Hi

Аваст, вин-хр/32, бесплатный, нерегистрированный, четвертый день как установлен

Часто возникающая ситуация: аваст видит вирус в файле (и сканер и монитор и онлайнсканер тоже),
а другие антивиры (drweb-онлайн, каспер-онлайн) ничего подозрительного не обнаруживают.
Например, NDD.EXE (досовский пакет norton utilities 6) по мнению аваста заражен Burglar-1150.

Кто тут врёт? Если врёт аваст, как его вразумить?

Многовато ложных тревог, раздражают уже.

Кстати, никак не понимаю разницу между web-shield и netword-shield. И то и другое проверяет веб-страницы, которые открывает браузер. К чему такая избыточность, зачем дважды делать одну и ту же работу?

отправьте NDD.EXE в он-лайн проверкa аваста

Нет никакого дублирования. Веб-экран занимается отслеживанием угроз на посещаемых Вами веб-страницах, т.е. того, что Вы видите на своём экране. Сетевой экран отслеживает угрозы, пытающиеся проникнуть из сетей любого уровня.

Например, если Вы в браузере откроете заражённую страницу, то сработает Веб-экран, который обнаружит вредоносную активность и заблокирует доступ к этой странице. Если же кто-нибудь попытается взломать Вашу систему, то сработает Сетевой экран, который обнаружит подозрительную скрытую сетевую активность и отключит соединение с её источником. Проще говоря, Веб-экран отслеживает видимый на экране интернет, а Сетевой экран следит за “техническим” интернетом, скрытым от глаз пользователя, т.е. за непосредственным общением компьютеров, серверов, сетей и т.д. Сетевой экран тоже регистрирует, просматриваемые страницы, но только для проверки на сетевое мошенничество: вирусные базы Аваста содержат и список на мошеннические и вредоносные сайты, доступ к которым блокируется сразу же после появления запроса на их посещение.

Хм.

Оба экрана - и веб и сетевой - в процессе работы браузера рапортуют о проверке открываемых www-страниц. Только веб-экран именует их “Last page scanned”, а сетевой - “Last analyzed connection”.

Вэб-экран делает антивирусную проверку трафика, а фаервол контролирует сетевую активность.
Другими словами антивирусное ядро и фаервол могут лишь дополнять друг друга, но никак не заменять.

1. Так уж часто возникающая? Примеры в студию.
2. “Burglar-1150” достаточно древний и известный вирус и его детект идёт по базам, а не эвристикой, поэтому врятли это ложная тревога.
3. Онлайн-сканеры могут и не находить вируса в файле т.к. его там уже нет. При работающих экранах Аваста заражённый фал просто не отправился бы в сеть. По всей видимости этот файл проходит процедуру лечения антивирусным ядром Аваста и только после этого отправляется в сеть, и естественно, он оказывается чистым.

П.С. решили просканировать залежи древнего хлама, раз такое нашлость? )))

Вы же знаете английский, так что же Вам тут не понятно? Веб-экран сканируект именно страницы, которые Вы посещаете. Он ищет угрозы от элементов на этих страницах и поэтому он сообщает о “проверенных страницах”. Сетевой экран сканирует соединения Вашего компьютера через внешние порты. Соединение, установленное для просмотра страницы, это всего лишь частный случай множества соединений, устанавливаемых Вашим компьютером, и поэтому Сетевой экран сообщает о “просмотренных соединениях”. За время нахождения в сети компьютер устанавливает множество соединений, но в большинстве - это технические (“невидимые” для пользователя) соединения (например, пользователь не видит на экране процесс поиска запрашиваемого сайта, а компьютер за это время может установить несколько соединений - начиная от поиска сайта и до установления с ним связи).

Пожалуйста, еще раз внимательно прочитайте то, что я выше написал.

Да хоть сто раз прочитаю, ответ остаётся прежним.

1. А я разве не в “студии”? Я - плохой пример? Этот NDD - не единственный экземпляр. Есть и другие, просто менее звестные широкой публике. Имена файлов вам ни о чем не скажут. Файл NEWBIRD.X вам знаком? Полагаю, что нет. Это хранилище каких-то данных, по всей видимости графических элементов, от ДОСовской игрушки 80Ñ‹Ñ… годов. Аваст полагает, что в этом файле есть Dark Avenger-1536/1800. Да, и онлайн-аваст тоже. Да, все остальные антивирусы ничего подозрительного в этом файле не видят.
   Файлик размером 32000 байт, структура совершенно прозрачна. Хотите посмотреть на него сами? Вот, пожалуйста
   И так далее.

2. “Burglar-1150” вирус и правда не новый. Дрвеб и Nod32 его не видят. Онлайнсканеры Дрвеб и Каспера его не видят. Древние версии антивирусов - современником этого Бурглара - ничего не обнаруживают.
   Аваст же его видит - и сканер и онлайнсканер.
   Почему?

3. Онлайн-сканеры могут и не находить вируса
   Онлайнсканер аваста его таки находит. Чтение этого зараженного (или нет) файла Аваст позволяет. Этот NDD я могу совершенно безнаказанно открыть и посмотреть, скопировать в NULL, отправить по ftp. Скопировать на другой диск не могу, запустить не могу - аваст блокирует.

Но это все лирика. Меня в первую очередь интересует можно ли уменьшить количиество ложных тревог без ущерба для безопасности, и если можно, то как это сделать.

П.С. решили просканировать залежи древнего хлама, раз такое нашлость? )))

Ага. При смене антивируса. Полная проверка всей файлопомойки. Полезно бывает весьма, иной раз такие сюрпризы всплывают!

thesis
Была как-то тема про сканирование сборки каких-то древних, по большей части ещё досовских вирусов. Там всё спорили почему разные антивирусы показывали разное количество детекта. В общем там дошли даже до представителей антивирусных вендоров, и кажется, представитель Др. Вэба объяснил ситуацию так, что они не будут добавлять в свои базы древние вирусы, которые неработоспособны под современными ОС, т.к. это безсмысленно и только раздувает базы.
Возможно ваши вирусы как раз и попали под такие причины необнаружения другими АВ сканерами - они просто удалены из большинства АВ баз. Пока других причин не могу придумать.
Можно было бы согласиться с ложным детектом если бы это был проактивный детект, но эти вирусы чётко обнаруживаются по базам, поэтому ложняк маловероятен.

ОК. Я сформулирую вопрос иначе.

Исходящее сетевое соединение, в случае с TCP, есть открытый по моей инициативе сокет. Если клиент (мой браузер) запрашивает страницу www.host.com/page.htm, то соединение здесь www.host.com:80, а ‘/page.htm’ - содержание запроса, оформленного согласно протоколу http. По тому же соединению клиент примет от сервера то, что сервер посчитает нужным выдать. Скорее всего эту самую page.htm плюс немного http-заголовков.

Вопрос: что из этого проверяет “сетевой экран”?

Думается, что это вопрос разрабам.

thesis Повторяю, Сетевому экрану до лампочки содержимое данных, пересылаемых через порты. Его задача - проверка допустимости самого соединения. Веб-экран же контролирует именно содержимое полученных данных.

В яблочко.

Я (наконец-то!) сообразил, что можно и собственными глазами посмотреть, а не полагаться на сканеры. Бурглар таки там есть.

00036A70:  41 54 20 54-48 45 20 47-52 41 56 45-20 4F 46 20  AT THE GRAVE OF
00036A80:  47 52 41 4E-44 4D 41 2E-2E 2E 2E FF-1E A7 00 9C  GRANDMA.... ▲з Ь

Так что эту фишку я мысленно перекладываю из “ложные срабатывания” в “надо же, молодец, что нашел!”

Вопрос с DarkAvanger-ом, однако, остается открытым. У этого дырпыр.X нет никаких признаков исполняемого кода. Не говоря уж о сигнатурах вируса (хотя, емнип, были полиморфные варианты)

А может разрабам послать? Может кому любопытно станет.
Практического-то смысла задача начисто лишена.

А запускать не пробывали? Может файл вылечен давно, просто остались остатки кода?
Можно мне его скинуть…

Про веб-экран и сетевой экран вот здесь немного есть:
http://lab14.narod.ru/avast5_2.htm

Уточню только, что веб-экран держит под контролем порты, прописанные в “Настройках перенаправления”, а сетевой - все несколько десятков тысяч…

Возможно вы имеете ввиду вот это моё сообщение: http://forum.avast.com/index.php?topic=71691.msg599933#msg599933
Уточню - я не представитель Dr.Web

Всё может быть. Помню звон да не помню где он. ;D

А запускать не пробывали? Может файл вылечен давно, просто остались остатки кода?
Можно мне его скинуть…

Не рискнул. Вот тут http://meteodata.spb.ru/temp/ndd.virus.buglar.1150.rar зараженный файл и оригинал, свежевзятый из дистрибутива.

[i]Про веб-экран и сетевой экран вот здесь немного есть:
http://lab14.narod.ru/avast5_2.htm[/i]

Спасибо.
[/quote]

thesis , спасибо

Burglar.1150
Неопасный резидентный вирус. При значении секунд системного времени- 14 вирус выводит текст “Burglar/H”. Не заражает файлы из списка (по 2 символа на имя) “CLHWTBF-WCTK”. Содержит текст “AT THE GRAVE OF GRANDMA…”.
[U]http://read.newlibrary.ru/read/kasperskii_lab_/page128/opisanija_virusov.html[/U]

Приступим:
Проверяем файл антивирусом, в базах которого этот зловред есть
В качестве такового берём антивирус Dr.Web 4.02 от 28.08.1998 (9040 вирусных записей).
Ð’ качестве контрольной проверки сканируем пресловутый архив “3732 вируса”(содержащий как раз в основном DOS-вирусы 90-Ñ… годов) [U][U]http://forum.avast.com/index.php?topic=71691.msg599933#msg599933[/U][/U]
Результат сканирования

http://savepic.net/1979426m.jpg

подтверждает, что антивирус работоспосбен и по детекту на этом архиве не уступает современным…

Убеждаемся, что вирус есть в базе антивируса. В те времена список всех записей был в комплекте с антивирусом

http://savepic.net/2008101m.jpg

Прверяем файл антивирусом, в базе которого определение этого вируса есть:

http://savepic.net/1987640m.jpg

Сравним наш подозрительный файл с чистым файлом (чистый слева), взятым из дистрибутива:

http://savepic.net/1971237m.jpg

Похоже, что наш подозрительный файл был вылечен (вверху в строке 00010 видимо остался след от удаленного “основного”, управляющего кода вируса, а внизу с 5-го символа строки 36А68 - инструкция выполнения кода (но она теперь безжизнена, некому ей управлять).
Файл наш после лечения остался видимо вполне рабочим, контрольный запуск и проверка работоспособности не выявила как следов отклонения его от функциональности, так и вывод текста “Burglar/H”.

Кто-то может сказать - надо удалять файл с любыми следами от вируса… Может для екзешников это желательно, а что прикажете делать с документами, фотками, видеоматериалами и Ñ‚. п…

P.S. Кстати, есть и приколы в инете по поводу Burglar 1150:
[U]http://dibr.nnov.ru/hf1.php?n=8645[/U]
AP> Кто-нибудь знает сабж - Burglar 1150? Опасный он не опасный?
"Он очень опасный. Это один из представителей нового поколения вирусов, воздействующих непосредственно на hardware. Hикаких больше штучек с осыпающимися буквами и Янки Дудль. Burglar 1150, записывая определенные значения в порт управления кулером (вентилятор на проце) инвертирует направление его вращения, в результате чего тот начинает не охлаждать проц, а, наоборот,нагоняет на него горячий воздух. От этого проц перегревается и глючит. Может и вообще сгореть.
Если на проце нет кулера, вирус не опасен."