» ОБЗОР АНТИВИРУСОВ ПОД WINDOWS XP

Andyvm
Ну я, в принципе, и имел ввиду 3-й rar.


Добавлено
Blaza
Было один раз такое, но через несколько минут всё-таки обновился. А так всё нормально, и через проксю, и напрямую...

Цитата:

3-й RAR не понимает

А разве это такая серьезная проблема? Насколько на самом деле это критично, чтобы rar-архивы проверялись? Чем это грозит реально?

x25
Очень много файлов в сети лежат в rar-архивах (запакованные именно 3 WinRar) да и хранишь их именно в таком виде.

x25

Я, кстати, тоже считаю, что в этом ничего страшного нет. Все равно, когда будете распаковывать - вирусы обнаружатся.
Но Serge731 спросил - я ответил...

x25
В самый разгар эпидемии Klez.h, пришла эта зараза и к нам в контору. Так вот, эта сволочь поднагадила ИМЕННО в rar архивах. Кстати сказать, очень нужные файлы там были. Каспер, помнится, даже сильно помог, вылечив почти всё.
А вот что бы я делал с McAfee или PC-Cillin?

Serge731

А вот Klez - то как раз архивы делает не в 3-м RARе. У нас в конторе у всех стоит McAfee и он успешно всё полечил.

Serge731
Я этот вопрос на форуме тех.поддержки задавал, мне ответили вот что:

Цитата:

I've asked this on the corporate side as well, although I'm not an RAR user. I've been told that better support is coming in future products as WinZip and PKZip are more widely used.

Actually, I'm thinking with VS 7 we're starting to see some RAR support, as the only other protection was when zipped RAR archieve files were being opened. Hopefully, we'll see more on this.

P.S. You might be interested in this


RAR based attachments under Klez.H

Klez.H started using RAR formats and did not detect this for several weeks, (I kept an attachment called FOR.RAR on my hard drive which was safe because it didn't have an association). After opening an incident with AVERT, some weeks later out of the blue, McAfee started detecing this with DAT 4128.

Here's the EMAIL message on this

DAT 4218 is now available (plus something neat)

"Green Light" for me on XP (VS 4.51 SP1) and W/2000 SP3 (VS 7 Beta #3)

DAT 4218 is available at:

ftp://ftp.nai.com/virusdefs/4.x


=================
Five Key QA Tests
=================

1. 4218 DATs installed properly on both PCs
2. No issues on reboot (always do one regardless to see)
3. No Office XP Pro issues
4. No IE 5.5 and 6.0 issues
5. No False Positives in full Default Scans of both systems


The part that is neat I found in scanning was:

A while back we noted a weakness in McAfee's ability to detect Klez.h viruses in the RAR format. DAT 4218 brings improvements in detecting RAR based Klez.H attachments. For months, I've kept a Klez.H attachment on my hard drive in a special folder that gets scanned each time (since I don't have WinRAR opened and have a locked down XP PC that only I can touch this was safe).

McAfee VS 4.51 SP1 actually now FINDS and CLEANS this in C:\SOFTWARE\Klez.H\for.rar ... The RAR format is not widely used and McAfee still would caught Klez.H within WinRAR. Still, this is a beneficial improvement ....

Demetrio
А в кратце по-русски можно?

И вообще, коли rar 3.x настолько распространен, то нельзя его игнорировать вообще

Maz
Вкратце - RAR не считают очень распространённым, ну а для Клеза было выпущено специальное кумулятивное обновление.

Demetrio
Andyvm
ОК, с McAfee понятно.
А вот PC-Cillin и 2-й rar не понимает

Цитата:

А вот PC-Cillin и 2-й rar не понимает

А это уже "клиника" . Называется Zip и Arj - вперед!!! Остальное по барабану

Maz

Цитата:

нельзя его игнорировать вообще

Это-то в принципе правильно. Но проблема, имхо, прежде всего в самом Рошале: он так лихо меняет алгоритмы, что RAR 2.x не понимает архивы 3-й версии. Разве это нормально? Что уж тут говорить о производителях стороннего софта.
Serge731
Я может быть что-то путаю, но до макафи у меня стоял Каспер 3.5 и он, когда вышел RAR 3.0, тоже перестал его понимать. И еще - я не понял - тебе надо было именно вылечить файлы от Klez-a? И Каспер вылечил? А вообще, вы рисковые ребята, я бы не решился лечить файлы от Клеза - удалил бы нафиг и запросил почту по новой.

Насчет PC-Cillin не знаю, но на почтовом сервере у нас стоит Trend ScanMail (они же производители PC-Cillin) - так Klez'ов всех ловил без проблем. (Но к RARу, конечно, это отношения не имеет, т.к. архивы создаются/заражаются уже после проникновения вируса).

Кстати Norton 2003 теперь тоже понимает RAR-архивы (и тоже только 2-е). Интересно, что при первоначальной его инсталляции этого нет, но после LiveUpdate начинает понимать...

x25
Такими перходами грешат многие производители. И это его право, т.к его деятельность идет на пользу обществу. А задача производителей антивирусов поддерживать как можно больше "заражаемых форматов", что есть забота о пользователе

x25
Да, Каспер тоже одно время не понимал 3-й rar. Это точно. Блин, уже не помню когда они добавили его поддержку.
Что касается файлов, то да, нужно было именно вылечить.

Serge731
Поддержку добавили, кажется с 4 версией. У меня на работе стоит 3.5. Боже, как она тормозит с rar-архивами

И потом, какая почта? Я же говорю, что klez прописался в архивах уже на харде.

Serge731
Если стоит McAfee, то он и не должен там прописаться, будет убит на начальной стадии

Maz
По-моему, AVP 3.5 после одного из кумулятивных обновлений тоже стал понимать 3-й rar. Но, точно не скажу. Я им сейчас не пользуюсь, не говоря уже о 4-ом

Да 3-й РАР ни АВП 4, ни ДрВеб долгое время тоже не понимали нормально!

Serge731
Ок, главное я понял.
А насчет "удалил бы нафиг" - это я погорячился. И файлы разные бывают, и ситуации, и начальство...
Maz

Цитата:

Такими перходами грешат многие производители. И это его право

Серьезный производитель настоящего качественного софта при смене версии само собой оставляет в ней поддержку предыдущих и в обязательном порядке учитывает вопросы совместимости со смежными, так сказать, продуктами. Виражи, подобные виражам Рошала, не могут не отталкивать корпоративного пользователя и в конечном итоге приводят только к уменьшению занимаемой доли рынка.

Цитата:

Поддержку добавили, кажется с 4 версией

Avp dobavlaet arhivi v bazah a ne v novih versiah! i datu ja primerno mogu skazat! eto bilo na sled den posle togo kak ja zdelal utilku anti klev v kotorom bil batnik na format i clrav.com! batnik zapisival comandi v autoexec.bat a clrav zapuskalsa dlja prikritija!

Добавлено
VOT nasol! 15 октября 2002 г., 16 54 23 a na sled den dobavili podderzku rar3.0! tam daze bila baza s nazvaniem vrode "rar-unpacker.avc" no to4no ne pomnyu!

SXP
гы
Ты себе льстишь
Нет, не тогда это было, точно говорю.
Я ещё хорошо помню, что это обновление выложили на сервера битым, и оно не хотело качатся. Пришлось даже в саппорт писать, чтоб пофиксили.

Добавлено
Даже если и близко по дате, то с тем батником, как написали из ЛК, "с примитивным троянцем", это никак не связано

Demetrio
Oni dobalivi podderzku RAR3 vmeste s detectirovanie trojana!

SXP
Если и так, то оно не связано! =))

x25
Ха! Так rar3 поддерживает rar2. И вообще это тема для отдельного разговора. А антивирусы должны поддерживать новые форматы, хотя бы в новых версиях.

Первые мои результаты тестов антивирусов
NOD32
number of diagnosed files: 7600
number of viruses found: 2457
number of cleaned files: 759 (вылечено)
number of active viruses: 33 ( не смог удалить)
остальные удалены.
Не смог удалить инфицированные архивы
большую часть вирусов видит эвристически
=============================
-------------
Каспер 4.09
в режиме избыточного сканирования
"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\Avp32.exe" -redundant /s "C:\!!!_Virii"

Файлов 7675
Архивов 32
Упакованных файлов 61
Известных вирусов 7267
тел вирусов 7527
вылечено 3652
удалено 3874
Предупреждений 1 (C:\!!!_Virii\Macro.Acad.Star Ошибка ядра
Exception 0xC0000005 )
---------
После Касперского вслед за ним прошелся DRWeb
И вот что обнаружил
Объектов проверено: 3739
Инфицированных: 12
Инфицированных модификациями: 1
Подозрительных: 12
--
PSYSEND.COM инфицирован Trojan.PsySend
MOO.DLL инфицирован IRC.Mimic
Java.StrangeBrew инфицирован Java.StrangeBrew
Macro.Acad.Star инфицирован ACAD.Star
Macro.Excel.Queen инфицирован XM.Hit
Macro.Access.MiPirat инфицирован A97M.MiPirat
Macro.Excel.Robocop инфицирован XM.Robocop
Macro.Access.Detox.a инфицирован A97M.Tox
Apparition.700.a инфицирован Apparition.700
Natas.4988 инфицирован модификацией SUPD.based
Ahav.383 инфицирован Ahav.383
DREG-based инфицирован DREG.based
Pixel.Hydra.372 инфицирован Alabama.dropper.1560
-----
GYNX.1000 , возможно, инфицирован COM.TSR.Virus
Athens.1463 , возможно, инфицирован EXE.TSR.Virus
Nado.CyberBug.1478 , возможно, инфицирован COM.EXE.TSR.Virus
Murphy.Delirium.1638 , возможно, инфицирован COM.EXE.TSR.Virus
Murphy.Delirium.1778, возможно, инфицирован COM.EXE.Virus
Murphy.Delirium.1780, возможно, инфицирован COM.EXE.Virus
Die.800 , возможно, инфицирован COM.EXE.TSR.Virus
Die.803 , возможно, инфицирован COM.EXE.TSR.Virus
Murphy.Lock , возможно, инфицирован COM.EXE.TSR.Virus
Murphy.Pest , возможно, инфицирован COM.EXE.Virus
---
Файлы отправляются в лабораторию Касперу на экспертизу

Добавлено
Желающие подвесить свой DRWeb могут проверить вот этот файлик
http://nod32.newmail.ru/DREG-based
12:29 отправлено письмо с вирусами Касперу
12:47 прочтено...

Добавлено
Ahav.383 - детектируется
Macro.Acad.Star - детектируется
Natas.4988 - детектируется
Pixel.Hydra.372 - детектируется
(ИМХО, ошибка удаления\лечения Каспером или новые базы - вчера тестил)

MOO.DLL - ложное срабатывание DrWeb
PSYSEND.COM - ложное срабатывание DrWeb

с остальными разберемся.

Regards, Eugene
Kaspersky Lab

Добавлено
BAT.MF.227 инфицирован BAT.Duke.227 - исцелен
C:\!!!_VIRII\BAT.MF.227 инфицирован BAT.Duke.227 - исцелен
C:\!!!_VIRII\BAT.MF.227 инфицирован BAT.Duke.227 - исцелен
И так далее до бесконечности...
не могу протестить DRWeb 4.29b

Цитата:

не могу протестить DRWeb 4.29b

po4emu?

Цитата:

Цитата:не могу протестить DRWeb 4.29b

po4emu?

Вот почему

C:\!!!_VIRII\BAT.MF.251 инфицирован BAT.Duke.251 - исцелен
C:\!!!_VIRII\BAT.MF.251 инфицирован BAT.Duke.251 - исцелен
C:\!!!_VIRII\BAT.MF.251 инфицирован BAT.Duke.251 - исцелен
C:\!!!_VIRII\BAT.MF.251 инфицирован BAT.Duke.251 - исцелен
И так далее ДО БЕСКОНЕЧНОСТИ.
Зацикливается на проверке и лечении ОДНОГО и ТОГО же файла.

Цитата:

Желающие подвесить свой DRWeb могут проверить вот этот файлик
http://nod32.newmail.ru/DREG-based

просканировал нормально, при попытке вылечить повис