» IKARUS anti.virus (security software, антивирус)

23W

Цитата:

меня ошибка возникает из-за того что нет вообще никакого почтового клиента

У меня тоже не установлены, но не считаю это причиной.
На ранних версиях я спокойно без почтовиков, через интерфейс Икаруса отправлял файлы в тех поддержку.

Serg_Ivanov
Думаю, что нужно проверить на машине где установлен почтовый клиент.

У меня проблем с отправкой нет



Отправляю только через интерфейс Икаруса.
ИМХО это не связано с работой почтовых клиентов, хотя Outlook настроен.

23W

Цитата:

Вопрос, почему икарус (вирусные утилиты) не проверяет запускаемые с сетевого диска файлы.

Имхо для этого надо иметь два компонента: IKARUS security.manager+IKARUS virus.utilities
На этот вопрос может подробней ответить sumchanin_Yuri у него был опыт использования этой связки.

Я могу лишь провести аналогию с другими AV, с которыми соприкасался, как правило это версии профешинал и бизнес версии.
На вопросы самого sumchanin_Yuri должны отвечать представители разработчика.

Мы с вами обмениваемся мненими и наблюдениями и варимся как бы в собственной каше.
Костя (KostyaVienna) - тут побывал раз и законспирировался.

---

На офф.сайте новость от 26.11.2009 о полной поддержке Windows 7 и это касается как 32-разрядные и 64-разрядные версии Windows 7 подтверждено логотипом от Microsoft.




Добавлено:

Представлен дистрибутив IKARUS virus.utilities 1.0.157
MD5: f2079af996822f18e71b7d3b79d73965

Цитата:

ИМХО это не связано с работой почтовых клиентов, хотя Outlook настроен.

ну тогда это БАГ!


Цитата:

Имхо для этого надо иметь два компонента: IKARUS security.manager+IKARUS virus.utilities
На этот вопрос может подробней ответить sumchanin_Yuri у него был опыт использования этой связки.

Я могу лишь провести аналогию с другими AV, с которыми соприкасался, как правило это версии профешинал и бизнес версии.
На вопросы самого sumchanin_Yuri должны отвечать представители разработчика.

Как по мне, то для антивируса не проверять запускаемый образ - смерти подобно. Почему то все "младшие билды" именитых антивирусов (Касперский, NOD, Микрософт, Avast) это делают (причем без разницы где образ находится, в локальной сети или на диске), а икарус - нет.
По моему от такого антивируса толку - ноль Жаль что икарус не реализовал эту фичу в вирусных утилитах.

dgsjsj
На самом деле связка
Цитата:

IKARUS security.manager+IKARUS virus.utilities

будет удалять сетевые вирусы только локально посредством запуска централизовано через IKARUS security.manager на зараженной станции IKARUS virus.utilities.

Вот выдержка из описания

Цитата:

При помощи консоли управления антивирусами Ikarus security.manager осуществляется централизованная установка антивирусной защиты на персональных компьютерах и серверах локальной сети организации, а также централизованное обновление антивирусных баз и самого продукта. Ikarus security.manager осуществляет полный контроль над всеми объектами защиты на предмет вирусной активности. Чтобы дезактивировать зараженную клиентскую рабочую станцию, Ikarus security manager использует удаленную консоль, которая позволяет администратору работать с Ikarus virus.utilities дистанционно.

23W
Я думаю, что Икарусу попросту не хватает проактивной защиты или HIPS, чтобы он был полным комплексом антивирусной защиты, а так приходить дополнять его ОА или ещё чем-либо.... Это мое сугубо ИМХО....

George S

Цитата:

Добавлено:

Представлен дистрибутив IKARUS virus.utilities 1.0.157
MD5: f2079af996822f18e71b7d3b79d73965

После установки занимает 116 МБ, правда русской справке места там не нашлось.
С верификацией лицензий теперь всё нормально.

dgsjsj
принял

sumchanin_Yuri
Проактивная защита в некотором смысле вида у икаруса есть:
1. Он проверяет инет трафик (инет доунлоад) и почтовый канал.
2. Он проверяет файлы по доступу и загружаемые образы, но, как я писал почему-то только для локального размещения
3. Имеет защиту системы
4. Из проактивной не хватает только самозащиты и анализа поведения, или как вы написали - HIPS, но эта вещь очень серьезная и ее в "младших версиях" антивирусов нет ни где. Например у Касперского HIPS есть в KIS, но в KAV его нет (на самом деле конечно есть но очень уреза и без возможности управления).

Так что для меня остается полной загадкой, почем не проверяются сетевые образы.


George S
dgsjsj
Еще баг.
Все ночь работала комп., сидел в режиме велкомскрин, утром логинюсь и вижу - исчезла служба системтрей модуля (ну там где я пиктрограмки рисовал вместо Scan, Update, Guard). Приче сам сервис антивируса запущен и работает, а вот служба трея (GuardX KickOff Trayicon) похоже вылетела.
Вот:


Так и есть, в списке запущеных процессов модуля трея нет, только рабочая служба антивируса.


Добавлено:
Опс, только что заметил....
Икарсу вирусные.утилиты оказывается вообще не работает с сетевыми дисками, только с локальными. Нет даже возможности через новый профиль сканирования добавить сетевой диск на проверку!!!

Мне кажется что я делаю что-то не так, ну не может такого быть ... Уважаемые, проверьте пожалуйста, у кого-нибудь можно создать профиль на сканирование сетевых дисков?

23W

Цитата:

похоже вылетела.

Цитата:

И это не самое плохое, что может произойти.

Теперь смысл намёка обрёл своё воплощение. Не хотелось тормозить творческое начало имхо лучше, если человек сам сделает правильные выводы.
Для всех остальных: "Эксперименты по изменению внешнего вида программы крайне нежелательны и могут привести к сбоям в работе и просто к отказу загрузки системы".

Цитата:

Опс, только что заметил....

У меня скромное пожелание осторожно применять термин "баг".

---

George S
Обращу внимание на интересную деталь, которую выдавала программа после обновления до версии 1.0.157 через интернет.
имеем: движок t3module: 1.1.76 и модуль обновления autoupdate: 1.0.85 + русская справка.

При установке из дистрибутива IKARUS virus.utilities 1.0.157
MD5: f2079af996822f18e71b7d3b79d73965
имеем: движок t3module: 1.1.74 и модуль обновления autoupdate: 1.0.87
Это отбражается в информации о модулях программы.
Если будет возможность поинтересуйтесь откат к версии 1.1.74 это случайнось или сделано целенаправленно?
Возможно это связано с тем с какого из серверов при установке забиральсь базы и проверялось обновление модулей?
Если смотреть лог журнала обновления, то по нему никакой логики и ранее не наблюдалось.

dgsjsj
Думаю все же с вами не согласится по поводу слета модуля GuardX KickOff Trayicon, уверен на 100% что это не связано с моей переделкой картинок, т.к.: с чтоки зрения кода ничего в них не изменилось: - размеры, форматы, глубина цвета и т.д. - все я оставил стандартное. Так что если икарус не проверяет контрольную сумму битмапов (а он вряд ли это делает, т.к. самозащиты в нем нет), то для него ничего не поменялось.

Так что вылет модуля это все же баг, хотя на 100% уверен что не существенный, служба-то (основная часть антивируса) осталась работать.

По поводу игнора антивирусом сетевых ресурсов - я никогда это багом не называл, это явно политика фирмы, т.е., похоже что так быть и должно, хотя это и печально.

Добавлено:
Хм... я только что глянул (у меня обновление до версии 1,0,157 шло через инет) - версия модулей таки: autoupdate: 1.0.85, virusutilities: 1.0.157, t3module: 1.1.76

а по логу:

[27.11.2009 12:21:38]info AktVersions: autoupdate: 1.0.85, virusutilities: 1.0.157, t3module: 1.1.76, t3vdb: 74604, ASmodule: , ASsdb: 0
[27.11.2009 12:21:38]info Using proxy. (proxyserver: 127.0.0.1:3128)
[27.11.2009 12:21:38]info NewVersions: autoupdate: 1.0.85, virusutilities: 1.0.157, t3module: 1.1.74, t3vdb: 74604, ASmodule: 0.0.0, ASsdb: 0

Так что был откат на старую версию. Но почему-то локальная версия (на компе) не откатилась назад, а осталась t3module: 1.1.76, хотя на сервере обновления в Австрии лежит 1.1.74.

dgsjsj
Наверное так надо было. Прокомментировать может все тот же Костя, пропавший из поля зрения форума...))

23W

Цитата:

Думаю все же с вами не согласится по поводу слета модуля GuardX KickOff Trayicon

Цитата:

все я оставил стандартное.

Я сильно не претендую на разделение моего ИМХО. Просто у меня уже был некоторый опыт манипуляций с внешним видом. Предположений делать не буду, но казалось бы невинные картинки одинакового размера выглядят так: слева на право - стандартная и в редакции 23W

George S
dgsjsj
Еще ошибка...

1. Найден вирус (троян по информации икаруса) по пути c:\Temp\5\Менеджер ключей\KavKisKey_Downloader.exe (это калалчка ключей к КИСу).
2. В карантине путь где был найден вирус прорисан правильно "c:\Temp\5\Менеджер ключей\"
3. Но в журнале, при попытке очистки списка (нажмем "Чистый список")имеем:

27.11.2009 16:16:07 CLEANSYSTEM start
27.11.2009 16:16:08 infected file "c:\Temp\5\83" deleted
27.11.2009 16:16:08 CLEANSYSTEM end

Так вот, никакого пути c:\Temp\5\83 не существует, почему-то икарус вместо правильного пути в логе пишет суржик из комбинации настоящего пути и номера (идентефикатора в guardx.data) объекта который он удаляет! Под номер 83 в guardx.data содержится запись карантина:
    <Listentry83>
        Virusname Trojan-Banker.Win32.Banbra
        Filename c:\Temp\5\Менеджер ключей\KavKisKey_Downloader.exe
        FileType 0
        Process totalcmd.exe
        SigID 1280813
        EntryStatus 0
        FileSize 335360
        Foundtime Fri, 27 Nov 2009 14:14:20 GMT
    </Listentry83>




George S
dgsjsj
Еще по ошибке которую нашел Serg_Ivanov - не работает отправка файла из карантина в лабораторию.

Похоже что этот модуль вообще странно себя ведет. У меня стоит прокси сервер через который я выхожу в инет. Так вот, икарус действительно работает без мыла (я был не прав, извините), он пытается отослать архив с самплом вируса на урл - "http://scripts.ikarus.at/cgi-bin/vu_quarantine.pl" и получает от австрийцев ошибку 417.
Я подумал, что ошибка из-за прокси. Полез в настройки антивируса и отключил прокси , чтобы антивирус работал напрямую (менял в разделе автообновление, больше ведь нигде нет настроек работы с интернетом). Попытался опять отослать сампл в лабораторию, а он опять лезет через локальный прокси. Т.е. явно не учитывает изменившися настроек. Эти настройки вступят в силу только после перезагрузки.

Но при этом модуль автообновления подхватывает новые настройки сразу же и ему перезагрузка системы ненужна.

23W
Я вам не смогу дать пояснения:
1. У меня другая программа, т.е. комбинация модулей и движка (скомбинировано мною оставил себе самые последние версии без отката. )

virusutilities: 1.0.157, t3module: 1.1.76, autoupdate: 1.0.87 русификатор с моей корректировкой и операционная система Windows XP/SP3 со всеми обновлениями.

2. Когда я задаю команду "Очистить список" получаю запрос на подтверждение.



Всё что там было, безвозвратно удаляется.
P.S. У меня нет возможности одновременно тестировать программу и на Windows 7 (32-bit).

23W
Можно быть уверенным, что Вы продолжите использование Икаруса и останетесь с нами???
Ключ на Вас полугодичный запрошен... но напоминайте(а то Костя долго отвечает на письма)

dgsjsj
Спасибо. Я говорил о том, что пишется в логе (если включен лог очистки системы) при дезактивации вируса (кнопка "чистый список", а не "очистить список"). Лог можно посмореть нажав "сервис"->"журнал"->"очистка системы".

Добавлено:
George S
Я ищу себе замену Касперского (его КАВ тоже немного достал), в качестве альтернативы рассматриваю Икарус (тем более что его сигнатурный движок самый лучший на текущим момент), поэтому пока не определюсь - уходить не собираюсь
Пока мне все нравится (кроме игнора сетевых дисков), то что нашлось - блохи, серьезными ошибками назвать это нельзя (нужно только разобраться с отправкой сампла в лабораторию).

П.С.: я кинул письмо сапорту по поводу сетевых дисков, посмотрим что они ответят. может это, я - дурак, что-то не так делаю.

23W
И еще - в след раз кидать на мыло, указаное в шапке либо родной support@ikarus.at - Но на англ или немецком, баги дополнительно. (про руссификацию не надо, только по работе) - этот ящик автоматом кидает мне и Косте.

George S
ок.

George S
Службу оказывается антивируса можно легко выключить (даже не смотря на то что она работает под системным акаунтом). "net stop GuardX" и все...


George S
В некоторых случаях (довольно часто), не стирается фон в окне трея (там где кнопки Scan, Guard, Update) из-за чего текст рисуется по верх старого изображения - получается каша. вот к примеру:


Обычно это происходит при высокой загрузке CPU.


George S
Еще мелочь, икарус настройки прокси в свой файл guardx.conf пишет в незакодированном виде, а именно пароль на прокси, что может привести к его краже. Думаю особового труда закодировать строчку proxypassword нет, но можно и сам файл заблокировать от чтения (служба антивируса должна открывать его с привелегированным доступом, запрещая любой другой совместный доступ).

Ответил саппорт икаруса, по поводу игнора сетевых ресуров:

Цитата:

We recommend to install the virus.utilities on the file-server too, so the
files are scanned local on the file-server. The virus.utilities is not able
to scan files on-access over the network.

Печально... Ну а если я к примеру не файловому серверу лажу, а по другому компу. в сети ? я же не могу обеспечить физически чтобы по всей сети стоял икарус, защита должна вестись на локальной машине! Я отправил им повторный вопрос, может есть какая-то версия, которая и сеть проверяет?
Причем, как выяснилось икарус таки может сканировать сетевые диски, только это хорошо заблокировано и в профиле настроить нельзя, можно только запустить из командной строки, это ясно из второй части ответа саппорта:

Цитата:

But if you like to do an on-deman scan, you can user virus.utilities like
this:

in folder C:\%ProgramFiles(x86)%\Ikarus\virus utilities\bin>

run

"virusutilities.exe -SCAN \\SERVER\DIR\"

Блин, и это таки не работает, запустил так
virusutilities.exe -SCAN "\\alpha\tmp\1\Менеджер ключей"
и так
virusutilities.exe -SCAN \\alpha\tmp\1\Менеджер ключей
и так
virusutilities.exe -SCAN \\alpha\tmp\

а результат один:


хотя в папке "Менеджер ключей" лежат известные ему трояны, от так от

23W
Ну чтож будем знать благодаря Вам, что сетевые диски не сканятся...

Продолжаем
Таки можно запустить сканирование сетевых шар с командной строки, но для этого нужно немного поработать.
1. Заходим в панель управления, находим администраторский раздел и загружаем менеджер служб.
2. Находим службу GuardX и останавливаем ее, далее открываем ее свойства и переходим на закладку "Log On"
3. Переключаемся на тип загрузки службы "This account": и указываем имя и пароль локального юзера, имеющего доступ к сетевым дискам.
4. Сново запускаем службу.
5. Теперь командная строка "C:\%ProgramFiles(x86)%\Ikarus\virus utilities\bin\virusutilities.exe -SCAN \\alpha\tmp\" найдет все вирусы на сетевой шаре

Наконец-то, немного с головняком на работать заставили. Примечание: пункты 1 - 4 нужно сделать только один раз.

Спасибо саппорту икаруса за подсказки.


Думаю этот рецепт таки нужно занести в шапку.

dgsjsj
Можно совет от товарища правда в шапку? Нужная недокументированная возможность однако!

23W
спасибо за совет - будем знать.

Цитата:

dgsjsj
Можно совет от товарища правда в шапку? Нужная недокументированная возможность однако!

George S
Всё очень интересно.
ИМХО прикрыть пока это тегом more
Инструкцию сделать без сленга, более демократичной, подробную и со скриншотами.
А может и сделать доступной только в

К примеру, на стр. 7 был способ аварийного обновления VDB, а в шапку он помещён под нейтральным названием "Дискретные обновления".

dgsjsj
ага. под more

23W
смотрите ПМ. Добро пожаловать к "неодномесячным" юзверям Икаруса

George S
получил, спасибо.

Это нормально?


я про "иероглифы"...

23W

Цитата:

я про "иероглифы"...

http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=28707&start=580

dgsjsj
ага, спасибо.

Есть новость с проблемой отправки вируса в лабораторию через контекстное меню.
Мы тут с сапортом ихним чуть-чуть побеседовали и выяснили, что:
1. Это проблема либо с конкретном прокси - Squid/SquidNT, либо если на пути установлено два прокси подряд.
2. Самое интересное, код посылки файла в лабораторию не использует настроек антивируса, а читает настройки соединения из Internet Explorer!

Поэтому, если вы не используете IE или он у вас не настроен, то прийдется таки прописать в нем параметры соединения с инетом, иначе отправка файла в лабораторию работать не будет!