» Dr.Web [DrWeb, Doctor Web, Доктор Веб]

Крайне примитивный алгоритм анализа скриптов и INI файлов в DrWeb вызывает постоянные срабатования монитора и сканера
Причем сообщения содержат не только инертное "возможно, инфицирован SCRIPT.Virus", но и прямые обвинения "инфицирован модификацией VBS", что не позволят нажать "Игнорировать".
А поскольку скрипты я использую достаточно активно, то единственный выход на сегодня - полностью отключить их проверку
В архиве - примеры файлов, ложно принимаемых DrWeb-ом за вирус (пароль - "1" (без кавычек).
Это даже не полные скрипты, а просто куски кода из них.
Чем не понравился DrWeb-у wincmd.ini вообще понять невозможно

mozers

А не пробовал послать это разработчикам??? Поправят или объяснят

З.Ы. На wincmd.ini у меня никогда не срабатывал...
А на скрипты было, но всегда работает игнорировать (т.е. просто подозрение, а не 100% вирус)...

Добавлено:
Попробовал архив: на твой wincmd.ini сработало (и на все остальное тоже само-собой), просмотрел, но почему так пока и не понял ...

Стоит последний DrWeb, базы стандартные (все) + дополнительные, система W2K.

З.Ы. Отошли это разработчикам...

mozers

Отправьте этот архив разработчикам DrWeb на http://support.drweb.com/sendnew/. И они постараются исправить ложные срабатывания эвристического анализатора, если посчитают их таковыми...
Некоторые из ваших скриптов при их "неправильном" использовании могут производить потенциально опасные для системы действия...

mime13
Отошлю обязательно...

DenZzz
Мои скрипты не делают ничего опасного! Во всяком случае, ни как не больше того что разрешено обычной (exe) программе.
Просто DrWeb-овцы очевидно подвержены дилетанским слухам о том, что 99% скриптов - это вирусы и поэтому обнаружив что скрипт делает что то большее чем вывод алертов - смело считают его заразным

Цитата:

Просто DrWeb-овцы очевидно подвержены дилетанским слухам

Да нет, просто доктор часто "делает стойку" на скрипты, которые сначала при запуске выясняют, где они находятся (типа sSourcePath = Left (WScript.ScriptFullName и тд), а потом, исходя из этого производят какие-то действия, особенно если приложения какие-нить после стартовать.
А уж на копирование самого себя
FSO.CopyFile WScript.ScriptFullName, WshShell.ExpandEnvironmentStrings("%windir%\")
грешно не ругнуться, так еще вбскрипт-дедушка "I love you" делал

Я плюнул на эвристический анализатор доктора, задолбал, все равно не переубедишь его и пути обычно прописываю полностью, вроде
sSourcePath = "C:\HOME\DOC"

А wincmd.ini это явный перебор конечно

mozers
17:00 24-04-2005
Цитата:

Крайне примитивный алгоритм анализа скриптов и INI файлов в DrWeb вызывает постоянные срабатования монитора и сканера
Причем сообщения содержат не только инертное "возможно, инфицирован SCRIPT.Virus", но и прямые обвинения "инфицирован модификацией VBS", что не позволят нажать "Игнорировать".

У тебя установлены drwnasty и drwrisky. У меня они не переписаны в папку к доктору и все файлы из твоего архива ему (доктору) глубоко по барабану. Думаю, пока риск-базы находятся в стадии бета-тестирования предъявлять к ним повышенные требования рановато. А вот сообщить куда следует не помешает.

P.S. А в wincmd.ini его скорей всего ввёл в заблуждение %WINDIR%

mr_eoi

Нет, дополнительные базы drwnasty.vdb и drwrisky.vdb здесь ни при чем!
Похоже, что-то "подкрутили" в drw43237.vdb. С этой базой ложные срабатывания на файлы из архива mozers пропали. А если эту еженедельную базу удалить, то DrWeb опять начнет "ругаться".

Цитата:

Похоже, что-то "подкрутили" в drw43237.vdb. С этой базой ложные срабатывания на файлы из архива mozers пропали. А если эту еженедельную базу удалить, то DrWeb опять начнет "ругаться".

- То есть, свежие базы не только добавляют, но и убирают из общего используемого набора некие записи о вирях?

bredonosec

Цитата:

- То есть, свежие базы не только добавляют, но и убирают из общего используемого набора некие записи о вирях?

Видимо, в свежих базах есть возможность корректировать ранее добавленные вирусные записи. Потом, с выходом новой версии DrWeb производится их объединение. Поэтому общее количество записей в новой версии всегда на пару тысяч меньше, чем в предыдущей со всеми дополнительными базами.

Цитата:

Потом, с выходом новой версии DrWeb производится их объединение. Поэтому общее количество записей в новой версии всегда на пару тысяч меньше, чем в предыдущей со всеми дополнительными базами.

- пару лет назад на сайте в обьяснение "почему так мало записей у вашего продукта" давалось среди прочего, что "мы убираем из баз устаревшие, неиспользуемые ныне вирусы" (или что-то другими словами, но с этой мыслью).
Но способность убирать/корректировать существующие записи методом добавления нового файла записей к существующим...

bredonosec

Цитата:

- пару лет назад на сайте в обьяснение "почему так мало записей у вашего продукта" давалось среди прочего, что "мы убираем из баз устаревшие, неиспользуемые ныне вирусы" (или что-то другими словами, но с этой мыслью).

Не совсем так! Старые вирусы тоже могут "всплыть" в любой момент из "старых" архивов и про их исключение из вирусных баз никто из вебовцев не говорит. Они объясняют уменьшение количества записей с выходом новой версии DrWeb тем, что объединяют несколько "похожих" записей в одну. Т.е. фактически - это корректировка старых записей!
Кроме того, ИМХО, удаляются вирусные записи, описывающие одни и те же вирусы, упакованные разными упаковщиками исполняемых файлов, которые DrWeb еще не знал на момент добавления этих вирусных записей.
В FAQ'е на drweb.ru ( http://www.drweb.ru/faq.shtml#1 ) про маленькое количество вирусных записей написано:

Цитата:

Разница не в количестве вирусов, а в технологии подсчета этого количества разными антивирусами. В программе Doctor Web одной записью в базе может определяться до нескольких сотен вирусов. Авторы других антивирусов предпочитают несколько разновидностей одного и того же вируса, иногда отличающихся друг от друга всего лишь парой байт, подсчитывать отдельно. Кроме того, в базах некоторых антивирусов содержится большое число записей, предназначенных для детектирования так называемых "ключеделалок" (генераторов лицензионных ключей), "кряков" (утилит для снятия защит от копирования) и массы других программ, к вирусам никакого отношения не имеющих. Однако они включаются в число "определяемых вирусов" и искусственно завышают показатели "качества".

---

bredonosec

Цитата:

Но способность убирать/корректировать существующие записи методом добавления нового файла записей к существующим...

Но факт на лицо: без drw43237.vdb ложные срабатывания на архив mozers есть, а с этой базой - уже нет! Как это объяснить, если не корректировкой "старых" вирусных записей?!

bredonosec

Цитата:

- пару лет назад на сайте в обьяснение "почему так мало записей у вашего продукта" давалось среди прочего, что "мы убираем из баз устаревшие, неиспользуемые ныне вирусы" (или что-то другими словами, но с этой мыслью).

Не может этого быть.

Добавлено:
mr_eoi

Цитата:

У тебя установлены drwnasty и drwrisky. У меня они не переписаны в папку к доктору

А я бы советовал переписать, особенно drwnasty. Без этой базы ценность drweb как АВ снижается имхо на 20-25%

вчера запустил тест с архивом 1642 вируса. программа показала нулевой результат.

открыл настройки программы - с пунктов проверки памяти и загрузочных секторов убраны галки. фигня какая-то...

сегодня утром снес его и поставил для проверки McAfee. Вечером прогоню тест.

но что-то мне это не нравится

BBMike

Цитата:

вчера запустил тест с архивом 1642 вируса. программа показала нулевой результат.

Видимо, была отключена проверка архивов в настройках "Типы файлов".

Цитата:

что объединяют несколько "похожих" записей в одну.

Хм.. разве что так..
Цитата:

Но факт на лицо:

- Приходится верить..

DenZzz
не, все было включено. вчера протестил McAfee - вирусов вроде нет. Сегодня Касперским пройдусь. Не жалко, все равно система под снос.

BBMike

Цитата:

вчера запустил тест с архивом 1642 вируса

Где нарыл такой архив? Я бы тоже свой SAV прогнать попробовать хотел. Пока раздумываю стоит ли переходить на доктора? Говорят что после SAV доктор какую-то заразу находит, хотелось бы проверить.

Pantalone

Цитата:

Где нарыл такой архив?

http://forum.ru-board.com/topic.cgi?forum=55&topic=1363&start=60#19

Есть ли решение проверки всего HTTP и FTP траффика не ставя "Dr.Web для интернет-шлюзов" ?
А то стоит Windows 2003 server, а "Dr.Web для интернет-шлюзов" можно поставить только на Unix системы, что для этого ставить шлюз придется из FreeBSD ?
Или есть другое решение?

exMIB
Вот ссылка на страницу о последней версии этого продукта:
http://info.drweb.com/show/2614?lng=ru
Она юниксовая, и на Вашей ОСи не пойдёт. Придётся поискать решения от других компаний либо ставить что-нибудь из семейства *nix.

Где найти свежий ключ для DrWeb версии 4.32b или сервер для автообновления DrWeb

Сегодня ради эксперимента поставил программу Antivirus Stop! Bepcия 4.10.20,
запустил сканер и он выдал сообщение:

Файл: C:\Program Files\DrWeb\drwsxtn.dll (19 068 b 31.08.2004 4:32)
Состояние: oбнapyжeн: Trojan.Win32.LowZones.g
Heoбxoдимo yдaлeниe вpeдoнocнoгo oбъeктa! Oбнapyжeнный oбъeкт являeтcя вpeдoнocнoй пpoгpaммoй и дoлжeн быть yдaлeн. Лeчeниe дaннoгo oбъeктa нeвoзмoжнo, тaк кaк вecь oбъeкт являeтcя вpeдoнocнoи пpoгpaммoи.

Я переустановил DrWeb, но Antivirus Stop! опять выдал аналогичное сообщение. Что это значит - конкурентная борьба, несовершенство Antivirus Stop! или реальное состояение файла?

И еще один вопрос. В процессе сканирования DrWeb обнаружил 2 трояна и предложил их переместить в свою папку Infected.!!!. После перемещения при повторном сканировании этой папки он эти файла как вирусы уже не определял. На эту папку наложено Табу или это ошибка DrWeb?
Хотелось бы прочитать Ваши мнения по этим вопросам.

Labean_Hesv

Цитата:

Файл: C:\Program Files\DrWeb\drwsxtn.dll (19 068 b 31.08.2004 4:32)
Состояние: oбнapyжeн: Trojan.Win32.LowZones.g ...
Я переустановил DrWeb, но Antivirus Stop! опять выдал аналогичное сообщение. Что это значит - конкурентная борьба, несовершенство Antivirus Stop! или реальное состояение файла?

Online проверка на VirusTotal.com 18-ю антивирусами не обнаружила в этом файле никаких вирусов! Либо это ложное срабатывание Antivirus Stop!, либо в вашей системе завелся троян, который заражает эту DLL. Кстати, нормальный размер drwsxtn.dll = 19968 байт.


Цитата:

В процессе сканирования DrWeb обнаружил 2 трояна и предложил их переместить в свою папку Infected.!!!. После перемещения при повторном сканировании этой папки он эти файла как вирусы уже не определял. На эту папку наложено Табу или это ошибка DrWeb?

Папка Infected.!!! для DrWeb особенная. Вирусы в ней Сканер DrWeb проверяет, только если выделить в ней конкретные файлы для проверки. Да и зачем, ведь и так ясно, что в ней лежит...

Я тут 17:00 24-04-2005 как то жаловался на ложные срабатывания DrWeb.

Так вот... После мого сообщения на vms@drweb.com реакция последовала незамедлительно.
После установки drw43237.vdb никаких вирусов в моем архиве уже не находится
Thanks за оперативность

Правда у меня появился еще один "вирус":
create_virtual_drive.bat

Код: @echo off
subst V: .

Опять шняга какая-то.
Cегодня обновил базы и мой эскулап стал ругаться
на файлы в программе WinRar 3.42:

ZIP.SFX (58 386 b)
ZIP_US.SFX (57 856 b)

Кричит, что мол они заразные - Trojan.MulDrop.2141 подхватили.
Звонит мне товарищ и говорит то же самое. Я попробовал переставить WinRar 3.42 вновь, но лепила сделать это не дал. Уперся не буду, говорит эти файлы установливать. Я скачал с сайта новый дистрибутив, но такая же история. WinRar 3.41 ставится без проблем. Или опять господа Данил Овцы переусердствовали, или глюк, или??? А в ваших ящиках как дело обстоит?

Labean_Hesv
Скорее всего, это "ложное" срабатывание Drweb. Оно уже обсуждалось на форуме drweb.ru вот здесь: http://forum.drweb.ru/view/104132.
Пошли эти файлы на анализ вирусным аналитикам на http://support.drweb.com/sendnew/, они исправят вирусную базу, если файлы "чистые".

Написал в их контору. Сегодня уже все ОК. Исправили базу.

ALL
Слышал, что после праздников новая версия DrWeb 4.33 будет доступна для бета-тестирования!
Есть добровольцы?

DenZzz

Цитата:

Есть добровольцы?

Конечно
З.Ы. А кто знает как стать зарегистрированным тестером самого вэба (не баз, а именно антивира)????

mime13
Обещают скоро вывесить информацию на официальном сайте: drweb.com .