Перейти к содержанию
Сергей Ильин

VirusDetector – бесплатный онлайн-сервис проверки компьютера (beta)

Recommended Posts

Зайцев Олег
А чего тогда 8-ой скрипт не пытается базы обновить первым делом?

Действительно, со 160 метров до 25 упало после обновления баз. Все-таки стоит в 8-ой скрипт вставить сначала обновление на дефолтных настройках без показа сообщений успеха/ошибки, а затем переходить дальше.

ЗОЛИЛ!1

Добавил в скрипт 8 операцию обновления баз - выполняется в начале работы скрипта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Добавил в скрипт 8 операцию обновления баз - выполняется в начале работы скрипта.

а для того чтобы получить этот обновлённый вариант скрипта надо сначала обновить базы ;) ?

Где-то вы предложили вариант, чтобы AVZ пересобиралось раз в несколько дней с обновлёнными базами и таким образом при скачивание будут актуальные, а не

Внимание !!! База поcледний раз обновлялась 20.05.2012

имхо это было бы намного полезней и эффективней.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
4 дня ушло на однозначный вердикт. Дело в том, что тучи DLL (мне лично известно более 100 тыс) вытворяют такое, что по каждой можно орать "злобный вирус". С EXE файлами собственно картина не лучше. И если указать на некую потенциальную опасность DLL, то многие пользователи могут попросту прибить ее не думая.

дело в том, что один из вариантов dll стартующий в реестре из appinit_dlls детектируемый как cidox/majachok уже достаточно долгое время прописывается в папку ittera, потому я и отметил недостаточный уровень анализа для Кибера. по крайней мере можно было сделать предположение, какая разновидность трояна стартует из известного ключа в реестре, и в каких характерных каталогах хранится на диске.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Сергей Ильин прочитал ваше сообщение в теме обсуждения на VI, что добавлено автообновление баз, но в правилах Правила использования сервиса VirusDetector

и на этой странице по прежнему нет ни слова о том, что перед этой процедурой надо обновить базы. Добавить этот пункт надо по двум причинам:

1) Только что скачал заново AVZ с сайта http://z-oleg.com/secur/avz/download.php стандартный скрипт №8 там вообще отсутствует, что может вызвать недоумение у некоторых пользователей.

2) Те пользователей у кого базы устарели, но не настолько сильно и этот пункт присутствует посчитают, что обновление баз уже не нужно (оно ведь автоматически добавлено в скрипт), а как понимаю это в базы AVZ это попало только сегодня и в более старых авто-обновление не отработает.

P.S. точней так посчитают все так как там написано

Поэтому теперь специально вручную обновлять базы AVZ перед запуском скрипта №8 не нужно!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Сергей Ильин прочитал ваше сообщение в теме обсуждения на VI, что добавлено автообновление баз, но в правилах Правила использования сервиса VirusDetector

и на этой странице по прежнему нет ни слова о том, что перед этой процедурой надо обновить базы. Добавить этот пункт надо по двум причинам:

1) Только что скачал заново AVZ с сайта http://z-oleg.com/secur/avz/download.php стандартный скрипт №8 там вообще отсутствует, что может вызвать недоумение у некоторых пользователей.

2) Те пользователей у кого базы устарели, но не настолько сильно и этот пункт присутствует посчитают, что обновление баз уже не нужно (оно ведь автоматически добавлено в скрипт), а как понимаю это в базы AVZ это попало только сегодня и в более старых авто-обновление не отработает.

P.S. точней так посчитают все так как там написано

1. Архив на моем сайте обновлен - в архиве актуальные базы, включая скрипт 8 с функцией вызова обновления

2. Это может составлять некоторую проблему, но не смертельную

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Нашёл в разделе отчётов вирусдетектора две темы:

http://virusinfo.info/showthread.php?t=131912

http://virusinfo.info/showthread.php?t=131906

Судя по времени написания первого (и единственного на данный момент) сообщения прошли почти сутки, а киберхелпер до сих пор не сформировал даже результаты первичного анализа ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Нашёл в разделе отчётов вирусдетектора две темы:

http://virusinfo.info/showthread.php?t=131912

http://virusinfo.info/showthread.php?t=131906

Судя по времени написания первого (и единственного на данный момент) сообщения прошли почти сутки, а киберхелпер до сих пор не сформировал даже результаты первичного анализа ;)

Есть такая беда, на выходных займусь. Дело в том, что если архив приходит "битый", то сейчас это не отрабатывается и выглядит так, что архив принят - и тишина. Что естественно нехорошо ... я доработаю систему, чтобы писалось сообщение о том, что пардон, пришел битый файл...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

А вот и первая статистика работы сервиса за неделю B) Спасибо Олегу Зайцеву обучение Кибера :)

http://virusinfo.info/showthread.php?t=132382

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Нельзя ли сделать флеш аплоадер или какой-нибудь прогресс бар, чтобы отображалось какой процент архива уже загружен на сервер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Ну как - это понятно. Где-то базы обновлены, где-то еще нет. Вопрос - где именно они более свежие.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

точно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Дык детект четкий, значит базами. Раз базами, значит где-то они новее. Вариант - исправлено ложное срабатывание. Но все равно значит где-то новее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
В логе видим зловреда. По ссылке на ВТ - чисто. Как так?

а если посмотреть на дату проверки на VT ? ;)

Дата анализа: 2011-04-06

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Репутация VI:

как определяется этот параметр ? что он означает ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
как определяется этот параметр ? что он означает ?

Буквально это и означает - "Репутация VI" :) Там кстати под каждым отчетом есть расшифровка:

Репутация VI - Информация о том, встречался ли ранее тот или иной файл в процессе лечения на нашем форуме VirusInfo и если встречался, то какой у него статус:

* Репутация положительная

* Репутация отрицательная

* Данных недостаточно для принятия решения

Собственно, это оно и есть. Если "вопросик" - то это означает, что таковой файл не встречался у обратившихся за лечением или приславших свой карантин для пополнения БД чистых. Или встречался, но случай единичный и статистической достоверности не несет. Если "красная рожа" - негативная репутация, т.е. некий связанный с файлом негатив (зараза, патченный файл и т.п.) доминирует над позитивом. Зеленая птичка - наоборот, означает, что с файлом связаны в основном позитивные данные. Репутация постоянно меняется, по мере поступления данных

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Проверка идёт только по имени и размеру файла или и по хешу ?

Зеленая птичка - наоборот, означает, что с файлом связаны в основном позитивные данные.

вот это как раз и смутило, если есть статистика что файл с таким хешем присылают и он чистый, то почему он не в базе безопасных файлов или хотя бы не отмечен зелёным цветом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Проверка идёт только по имени и размеру файла или и по хешу ?

Проверка идет по всем параметрам, но не по хешу. Таким образом положительная репутация похожих файлов не означает, что исследованный тоже хороший. Кроме того, "положительная репутация" != "чистый". Крек например может иметь положительную репутацию (так как не является зловредом), но в БД чистых не вносится

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Спасибо, теперь понятно. Правда, появился новый вопрос.

Крек например может иметь положительную репутацию (так как не является зловредом), но в БД чистых не вносится

почему тогда в базу чистых заносятся программы категории remote administration tools ? Подобные программы ведь часто устанавливаются злоумышленником. Вот лог и скрин из него

d0329a6e5a5a.png

6bb9ed0ad8a0.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Спасибо, теперь понятно. Правда, появился новый вопрос.

почему тогда в базу чистых заносятся программы категории remote administration tools ? Подобные программы ведь часто устанавливаются злоумышленником. Вот лог и скрин из него

d0329a6e5a5a.png

6bb9ed0ad8a0.png

RAdmin активно применяется в корпоративных сетях ... и он не маскирует своего присутствия на ПК. А вот патченный RAdmin (который невидим и ставится скрытно) в БД чистых естественно нет. Кроме того, сейчас по сути работает базовая реализация VirusDetector, если она приживется, то может появиться и расширенная - у нее кроме карантина в архиве будет находиться лог исследования, и по анализу лога будут выдаваться дополнительные данные, типа информации о средствах удаленного управления и прочих вещах, которые могут негативно сказаться на безопасности ПК. Кроме того, в текущей реализации по некоторым файлам (не важно, "красным" или "зеленым") могут выводиться примечания в виде краткой экспертной оценки, поясняющей, что данный файл может делать и чем может быть опасен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
http://virusinfo.info/virusdetector/report...0CE7065AD10418F

В логе видим зловреда. По ссылке на ВТ - чисто. Как так?

Сейчас в логах зловредов нет, все чисто. Видимо Кибер обновил вердикты по сомнительным файлам.

RAdmin активно применяется в корпоративных сетях ... и он не маскирует своего присутствия на ПК.

С Radmin довольно давно было куча разборок, когда его начали антивирусные вендоры детектить как опасное или потенциально опасное ПО. В итоге Famatech добились исключений. Программа чистая и легитимная. А если ее кто-то использует во вред, то ведь и палка иногда стреляет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Интересный кейс на VirusDetector заметил сегодня

Обращение еще от 31 января

http://virusinfo.info/showthread.php?t=131920

Заражение было обнаружено сразу же, что следует из первого поста в теме. Но вердикт по некоторым файлам обновился только сегодня - второй пост в теме. Т.е. был найден еще один компонент

http://virusinfo.info/virusdetector/report...4C5333252AEC7F0

И что-то мне подсказывает, что это еще не все. На очереди как минимум L:\Program Files\Common Files\Microsoft Shared\Triedit\{59664A02-8840-4d86-A884-518E2C82FD1C}.dll и L:\Program Files\D3DWindower [1.88]\D3DWindower.exe

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
С Radmin довольно давно было куча разборок, когда его начали антивирусные вендоры детектить как опасное или потенциально опасное ПО. В итоге Famatech добились исключений. Программа чистая и легитимная. А если ее кто-то использует во вред, то ведь и палка иногда стреляет.

not-a-virus:RemoteAdmin.Win32.RAdmin.20

not-a-virus:RemoteAdmin.Win32.RAdmin.21

https://www.virustotal.com/ru/file/3935dc18...a5ed1/analysis/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Многие все равно детектят Radmin, но с вердиктом not-a-virus, т.е. как riskware, но не более того.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Сергей Ильин именно это и имел в виду. Если это

not-a-virus, т.е. как riskware
то надо на него обращать внимание в логе и уточнять насчёт его легальности, а если он находится в базе безопасных, то в логе может быть вообще не виден. Зайцев Олег уже ответил на мой вопрос.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.15.7
      ---------------------------------------------------------
       o Исправлена старая ошибка проверки ЭЦП: "Not a cryptographic message or the cryptographic message is not formatted correctly"
         проявляющаяся в некоторых системах.

       o Обновлена база известных файлов.

       
    • demkd
      ---------------------------------------------------------
       4.15.6
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой автоматически не замораживались потоки внедренные в uVS,
         если их код НЕ принадлежал одной из загруженных DLL.

       o Добавлена поддержка английского интерфейса при запуске под Win2k.

       
    • demkd
      Иногда спрашивают, как загрузиться в командную строку без диска, я постоянно забывают дополнить Общий FAQ.
      И вот наконец-то я про это вспомнил:
      Q: Как запустить uVS с командной строки Windows без использования загрузочного диска/флешки для работы с НЕактивной системой.
         (!) Для текущей версии uVS работа с командной строки доступна только для 32-х битных систем. (что бы работало в x64 системах, нужно делать uVS x64 и это запланировано).
         1. Если у вас Windows 8 и старше, то запустите start.exe и нажмите кнопку "Перезагрузить систему в меню дополнительных параметров загрузки".
         2. Далее в меню "Поиск и устранение неисправностей->Дополнительные параметры->Командная строка"
         3. Выберите админскую учетную запись и введите для нее пароль.
         4. Запустите start.exe из каталога uVS с командной строки.
            (!) Обычно система расположена на диске D.
                Например: uVS лежит в каталоге С:\uvs (в командной строке это будет D:\uvs)
                Для запуска uVS необходимо последовательно набрать 3 команды, завершая каждую нажатием клавиши Enter.
                1. d:
                2. cd d:\uvs
                3. start.exe
         5. Выбрать каталог Windows (обычно D:\Windows).
         Если у вас Windows 7 и младше, то в меню вы можете попасть только нажав F8 при перезагрузке системы
         (!) Использовать msconfig для этого не рекомендуется, система может не загрузиться после его использования.
         Для младших систем доступен только безопасный режим с поддержкой командной строки, т.е. система будет активна.
       
    • demkd
      ---------------------------------------------------------
       4.15.5
      ---------------------------------------------------------
       o Обновлена функция трансляции переменных окружения USERPROFILE, HOMEPATH, LOCALAPPDATA, APPDATA.
         Значения этих переменных теперь зависят от того где физически находится lnk файл.
         Теперь с разбором lnk файлов будет меньше проблем, но я все же рекомендую удалять ссылки
         на отсутствующие объекты только под текущем пользователем.

       o Исправлена функция разбора путей не содержащих букву диска.

       o Исправлена функция разбора аргументов rundll32.

       o Обновлен start.exe.
         o Обновлен интерфейс.
         o Изменена кнопка по умолчанию, теперь это "запуск под текущим пользователем".
         o Исправлена ошибка: при определенных параметрах повторный запуск uVS в режиме "до запуска эксплорера" был невозможен.
         
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 17.1.13.
×