VirusDetector – бесплатный онлайн-сервис проверки компьютера (beta)

[Alex_Goodwin 81]

Можно похвастаться некоторыми успешными примерами работы сервиса в обнаружении зловредов:

http://virusinfo.info/virusdetector/report...60AEABF99C94F82

http://virusinfo.info/virusdetector/report...D01A04E8A0452FC

http://virusinfo.info/virusdetector/report...C55C11E798A0383

http://virusinfo.info/virusdetector/report...2FB1AD141659C5B

http://virusinfo.info/virusdetector/report...3EEF60086B1C15F

http://virusinfo.info/virusdetector/report...2FB1AD141659C5B

не опознан зловред

C:\Users\Karen\Documents\Iterra\fhvzsyc.dll MD5=12B1CAF051CB664A2AF65CE7206729AB SHA1=D9F54E8D2D263AB4F5DEDCA0320A2C7CCA54AFB7

В дальнейшем, после появления детекта отправитель получит письмо об одновлении отчета, нахождении зловреда?

[Сергей Ильин 1538]

В дальнейшем, после появления детекта отправитель получит письмо об одновлении отчета, нахождении зловреда?

При изменении вердикта в худшую сторону пользователь получит автоматическое уведомление по email, если конечно он его указал при загрузке карантина.

[Зайцев Олег 402]

В дальнейшем, после появления детекта отправитель получит письмо об одновлении отчета, нахождении зловреда?

Совершенно верно. Я принудительно обновил указанный отчет для демонстрации - изначально DLL имела рейтинг порядка +45 (некая левая DLL, поверхностный анализ ничего не показывает). Потом она постепенно пошла в минус, сейчас у нее -9. Просто отчет не обновляется в случае незначительных изменений по файлам, я продумываю критерии, по которым регененировать отчеты (естветственно, что при признании любого файла чистым или зверем отчет немедленно обновляется). Конкретно по данному карантину емейл был указан, стоит отметка, что письмо о завершении первичного анализа отправлено. Когда и если число зверей в карантине увеличится, будет немедленно отправлено еще одно письмо, с пометкой о том, что в результатах анализа произошли важные изменения.

[ak_ 395]

А не планируется в дальнейшем развитие сервиса в сторону лечения зараженных систем с помощью скриптов или предложения скачать AVPtool (если есть детект KAV)?

[alamor 69]

Я принудительно обновил указанный отчет для демонстрации - изначально DLL имела рейтинг порядка +45 (некая левая DLL, поверхностный анализ ничего не показывает). Потом она постепенно пошла в минус, сейчас у нее -9.

а можно узнать на основание чего рейтинг ушёл в минус уже после анализа ? А также может стоит добавить ещё одну группу файлов, которые с высокой вероятностью является зловреды. Тоесть вердикта антивируса на момент формирования отчёт нет, но кибер по каким-то признакам заподозрил файл, сейчас он будет отображён также как и обычный чистый файл, который просто не добавлен в базу чистых.

[Зайцев Олег 402]

а можно узнать на основание чего рейтинг ушёл в минус уже после анализа ? А также может стоит добавить ещё одну группу файлов, которые с высокой вероятностью является зловреды. Тоесть вердикта антивируса на момент формирования отчёт нет, но кибер по каким-то признакам заподозрил файл, сейчас он будет отображён также как и обычный чистый файл, который просто не добавлен в базу чистых.

Все просто - анализ многоступенчатый. Сначала проводится первичный анализ. Некие файлы сразу получают статус "чистый", некоторые сразу детектируются как "зверье" - тут все просто. Что-то остается без однозначной оценки и получает первичную классификацию. А вот далее начинается череда уточнений - кто, что, где, с кем и т.п. В работу вступают различные анализаторы, файл пробивается по разным базам и т.п. Все файлы, которые не подсвечены "зеленым" или "красным", имеют неопределенный статус и говорить про них "и обычный чистый файл, который просто не добавлен в базу чистых" совершенно неверно (равно как то, что "зеленый" попал в БД чистых - он может быть прость классифицироан как безопасный и попадет в БД чистых потом). Индикатор против каждого файла может многократно меняться во времени, по мере анализа.

А не планируется в дальнейшем развитие сервиса в сторону лечения зараженных систем с помощью скриптов или предложения скачать AVPtool (если есть детект KAV)?

Скрипт сгенерировать несложно, но для этого нужно как минимум получить логи с исследуемой системы... Плюс есть опасность, что бездумно выполняя скрипт кто-то угробит себе ПК (хоят если кто помнит 911, "кибер" имеет защиту от написания деструктивных скриптов)

[Сергей Ильин 1538]

А не планируется в дальнейшем развитие сервиса в сторону лечения зараженных систем с помощью скриптов или предложения скачать AVPtool (если есть детект KAV)?

ИМХО такое направление развитие на перспективу было бы правильным. Как выше написал Олег, для этого нужно немного больше информации + подготовленная сервисная платформа, явно не на форумном движке.

Как быстро сервис будет развиваться зависит от его популярности, поэтому я очень прошу всех по возможности продвигать сервис VirusDetector. В конечном итоге, чем больше будет обращений, тем лучше он будет работать, и тем больше будет стимулов вкладываться в его дальнейшее развитие.

[Сергей Ильин 1538]

Alex_Goodwin, а вот и реальный кейс нашелся http://virusinfo.info/showthread.php?t=130771 - видно, что произошло уточнение вердикта

И вот еще такой же пример http://virusinfo.info/showthread.php?t=130785

[santy 153]

4 дня ушло на выяснение того что файл C:\Users\Karen\Documents\Iterra\fhvzsyc.dll является маячком. низкая (аналитическая) производительность Кибера. Скорее всего вердикт изменился, после добавления сигнатуры по файлу в вирлабе.

(судя по этой ссылке

http://virusinfo.info/showthread.php?t=130785)

или ошибки с подсчетом вредоносных файлов.

[priv8v 960]

santy, а вы пробовали накодить динамический анализ длл, если их явный вредоносный функционал не запихан в резон-процессаттач?

а если нет вообще у кибера динамического анализа, а только стат обнюхиватели и базы чистых, 4 дня норм...

пс: хотелось бы для зловредов в отчете возможность увидеть в каком ключе реестра они прописаны...

[Сергей Ильин 1538]

Мы тут это ... прорекламировали немного сервис. Теперь там очень и очень весело стало

http://virusinfo.info/forumdisplay.php?f=192

[Зайцев Олег 402]

4 дня ушло на выяснение того что файл C:\Users\Karen\Documents\Iterra\fhvzsyc.dll является маячком. низкая (аналитическая) производительность Кибера. Скорее всего вердикт изменился, после добавления сигнатуры по файлу в вирлабе.

(судя по этой ссылке

http://virusinfo.info/showthread.php?t=130785)

или ошибки с подсчетом вредоносных файлов.

4 дня ушло на однозначный вердикт. Дело в том, что тучи DLL (мне лично известно более 100 тыс) вытворяют такое, что по каждой можно орать "злобный вирус". С EXE файлами собственно картина не лучше. И если указать на некую потенциальную опасность DLL, то многие пользователи могут попросту прибить ее не думая.

1. santy, а вы пробовали накодить динамический анализ длл, если их явный вредоносный функционал не запихан в резон-процессаттач?

а если нет вообще у кибера динамического анализа, а только стат обнюхиватели и базы чистых, 4 дня норм...

пс: хотелось бы для зловредов в отчете возможность увидеть в каком ключе реестра они прописаны...

есть там динамический анализ и миного чего еще, но елси выносить вердикт чисто по поведению, то фолсов будет тьма - см. выше, есть тучи легитимных программ, которве ведут себя хуже иного зловреда. Ключи реестра конечно известны, но сомневаюсь, что правильно показывать их в отчете ...

[Сергей Ильин 1538]

Сегодня нагрузка на сервис заметно выросла и можно уже о какой-то первой статистике говорить. Первое впечатление - очень много зараженных. Думаю, по мере уточнения вердиктов их % будет еще больше.

[alamor 69]

Сегодня нагрузка на сервис заметно выросла и можно уже о какой-то первой статистике говорить. Первое впечатление - очень много зараженных.

Сергей Ильин может сделать отдельную статистику по этому сервису в разделе: Монитор VirusInfo ? или где можно её посмотреть ?

[Сергей Ильин 1538]

alamor, мы рассчитываем публиковать статистику по работе сервиса, скорее всего она будет публиковаться раз в месяц.

[Umnik 997]

Какой все-таки AVZ подозрительный. Даже Хром и KPM под подозрением оказались

[Umnik 997]

Действительно, карантин не загружается. Все браузеры сбрасывают соединение через минуту.

[Зайцев Олег 402]

Какой все-таки AVZ подозрительный. Даже Хром и KPM под подозрением оказались

Надо использовать IE и все будет хорошо На самом деле скрипт 8 карантинит все, что шевелится (там логика простая - сначала карантинится все подозрительное, а затем - вообще все, что не опозналось по БД чистых). Собственно, за счет этого и достигается проверка ПК

[Umnik 997]

157 метров шевелящегося.

Кстати, почему нет запроса на повышение прав? По крайней мере при запуске утилиты. Пришлось закрыть и запускать от Админа вручную.

[Зайцев Олег 402]

157 метров шевелящегося.

Кстати, почему нет запроса на повышение прав? По крайней мере при запуске утилиты. Пришлось закрыть и запускать от Админа вручную.

157 одним куском не пролезет - придется вручную 2 архива сделать Запроса повышения специально нет - чтобы не выскакивал запрос при запуске в сети под управлением скрипта.

[Сергей Ильин 1538]

157 метров шевелящегося.

Кстати, почему нет запроса на повышение прав? По крайней мере при запуске утилиты. Пришлось закрыть и запускать от Админа вручную.

Дима, если ты сначала обновишь БД у AVZ, то размер карантина может заметно уменьшится Это не читерство, скорее лучшие практики

[Umnik 997]

А чего тогда 8-ой скрипт не пытается базы обновить первым делом?

Запроса повышения специально нет - чтобы не выскакивал запрос при запуске в сети под управлением скрипта.

Так может в описании ВирусДетектора написать, чтобы от админа запускали?

Действительно, со 160 метров до 25 упало после обновления баз. Все-таки стоит в 8-ой скрипт вставить сначала обновление на дефолтных настройках без показа сообщений успеха/ошибки, а затем переходить дальше.

ЗОЛИЛ!1

[Umnik 997]

http://virusinfo.info/virusdetector/report...935FA2CCD20D2A9 ну, я не удивлен результатом

[Сергей Ильин 1538]

Хехе, ни одной даже серой строчки А где же говнософт, кряки, хак тулсы?

[Umnik 997]

Мои интересы не требуют кряков =)

А если серьезно, то я еще в 2005-ом или 07-ом избавился от всего вареза. Или покупал, или ставил бесплатные аналоги.