Сергей Ильин

Лечение вирусов в архивах

В этой теме 4 сообщения

Тема проверки архивов стала достаточно популярной

http://www.anti-malware.ru/phpbb/viewtopic.php?p=2423#2423,

поэтому я бы хотел по горячим следам обсудить тему лечения файлов внутри архивов, некоторые антивирусы это умеют.

Кроме этого, интересно мнение людей, нужно ли это вообще или нет?

Я знаю, например, что КАВ лечит в архивах ZIP, ARJ, CAB и RAR.

Symantec - в файлах ZIP и CAB.

F-Secure вообще не лечит и т.д.

Если есть, что добавить - пишите.

***************************************

Но не стоит верить всем наслово.

Вот, как Symantec на примере Norton Internet Security лечит в CAB (см. скриншоты). :lol:

Сначала Norton Internet Security предлагает вылечить инфицированные файлы, долго домает, потом предлагает поместить их в карантин, опять долго думает, замет предлагает их все-таки удалить :-), опять долго думает и, в конечном итоге, предлагает зайти на сайта Symantec :lol:

symantec_cab.PNG

symantec_cab2.PNG

symantec_cab1.PNG

post-4-1140537027.png

post-1-1140537027.png

post-1-1140537028.png

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, Вы правы тема "антивирусы и архивы" актуальна и пользуется спросом на форуме.

1. О возможности лечения указанных Вами архивов Антивирусом Касперского я знал и ранее, но вот о лечении архивированных файлов антвивирусом Symantec/Norton, если честно, слышу впервые.

2. От себя добавлю, что Dr. Web, архивы не лечит вообще. Более того, по умолчанию, инфиницированные архивы не удаляются. Для активации такой опции необходимо изменить конфигурацию ini-файла, что согласитесь под силу не каждому пользователю (неопытные пользователи просто могут не знать что-такое ini-файл и где он находится.

Для опытных пользователей антивирусного ПО, которое "не умеет" лечить архивы, можно посоветовать распаковку архивов с последующим удалением/лечением файлов антивирусом или вручную. Затем, в случае необходимости, распакованные файлы можно заархивировать обратно. В итоге получаем "чистый архив".

Подробно такая операция описана здесь

http://wiki.drweb.com/index.php/Работа_с_архивами

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Провел тест Symantec/Norton на лечение вирусов в архивах.

Вот результаты (детектирование/лечение)

ZIP +/+

RAR +/-

ARJ +/-

LZH +/+

GZ +/+

CAB +/-

В случае с ARJ получается такой же калабур, как показан выше с CAB

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Facebook выплатил исследователю 10 000 $ за обнаруженную уязвимость, которая позволяла удаленно удалить любое видео с сайта. Читать далее
    • Хакеры Карим Рахаль и Ибрам Марзук обнаружили несколько уязвимостей межсайтового скриптинга в HTML Comment Box, которые позволили скомпрометировать данные пользователей около двух миллионов веб-сайтов. Читать далее
    • В любом случае если будет автомат, то он будет опцией. Я вижу это примерно так: 1. возможность сделать и прислать карантин как сейчас (что хорошо например при недоступности Инет на том ПК, на котором собираются карантины ... или например если опытный специалист хочет сам вручную или скриптом что-то закарантинить и отправить карантин на анализ) 2. В качестве альтернативы будет некий автомат, который выполнит п.п. 1 автоматически. Техничски это EXE, который проверит связь с Инет, запустит AVZ с необходимыми параметрами для сбора карантина, дождется формирования архива, отправит его с контролем успешности отправки, и выдаст пользователю квитанцию об успешности операции... по ходу показывая прогресс-индекатор и понятное пользователю описание того, что делается в текущий момент. Плюс всякие опциональные фишки типа отправки емейла вместе с карантином (как сейчас в форме на сайте - чтобы сервису было куда слать рапорт о завершении анализа), или например создание на рабочем столе ярлыка со ссылкой на результат анализа (как альтернатива указанию емейла), или например запись в реестр или в некий INI/XML данных об отправленных карантинах, чтобы пто можно было быстро открывать результаты их анализа в браузере. Такие фичи могут выбираться чекбоксиками или запускаться отдельными кнопками после выполнения основных операций. ege.org.ru ege.net.ru
    • Недавно обнаруженный вариант вредоносной программы для Android HummingBad был загружен миллионы раз после заражения 20 приложений в Google Play, предупреждают исследователи в области безопасности Check Point. Обнаруженный в начале 2016 года, HummingBad уже стал одним из самых популярных вредоносов для Android. На его долю приходится 72% атак на Android-устройства в первой половине года. Читать далее
    • Группа компаний (ГК) InfoWatch сообщает о выпуске InfoWatch Integrated Platform — нового инструмента для интеграции ИТ-систем сторонних разработчиков с решением для предотвращения утечек конфиденциальной информации и защиты бизнеса от внутренних угроз InfoWatch Traffic Monitor. Читать далее