Бета-тестирование антивируса "ВирусБлокАда" 2

[sergey ulasen]

Нащёт обсуждения в другой ветке, согласен. Только скажите, в какой именно. Хотя, скорее окончательно уйду в потчту, а там по результатам.
Ссылка на антируткит станет рабочей, если я кликну ее из другой ветки? Я не сильно удивлюсь. "Вопросы крови — самые сложные вопросы в мире!" (тоже чей-то копирайт, какого-то провинциального автора, не заслуживающего упоминания). Вопросы адресации в глобальных сетях вообще, и резольвинга в частности - тож не подарок. Видел (и правил) такие чудеса расчудесные!
Касаемо данного случая: раньше был путь /pub/beta/... а теперь просто /beta/... Конечно же, оно теперь работает. Ладно бы Опера кешировала, дык я ж и ослом проверял, и другими путями на фтп лазил, чай не впервой. Я не тетушка Полли, а Вы не Том Сойер (хотя,аватар подходящий), и речь не о серебряных ложках. Хватит делать из меня дурака, и так плющит
Ну почему при любой тактичной попытке указать на маленькую оплошность на этом ресурсе всегда нарываешься на подколы и прочие мухо-котлеты? Неужели трудно сказать "Спасиба, братан, чо бы мы биз тибя делали?" (Тут мне скащуха нащет языка по правилам форума, я нииз России)
В общем, все в русле форума, все в стиле %GlobalModerName%. Если что-то не про дизайн и прочую ботву, то либо не видим, либо ни слова по делу.

Обсуждение антируткита здесь:

http://virusinfo.info/showthread.php?t=41137

Что с ключами в Services, если путь не указан? Тищина-а-а... Ляпота... На... (кой черт) тогда объявлять бетатестинг?

Еще раз повторяю (первый раз было в письме): предоставьте скриншоты или ключи реестра того, что вы там творите со своей системой. Из ваших постов ничего не ясно.

И переползайте в соответствующую ветку форума.

[sergey ulasen]

Сегодня ночью выходит обновление антивирусного ядра. В данный апдейт вошли работы по оптимизации эмулятора. Благодаря этому прирост скорости сканирования PE-файлов доходит до 20%! Это очень здорово, на мой взгляд

Сегодня еще немножко подрихтовали эмулятор, исправив в нем небольшие ошибки. Также взяли винчестер "среднестатического юзверя" и произвели на нем замеры скорости с максимальными настройками:

Было - 05:31:56
Стало - 03:39:57

[prowler]

Поставил на Win 7, по работе пока сказать нечего, еще пробую.
С центром поддержки семерки не дружит, он его просто не узнает и просит антивирь.
При первом запуске после установки зависание системы, после принудительного перестарта все в норме.

[sergey ulasen]

С центром поддержки семерки не дружит, он его просто не узнает и просит антивирь.

У Microsoft теперь несколько иная политика выдачи SDK к Security Center. Решаем эту проблему.

Добавлено через 5 часов 41 минуту

*** 03.09.2009

* Улучшена эвристика на вредоносные упаковщики (Malware-Cryptor.Win32.General.3)

* Улучшена эвристика на вредоносные программы на AutoIT-скриптах

* Увеличена общая стабильность работы АВ-ядра

[Aleksandra]

Я все-таки дождалась утрешних обновлений и перед уходом на работу протестировала сканер. Работает все не так как должно и это видно даже визуально (нет зависимости от скорости сканирования). Скорее всего, в линуксовой версии алгоритм реализован по-другому. В нескольких местах наблюдалась полная остановка, хотя это должно быть только при зависании.

[Groft]

+ В консольный сканер под Windows добавлен маркер загруженности потока проверки

+ Добавлено детектирование новых веток автозагрузки

* Внесены изменения в технологию, позволяющую избегать ложных срабатываний на файлах, подписанных ЭЦП

Добавлено через 6 минут

Я все-таки дождалась утрешних обновлений и перед уходом на работу протестировала сканер. Работает все не так как должно и это видно даже визуально (нет зависимости от скорости сканирования). Скорее всего, в линуксовой версии алгоритм реализован по-другому. В нескольких местах наблюдалась полная остановка, хотя это должно быть только при зависании.

Вы имеете ввинду первый пункт сегодняшнего обновления?

[sergey ulasen]

Я все-таки дождалась утрешних обновлений и перед уходом на работу протестировала сканер. Работает все не так как должно и это видно даже визуально (нет зависимости от скорости сканирования). Скорее всего, в линуксовой версии алгоритм реализован по-другому. В нескольких местах наблюдалась полная остановка, хотя это должно быть только при зависании.

Не готов это признать. Используется один и тот же механизм. Разница только в отрисовке, но это проблема терминалов.

[sergey ulasen]

Летом прошлого года нами были выпущены в свет следующие изменения в ядре:

+ Добавлена технология, позволяющая избежать ложных срабатываний на файлах, подписанных ЭЦП

+ Добавлена технология, позволяющая детектировать вредоносные файлы, подписанные "троянской" ЭЦП

+ Добавлена технология, позволяющая детектировать эвристическим анализатором модифицированные файлы с внедренной ЭЦП (доступна на Избыточном уровне эвристики /ha=3)

Сейчас данные изменения были серьезно пересмотрены и улучшены.
Во-первых, избавились от детектирования параноидальной эвристикой модифицированных файлов с ЭЦП. Практического применения ей не нашлось, а вопросов она вызывала тьму тьмущую.
Во-вторых, вместо понижения детекта при FP до эвристического на файлах с ЭЦП, было решено вообще его убрать. Добавив при это соответствующую настройку в комплекс.
Поэтому сегодня ночью (по традиции) в бете появятся следующие изменения:

+ В антивирусное ядро добавлен новый режим работы, который исключает ложные срабатывания на файлах, подписанных ЭЦП. При попадании некорректной записи в базу и срабатывании этой записи на файле с ЭЦП, детектирование такого файла не произойдет. Данный режим включен по умолчанию

* В консольный сканер под Windows добавлен ключ /na, который отключает режим исключения ложных срабатываний на файлах с ЭЦП

[sergey ulasen]

Сегодня в бете:

+ Поддержка 7zip-архивов

"Как долго я тебя ждала....." (с)

+ В консольные сканеры добавлены ключи:
/SD[+|-] - удаление подозрительных файлов
/SR[+|-] - переименование подозрительных файлов
/SM+[каталог] - перемещение подозрительных файлов в указанный каталог (по умолчанию C:\Virus)

Необходимость в данных ключах давно назрела. А появление Vba32 Rescue и Vba32 Check, в которых используются консольные сканеры, заставило нас решить эту проблему .

+ В консольные сканеры в список расширений обрабатываемых по умолчанию добавлены *.pdf, *.swf

+ Обновился модуль Vba32 AntiRootkit до версии 3.12.3.3 beta

Модули антируткита обновлены в комплексе и заодно добавлены в консольный сканер под Windows.

* Улучшена работа эмулятора ОС

* Исправлены ошибки в алгоритме обработки архивов (спасибо Thierry Zoller)

* Актуализированы языковые файлы

В бете могут наблюдаться некоторые проблемы с детектирование скриптовых вирусов и эксплоитов. Данный функционал был подвергнут большой переработке, но еще до конца не завершен. В течение ближайших нескольких недель должны с ним окончательно разобраться.

Если вдруг столкнетесь с чем-то непонятным, жалуйтесь.

[Aleksandra]

Какие-то проблемы с ключом /DUMP_ROOTKITS после обновлений?

[sergey ulasen]

Какие-то проблемы с ключом /DUMP_ROOTKITS после обновлений?

Ключ /dump_rootkits удален из консольного сканера. Логика следующая:

1. Все длинные ключи в консольном сканере являются недокументированными, а некоторые из них имеют короткую жизнь. К примеру, на время подключения и отладки некоторой новой технологии;
2. Достаточно серьезно развился антируткит, и перед нами встал вопрос расширения той информации, которая выводилась по данному ключу в сканере;
3. В состав комплекса давно входил антируткит, а сейчас он был добавлен и в состав консольного сканера;
4. В антирутките ведется достаточно хороший лог;
5. Было решено не дублировать ту информацию, которая уже и так есть в антирутките, в лог сканера, а вообще от нее отказаться;
6. Чуть позже эта же судьба ждет и ключ /dump_autorun.

[Oyster]

Консольный сканер умеет обновляться через прокси? В экзешнике есть путь в реестре к настройкам Internet Explorer, но сканер пытается обновляться напрямую. Проверял ветки HKLM и HKCU.
Антируткит в составе консольного сканера - 2.1, а отдельная версия уже 3.12.3.3. Положил свежий антируткит в каталог консольного сканера вместо старой версии - новая версия не увидела антивирусные базы сканера. Старый антируткит видит их нормально.

[Aleksandra]

Консольный сканер умеет обновляться через прокси?

Умеет. Создайте батник с содержимым:

@vbaupdx.exe http://anti-virus.by/beta/update/ /p=<address:port> /r+update.log

[sergey ulasen]

Антируткит в составе консольного сканера - 2.1, а отдельная версия уже 3.12.3.3. Положил свежий антируткит в каталог консольного сканера вместо старой версии - новая версия не увидела антивирусные базы сканера. Старый антируткит видит их нормально.

Так, давайте разбираться по порядку...
Вопрос: вы пользуетесь бета- или релиз-версией консольного сканера? Вопрос связан с тем, что в релизную версию консольного сканера антируткит еще не добавлен. Он был добавлен только на прошлой неделе и только в бета-версию.

[Oyster]

Вопрос: вы пользуетесь бета- или релиз-версией консольного сканера?

Брал по ссылке ftp://vba.ok.by/vba/Vba32Check.exe , пишет про себя:
+----------------------------------------------------------+
| VirusBlokAda (Console scanner) |
| Vba32 Windows/CL 3.12.10.11 / 2009.10.12 11:22 (Vba32.W) |
| Copyright (c) 1993-2009 by VBA Ltd. |
+----------------------------------------------------------+
User: Vba32 Check
License #000002294 Valid till 31.12.09

[sergey ulasen]

2Oyster

Теперь стало яснее

Вы скопировали файлы в папку Vba32Check\Vba32AntiRootkit или в Vba32Check\vba32w ?
Если в Vba32Check\vba32w, то проверка ядром в антирутките должна работать. Но так как есть некоторые проблемы совместимости текущего релизного ядра и беты антируткита, в релизном консольном сканере не будут работать некоторые режимы проверки памяти.

[Oyster]

Вы скопировали файлы в папку Vba32Check\Vba32AntiRootkit или в Vba32Check\vba32w ?

Как правильная Маша, копировал в Vba32Check\Vba32AntiRootkit

[sergey ulasen]

Как правильная Маша, копировал в Vba32Check\Vba32AntiRootkit

Понятно

В таком режиме антируткит не загружает антивирусное ядро. Для того, чтобы он его загрузил, скопируйте его в папку Vba32Check\vba32w.
Но:

1) при копировании будет произведена замена файла vba32ar.dll (c 2.1 на 3.12.3.3);
2) после копирования и замены файла, антируткит будет работать нормально, а с работой консольного сканера будут некоторые проблемы;
3) каждый раз после обновления консольного сканера, файл vba32ar.dll будет восстанавливаться в исходное состояние.

Все указанные проблемы решены в текущей бете и будут доступны с релизом 3.12.12.0

[Oyster]

Есть вопросы по консольному сканеру, версия Vba32 Windows/CL 3.12.10.11
1. В bat-файлах check_all.bat, collect_susp.bat и т.д. встречаются параметры командной строки /ic и /nc, а команда /help про них не пишет. Каково их значение?
2. В файле cure_PE.bat используются параметры /af (обрабатывать все файлы), /ar (проверять архивы), /ml (проверка почтовых баз), и в то же время /ext=exe.sys.dll.scr.pif Нет ли здесь противоречия? Проверка архивов ещё понятна, но почта и "все файлы"?
3. Для архивации используется консольный Rar - всё ли в порядке с лицензией? Как вариант - 7Zip-ом паковать в zip.

[sergey ulasen]

Есть вопросы по консольному сканеру, версия Vba32 Windows/CL 3.12.10.11

Готов на них отвечать.

1. В bat-файлах check_all.bat, collect_susp.bat и т.д. встречаются параметры командной строки /ic и /nc, а команда /help про них не пишет. Каково их значение?

Это недокументированные ключи.

/ic - "ignore corrupted". Игнорирует проверку целостности при запуске консольного сканера.

/nc - "no com". В случае установленного на компьютер комплекса Vba32, не будет работать через COM, а загрузит свою копию ядра и баз.

2. В файле cure_PE.bat используются параметры /af (обрабатывать все файлы), /ar (проверять архивы), /ml (проверка почтовых баз), и в то же время /ext=exe.sys.dll.scr.pif Нет ли здесь противоречия? Проверка архивов ещё понятна, но почта и "все файлы"?

Да, явное противоречие. Спасибо.

3. Для архивации используется консольный Rar - всё ли в порядке с лицензией? Как вариант - 7Zip-ом паковать в zip.

Да, проблемы точно есть Еще раз спасибо.

После выхода релиза 3.12.12.0 мы обязательно пересмотрим Vba32Check. Нужно будет и батники откорректировать, т.к. там добавятся новые ключи. Часть батников вообще нужно будет убрать, т.к. они ниразу не пригодились. А возможность отправки на сервер отчетов, скорее всего, отрубим, т.к. это тоже явно избыточный функционал. Тогда ни rar ни 7zip не понадобятся До НГ исправимся.