Зарегистрировался как бета тестер и сейчас просканил комп.
Использовал сканер(естевственно эвристика по максимуму). Возник такой баг: Он не создал резервную копию (или не предложил сделать это) фаила в карантине. Если фаил был найден при "paranoid heuristics".
лог прилагается....
я его внес в ручную,добавил коментарии и загрузил через карантин на сервер.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Зарегистрировался как бета тестер и сейчас просканил комп.
Использовал сканер(естевственно эвристика по максимуму). Возник такой баг: Он не создал резервную копию (или не предложил сделать это) фаила в карантине. Если фаил был найден при "paranoid heuristics".
лог прилагается....
я его внес в ручную,добавил коментарии и загрузил через карантин на сервер.
Сейчас архивы которые содержат подозрительные файлы не добавляются в
Карантин, прошу не путать с подозрительными архивами.
В ближайшее время решим эту проблему.
"ВирусБлокАда", Минск, Беларусь. [url]http://anti-virus.by[/url]
Есть предложение по интерфейсу программы.
Очень долго искал "карантин". как выиснилось выйти на него можно только кликнув на иконке VBA в трее правой клавишей мыши. ИМНО,если есть диспетчер,с оконным интефейсом,то почему не вынести все управление и ссылки на компоненты туда. А то, пока найдешь...
Кстати, в новом пакете Неро 7:
C:\soft\Nero-7.0.1.2_rus.exe:<RAR>\Cab\92820133.cab:<CAB>\NeroS tartSmart30AE7AA1.exe : похож на Downloader.Small.157 (paranoid heuristics)
Сам пакет не послать,100 метров. Файлик сам 4 метра...как вам его забросить? если надо.
Есть предложение по интерфейсу программы.
Очень долго искал "карантин". как выиснилось выйти на него можно только кликнув на иконке VBA в трее правой клавишей мыши. ИМНО,если есть диспетчер,с оконным интефейсом,то почему не вынести все управление и ссылки на компоненты туда. А то, пока найдешь...
Кстати, в новом пакете Неро 7:
C:\soft\Nero-7.0.1.2_rus.exe:<RAR>\Cab\92820133.cab:<CAB>\NeroS tartSmart30AE7AA1.exe : похож на Downloader.Small.157 (paranoid heuristics)
Сам пакет не послать,100 метров. Файлик сам 4 метра...как вам его забросить? если надо.
лучше всего для передачи использовать Карантин. По возможности указывайте Ваш E-mail и причину передачи файла (можно строку из лога....)
лучше всего для передачи использовать Карантин. По возможности указывайте Ваш E-mail и причину передачи файла (можно строку из лога....)
Я так и делаю... и е-маил пишу. Иногда стараюсь дать лог с Virustotal.com о проверке файла.
Такой вопрос: А разве у вас на сервере не пишутся строки "информация и состояние", при приеме файла от пользователя с помощью карантина? Там все причины есть.
Я так и делаю... и е-маил пишу. Иногда стараюсь дать лог с Virustotal.com о проверке файла.
Такой вопрос: А разве у вас на сервере не пишутся строки "информация и состояние", при приеме файла от пользователя с помощью карантина? Там все причины есть.
Самое необходимое, что нужно от пользователя (бета-тестера) при передаче файла - это его E-mail и, конечно же, вопрос о пересылаемом объекте (к примеру, сомнение в сообщении антивируса: ложное срабатывание или же наоборот - не обнаружение). А так же желательно происхождение данного файла или принадлежность к какому либо софту... А информацию и состояние выдаваемое Комплексом мы всегда имеем возможность получить.
Еще раз спасибо Вам за присылаемые сообщения.
у меня почтовый сервер недоступен, так что пишу сюда.
Когда в карантине перепроверяю файл (архив, добавлен вручную), он получается подозрительным, но state остаётся unknown, хотелось бы, чтобы он менялся на suspicious...
у меня почтовый сервер недоступен, так что пишу сюда.
Когда в карантине перепроверяю файл (архив, добавлен вручную), он получается подозрительным, но state остаётся unknown, хотелось бы, чтобы он менялся на suspicious...
Выставьте настройки перед проверкой файла: Карантин - Файл - Проверить... - Настройки... - Изменять сведения при проверке объекта.
Вот это весело он мп3 почему-то открывает как rar архив. Причем только на двух мп3 у меня такое происходит. Может вам эту мп3 прислать,чтобы вы выиснили и исправили?
Еще похоже на ложное срабатывание:
E:\install\&RQ\&RQ.exe : похож на Trojan-Downloader.Delf.10 (paranoid heuristics). Версия клиента 0.9.7.0. В карантин вам на сервер загрузил.
Последний раз редактировалось hranitel_y2k; 28.11.2005 в 14:33.
Умеет ли VBA32 видеть вирусы в архивах .uha (WinUHA) и .zip (WinZip 10.0) по методам PPMd , bzip2 , deflate ???
Архивы .uha не поддерживаются, и скорее всего не будут поддерживаться в обозримом будущем. Причина проста (если я , конечно, ничего не напутал) - это новый экспериментальный формат архива, для WinUHA доступны только alpha/beta/pre версии, а релиза вроде пока нет, пишет этот архиватор студент. Думаю всего этого достаточно для того, чтобы не рекомендовать данный архиватор для сколь-нибудь серьезного использования Более того, я не смог найти исходников распаковщика для этого формата, а наличие исходников с лицензией, позволяющей их нам использовать - обязательное требование для поддержки форматов архивов в VBA32.
Кстати, по причине отсутствия исходников распаковщика у нас не поддерживается формат ACE (unace.dll нас не устраивает по целой куче причин, начиная от того, что антивирус должен работать еще в unix операционных системах, а также из за того, что мы не можем гарантировать качество этого кода и исправлять в нем ошибки по мере необходимости - а эксплоиты для ACE уже были). Для любого архиватора правилом хорошего тона является наличие свободных исходников распаковки, в противном случае данный архив просто невозможно будет распаковать на альтернативных операционных системах, либо на новых версиях существующих операционок. Например представьте себе архиватор, для которого существует только dos-версия и нет никаких исходников, в Windows x64 эти архивы распаковать уже не получится (без эмулятора dos).
Насчет WinZip, методы bzip2 и deflate поддерживаются, PPMd пока нет. Вообще одним из достоинств zip-формата является тем, что это фактически стандарт, zip-архивы можно распаковать практически где угодно. Ребята из WinZip почему-то решили избавиться от этого достоинства и начинают что-то изобретать. Если так неймется, начали бы лучше разрабатывать новый формат архива.
Вообще меня давно интересует вопрос. Кто-то пытался хотя бы приблизительно прикинуть что лучше в плане быстродействия, совершенствовать эмулятор, что бы он распаковывал все паковщики, или писать отдельный распаковщик для каждого пакера, как это делают, к примеру, ЛК?
По поводу МР3 и нахождения в них архива.....
Хотелось бы их увидеть (услышать ) , а то так трудно сказать..... И, второе, если можно укажите параметры сканирования (ключи).
По поводу МР3 и нахождения в них архива.....
Хотелось бы их увидеть (услышать ) , а то так трудно сказать..... И, второе, если можно укажите параметры сканирования (ключи).
ссылка на одну из мп3: http://www.megaupload.com/?d=3KFLFLGG
Насчет опций - я пользуюсь оконной версией сканера(не консоль). поэтому с ключами как-то сложновато... Вообщем, настройки по максимуму Поэксперементировав немного,заметил что данная вещь возникает,когда установлен флажок "избыточный режим" + "обрабатывать архивы". Уровень эвристики никак не влияет.
А вот меня тоже интересует такой каверзный вопрос. Что мешает сделать супермега-анализатор кода, который бы детектил все виды вирусной активности (их ведь не так уж и много)? Это очень сложно (я, конечно, понимаю, что это непросто) или ресурсы будет жрать немеряно или разрабы денежек лишатся?
А вот меня тоже интересует такой каверзный вопрос. Что мешает сделать супермега-анализатор кода, который бы детектил все виды вирусной активности (их ведь не так уж и много)? Это очень сложно (я, конечно, понимаю, что это непросто) или ресурсы будет жрать немеряно или разрабы денежек лишатся?
о чём вообще-то вопрос? активность в операционной системе? анализ конкретного файла? внешние сетевые атаки?