Перейти к содержанию
Сергей Ильин

Лечение вирусов в архивах

Recommended Posts

Сергей Ильин

Тема проверки архивов стала достаточно популярной

http://www.anti-malware.ru/phpbb/viewtopic.php?p=2423#2423,

поэтому я бы хотел по горячим следам обсудить тему лечения файлов внутри архивов, некоторые антивирусы это умеют.

Кроме этого, интересно мнение людей, нужно ли это вообще или нет?

Я знаю, например, что КАВ лечит в архивах ZIP, ARJ, CAB и RAR.

Symantec - в файлах ZIP и CAB.

F-Secure вообще не лечит и т.д.

Если есть, что добавить - пишите.

***************************************

Но не стоит верить всем наслово.

Вот, как Symantec на примере Norton Internet Security лечит в CAB (см. скриншоты). :lol:

Сначала Norton Internet Security предлагает вылечить инфицированные файлы, долго домает, потом предлагает поместить их в карантин, опять долго думает, замет предлагает их все-таки удалить :-), опять долго думает и, в конечном итоге, предлагает зайти на сайта Symantec :lol:

symantec_cab.PNG

symantec_cab2.PNG

symantec_cab1.PNG

post-4-1140537027.png

post-1-1140537027.png

post-1-1140537028.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Norton Internet Security лечение CAB - продолжение

symantec_cab3.PNG

symantec_cab4.PNG

post-4-1140537259.png

post-1-1140537259.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Да, Вы правы тема "антивирусы и архивы" актуальна и пользуется спросом на форуме.

1. О возможности лечения указанных Вами архивов Антивирусом Касперского я знал и ранее, но вот о лечении архивированных файлов антвивирусом Symantec/Norton, если честно, слышу впервые.

2. От себя добавлю, что Dr. Web, архивы не лечит вообще. Более того, по умолчанию, инфиницированные архивы не удаляются. Для активации такой опции необходимо изменить конфигурацию ini-файла, что согласитесь под силу не каждому пользователю (неопытные пользователи просто могут не знать что-такое ini-файл и где он находится.

Для опытных пользователей антивирусного ПО, которое "не умеет" лечить архивы, можно посоветовать распаковку архивов с последующим удалением/лечением файлов антивирусом или вручную. Затем, в случае необходимости, распакованные файлы можно заархивировать обратно. В итоге получаем "чистый архив".

Подробно такая операция описана здесь

http://wiki.drweb.com/index.php/Работа_с_архивами

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Провел тест Symantec/Norton на лечение вирусов в архивах.

Вот результаты (детектирование/лечение)

ZIP +/+

RAR +/-

ARJ +/-

LZH +/+

GZ +/+

CAB +/-

В случае с ARJ получается такой же калабур, как показан выше с CAB

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×