-
Junior Member
- Вес репутации
- 71
Re:Бета-тестирование антивируса "ВирусБлокАда"
Что за чертовщина... Ничего не понимаю
Поставил subj на почти чистую систему (доктора правда не сносил, только паука). Почту не проверяет :'(
У кого-нибудь вообще pop3 сканер работает?
Вот только что сделал full scan, в половине инсталяшек для pocket pc обнаружился TrojanDropper.Win32.Checkin
Даже в Quarta.MUI.2003.RU.for.iPAQ.2200 ;D
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Re:Бета-тестирование антивируса "ВирусБлокАда"
Сообщение от
userr
Любопытно оказалось сравнить работу vba и дрвеб на пришедшем с почтой парольном архиве с вирусом. пароль - в bmp файле.
...
drweb:
====================================
c:\tmp\ezividwdn.exe packed by UPX
>c:\tmp\ezividwdn.exe infected with Win32.HLLM.Beagle
c:\tmp\jaokniqk.ini - Ok
c:\tmp\mime000.txt - Ok
c:\tmp\a.eml - archive MAIL
>c:\tmp\a.eml\html.1 - Ok
>c:\tmp\a.eml\wcqqrxaiat.bmp - Ok
>c:\tmp\a.eml\Updates.zip infected with Win32.HLLM.Beagle.pswzip
==================================
Как это удается проверять парольный архив? При этом когда я распаковал zip и из тех же файлов сам сделал парольный zip, то в нем уже вируса не видно
. Я пробовал разные степени сжатия и только на 0 (NO compression) добился от vba "похож на I-Worm.Psw-protected". drweb всегда писал
c:\temp\b\TEST0.ZIP - archive ZIP
>c:\temp\b\TEST0.ZIP\EZIVIDWD.EXE - password protected, skipped
>c:\temp\b\TEST0.ZIP\JAOKNIQK.INI - password protected, skipped
ДрВеб детектит этот вирус прямо без распаковки, в том виде, каким его может создать сам вирус. Потому после перепаковки и не детектится.
-
-
Re:Бета-тестирование антивируса "ВирусБлокАда"
Сообщение от
nowhere
Вот только что сделал full scan, в половине инсталяшек для pocket pc обнаружился TrojanDropper.Win32.Checkin
Даже в Quarta.MUI.2003.RU.for.iPAQ.2200 ;D
можешь прислать пару инсталляционных файликов?
-
-
Re:Бета-тестирование антивируса "ВирусБлокАда"
Сообщение от
userr
..\tmp\a.eml:<MIME>\Updates.zip : похож на I-Worm.Psw-protected
эту фишку мы делали на самом деле для почтовых серверов. админы настраивают так, чтобы такие архивы (нулевое сжатие с паролем) прибивать в почте. для обычных пользователей она чисто информативна
-
-
Junior Member
- Вес репутации
- 71
Re:Бета-тестирование антивируса "ВирусБлокАда"
Сообщение от
Dr
можешь прислать пару инсталляционных файликов?
Ок. См ПМ
-
Full Member
- Вес репутации
- 74
Re:Бета-тестирование антивируса "ВирусБлокАда"
Сообщение от
Alexey
ДрВеб детектит этот вирус прямо без распаковки, в том виде, каким его может создать сам вирус. Потому после перепаковки и не детектится.
то есть вирус содержит в себе (часть) алгоритма zip-кодирования? Любопытно.
-
Re:Бета-тестирование антивируса "ВирусБлокАда"
Сейчас в этом ничего любопытного уже нет. Клез ещё пару лет назад засовывался в RAR и ZIP - тогда это была относительная новинка.
-
-
Junior Member
- Вес репутации
- 71
Re:Бета-тестирование антивируса "ВирусБлокАда"
Сообщение от
nowhere
Ок. См ПМ
Во, совсем другое дело!
А всё-таки, как запустить сканер почты? Готов предоставить всю необходимую информацию
-
Re:Бета-тестирование антивируса "ВирусБлокАда"
Сообщение от
nowhere
1. Есть ли возможность проверять файлы только при открытии на запись? Не спорю, монитор шустрый, но на старых машинках его работа всё-таки заметна.
присоединяюсь к предложению.
Сообщение от
Dimka
1. Сейчас такой возможности нет, и полезность ее несколько сомнительна.
Всё быстрее будет летать.
Сообщение от
Dimka
При включении такой опции существует вероятность, что кто-то поселится на компе до того, как будет скачано соответствующее дополнение, и будет жить там долго и счастливо, пока пользователь не запустит сканер. И часто будет именно так: опцию эту включат, чтобы все шустро бегало, а на запуск сканера забьют. А потом придется долго рассказывать, почему монитор включен, а на компе вирус живет. Можно, конечно, так спрятать эту настройку, чтобы никто ее не нашел...
Можно монитором "втихую"(в смысле, с низким приоритетом ) проверять память и/или пути автозагрузки(после апдейта?..). Этого должно хватить.
-
-
Re:Бета-тестирование антивируса "ВирусБлокАда"
А можно отдельные настройки для избранных директорий. Например проверку архивов для всего диска включать не экономно, однако проверять все архивы в некоторых папках (мусорки для скачивания программ интернета, папки для скачивания p2p, папли хранения прикрепленных к письму файлов и т.д.) просто необходимо.
-
Re:Бета-тестирование антивируса "ВирусБлокАда"
Сообщение от
Minos
А можно отдельные настройки для избранных директорий. Например проверку архивов для всего диска включать не экономно, однако проверять все архивы в некоторых папках (мусорки для скачивания программ интернета, папки для скачивания p2p, папли хранения прикрепленных к письму файлов и т.д.) просто необходимо.
о какой части комплекса идёт речь? если о мониторе, то проверка архивов в мониторе была, но мы от неё отказались, и пока вряд ли опять восстановим эту функцию. если речь о сканере, то в нём есть такая фишка, как список проверяемых объектов.
например, пишем в командной строке
Vba32w.exe @list,
а файл list составляем следующим образом
---------------------------------------
/fc /ha
C:\Windows\
/af /ar /ha
C:\P2P\
--------------------------------
т.е. перед каждым объявленным объектом для проверки можно менять ключи командной строки для этого объекта. очень удобно для всяких автоматических прогонов
-
-
Re:Бета-тестирование антивируса "ВирусБлокАда"
Я имел в виду именно монитор, т.к. зачастую именно в архивах приходят "сюрпризы", а проверять их все время ручками лень . У меня недавно был инцидент: на записанном мною диске оказался вирус как раз в архиве, который я скачал из Сети, VBA сканер его увидел, но было поздно...
-
Junior Member
- Вес репутации
- 71
Re:Бета-тестирование антивируса "ВирусБлокАда"
Сообщение от
Minos
Я имел в виду именно монитор, т.к. зачастую именно в архивах приходят "сюрпризы", а проверять их все время ручками лень
. У меня недавно был инцидент: на записанном мною диске оказался вирус как раз в архиве, который я скачал из Сети, VBA сканер его увидел, но было поздно...
А кто мешает в той же нере настроить сканирование перед записью? Тем более перед тем как пишешь сам бог велел проверить сканером - потом ведь уже поздно будет
-
Re:Бета-тестирование антивируса "ВирусБлокАда"
в алгоритмы для эвристики влита очередная порция троянов/бэкдоров, некоторые "new" переименованы и т.п.
просьба: у кого есть возможность, потестируйте консольный сканер, который собирает подозрительные по эвристике файлы. ссылка для скачивания (у кого нет сканера вообще) http://www.anti-virus.by/download_fi...a-20041210.zip, у кого есть могут обновиться при помощи батника update.bat (обновятся только базы). особенно интересуют программы, написанные на Дельфи. если есть программисты-Дельфятники, прогон по вашим компам соберёт урожай для усовершенствования эвристики.
-
-
Full Member
- Вес репутации
- 74
Re:Бета-тестирование антивируса "ВирусБлокАда"
как исключить из проверки несколько расширений файлов (в бета версии)? У меня в опцию /ext- не получается воткнуть больше одного параметра
-
Re:Бета-тестирование антивируса "ВирусБлокАда"
Сообщение от
userr
как исключить из проверки несколько расширений файлов (в бета версии)? У меня в опцию /ext- не получается воткнуть больше одного параметра
Расширения в этом ключе разделяются точкой:
/ext-aaa.bbb.ccc
-
-
Full Member
- Вес репутации
- 74
Re:Бета-тестирование антивируса "ВирусБлокАда"
Решил я помучить ВБА на архивах с глубокой вложенностью каталогов. На одном архиве получилось так: в режиме /pm- ВБА отработал молча, но не стал проверять большую часть файлов в архиве. В режиме /pm+ ВБА проверил почти все, но иногда писал, например:
1wp10003r.zip:<ZIP>\SiebelBOPortlet41.war:<ZIP>\WE B-INF\lib\commons-collections.jar:<ZIP>\org\apache\commons\collectio ns\BeanMap$4.class : невозможно открыть для чтения
Внимательное сравнение с логом Дрвеб показало, что когда ВБА спотыкался на каком-то файле в данном каталоге архива, оставшиеся файлы этого каталога просто пропускаются (по крайней мере не попадают в лог).
Дрвеб отработал архив без проблем.
И еще - почему ВБА пишет, что обрабатывались "Почтовые сообщения" ??
==================
Режимы работы программы:
/r+vba32.rpt /ha=2 /rw /pm+ /af+ /ar+ /qu+ /ok+ /ml+
1wp10003r.zip:
Каталогов 0 Файлов в архивах: Файлов на дисках:
Архивов: - всего : 4466 - всего : 1
- обработано : 90 - обработано : 4460 - обработано : 1
- содержат вирусы : 0 - инфицированных: 0 - инфицированных: 0
- удалено : 0 - подозрительных: 0 - подозрительных: 0
- обезврежено : 0
Почтовых сообщений: Присоединенных файлов
- обработано : 4461 - всего : 0
- содержат вирусы : 0 - обработано : 0
- подозрительных : 0 - инфицированных: 0
- удалено : 0
================================================== =
Режимы работы программы:
/r+vba32.rpt /ha=2 /rw /af+ /ar+ /qu+ /ok+ /ml+
1wp10003r.zip:
Каталогов : 0 Файлов в архивах: Файлов на дисках:
Архивов: - всего : 625 - всего : 1
- обработано : 20 - обработано : 625 - обработано : 1
- содержат вирусы: 0 - инфицированных: 0 инфицированных: 0
- удалено : 0 - подозрительных: 0 - подозрительных: 0
-
VBA
- Вес репутации
- 72
Re:Бета-тестирование антивируса "ВирусБлокАда"
Сообщение от
userr
Решил я помучить ВБА на архивах с глубокой вложенностью каталогов. На одном архиве получилось так: в режиме /pm- ВБА отработал молча, но не стал проверять большую часть файлов в архиве. В режиме /pm+ ВБА проверил почти все, но иногда писал, например:
1wp10003r.zip:<ZIP>\SiebelBOPortlet41.war:<ZIP>\WE B-INF\lib\commons-collections.jar:<ZIP>\org\apache\commons\collectio ns\BeanMap$4.class : невозможно открыть для чтения
Внимательное сравнение с логом Дрвеб показало, что когда ВБА спотыкался на каком-то файле в данном каталоге архива, оставшиеся файлы этого каталога просто пропускаются (по крайней мере не попадают в лог).
Дрвеб отработал архив без проблем.
Первым делом стоит посмотреть, достаточно ли места во временном каталоге для временных файлов, которые создаются при распаковке архивов. Если места недостаточно, могут появляться такие сообщения об ошибках (невозможно открыть для чтения).
И еще - почему ВБА пишет, что обрабатывались "Почтовые сообщения" ??
Это из-за /pm+ режима. В данном режиме программа игнорирует формат файлов и пытается проверить их всеми доступными методами. Соответственно, часть файлов ей показались немного похожими на почтовые сообщения, что и было отражено в отчете.
Чтобы разобраться со всем этим, пожалуйста запустите сканер на проверку этого архива с ведением отчета и ключем /ok (информация о всех файлах в отчете), а также без /pm режима (его вообще использовать не рекомендуется). Пришлите этот файл отчета нам для анализа, а также отчет созданный DrWeb. Также было бы интересно посмотреть на тот файл, на котором Vba32 спотыкается, возможно именно в нем все дело. Еще проверьте пожалуйста, не появился ли файл vba32err.dmp в каталоге Vba32. Все эти результаты пришлите пожалуйста на [email protected], будем разбираться и попробуем решить проблему.
-
-
Re:Бета-тестирование антивируса "ВирусБлокАда"
Похоже у вас RTF файлы при проверке открываются на запись.
Во всяком слючае SpiderGuard от DrWeb их тоже проверяет, а в оптимальном режиме файлы, открываемые на чтение, не проверяются.
22-12-2004 16:47:51 C:\Distr\Delphi\DELPHI5\Runimage\Delphi50\Demos\Ri chedit\overview.rtf - Ok
Никто другой, кроме VBA сканера, в этот момент обратиться к файлу не мог.
-
-
Re:Бета-тестирование антивируса "ВирусБлокАда"
в окне дипетчера кнопка сканера неактивна; так и должно быть или я нарыл баг?
-