Ru-Board.club
← Вернуться в раздел «Программы»

» Проверка на вирусы почтовых сообщений в The Bat

Автор: Solenaja
Дата сообщения: 22.12.2001 18:14
Проверка на вирусы почтовых сообщений в The Bat
Кто нить знает как енто зделать автоматически при получении и отправки почты. Желательно в связке с AVP Касперского.
У них то Mail Chacker присутствует да только хрен работает, а точнее модуля вообще там нет, только avpmc.ico да help по нему.
Нужна квалифицированная помощь.
Заранее сенкс.
Автор: lelikv
Дата сообщения: 22.12.2001 18:53
Не помню как в версиях раньше 3.6, а с неё начиная идет хароший mail-checker в кумплэкте, чтобы настроить надобно поставить мышь, одну из последних релизов, смотри сюда http://forum.ru-board.com/topic.cgi?forum=5&topic=0061&start=0#lt

Короче говоря вместе нормально работают Мышка, начиная, кажется, с 17й бетки и Касперский (не AVP, а именно КАСПЕРСКИЙ Антивирус (теперь он KAV )

Далее в мЫше выбираешь в меню "Свойства" пунктик "Virus Protection" и там "Add", в списке последней строкой будет "Kaspersky (TM) Anti-Virus", кликаешь на него и, при нормально установленном Касперском, самостоятельно устанавливается защита.
Все

Поможем друг другу
Автор: Alexander Ipp
Дата сообщения: 22.12.2001 20:11
Аналогичный вопрос.
Стандартный mail cheker работает только с Outlook'ом.
Автор: Solenaja
Дата сообщения: 22.12.2001 22:49
Всё бы класс да вот х...я
Как мне отвелили в Лаборатории Касперского:
Mail Checker работает только с MS Outlook.
Что же до всего выше написанного AVP как был так и остался и пишется он именно так.
У меня Антивирус Касперского™ (AVP) Personal Pro 3.5.5.4
А Мышь щас посмотрю последнюю, в 1.53d - такой фишки точно нет.
Хотя толку то, если Касперский всё равно для Outlook.
Всем сенкс за разборки полётов.

Добавлено
Вот ещё кое-что.
Встал у меня The Bat 1.54 b19.
Запускаю её. В "Свойства" -> "Add" -> "Kaspersky (TM) Anti-Virus", f а он мне матом "Cannot initialize the plug-in", a если внешний plug-in, то предлагает за файлом сходить *.bav и евстественно его же у меня нет.
Вот такие вот пирожки.
Может и енто прокоментируете.
И де мне ентот плагин узять и заработает ли он с Касперским в конце концов.

P.S. Ну вы вот мне скажите, чо енто так трудно сделать, что б Мышь всё мыло сразу на сканер Касперского посыла, прежде чем я его открою или мне лучше на Касперского поругаться что он не додумался окромя Outlook предусмотреть др. mail-проги.
Автор: 3D_Dragon
Дата сообщения: 23.12.2001 02:22
Скачай себе NA2002, автоматически проверяет входящую и исходящую почту и именно с TheBat.
И выкинь нафик этот глюкавый AVP фи ...
Автор: sasa
Дата сообщения: 23.12.2001 11:48
Помню юзал я как то нортон антивирус 5.0
там можно бало прописать сто при приеме почты нав
закачивил сначала к себе, проверял
а потом кодал в ящик
Я так делал ... работало
Автор: lelikv
Дата сообщения: 23.12.2001 16:49
Solenaja


Цитата:
У меня Антивирус Касперского™ (AVP) Personal Pro 3.5.5.4


Цитата:
Запускаю её. В "Свойства" -> "Add" -> "Kaspersky (TM) Anti-Virus", f а он мне матом "Cannot initialize the plug-in", a если внешний plug-in, то предлагает за файлом сходить *.bav и евстественно его же у меня нет.


Для тех, кто на бронепоезде - могу повторить, плагин поставляется с Касперским начиная с версии 3.6 (которая теперь называецца не AVP, a KAV)


Добавлено

Цитата:
Скачай себе NA2002, автоматически проверяет входящую и исходящую почту и именно с TheBat.
И выкинь нафик этот глюкавый AVP фи ...

согласен
Автор: vadim1275
Дата сообщения: 23.12.2001 21:30
lelikv, ну у меня стоит лицензионный Каспер 3.6.1.3 и фигли?
как и у Solenaja, у меня "Cannot initialize the plug-in"
Автор: Solenaja
Дата сообщения: 23.12.2001 23:16
Короче такой вот расклад.
Каспер он конечно золотой софт для борьбы с анти, но галимый с точки зреня интеграции с различным софтом. Окромя ReGet 2.1 я пока что ничего не знаю, разве что это проги, в которых предусмотрена ссылка как в ReGet на антивирусный софт.
А у меня всё ж последний KAV (мать его так пусть будет по вашему), а последний всё ж таки 3.5.5.4, то, что у вас там 3.6.1.4 (у меня тоже есть, только это ж версия сканера, а он, как вам известно должно быть, обновляется и вся их линейка вместе с базой, если конечно в опциях не забыли поставить).

Теперь к нашим баранам.
Что до Norton то пока что ещё не установлен, но в скорости енто произойдёт. Тогда всех оповещу что это за ...
А пока что советую ручками всем проверять свои почтовые базы сообщений, благо енто дело есть в Каспере и называется Scaner. Так что желаю всем не ловить всякое гавно, типа вирусов, а если и поймаете то своевременно топить их в своей микроволновке.

P.S. Если всё ж таки вышел 3.6, давайте линки де лежит, что б народ зря не кипятился по этому поводу.
Автор: Electronicman
Дата сообщения: 24.12.2001 00:30
2 All:
Народ, извините конечно, если не в тему со своими глупыми суждениями, но всё ж:

На[***]я вам проверка на вирусы мыла в бате, если он в отличии от Аутглюка никогда не запускает аттачи. Ставите AVP/KAV монитор и чуствуете себя защищёнными! =) Ну и приаттаченные exe`шники поаккуратнее открывайте (не забываем про файерволы). Зачем усложнять себе жизнь? Или я что-то не так понял?!

З.Ы. Нортон юзать не советую, т.к. у НИХ гуляют совсем другие вири нежели на Руси. Точнее половина других... Под них он и заточен. Выводы к чему это может привести делайте сами.
Автор: valm
Дата сообщения: 25.12.2001 10:53
Electronicman
У меня стоит ВАТ с AVP, и тоже думал раньше, что я умный. непроверенные аттачи открывать не буду и все нормально. Но пришло письмо без аттача, не подозрительное, я его спокойно перенес с сервера на машину, в нем оказался червь (по памяти Worm), сразу заразил машину, разослал себя но адресам из книги и только потом Касперский monitor его увидел. Сканер удалить его не мог, пришлось убирать письмо. сжимать папки и т.д. Поэтому сам думаю о Nortonе, но есть за и против, хотелось бы от Solenaja узнать чем это закончится.
Автор: LelikV
Дата сообщения: 25.12.2001 11:02
valm
закончится может хреново
Автор: m0nkrus
Дата сообщения: 25.12.2001 11:05
To All
В Варезнике текст по теме пробежал. Проблемы как таковой оказывается нет
Смотрим на http://forum.ru-board.com/topic.cgi?forum=35&topic=0139&start=66#lt
А вот вам альтернативный вариант: http://www.nobat.luga.ru/avp.html
Автор: Electronicman
Дата сообщения: 25.12.2001 19:33
valm Как это письмо без аттача, но заражённое?! Без аттача там только текст идёт
Автор: Solenaja
Дата сообщения: 26.12.2001 01:34
Спасибо всем кто откликнулся!
Особый секс m0nkrus за вот этот линк: http://www.nobat.luga.ru/avp.html - всё очень подробно и с комментариями, даже даун настроит. Надо было бы ещё им там расписать, что параметры командной строки означают - было просто замечательно, а то некотрые юзвери не рулят в этом деле ни капли и возмжно будут донимать по этому поводу.
Теперь о NAV2002
Ну что я могу сказать про Norton AntiVirus 2002.
1. Это то, что мне никогда не нравился
2. Интерфес проги приятный и удобный, однозначно лучше Каспера
3. Мыло проверяет нормально. Но не достаточно как по мне надёжно. Были ложные срабатывания.
4. Теперь о вирях. Насколько мне известно, дырок много было в NAV, и мне до сих пор не известно поставлены на них заплаты или нет. К примеру, есть инфа, что стоит поменять в определённом стеке 0 на 1 и пи...ц, лови вирей сколь хошь, сканеру его - ноль на массу, а потом матери еб....ий NAV2002 за то что он не работает. Но это как бы исключение из правил, но как обычно таких исключений полно у каждой проги.
5. Проблемы с его выгрузкой - надо в менюху лезть и там ещё шариться, короче мудоёбка.
6. Требователен к машине, и медлителен. (Личное мнение).
7. То, что некоторые не рекомендуют его ставить - ничего поэтому поводу не могу сказать. Замечу лишь одно, чем больше мониторов (сканеров) и firewall, тем труднее уложить систему.
8. Общее впечатление - на "3+"

Теперь о письме (Electronicman)
Есть масса способов закинуть вирь без аттача. Вспомним Outlook с его кучами дыр.
Не ужели ты думаешь, что письма уходят на серваки такими как ты их видишь - в виде буковок и значков. Вирь садится в мемори, заражает файлик, а например ты его хош редактором просмотреть в FAR или WinCom, так он сволочь делает в этом фале се харакири, а потом когда ты закрываешь его он опять его гадит.
Точно также и с почтой, ты не можешь на уровне микрокода проследить что и как передаётся, разве что очень продвинутому челу это по зубам. Firewall здесь не спасёт, а лишь будет констатировать факт и всё.
В общем что сказать напоследок, письма надо от друзей получать, а не от гамнюков, ставить IMAP, или накрайняк получение заголовков писем - рульная вещь как для POP. Не подписываться на всякую х...ю, которую потом не знаешь как выгребать. В общм держать ухи на востре и не заниматься ерундой.
Автор: Electronicman
Дата сообщения: 26.12.2001 04:41
Solenaja

Цитата:
Есть масса способов закинуть вирь без аттача. Вспомним Outlook с его кучами дыр.

LOL Давай ты не будешь даже пытатся доказать мне что письмо без аттача (не в HTML формате, ибо это уже аттач) может выполнить хоть одно действие без твоего на то ведома? Или 1 способ в студию и я признаю себя Ламером с большой буквы "Л". А про Аутглюк речь я вообще не вёл кстати.

Цитата:
Вирь садится в мемори, заражает файлик... [поскипанно]

И как интересно он туда попадает? Тут уже был топик про вирусы якобы сидящих внутри графических файлов и вылазающих наружу при их просмотре вьювером для графики. Если интересно могу попробовать поискать - уж больно похожа ситуация.

Дальше - веселее

Цитата:
ты не можешь на уровне микрокода проследить что и как передаётся

Здрастье, нафиг. Каждый день этим занимаюсь. Двумя кликами крысы смотрю исходный текст письма. Правда огорчу тебя, понятия микрокод для почтовых сооьбщений не существует :-Р

Далее: опять не согласен

Цитата:
Firewall здесь не спасёт, а лишь будет констатировать факт и всё.
Кто те такую глупость сказал?! Нафиг он тогда был бы нужен, если бы только констатировал факт. Судя по всему фаерволов ты тоже не юзала!

Напоследок специально для Ромы (ему очень нравится мой комментарий в таких случаях):

Цитата:
В общм держать ухи на востре и не заниматься ерундой

С вашей вирусофобией... лучше не подходить к компьютеру. (с) я

Диагноз: Острый приступ вирусофобии, рекомендую лечение изучением механизма работы ОС и прямых почтовых клиентов (TheМышь к примеру)

Автор: Kobold
Дата сообщения: 26.12.2001 05:03

Цитата:
Тут уже был топик про вирусы якобы сидящих внутри графических файлов и вылазающих наружу при их просмотре вьювером для графики.
В bmp- никогда, а в cdr, в коором есть скриптовые возможности вирус принципиально может быть создан.


Цитата:
Firewall здесь не спасёт, а лишь будет констатировать факт и всё.

Кто те такую глупость сказал?! Нафиг он тогда был бы нужен, если бы только констатировал факт. Судя по всему фаерволов ты тоже не юзала!

Файерволл не спасет, но можотет помочь. Правда, есть такие файерволы, которые и факт не констатируют(например BlackIce). Может его она и юзала.
Автор: valm
Дата сообщения: 26.12.2001 10:36
Electronicman
Письмо, которое с червяком было без атача, при его просмотре в Бате началось заражение машины, механизма не знаю, так как специально этим не занимался, но факт есть.

Solenaja

В общем я понял, что NAV 2002 ставить нет смысла.


Цитата:
В общем что сказать напоследок, письма надо от друзей получать, а не от гамнюков,


В этом то и дело, что при заражении машины он сам разослал себя по адресам из адресной книги, а там, в основном, друзья, вот и получается, что невольно заражаешь своих. Кстати также червь и получил, от своего.
Автор: Electronicman
Дата сообщения: 26.12.2001 14:50
valm Каждый день удивляюсь всё больше. Как червяк может на базе Бата распространятся?! Он же скрипты не поддерживает!
Автор: Solenaja
Дата сообщения: 27.12.2001 00:24
Что касается firewall - однозначно они помочь могут, но смысл их использования сводится с нулю, когда ты получаешь письмо: не ужели ты откажешься в получении письма от своего друга, проследишь порт, сервак и всё, так что это те даст. Ну получил ты письмо от него и пошло поехало. Другое дело рассылка с твоего компа, тогда да - видишь куда и кому и сколько и чего.
Как по мне - наибольшая зажита ложится на АнтиВирус прогу, а firewall, это всего лишь хорошая примочка к нему.
Теперь к волпросу о вирь без аттача, поскольку это был камень в мой огород, мне ирасхлёбывать, в общем держите и думайте, что и как. И пожалуйста не надо наезжать и ставить меня в дурацкое положение, будто я не знаю о чём говорю. Надеюсь больше этих глупостей не повторится, так как это очень не красиво и некорректно.
---------------
Если в поле даты письма в Outlook окажется слишком длинный набор цифр, то произойдет переполнение буфера, что может привести к аварийному завершению работы приложения, а "избыточные" символы из поля даты, которые могут содержать вредоносный код, могут быть отправлены в память компьютера на исполнение.
Как оказалось, один из программных компонентов, поставляемых вместе с браузером Internet Explorer и почтовыми программами Outlook и Outlook Express, содержит ошибку, допускающую так называемое переполнение буфера. К слову сказать, такого рода ошибка считается самой распространенной в программных продуктах за последние 10 лет.
P.S. Это официально от Microsoft, так что подавитесь раз на меня наехали. Так что эта дырочка может привести к катастрофическим последствиям даже при простом получении сообщения с почтового сервера.
---------------
Вот ещё, так на закусочку или на завтрак, кому как лучше.
Появился вирус-червь нового типа. Он называется BubbleBoy. Чтобы он начал свою вредоносную деятельность, достаточно просто открыть письмо электронной почты, в котором его прислали. Активизировавшись, вирус BubbleBoy рассылает сам себя по всем адресам, содержащимся в адресной книге почтовой программы Outlook или Outlook Express. То есть он ведет себя как известный вирус Melissa. Пользователь сразу может не понять, что его машина заражена вирусом. Он проявляет себя только тем, что в регистрационных данных изменяется имя пользователя компьютера и название его организации, соответственно, на BubbleBoy и Vandelay Industries.

Определить, что к вам пришло зараженное письмо, очень просто. В заголовке письма в строке "Тема" (Subject) стоит фраза "BubbleBoy is back!". Тело письма начинается с фразы "The BubbleBoy incident, pictures and sounds", кроме того, в письме приведен URL-адрес, оканчивающийся на "bblboy.htm".

Вирус заражает только машины, на которых установлен браузер Internet Explorer 5 и Windows Scripting Host (WSH) - все это входит в стардартный комплект поставки Windows 98 и Windows 2000. Вирус не действует на компьютеры с Windows NT. Для работы вируса также необходимо наличие почтовой программы Microsoft Outlook или Outlook Express. В Outlook для активизации вируса требуется открыть письмо, вирус не опасен, если письмо не открывается, а просматривается при включенной опции автопросмотра (видно только начало письма). В Outlook Express вирус активизируется и при автопросмотре. В любом случае вирус не опасен, если в Internet Zone в браузере Internet Explorer 5 установлен высокий уровень защиты.

После заражения ключ Registry принимает такое значение, которое говорит о том, что почтовая рассылка вируса произведена, поэтому повторное заражение вирусом с одного компьютера не производится.

На первый взгляд вирус BubbleBoy не опасен, он не производит каких-то катастрофических действий на компьютере пользователя. Опасность состоит только в возможной перегрузке почтовых систем при одновременной отправке множества зараженных писем.

Специалисты по антивирусной защите назвали вирус BubbleBoy концептуальным. Пока он не несет разрушений, но на его основе могут быть созданы более опасные вирусы. Вирус был разослан анонимным отправителем (возможно, его автором) по нескольким фирмам и организациям, занимающимся разработкой средств антивирусной защиты. Если вирус разослал его автор, то он, по-видимому, хотел узнать мнение специалистов о своем творении. BubbleBoy написан на языке VB Script и использует для заражения системы управляющие элементы Active X. Специалисты уже занялись разработкой противоядия.

Теперь пользователи при работе с электронной почтой должны следовать новой заповеди - не открывать письмо с темой "BubbleBoy is back", а лучше настроить системы фильтрования и сканирования почты на удаление сообщений с такой темой.

Ну и не надо забывать про старое правило - никогда не открывайте файлов, присланных неизвестным отправителем.

Надеюсь это весомые аргументы.

Цитата:
Диагноз: Острый приступ вирусофобии, рекомендую лечение изучением механизма работы ОС и прямых почтовых клиентов (TheМышь к примеру)

Смешно и смеюсь до сих пор. Читай выше изложенное.

Сечас пойдёт ликбез!
- "стелс"-вирусы (вирусы-невидимки, stealth), представляющие собой весьма совершенные программы, которые перехватывают обращения DOS к пораженным файлам или секторам дисков и "подставляют" вместо себя незараженные участок информации. Кроме этого такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие "обманывать" резидентные антивирусные мониторы. Один из первых "стелс"-вирусов - вирус "Frodo";
- "полиморфик" - вирусы (polymorphic) - достаточно трудно обнаруживаемые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика. Некоторые вирусы (например, вирусы семейства "Eddie", "Murphy") используют часть функций полноценного стелс-вируса. Чаще всего они перехватывают функции DOS FindFirst и FindNext (INT 21h, ah=11h, 12h, 4Eh, 4Fh) и "уменьшают" размер зараженных файлов. Такой вирус невозможно определить по изменению размеров файлов, если, конечно, он резидентно находится в памяти. Программы, которые не используют указанные функции DOS (например, "Нортоновские утилиты"), а напрямую используют содержимое секторов, хранящих каталог, показывают правильную длину зараженных файлов.
При инфицировании файла вирус может производить ряд действий, маскирующих и ускоряющих его распространение. К подобным действиям можно отнести обработку атрибута read-only, снятие его перед заражением и восстановление после. Многие файловые вирусы считывают дату последней модификации файла и восстанавливают ее после заражения. Для маскировки своего распространения некоторые вирусы перехватывают прерывание DOS, возникающее при обращении к защищенному от записи диску (INT 24h), и самостоятельно обрабатывают его. Поэтому к особенностям алгоритма файлового вируса можно отнести и наличие или отсутствие обработки:
- атрибута read-only;
- времени последней модификации файла;
- прерывания 24h.

Надеюсь не устали ещё читать!
Хотя пожалуй хватит.

Добавлено
Прочтите вот это, если не слышали о I-Worm.Stator
http://www.viruslist.com/viruslist.asp?id=4318&key=00001000140000100073
Автор: Electronicman
Дата сообщения: 27.12.2001 01:27
Solenaja Мля, речь шла:
а) не об Аутглюке а о TheBat! (прочитай внимательно название темы)
б) BubbleBoy распространяется как скрипт внутри html (уже аттач) который Аутглюк сам и запускает. НО РЕЧЬ ОПЯТЬ ЖЕ НЕ О ПИСЬМАХ С АТТАЧЕМ!!!
в) Ну не умеет TheBat скрипты в полученных письмах выполнять!!! Какие вирусы, если, что пришло, то и показывается обычным вьювером текстовых файлов, который по определению ничего выполнить не может?

А ликбез свой copy/paste`нутый из описания какого-нить антивируса рассказывай в детском саду, т.к. он тут вообще не при чём, ибо выше речь шла про червей, а не вирусы.

З.Ы. На счёт файерволов более-менее согласен, хотя не всё так просто.

Так что про вирусофобию эт я верно подметил...

Добавлено
Относительно I-Worm.Stator:


Цитата:
Интернет-червь, использующий для своего распространения почтовую систему TheBat!

Глупость, он только адресную книгу от него использует.


Цитата:
Копия червя в письмах имеет имя "photo1.jpg.pif".

В миллиардный раз говорю: аттач. И пока его не запустишь, никто не будет прочтя данные из твоей адресной книги рассылать что-либо.


Так что все переходим с программы для автоматического распространия вирусов aka Аутглюк на TheBat
Автор: Chebur
Дата сообщения: 28.03.2002 16:36
А кто-нибудь знает, можно ли DrWeb настроить для проверки почты в TheBat'е?
Автор: xaoc
Дата сообщения: 28.03.2002 18:26
Chebur у мя доктор у самого стоит но модулей к нему я ненащёл ..
Автор: 11111
Дата сообщения: 28.03.2002 18:35
В Версии 1.6 оченно хорошо теперь реализована проверка на вирусы ..... см. в настройках самого клиента ...
Автор: Vlad2000Plus
Дата сообщения: 28.03.2002 19:26
Вот тут все написано по теме
http://www.nobat.luga.ru/catalog/itemmap.php?id=53
Автор: Solenaja
Дата сообщения: 28.03.2002 23:51
Наконец то The Bat и KAV нашли общий язык и воплотили это друг в друге.
За енто им низкий поклон.

Не нужно теперь морочить голову, настраивая The Bat для специального правила сортировки.

Что до v.1.6 - как по мне стала летать быстрее и да и html-вьювер поинтереснее стал.
И как видно и списка нововведений - исправлено кучу ошибочек.
Автор: 4get
Дата сообщения: 15.04.2002 11:25
краткое описание установки и настройки плагина kav 4 pro
http://www.kaspersky.ru/bat.html?instr=1

анонс батовского плагина drweb (появится начиная с 4.28)
http://drweb.spb.ru/cgi-bin/drbbs.cgi?ep=3&id=18579
Автор: VdV
Дата сообщения: 15.04.2002 20:37
Выпущена бета-версия модуля для проверки почты на вирусы в популярной почтовой программе The BAT!. Теперь пользователи The BAT! могут проверять на вирусы как принимаемые письма, так и приложенные к письмам файлы при попытке их "открыть". Модуль требует установленной программы Dr. Web для Windows версии не ниже 4.27. Загрузить модуль для тестирования можно с нашего сайта:
http://www.drweb.ru/betas/drwebbav.zip.
Автор: Leonid_Z
Дата сообщения: 22.04.2002 23:33
Проверка на вирусы в версии The Bat! 1.60c мне понравилась: подключил каспеский антивирус через COM-плагин, и вкладываемые в письма вирусы теперь не работают - хорошо!
Но, почему-то intpak не переводит на русский язык фэйс проверки папок! Творцы из Ritlabs: чего-то вы забыли?
Автор: ab
Дата сообщения: 22.04.2002 23:50
Leonid_Z
Скачай отсюда: http://strannic.eburg.ru/service/file-exch/thebat160_rus_lng.rar Здесь только два языка: рус+eng.

Страницы: 1234567891011

Предыдущая тема: проблема с Norton Utilities 2002


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.