ли к моменту тестирования сигнатуры этих "зверей" в базах других а/в производителей, ничего не известно - по крайней мере, я ничего об этом не прочитал в ветке, где обсуждалась методика тестирования.
Олег, в связи с недавней эпидемией warezov, скажи, ловились ли они эвристикой AVZ?
F:\avz-betta3.zip/{ZIP}/avz-betta3/Infected/2005-06-16/avz00189.dta >>>>> Trojan.Win32.Krepper.ae
F:\avz-betta3.zip/{ZIP}/avz-betta3/Infected/2005-06-16/avz00190.dta >>>>> Trojan.Win32.Krepper.ae
F:\avz-betta3.zip/{ZIP}/avz-betta3/Infected/2005-06-16/avz00191.dta >>>>> Trojan-Clicker.Win32.Delf.r
F:\avz-betta3.zip/{ZIP}/avz-betta3/Infected/2005-06-16/avz00192.dta >>>>> Trojan.Win32.Small.cr
Скачал последнюю версию, проверяю комп...
Вот такая фигня вылезла.
Пусть хотя бы сам на себя не реагирует =)
И да, и нет. По сигнатурам его детектить сложно, он меняется постоянно, но по косвенным признакам на зараженной машине - возможно... он маскирует свой процесс, внедряет кучу левых DLL и грузит несколько из них через AppInit_DLLs. Причем одна из библиотек имеет неизменное имя
e1.dll (см. http://www.z-oleg.com/secur/virlist/vir1158.php - краткое описание и пример лога AVZ с зараженного ПК)
А он на себя и не реагирует ... если внимательно посмотреть, то старая версия AVZ заархивирована вместе с карантином от 2005-06-16 - вот закарантиненные файлы он и детектирует
Извините за офф-топ - где обсуждается плагин для AVZ к The Bat (у меня почему-то не сохраняются настройки плагина)?
Обещали новую версию плагина. Уже есть или подождать?
Уже есть - плагин прошел все тесты, завтра выкладываю его в Инет
Плагин прошел тесты и доступен для загрузки - http://z-oleg.com/avz4thebat.zip
Единственное радикальное изменение - диалог настройки плагина, позволяющий задать путь к базам AVZ. Плюс поддержка распаковки и проверки вложений в виде MIME файлов (расширения MIM, BHX)
У меня не сохраняется галка в плагине к Бату - вести лог.
Как всё-таки можно увидеть - проверяет ли что-нибудь плагин и что?
Если лог плагина всё-таки ведётся - где он лежит?
Спасибо!
Птичка "вести лог" предусмотрена на сеанс, для отладки. Сейчас ведение протоколов заблокировано, но в будующем я думаю разблокировать эту опцию для того, что плагин вел список обнаруженных "зверей" и протоколировал ошибки.
Понял
Хочу сказать большое спасибо, обнаружился вирус - ДрВэб через Инет его не распознал, Аваст не увидел. Касперский через Инет подтвердил - вирус от 12 ноября...
Итак, проверил весь комп AVZ-ом. Лог прилагается.
Вопросы:
1) У меня стоит на компе и висит в памяти:
- Avast4 антивирус;
- драйвер-утилита для OPTI-UPS (SAFEPLUS);
- Aston как shell;
- Java;
по поводу каждого AVZ устраивал тревогу - см.лог.
Так ли обязательно реагировать на стандартные программы - или я выставил слишком сильный уровень придирчивости при проверке?
2) "Подозрения на вирусы" (мелкие - см.лог) проверил и Касперским, и Авастом, и ДрВэбом - вируса нет (нельзя ли подтвердить вирус или больше не выводить тревогу - файлы могу прислать на проверку - 500 Кб и 17 Кб)?
3) "Подозрения на вирусы" (крупные - the_bat_1_53_d.exe, the_bat_1_51.exe, the_bat_1_52.exe, microburner.exe) проверил ДрВэбом и Аваст (Касперский не берёт он-лайн файлы больше 1 Мб) - вирусов нет. Что делать дальше - чем и где проверить или можно прислать (3 по 2 Мб и 1 по 1,2 Мб)?
4) Что значит "data.file MailBomb detected !" - это где и что (как-то поясняли, но я потерял место,где это - или есть в ЧаВо?)?
5) htmlview.wlx - не перехватчик клавиатуры, а листер-плагин для Тотал Комманде - м.б. его вписать в базу "правильных" программ?
6) Что означает "Invalid file - not a PKZip file"? (или где это пояснено?)
7) AVZ явно неправильно определяет время своей работы - постоянно "оставшееся время работы" было около 10 минут - и так несколько часов. Реально она работала часов 5-6, а показала 3 часа (я лёг спать и момент окончания работы пропустил).
Извините за длинный список
Спасибо!
to Nick222
1. А где тревога ? В опция явно стоит птичка "расширенный анализ" - вот AVZ и ведет расширенный анализ всех процессов, которые не опознаны по базе безопасных, рассказывая, что он о них думает. Хорошо это или плохо - AVZ такого вывод не делает, просто расширенныая информация для читающего протокол специалиста
2,3 Подозрения видимо связаны с п.п. 1 - явно стоит максимальный уроверь эвристики и анализа. Но тем не менее файлы однозначно стоит прислать для изучения и продправления записей в базе
4. "data.file MailBomb detected" - означает, что проверяется сравнительно небольшой архив, а которо находится огромный файл. Такие архивя часто применяются как "бомба" против on-line сканера или антивируса. Но такие сообщения иногда выдаются на сжатые базы данных и подобные вещи.
5 htmlview.wlx - это именно в первую очередь переватчик клавиатуры ... присылайте его, я внесу в базу чистых
6 Это сообщение о опытке анализа чего-то, сильно похожего на zip файл
7 А монитор антивируса не включен ?? Если включен, то это нормально - сканирование будет идти часами, и время будет определяться неточно
--------------------------------
Проверка памяти завершена
3. Сканирование дисков
C:\Мои документы\документы01.rar/{RAR}/Акт закупки тов.-мат. ценн..doc >>> подозрение на Constructor.MSWord.EMV ( 0C284338 05043463 000BFFCA 004D6E44 16896)
C:\Мои документы\наташа.zip/{ZIP}/ИЗМЕНЕ~1.DOC >>> подозрение на Constructor.MSWord.EMV ( 0B02B2DF 04F21BA3 0013A091 004D6E44 16896)
--------------------------------
100% что эти файлы чистые.
Пришлите для разбирательства.
AVZ неможет просканировать порты, а следовотельно, прерывается исследование системы и т.д.Выскакивает окно со следующим сообщением: Access violation at address 00404B20 in module `avz.exe`. Read of address 00000018.
Подскажите, пожалуйста, в чем причина?
Ваши права в разделе
