Перейти к содержанию
Сергей Ильин

Лечение вирусов в архивах

Recommended Posts

Сергей Ильин

Тема проверки архивов стала достаточно популярной

http://www.anti-malware.ru/phpbb/viewtopic.php?p=2423#2423,

поэтому я бы хотел по горячим следам обсудить тему лечения файлов внутри архивов, некоторые антивирусы это умеют.

Кроме этого, интересно мнение людей, нужно ли это вообще или нет?

Я знаю, например, что КАВ лечит в архивах ZIP, ARJ, CAB и RAR.

Symantec - в файлах ZIP и CAB.

F-Secure вообще не лечит и т.д.

Если есть, что добавить - пишите.

***************************************

Но не стоит верить всем наслово.

Вот, как Symantec на примере Norton Internet Security лечит в CAB (см. скриншоты). :lol:

Сначала Norton Internet Security предлагает вылечить инфицированные файлы, долго домает, потом предлагает поместить их в карантин, опять долго думает, замет предлагает их все-таки удалить :-), опять долго думает и, в конечном итоге, предлагает зайти на сайта Symantec :lol:

symantec_cab.PNG

symantec_cab2.PNG

symantec_cab1.PNG

post-4-1140537027.png

post-1-1140537027.png

post-1-1140537028.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Norton Internet Security лечение CAB - продолжение

symantec_cab3.PNG

symantec_cab4.PNG

post-4-1140537259.png

post-1-1140537259.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Да, Вы правы тема "антивирусы и архивы" актуальна и пользуется спросом на форуме.

1. О возможности лечения указанных Вами архивов Антивирусом Касперского я знал и ранее, но вот о лечении архивированных файлов антвивирусом Symantec/Norton, если честно, слышу впервые.

2. От себя добавлю, что Dr. Web, архивы не лечит вообще. Более того, по умолчанию, инфиницированные архивы не удаляются. Для активации такой опции необходимо изменить конфигурацию ini-файла, что согласитесь под силу не каждому пользователю (неопытные пользователи просто могут не знать что-такое ini-файл и где он находится.

Для опытных пользователей антивирусного ПО, которое "не умеет" лечить архивы, можно посоветовать распаковку архивов с последующим удалением/лечением файлов антивирусом или вручную. Затем, в случае необходимости, распакованные файлы можно заархивировать обратно. В итоге получаем "чистый архив".

Подробно такая операция описана здесь

http://wiki.drweb.com/index.php/Работа_с_архивами

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Провел тест Symantec/Norton на лечение вирусов в архивах.

Вот результаты (детектирование/лечение)

ZIP +/+

RAR +/-

ARJ +/-

LZH +/+

GZ +/+

CAB +/-

В случае с ARJ получается такой же калабур, как показан выше с CAB

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      такого нет, можно конечно сделать, но не ясно зачем
    • santy
      demkd, есть такая возможность,  из окна инфо, в поле сигнатура вызвать форму для переименования сигнатуры? (с учетом того, что сигнатур с одинаковыми именами может быть много, поэтому для редактирования должна быть открыта нужная запись) т.е. вызвать эту форуму:
    • santy
      у меня все шесть файликов сразу попали в подозрительные и вирусы при открытии образа. (без добавления новых сигнатур). тот случай, когда образы автозапуска нужны не только для того, чтобы писать по ним скрипты, но и для пополнения баз сигнатур и правил, т.е. чтобы использовать заложенные в программе возможности к самообучению.  
    • PR55.RP55
      Зачем ? Только для файлов которые попали в подозрительные. Логика такая:  Файл в подозрительных > uVS берёт его SHA1 ( если таковая есть ) и прогоняет весь список на совпадение > если совпадение найдено - файл попадает в подозрительные > в Инфо. файла пишется информация по какой причине файл попал в подозрительные. Да и проверку можно проводить на  готовом образе\списке.
    • demkd
      И чего в ней странного? Обычный каталог с непонятным LSM.
        Кто-давно не говорил что uVS медленно создает образ...
×