Что за чертовщина... Ничего не понимаю
Поставил subj на почти чистую систему (доктора правда не сносил, только паука). Почту не проверяет :'(
У кого-нибудь вообще pop3 сканер работает?
Вот только что сделал full scan, в половине инсталяшек для pocket pc обнаружился TrojanDropper.Win32.Checkin
Даже в Quarta.MUI.2003.RU.for.iPAQ.2200 ;D
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
ДрВеб детектит этот вирус прямо без распаковки, в том виде, каким его может создать сам вирус. Потому после перепаковки и не детектится.Сообщение от userr
Любопытно оказалось сравнить работу vba и дрвеб на пришедшем с почтой парольном архиве с вирусом. пароль - в bmp файле.
...
drweb:
====================================
c:\tmp\ezividwdn.exe packed by UPX
>c:\tmp\ezividwdn.exe infected with Win32.HLLM.Beagle
c:\tmp\jaokniqk.ini - Ok
c:\tmp\mime000.txt - Ok
c:\tmp\a.eml - archive MAIL
>c:\tmp\a.eml\html.1 - Ok
>c:\tmp\a.eml\wcqqrxaiat.bmp - Ok
>c:\tmp\a.eml\Updates.zip infected with Win32.HLLM.Beagle.pswzip
==================================
Как это удается проверять парольный архив? При этом когда я распаковал zip и из тех же файлов сам сделал парольный zip, то в нем уже вируса не видно. Я пробовал разные степени сжатия и только на 0 (NO compression) добился от vba "похож на I-Worm.Psw-protected". drweb всегда писал
c:\temp\b\TEST0.ZIP - archive ZIP
>c:\temp\b\TEST0.ZIP\EZIVIDWD.EXE - password protected, skipped
>c:\temp\b\TEST0.ZIP\JAOKNIQK.INI - password protected, skipped
можешь прислать пару инсталляционных файликов?
эту фишку мы делали на самом деле для почтовых серверов. админы настраивают так, чтобы такие архивы (нулевое сжатие с паролем) прибивать в почте. для обычных пользователей она чисто информативна
Ок. См ПМ
то есть вирус содержит в себе (часть) алгоритма zip-кодирования? Любопытно.
Сейчас в этом ничего любопытного уже нет. Клез ещё пару лет назад засовывался в RAR и ZIP - тогда это была относительная новинка.
Во, совсем другое дело!
А всё-таки, как запустить сканер почты? Готов предоставить всю необходимую информацию
присоединяюсь к предложению.Всё быстрее будет летать.Можно монитором "втихую"(в смысле, с низким приоритетомПри включении такой опции существует вероятность, что кто-то поселится на компе до того, как будет скачано соответствующее дополнение, и будет жить там долго и счастливо, пока пользователь не запустит сканер. И часто будет именно так: опцию эту включат, чтобы все шустро бегало, а на запуск сканера забьют. А потом придется долго рассказывать, почему монитор включен, а на компе вирус живет. Можно, конечно, так спрятать эту настройку, чтобы никто ее не нашел...
А можно отдельные настройки для избранных директорий. Например проверку архивов для всего диска включать не экономно, однако проверять все архивы в некоторых папках (мусорки для скачивания программ интернета, папки для скачивания p2p, папли хранения прикрепленных к письму файлов и т.д.) просто необходимо.
о какой части комплекса идёт речь? если о мониторе, то проверка архивов в мониторе была, но мы от неё отказались, и пока вряд ли опять восстановим эту функцию. если речь о сканере, то в нём есть такая фишка, как список проверяемых объектов.
например, пишем в командной строке
Vba32w.exe @list,
а файл list составляем следующим образом
---------------------------------------
/fc /ha
C:\Windows\
/af /ar /ha
C:\P2P\
--------------------------------
т.е. перед каждым объявленным объектом для проверки можно менять ключи командной строки для этого объекта. очень удобно для всяких автоматических прогонов
Я имел в виду именно монитор, т.к. зачастую именно в архивах приходят "сюрпризы", а проверять их все время ручками лень
Я имел в виду именно монитор, т.к. зачастую именно в архивах приходят "сюрпризы", а проверять их все время ручками лень
А кто мешает в той же нере настроить сканирование перед записью? Тем более перед тем как пишешь сам бог велел проверить сканером - потом ведь уже поздно будет
в алгоритмы для эвристики влита очередная порция троянов/бэкдоров, некоторые "new" переименованы и т.п.
просьба: у кого есть возможность, потестируйте консольный сканер, который собирает подозрительные по эвристике файлы. ссылка для скачивания (у кого нет сканера вообще) http://www.anti-virus.by/download_fi...a-20041210.zip, у кого есть могут обновиться при помощи батника update.bat (обновятся только базы). особенно интересуют программы, написанные на Дельфи. если есть программисты-Дельфятники, прогон по вашим компам соберёт урожай для усовершенствования эвристики.
как исключить из проверки несколько расширений файлов (в бета версии)? У меня в опцию /ext- не получается воткнуть больше одного параметра
Расширения в этом ключе разделяются точкой:
/ext-aaa.bbb.ccc
Решил я помучить ВБА на архивах с глубокой вложенностью каталогов. На одном архиве получилось так: в режиме /pm- ВБА отработал молча, но не стал проверять большую часть файлов в архиве. В режиме /pm+ ВБА проверил почти все, но иногда писал, например:
1wp10003r.zip:<ZIP>\SiebelBOPortlet41.war:<ZIP>\WE B-INF\lib\commons-collections.jar:<ZIP>\org\apache\commons\collectio ns\BeanMap$4.class : невозможно открыть для чтения
Внимательное сравнение с логом Дрвеб показало, что когда ВБА спотыкался на каком-то файле в данном каталоге архива, оставшиеся файлы этого каталога просто пропускаются (по крайней мере не попадают в лог).
Дрвеб отработал архив без проблем.
И еще - почему ВБА пишет, что обрабатывались "Почтовые сообщения" ??
==================
Режимы работы программы:
/r+vba32.rpt /ha=2 /rw /pm+ /af+ /ar+ /qu+ /ok+ /ml+
1wp10003r.zip:
Каталогов 0 Файлов в архивах: Файлов на дисках:
Архивов: - всего : 4466 - всего : 1
- обработано : 90 - обработано : 4460 - обработано : 1
- содержат вирусы : 0 - инфицированных: 0 - инфицированных: 0
- удалено : 0 - подозрительных: 0 - подозрительных: 0
- обезврежено : 0
Почтовых сообщений: Присоединенных файлов
- обработано : 4461 - всего : 0
- содержат вирусы : 0 - обработано : 0
- подозрительных : 0 - инфицированных: 0
- удалено : 0
================================================== =
Режимы работы программы:
/r+vba32.rpt /ha=2 /rw /af+ /ar+ /qu+ /ok+ /ml+
1wp10003r.zip:
Каталогов : 0 Файлов в архивах: Файлов на дисках:
Архивов: - всего : 625 - всего : 1
- обработано : 20 - обработано : 625 - обработано : 1
- содержат вирусы: 0 - инфицированных: 0 инфицированных: 0
- удалено : 0 - подозрительных: 0 - подозрительных: 0
Первым делом стоит посмотреть, достаточно ли места во временном каталоге для временных файлов, которые создаются при распаковке архивов. Если места недостаточно, могут появляться такие сообщения об ошибках (невозможно открыть для чтения).
Это из-за /pm+ режима. В данном режиме программа игнорирует формат файлов и пытается проверить их всеми доступными методами. Соответственно, часть файлов ей показались немного похожими на почтовые сообщения, что и было отражено в отчете.И еще - почему ВБА пишет, что обрабатывались "Почтовые сообщения" ??
Чтобы разобраться со всем этим, пожалуйста запустите сканер на проверку этого архива с ведением отчета и ключем /ok (информация о всех файлах в отчете), а также без /pm режима (его вообще использовать не рекомендуется). Пришлите этот файл отчета нам для анализа, а также отчет созданный DrWeb. Также было бы интересно посмотреть на тот файл, на котором Vba32 спотыкается, возможно именно в нем все дело. Еще проверьте пожалуйста, не появился ли файл vba32err.dmp в каталоге Vba32. Все эти результаты пришлите пожалуйста на [email protected], будем разбираться и попробуем решить проблему.
Похоже у вас RTF файлы при проверке открываются на запись.
Во всяком слючае SpiderGuard от DrWeb их тоже проверяет, а в оптимальном режиме файлы, открываемые на чтение, не проверяются.
22-12-2004 16:47:51 C:\Distr\Delphi\DELPHI5\Runimage\Delphi50\Demos\Ri chedit\overview.rtf - Ok
Никто другой, кроме VBA сканера, в этот момент обратиться к файлу не мог.
в окне дипетчера кнопка сканера неактивна; так и должно быть или я нарыл баг?
Ваши права в разделе
