Ну так чево Вы хотите нахаляву?
Ну так чево Вы хотите нахаляву?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Странно, в Off-Line другая картина:Сообщение от azza
Sign of "Win32:Trojan-gen. {Other}" has been found in "F:\virus\TrojanDownloader.Win32.Wintrim.ax [UPX]\LiveService_3_EN_XP.cab\LiveService_3.dll" file.
Sign of "Win32:Trojan-gen. {Other}" has been found in "F:\virus\TrojanDownloader.Win32.Wintrim.bb [UPX]\netpe32_EN_XP.cab\netpe32.dll" file.
Sign of "Win32:Trojan-gen. {Other}" has been found in "F:\virus\TrojanDownloader.Win32.Wintrim.bj [UPX]\one2oneSvcEN.cab\one2oneSvc.dll" file.
Sign of "Win32:Trojan-gen. {Other}" has been found in "F:\virus\TrojanDownloader.Win32.Wintrim.bk [UPX]\LiveService_4_EN_XP.cab\LiveService_4.dll" file.
Лови в приват ссылку на эти тестовые вирусы. Засветишь - не беда. Настрогаю ещё себе из вирусных коллекций. Пароль на архив - virus
Сканировал в Off-Line.
Вот результат:
avast! версия 4.5 Home Edition [Сборка: Nov2004 (4.5.549)], VPS [Дата компиляции: 31.12.2004, Версия файла: 0453-1]
03.01.2005 15:49:53***Андрей***2924***Sign of "Win32:Beagle-AK [Wrm]" has been found in "C:\Documents and Settings\Андрей\Мои документы\Issled\calc.zip\calc.exe" file.
03.01.2005 15:49:55***Андрей***2924***Sign of "Win32:Beagle-AK1 [Zip]" has been found in "C:\Documents and Settings\Андрей\Мои документы\Issled\calc.zip" file.
03.01.2005 15:49:56***Андрей***2924***Sign of "Win32:Beagle-AK [Wrm]" has been found in "C:\Documents and Settings\Андрей\Мои документы\Issled\calc_asp.zip\calc_asp.exe\[AsPack]" file.
03.01.2005 15:49:58***Андрей***2924***Sign of "Win32:Glieder [Trj]" has been found in "C:\Documents and Settings\Андрей\Мои документы\Issled\calc_neo.zip\calc_neo.exe" file.
03.01.2005 15:49:59***Андрей***2924***Sign of "Win32:Beagle-AK [Wrm]" has been found in "C:\Documents and Settings\Андрей\Мои документы\Issled\calc_pesh.zip\calc_pesh.exe\[PeShield]" file.
03.01.2005 15:50:00***Андрей***2924***Sign of "Win32:Beagle-AK [Wrm]" has been found in "C:\Documents and Settings\Андрей\Мои документы\Issled\calc_upx.zip\calc_upx.exe\[UPX]" file.
Вывод: По крайней мере, AsPack, NeoLite, PeShield, UPX знает. Остальные упаковщики нет.
Знает этот вирус, упакованный Неолитом, а самого пакера не знает, т.к. другое название.
Неплохо использовать, совместно с avast! HE, ScripTrap 1.03 http://keir.net/scriptrap.html, по причине отсутствия в домашней версии avast! блокировки скрипт-вирусов.
Единственный недостаток ScripTrap 1.03 - блокировка любых документов Word и Excel содержащих макросы.
Ты прав. Вот что откопал в Help'е:
"Packers" Page
This page allows you to set which packers (archives) avast! will test during the task processing. The default setting is self-extracting executables only. You can set additional archives to be processed, though it will slow down the test, of course. When All packers options is checked, avast! will scan all archives it is able to process.
avast! is able to process the following archives:
Self-extracting DOS executables
Self-extracting Win32 executables (UPX, AsPack, PEShield, PEProtect) ;D
7ZIP archive
ACE archive
ARC archive
ARJ archive
BZIP2 archive
CAB archive
CHM archive
CPIO archive
GZIP archive
ISO archive
LHA archive
MAPI files (*.pst)
MIME
NTFS streams
RAR archive
RPM archive
TAR archive
TNEF streams
ZIP archive
ZOO archive
Кроме UPX, AsPack, PEShield, PEProtect других паковщиков не
знает. :'(
Для тестирования на знания паковщиков неплохо создать нормальный тест: файл EICAR http://www.eicar.org/anti_virus_test_file.htm запаковать различными пакерами (надежно и безопасно). Кто возьмется за благородное дело? ???
ничего не получиться, его пакованные образцы, даже без анализа пакеров будут добавлены в базы антивирусов...Для тестирования на знания паковщиков неплохо создать нормальный тест: файл EICAR http://www.eicar.org/anti_virus_test_file.htm запаковать различными пакерами (надежно и безопасно). Кто возьмется за благородное дело?
Да еще одна беда у программы avast! 4.5 :'( :пока архив не распакован, монитор не черта не видит внутри архива вирус (и это с настройками на максимум) (данная проблема характерна и для монитора AVG Free Edition).
P.S.: AntiVir (http://www.free-av.com/) forever!
А пока вирус запакован, он не опасен для вашего компьютера. Максимум что может случится - вы передадите зараженный архив другому человеку.
Ну, об этом я знал давно ;D, однако обидно :'(.
Только за одно это - невозможность проверить архивированный файл (zip, rar) - этот антивирус надо выкинуть нафиг.
Согласен!
P.S.: По началу все антивирусы кажутся не плохими, а как начнешь копаться, то большинство полное говно!
А че вы хотели за бесплатно?
Ну ты хватанул, проверка архивов антивирусным монитором в реальном режиме - это все равно, что носить с собой чесалку для спины "а вдруг зачешется". Я у DrWeb отключил проверку архивов, как только начал активно использовать архивы с HTML документами. Представь архивчик в 8 Mb с 248 файлами HTML и вложенными архивами, при обращении к которому происходит его распаковка и проверка - на P III700 чаю попить можно.
Нет, проверка архивов дело нужное, но пока "скоростных" реализаций не предвидится и в монитор эту функциональность засовывать не стоит.
Не монитором, а сканером.
Представь, что ты разархивировал архив, чтобы проверить файл авастом, проверил, а потом Far'oм решил копирнуть файл куда-нить. Нажимаешь F5 и ... запускаешь вирус, потому что перед этим у тебя запускался ProcViewer от Сани.
Сканер Avast нормально работает с основными форматами архивов, а так же с некоторыми пакерами. Сканер чуесно видит вирусы в архивах. Даже, если вы пользуетесь нестандартным архиватором, то при распаковке файлы записываются на диск, и при этом проверяются монитором.
Почему один и тот же вирус в архиве и без оного по-разному называется?03.01.2005 15:49:53 Андрей 2924 Sign of "Win32:Beagle-AK [Wrm]" has been found in "C:\Documents and Settings\Андрей\Мои документы\Issled\calc.zip\calc.exe" file.
03.01.2005 15:49:55 Андрей 2924 Sign of "Win32:Beagle-AK1 [Zip]" has been found in "C:\Documents and Settings\Андрей\Мои документы\Issled\calc.zip" file.
Тут еще интереснее:
Creation date of the report file: 20 января 2005 г. 09:00
AntiVir®/XP (2000 + NT) Personal Edition v6.29.00.03 of 13.12.2004
VDF file v6.29.0.71 (0) of 19.01.2005
C:\ISSLED
calc.zip
ArchiveType: ZIP
--> calc.exe
[DETECTION] The Trojan horse TR/Bagle.AL
calc_asp.zip
ArchiveType: ZIP
--> calc_asp.exe
[DETECTION] The Trojan horse TR/Glieder.A
calc_fsg2.zip
ArchiveType: ZIP
--> calc_fsg2.exe
[DETECTION] The Trojan horse TR/Glieder.C
calc_pec.zip
ArchiveType: ZIP
--> calc_pec.exe
[DETECTION] The Trojan horse TR/Glieder.B
End of scan: 20 января 2005 г. 09:00
Time taken: 00:03 min
Интересное превращение из TR/Bagle.AL в варианты TR/Glieder.
Это объясняется очень просто - часть этой коллекции, где были ASPack 2.12, FSG 2.0, NEOLITE 2.0, PECompact 2.40, UPX 1.25 я выкладывал на одном из форумов для тестирования народом своих антивирей. Естественно, эта коллекция попала "куда следует". И разные названия у AntiVir говорят о том, что он этих пакеров не знает.
P.S. Вчерашние мои высказывания были не совсем адекватными, т.к. находился под шафе.
Всем сорри, кого обидел.
Ваши права в разделе
