VirusDetector – бесплатный онлайн-сервис проверки компьютера (beta)

[Зайцев Олег 402]

А чего тогда 8-ой скрипт не пытается базы обновить первым делом?

Действительно, со 160 метров до 25 упало после обновления баз. Все-таки стоит в 8-ой скрипт вставить сначала обновление на дефолтных настройках без показа сообщений успеха/ошибки, а затем переходить дальше.

ЗОЛИЛ!1

Добавил в скрипт 8 операцию обновления баз - выполняется в начале работы скрипта.

[alamor 69]

Добавил в скрипт 8 операцию обновления баз - выполняется в начале работы скрипта.

а для того чтобы получить этот обновлённый вариант скрипта надо сначала обновить базы ?

Где-то вы предложили вариант, чтобы AVZ пересобиралось раз в несколько дней с обновлёнными базами и таким образом при скачивание будут актуальные, а не

Внимание !!! База поcледний раз обновлялась 20.05.2012

имхо это было бы намного полезней и эффективней.

[santy 151]

4 дня ушло на однозначный вердикт. Дело в том, что тучи DLL (мне лично известно более 100 тыс) вытворяют такое, что по каждой можно орать "злобный вирус". С EXE файлами собственно картина не лучше. И если указать на некую потенциальную опасность DLL, то многие пользователи могут попросту прибить ее не думая.

дело в том, что один из вариантов dll стартующий в реестре из appinit_dlls детектируемый как cidox/majachok уже достаточно долгое время прописывается в папку ittera, потому я и отметил недостаточный уровень анализа для Кибера. по крайней мере можно было сделать предположение, какая разновидность трояна стартует из известного ключа в реестре, и в каких характерных каталогах хранится на диске.

[alamor 69]

Сергей Ильин прочитал ваше сообщение в теме обсуждения на VI, что добавлено автообновление баз, но в правилах Правила использования сервиса VirusDetector

и на этой странице по прежнему нет ни слова о том, что перед этой процедурой надо обновить базы. Добавить этот пункт надо по двум причинам:

1) Только что скачал заново AVZ с сайта http://z-oleg.com/secur/avz/download.php стандартный скрипт №8 там вообще отсутствует, что может вызвать недоумение у некоторых пользователей.

2) Те пользователей у кого базы устарели, но не настолько сильно и этот пункт присутствует посчитают, что обновление баз уже не нужно (оно ведь автоматически добавлено в скрипт), а как понимаю это в базы AVZ это попало только сегодня и в более старых авто-обновление не отработает.

P.S. точней так посчитают все так как там написано

Поэтому теперь специально вручную обновлять базы AVZ перед запуском скрипта №8 не нужно!

[Зайцев Олег 402]

Сергей Ильин прочитал ваше сообщение в теме обсуждения на VI, что добавлено автообновление баз, но в правилах Правила использования сервиса VirusDetector

и на этой странице по прежнему нет ни слова о том, что перед этой процедурой надо обновить базы. Добавить этот пункт надо по двум причинам:

1) Только что скачал заново AVZ с сайта http://z-oleg.com/secur/avz/download.php стандартный скрипт №8 там вообще отсутствует, что может вызвать недоумение у некоторых пользователей.

2) Те пользователей у кого базы устарели, но не настолько сильно и этот пункт присутствует посчитают, что обновление баз уже не нужно (оно ведь автоматически добавлено в скрипт), а как понимаю это в базы AVZ это попало только сегодня и в более старых авто-обновление не отработает.

P.S. точней так посчитают все так как там написано

1. Архив на моем сайте обновлен - в архиве актуальные базы, включая скрипт 8 с функцией вызова обновления

2. Это может составлять некоторую проблему, но не смертельную

[alamor 69]

Нашёл в разделе отчётов вирусдетектора две темы:

http://virusinfo.info/showthread.php?t=131912

http://virusinfo.info/showthread.php?t=131906

Судя по времени написания первого (и единственного на данный момент) сообщения прошли почти сутки, а киберхелпер до сих пор не сформировал даже результаты первичного анализа

[Зайцев Олег 402]

Нашёл в разделе отчётов вирусдетектора две темы:

http://virusinfo.info/showthread.php?t=131912

http://virusinfo.info/showthread.php?t=131906

Судя по времени написания первого (и единственного на данный момент) сообщения прошли почти сутки, а киберхелпер до сих пор не сформировал даже результаты первичного анализа

Есть такая беда, на выходных займусь. Дело в том, что если архив приходит "битый", то сейчас это не отрабатывается и выглядит так, что архив принят - и тишина. Что естественно нехорошо ... я доработаю систему, чтобы писалось сообщение о том, что пардон, пришел битый файл...

[Сергей Ильин 1538]

А вот и первая статистика работы сервиса за неделю Спасибо Олегу Зайцеву обучение Кибера

http://virusinfo.info/showthread.php?t=132382

[alamor 69]

Нельзя ли сделать флеш аплоадер или какой-нибудь прогресс бар, чтобы отображалось какой процент архива уже загружен на сервер.

[priv8v 960]

http://virusinfo.info/virusdetector/report...0CE7065AD10418F

В логе видим зловреда. По ссылке на ВТ - чисто. Как так?

[Umnik 997]

Ну как - это понятно. Где-то базы обновлены, где-то еще нет. Вопрос - где именно они более свежие.

[priv8v 960]

точно?

[Umnik 997]

Дык детект четкий, значит базами. Раз базами, значит где-то они новее. Вариант - исправлено ложное срабатывание. Но все равно значит где-то новее.

[alamor 69]

В логе видим зловреда. По ссылке на ВТ - чисто. Как так?

а если посмотреть на дату проверки на VT ?

Дата анализа: 2011-04-06

[alamor 69]

Репутация VI:

как определяется этот параметр ? что он означает ?

[Зайцев Олег 402]

как определяется этот параметр ? что он означает ?

Буквально это и означает - "Репутация VI" Там кстати под каждым отчетом есть расшифровка:

Репутация VI - Информация о том, встречался ли ранее тот или иной файл в процессе лечения на нашем форуме VirusInfo и если встречался, то какой у него статус:

* Репутация положительная

* Репутация отрицательная

* Данных недостаточно для принятия решения

Собственно, это оно и есть. Если "вопросик" - то это означает, что таковой файл не встречался у обратившихся за лечением или приславших свой карантин для пополнения БД чистых. Или встречался, но случай единичный и статистической достоверности не несет. Если "красная рожа" - негативная репутация, т.е. некий связанный с файлом негатив (зараза, патченный файл и т.п.) доминирует над позитивом. Зеленая птичка - наоборот, означает, что с файлом связаны в основном позитивные данные. Репутация постоянно меняется, по мере поступления данных

[alamor 69]

Проверка идёт только по имени и размеру файла или и по хешу ?

Зеленая птичка - наоборот, означает, что с файлом связаны в основном позитивные данные.

вот это как раз и смутило, если есть статистика что файл с таким хешем присылают и он чистый, то почему он не в базе безопасных файлов или хотя бы не отмечен зелёным цветом.

[Зайцев Олег 402]

Проверка идёт только по имени и размеру файла или и по хешу ?

Проверка идет по всем параметрам, но не по хешу. Таким образом положительная репутация похожих файлов не означает, что исследованный тоже хороший. Кроме того, "положительная репутация" != "чистый". Крек например может иметь положительную репутацию (так как не является зловредом), но в БД чистых не вносится

[alamor 69]

Спасибо, теперь понятно. Правда, появился новый вопрос.

Крек например может иметь положительную репутацию (так как не является зловредом), но в БД чистых не вносится

почему тогда в базу чистых заносятся программы категории remote administration tools ? Подобные программы ведь часто устанавливаются злоумышленником. Вот лог и скрин из него

[Зайцев Олег 402]

Спасибо, теперь понятно. Правда, появился новый вопрос.

почему тогда в базу чистых заносятся программы категории remote administration tools ? Подобные программы ведь часто устанавливаются злоумышленником. Вот лог и скрин из него

RAdmin активно применяется в корпоративных сетях ... и он не маскирует своего присутствия на ПК. А вот патченный RAdmin (который невидим и ставится скрытно) в БД чистых естественно нет. Кроме того, сейчас по сути работает базовая реализация VirusDetector, если она приживется, то может появиться и расширенная - у нее кроме карантина в архиве будет находиться лог исследования, и по анализу лога будут выдаваться дополнительные данные, типа информации о средствах удаленного управления и прочих вещах, которые могут негативно сказаться на безопасности ПК. Кроме того, в текущей реализации по некоторым файлам (не важно, "красным" или "зеленым") могут выводиться примечания в виде краткой экспертной оценки, поясняющей, что данный файл может делать и чем может быть опасен.

[Сергей Ильин 1538]

http://virusinfo.info/virusdetector/report...0CE7065AD10418F

В логе видим зловреда. По ссылке на ВТ - чисто. Как так?

Сейчас в логах зловредов нет, все чисто. Видимо Кибер обновил вердикты по сомнительным файлам.

RAdmin активно применяется в корпоративных сетях ... и он не маскирует своего присутствия на ПК.

С Radmin довольно давно было куча разборок, когда его начали антивирусные вендоры детектить как опасное или потенциально опасное ПО. В итоге Famatech добились исключений. Программа чистая и легитимная. А если ее кто-то использует во вред, то ведь и палка иногда стреляет.

[Сергей Ильин 1538]

Интересный кейс на VirusDetector заметил сегодня

Обращение еще от 31 января

http://virusinfo.info/showthread.php?t=131920

Заражение было обнаружено сразу же, что следует из первого поста в теме. Но вердикт по некоторым файлам обновился только сегодня - второй пост в теме. Т.е. был найден еще один компонент

http://virusinfo.info/virusdetector/report...4C5333252AEC7F0

И что-то мне подсказывает, что это еще не все. На очереди как минимум L:\Program Files\Common Files\Microsoft Shared\Triedit\{59664A02-8840-4d86-A884-518E2C82FD1C}.dll и L:\Program Files\D3DWindower [1.88]\D3DWindower.exe

[alamor 69]

С Radmin довольно давно было куча разборок, когда его начали антивирусные вендоры детектить как опасное или потенциально опасное ПО. В итоге Famatech добились исключений. Программа чистая и легитимная. А если ее кто-то использует во вред, то ведь и палка иногда стреляет.

not-a-virus:RemoteAdmin.Win32.RAdmin.20

not-a-virus:RemoteAdmin.Win32.RAdmin.21

https://www.virustotal.com/ru/file/3935dc18...a5ed1/analysis/

[Сергей Ильин 1538]

Многие все равно детектят Radmin, но с вердиктом not-a-virus, т.е. как riskware, но не более того.

[alamor 69]

Сергей Ильин именно это и имел в виду. Если это

not-a-virus, т.е. как riskware

то надо на него обращать внимание в логе и уточнять насчёт его легальности, а если он находится в базе безопасных, то в логе может быть вообще не виден. Зайцев Олег уже ответил на мой вопрос.