Из антивирусного мониторинга http://virusinfo.info/showthread.php...427#post223427
Поддерживаю,надо сделать!Сообщение от Karlson
во-вторых нужен не ответ, а подтверждение, что дошло.. а то вдруг по дороге выронили...
Из антивирусного мониторинга http://virusinfo.info/showthread.php...427#post223427
Поддерживаю,надо сделать!Сообщение от Karlson
во-вторых нужен не ответ, а подтверждение, что дошло.. а то вдруг по дороге выронили...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
На немецком сайте Vba32 существует отправка вирусов, подозрительных файлов или просто фолсы без почты, ограничение стоит до 2 метров, так что присылайте. Внизу страницы справо.
http://www.vba32.de/demo/index.php?o...d=20&Itemid=38
ps так сказать, чтобы знали
Привет, уважаемые бета-тестеры консольного сканера под linux.
Совсем недавно было замечена ужасная вещь: vbacl на релизе и бете
содержал путь обновления с беты!
Дабы вернуть бедных пользователей релиза на правильный ресурс, на обновления был положен скрипт с умолчальным путём:
http://anti-virus.by/update (aka release)
Чтобы остаться на бете всем бета-тестерам строго рекомендуется:
ознакомиться с содержанием файла /opt/vba/vbacl/vbacl.ini.example
и создать по его подобию свой: /opt/vba/vbacl/vbacl.ini .
Собственно интересующая строка:
UPDATE_PATH = http://anti-virus.by/beta/update
А вообще файлик довольной интересный.
Может, будут какие-нибудь пожелания на счет него или с ним связанным?
(например, иметь файлик ~/.vbacl/ini для каждого ползователя, иметь дополнительные параметры в .ini)
Заранее приношу извинения всем за лишние выкачанные мегабайты.
На счет дополнительных параметров в .ini я бы не отказался! А что можно добавить?
Уважаемые бета-тестеры.
Компания ВирусБлокАда выпустила обновление бета-версии, которое включает в себя изменения по улучшению работы эмулятора
Компания ВирусБлокАда представляет Вашему вниманию пребета-версию антируткита Vba32 AntiRootkit.
Данная программа будет доступна пользователям комплекса Vba32 бета-версии 3.12.7 и релиз-версии 3.12.8
Для совместимости программы с текущим релизом или бета-версией антивируса Вам необходимо
распаковать архив в ОТДЕЛЬНУЮ папку (не %VBA32% !!!).
В составе архива идут следующие файлы:
Vba32arkit.exe - исполняемый файл
Vba32ar.dll
Vba32ArkitEN.chm - файл помощи на английском языке
Vba32ArkitRU.chm - файл помощи на русском языке
Все предложения по усовершенствованию программы принимаются на адреc [email protected].
линк:
ftp://www.open.by/vba/Vba32AntiRootkit.rar
Уважаемые бета-тестеры.
Компания ВирусБлокАда выпустила обновление бета-версии, которое включает в себя:
* Исправлены ошибки в работе GUI сканера и диспетчера
* Исправлены ошибки в работе модуля Активация
* Улучшена работа утилиты SendLogs
Уважаемые бета-тестеры.
Компания ВирусБлокАда выпустила обновление бета-версии, которое включает в себя:+ начинается уменьшение размеров баз, если кто-то не заметил+ Добавлена технология, позволяющая избежать ложных срабатываний на файлах, подписанных ЭЦП
+ Добавлена технология, позволяющая детектировать вредоносные файлы, подписанные "троянской" ЭЦП
+ Добавлена технология, позволяющая детектировать эвристическим анализатором модифицированные файлы с внедренной ЭЦП
(доступна на Избыточном уровне эвристики /ha=3)
+ Добавлена эвристика на вредоносные упаковщики
+ Добавлено детектирование вредоносных файлов в формате PDF
+ Добавлена эвристика на вредоносные INF-файлы
* Улучшена работа эмулятора ОС
* Кардинально изменен алгоритм эмуляции и определения вредоносных упаковщиков
* Увеличена общая стабильность работы АВ-ядра на поврежденных файлах
* Увеличена на 25% скорость работы АВ-ядра на неинфицированных файлах
Последний раз редактировалось Groft; 12.06.2008 в 19:03.
Я вот сегодня заходил на open.by и там было интервью с разработчиками VBA32. Вот бы к нам тоже заглянули на VirusInfo.
Добавлено через 1 минуту
По поводу нововведений хорошо бы по подробней.
Добавлено через 2 минуты
Также хотелось бы услышать комментарии по поводу нового зверья и как с ним справляется VBA32.
Последний раз редактировалось Синауридзе Александр; 12.06.2008 в 19:25. Причина: Добавлено
я вот тоже хотел задать свой вопросик, да вот нет не вовремя умерСообщение от Синауридзе Александр
Хорошо бы и здесь провести тоже он-лайн интервью
и по нововведниям тоже интересует
Ну ты, конечно, быстрый ганзалес
На самом деле в вотснью нужно еще добавить вот это (исправим завтра):
* Усовершенствован модуль-антируткит Vba32 AntiRootkit (Vba32arkit.exe)
* Актуализирована документация
Уважаемые бета-тестеры, сегодня в бету вышла новая версия ядра и новая версия антируткита. Ядро было значительно усовершенствовано, были разработаны новые технологии, производились работы по оптимизации (более подробно написано выше). Антируткит также улучшен (к нему имеется файл помощи на русском и английском языках). Просьба ко всем ознакомиться, погонять по своим коллекциям. Очень ждем ваших замечаний и предложений.
Сергей! Хотелось бы сначала услышать от Вас, что можно добавить.
Добавлено через 3 минуты
Да было бы супер! Особенно если г-н Каледа вспомнил про наше существование и заглянул к нам в гости.я вот тоже хотел задать свой вопросик, да вот нет не вовремя умер
Хорошо бы и здесь провести тоже он-лайн интервью
и по нововведниям тоже интересует
Хотел тоже вопрос задать на open.by, но не понял как это можно сделать. Жаль, народ в большинстве случаев задавал глупые вопросы.
Это кстати не первое интервью на open.by.
Добавлено через 1 минуту
Он наверно на рассылку новостей подписался.Ну ты, конечно, быстрый ганзалес
Последний раз редактировалось Синауридзе Александр; 12.06.2008 в 19:33. Причина: Добавлено
Да нет
Он наверно на рассылку новостей подписался.
на open.by дочитал посты и решил обновиться, а тут бац обновление... время даром решил не терять
ps ждем каменты по обновлениям
Спасибо за оценку 18 моих вопросов...Жаль, народ в большинстве случаев задавал глупые вопросы.
А что, их было всего 18? Про больной целерончик тоже Ваш вопрос?
Добавлено через 45 секунд
Угу, ждем.ps ждем каменты по обновлениям
Последний раз редактировалось Синауридзе Александр; 12.06.2008 в 20:32. Причина: Добавлено
мдя
=======
Кстати, циферку думаю можно на 3.12.8 заменить
vile слышал, что антиспам скоро появится, что о нем может сказать?
Думаю вот и фаервольчик не помешал бы, как думаете?
Моих было 18, а всего 54 (+/- несколько вопросов). Мои вопросы под именем Михаил.
Ну вот видите, Ваши претензии не обоснованы.
Добавлено через 2 минуты
Не знаю как на счет комбайна для винды, но вот антиспам для unix серверов для меня куда более актуально.vile слышал, что антиспам скоро появится, что о нем может сказать?
Думаю вот и фаервольчик не помешал бы, как думаете?
Последний раз редактировалось Синауридзе Александр; 12.06.2008 в 21:18. Причина: Добавлено
ну зачем же в гости, регулярно тут бываю. всех помню... ;-)
"ВирусБлокАда", Минск, Беларусь. (http://anti-virus.by)
Михаил, большое спасибо за Ваши вопросы на форуме (news.open.by). Действительно приятно отвечать на умные, хорошо поставленные вопросы, даже если в них есть доля критики.
Добавлено через 1 час 24 минуты
+ Добавлена технология, позволяющая избежать ложных срабатываний на файлах, подписанных ЭЦП
Многие вендоры попадали в ситуацию, когда в базу вставлялась “нехорошая” запись, начинавшая срабатывать на чистые файлы. После этого у пользователя сносились winlogon, explorer или spoolsv.
Все эти файлы подписаны ЭЦП Microsoft. Мы контролируем эту подпись и в случае обнаружения такого файла, понижаем его детектирование с точного до эвристического. Например, так:
Файл spoolsv.exe: похож на Trusted.(wups.dll).Virus.Win32.ZMist.EPO
+ Добавлена технология, позволяющая детектировать вредоносные файлы, подписанные "троянской" ЭЦП
Некоторое количество программ (семейств программ), детектируемых как вредоносные, содержат встроенную ЭЦП. Это позволяет, обнаружив программу, подписанную сертификатом, используемым для подписи определенного семейства вредоносных программ, классифицировать ее как принадлежащую к этому семейству.
Файл xxx.xxx: инфицирован Signed-<имя_из_базы>
+ Добавлена технология, позволяющая детектировать эвристическим анализатором модифицированные файлы с внедренной ЭЦП (доступна на Избыточном уровне эвристики /ha=3)
Очень интересная функция
Файл autoruns.exe: похож на Win32.BrokenEmbeddedSignature (paranoid heuristic)
Данный функционал был сознательно вынесен на Избыточный уровень эвристики, т.к. таких файлов на компьютере пользователя может быть немало.
Все три технологии работают только с ОС Windows версии 2000 и выше.
+ Добавлена эвристика на вредоносные упаковщики
* Улучшена работа эмулятора ОС
* Кардинально изменен алгоритм эмуляции и определения вредоносных упаковщиков
Проделана большая работа по улучшению работы эмулятора и эвристического анализатора.
* Увеличена на 25% скорость работы АВ-ядра на неинфицированных файлах
Также очень и очень немаловажное улучшение. Работы по оптимизации ядра будут проводиться и дальше, есть куда расти
+ начинается уменьшение размеров баз, если кто-то не заметил
Действительно такие работы идут. Уже удалось снизить размер на 10%. Детект не пострадал.
+ Усовершенствован модуль-антируткит Vba32 AntiRootkit (Vba32arkit.exe)
Выпустили в бету новую версию антируткита. В данной версии реализованы следующие методы поиска kernel-mode руткитов:
• поиск перехватов методом замены адресов в таблице SSDT;
• поиск скрытых в памяти модулей ядра. Если объект обнаружен как скрытый, ему присваивается статус Hidden in memory;
• поиск скрытых в памяти процессов. Если объект обнаружен как скрытый, ему присваивается статус Hidden in memory;
• поиск модулей ядра, образ которых на диске не соответствует образу в памяти. Такому объекту присваивается статус Modified image.
В качестве вспомогательных методов реализованы:
• проверка антивирусным ядром всех обнаруженных объектов (файлов процессов и модулей ядра);
• проверка электронно-цифровой подписи у всех обнаруженных объектов (файлов процессов и модулей ядра);
• вывод дополнительной информации из ресурсов файлов.
Для нейтрализации руткитов в системе разработаны следующие функции:
• восстановление перехватов в таблице SSDT;
• копирование указанных файлов в карантин на ранних этапах загрузки системы;
• удаление указанных файлов на ранних этапах загрузки системы.
Для обеспечения обратной связи с пользователем реализована функция сбора информации о состоянии системы.
Последний раз редактировалось sergey ulasen; 13.06.2008 в 14:28. Причина: Добавлено
Ваши права в разделе
Ответить с цитированием
