Регистрация...

Eserv Forum / Plugins / Antivirus / Новая версия KAV - требуются бета-тестеры (Eserv/3 и Eproxy)

imported // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Новости
12.10.2009
Переезд завершен
Новый API под названием KAVE или KAV5 пришел на замену KAVSS. Пока оставляем возможность работы как с KAVSS, так и с KAV5: KAV5 подключается просто как еще один возможный антивирус.

http://www.eserv.ru/download/Eserv_KAV5.rar
Распаковать поверх установленной базовой конфигурации Eserv+Eproxy, предварительно остановив или переименовав acSMTP.exe и Eproxy.exe. Запускаем в каталоге antivirus/kav программу KAV5_bases_updater.exe — она должна будет скачать базы в покаталог data (в формате, пригодном как для KAVE, так и для KAVSS). Ключ подойдет от KAVSS. Триальный ключ KAVSS/KAVE, если нужен, здесь: http://www.eserv.ru/download/KavTrialEserv3.key (записать в каталог antivirus/kav и antivirus/kav5).

Потом в Antivirus в опциях ставим =KAV5 (для acSMTP), для Eproxy добавляем строку в OnStartupPlugins.rules.txt :
\ Plugin: http-proxy\plugins\antivirus\kav
Plugin: http-proxy\plugins\antivirus\kav5 и перезапускаем acSMTP и Eproxy.

Багрепорты сюда или на support@eserv.ru. Спасибо!
Будем стараться до конца года плавно пересесть на KAVE.
 
Комментарии к этой версии (12.12.2007 02:07) [~ac] 1b8f60dc
АвторДатаТекстtags
vze12.12.2007 15:10
Попробовал поставить, вроде делал все как написано, в логе ACSMTP вот такое:
<30>
Log started: Wed, 12 Dec 2007 15:08:57 +0300 (acSMTP/3.0, build 8125, 11.12.2007) TrafC key: RU, Ulyanovsk, Technokrom, Vitaly Zaikin, vze@ukrovl.mv.ru Eserv key: RU, Ulyanovsk, Technokrom, Vitaly Zaikin, vze@ukrovl.mv.ru PigMail key: RU, Ulyanovsk, Technokrom, Vitaly Zaikin, vze@ukrovl.mv.ru MContent key: RU, Ulyanovsk, Technokrom, Vitaly Zaikin, vze@ukrovl.mv.ru Running with PigMail/PigProxy version 1.30 Unable to initialize kave: 2147500037 80004005 Error. Mail to support@eserv.ru.
с Eproxy вроде проблем пока нет.
imported
ac12.12.2007 18:41
vze пишет: Running with PigMail/PigProxy version 1.30
Unable to initialize kave: 2147500037
80004005 Error. Mail to support@eserv.ru.

Эта ошибка E_FAIL в KAV используется повсеместно, поэтому сложно сходу сказать, в чем именно причина.
ScanningProcess.exe среди запущенных процессов при этом появляется?

И еще для работы plugin'а в PigMail может быть нужно пути какие-то поменять. Я еще не испытывал с PigMail.

В Eproxy запись об инициализации kave есть?
imported
pig12.12.2007 19:21
Для PigMail/PigProxy я к понедельнику версию сделаю. Раньше, наверное, не выйдет, другие хвосты надо добивать.
imported
vze13.12.2007 08:13
нет, в основном логе записи об антивирусе вообще нет.
В Eserv3\DATA\log\antivirus\200712av-r.txt вот такое:
2007-12-13 08:08:11 AvLoad: DbInfo: 13.12.2007 (463681 virus records); Engine: KAVSS 4.0.2.32

хотя в OnStartupPlugins.rules.txt :

Plugin: http-proxy\plugins\antivirus
\ Plugin: http-proxy\plugins\antivirus\kav
Plugin: http-proxy\plugins\antivirus\kav5
imported
ili_a20.12.2007 11:18
При за пуске KAV5_bases_updater.exe выдает

KAV5 antivirus bases updater v2.0a for Eserv/3.x (C) 2002-2007 Etype. ^ Forth: Can't load a library UpdSdk.dll
imported
pig20.12.2007 12:16
Попробуйте установить это или это. И Windows Installer 3.x предварительно, если не стоит.
imported
pig20.12.2007 12:20
pig пишет: Для PigMail/PigProxy я к понедельнику версию сделаю.

Кстати: http://forum.etype.net/viewtopic.php?t=6063
imported
alex112426.12.2007 09:25
Попробовал поставить KAV5, вроде делал все как написано. Не обнаружил KAV5_bases_updater.bat. Перегрузил сервисы. На почте тестовых вирусов ловит.
В 200712av-r.txt есть записи:
2007-12-25 17:14:33 AvLoad: DbInfo: 25.12.2007 16:47:48 (493538 virus records); Engine: KAVE 5.0.1.83
2007-12-25 17:22:50 AvLoad: DbInfo: 25.12.2007 17:24:37 (493542 virus records); Engine: KAVE 5.0.1.83
2007-12-25 17:23:19 AvLoad: DbInfo: 25.12.2007 17:24:37 (493542 virus records); Engine: KAVE 5.0.1.83
2007-12-25 23:23:29 AvReload: DbInfo: 25.12.2007 22:20:43 (493622 virus records); Engine: KAVE 5.0.1.83
2007-12-26 05:23:34 AvReload: DbInfo: 26.12.2007 5:19:18 (493708 virus records); Engine: KAVE 5.0.1.83


Если запустить KAV5_bases_updater.exe
KAV5 antivirus bases updater v2.0a for Eserv/3.x © 2002-2007 Etype.
Init OK
0
Update task started
Update source is selected 'http://dnl-ru5.kaspersky-labs.com/'
.....
Update operation result 'Success'
Update finished
а в 200712av-r.txt запись об обновлении не добавляется.

Сколько должно быть запущено ScanningProcess.exe (у меня, например) их два.
imported
alex112426.12.2007 09:36
Относительно EProxy
<30>
Log started: Tue, 25 Dec 2007 17:22:50 +0200 (Eproxy/3.0, build 8137, 21.12.2007) ..... KAV plugin init OK: ХХХХХХХХХХ.key, expires 12.8.2008[/quote:559418cfc1]
Пошел по адресу ww.eicar.org/download/eicar.com

В EProxy.log пишет
1198650401.000 1582 10.0.0.26 TCP_MISS/200 468 GET http://ww.eicar.org/download/eicar.com u50 DIRECT/88.198.38.136 application/x-msdos-program 0


В 200712av.txt ничего не пишет вообще.
Вирус успешно сохранился на винт
imported
pig26.12.2007 11:44
alex1124 пишет: Если запустить KAV5_bases_updater.exe
KAV5 antivirus bases updater v2.0a for Eserv/3.x © 2002-2007 Etype.
.....
Update operation result 'Success'
Update finished
а в 200712av-r.txt запись об обновлении не добавляется.

Так перезагрузку баз тоже надо как-то пнуть. Штатно это делает сам плагин, который сначала запускает апдейтер, а потом перезагружает базы.
В PigMail/PigProxy базы подхватываются при любом способе подсовывания.
imported
alex112427.12.2007 11:37
Подскажите, пожалуйста, где взять ядро 26.12.2007, а то вываливается ошибка
<30>
Log started: Thu, 27 Dec 2007 10:27:09 +0200 (Eproxy/3.0, build 8137, 21.12.2007) Unable to initialize kave: 2147500037 80004005 Error. Mail to support@eserv.ru.[/quote:53e42bb34f] после возврата к глобальному AntivirusKAV[Data] [/quote]
imported
pig27.12.2007 14:05
Там (это 33c, судя по дате? или в релизе оно же?) используется AntivirusKAV[Data5], смотрите комментарий в Eserv3.orig.ini
imported
alex112427.12.2007 14:50
Да, установлен 333nas. И у него билд, если я правильно понимаю, build 8137 от 21.12.2007
Дополнительно сделал изменения за 26.12.07
Files modified by ac: 2007-12-26 (21:13)
Note: AntivirusKAV[Data] для обеих версий KAV.
Eserv3.orig.ini — Rev: 1.145, Status: Exp
Files modified by ac: 2007-12-26 (21:12)
Note: Возврат к глобальному AntivirusKAV[Data] (работает только с ядром 26.12.2007)
Eproxy/conf/http-proxy/plugins/antivirus/kav5/activate.f — Rev: 1.4, Status: Exp
Files modified by ac: 2007-12-26 (21:11)
Note: Возврат к глобальному AntivirusKAV[Data]. acSMTP/conf/smtp/plugins/antivirus/kav5/activate.f — Rev: 1.5, Status: Exp

Попробовал перегрузить EProxy — вывалилась ошибка
Unable to initialize kave: 2147500037
80004005 Error. Mail to support@eserv.ru.

В "C:\Program Files\Eserv3\Eproxy\conf\OnStartupPlugins.rules.txt" закомментировал antivirus\kav5. Только после этого EProxy запустился. Проверки http трафика не происходит. Обновление — все нормально, а вот в "C:\Program Files\Eserv3\DATA\log\antivirus\200712av.txt" абсолютно ничего не пишется, тестовый вирус на компутер закачивается.
Где и что можно подкрутить?
imported
pig27.12.2007 18:35
Тот самый activate.f. Замените AntivirusKAV[Data] на AntivirusKAV[Data5]. Или просто переставьте обратно релиз как он есть, если лень вникать.

А! Вот же свежие EXE.
imported
ac27.12.2007 18:52
alex1124 пишет: Дополнительно сделал изменения за 26.12.07
Files modified by ac: 2007-12-26 (21:13)
Note: AntivirusKAV[Data] для обеих версий KAV.
Eserv3.orig.ini — Rev: 1.145, Status: Exp
Files modified by ac: 2007-12-26 (21:12)
Note: Возврат к глобальному AntivirusKAV[Data] (работает только с ядром 26.12.2007)

Лучше не спешите брать изменения с CVS. Это ведь уже после выпуска 3.33 изменения идут (см. по дате), т.е. к 3.34. Там могут быть беты и вообще нетестированный код, и несовместимый с exe из 3.33 код. Если спец.рекомендаций по применению этих изменений нет, то надежнее ждать полной сборки.
imported
alex112428.12.2007 09:17
Я прекрасно понимаю, что лучше не спешить. Но потестить на своей машине ведь можно. Может и где что вылезет.
А вот тестовый вирус так и пробирается через http.
imported
ac28.12.2007 19:49
27 Дек 2007 13:50 вы писали, что kave не загружается. Или уже после исправления ситуации и нормальной загрузки пробирается? Приведите, пожалуйста, начало лога Eproxy.log и какая запись в нем появляется про вирусный URL.
imported
alex112429.12.2007 09:01
После того, как я установил новые билды все нормально запускается.
<30>
Log started: Fri, 28 Dec 2007 15:27:42 +0200 (Eproxy/3.0, build 8138, 26.12.2007) TrafC key: RU, Eaeeieia?aa, AAEOAEEIOI?A, "", Ieeieae Ne?ioeei, xxx@xxx.ru Eserv key: RU, Eaeeieia?aa, AAEOAEEIOI?A, "", Ieeieae Ne?ioeei, xxx@xxx.ru EPROXY key: RU, Eaeeieia?aa, AAEOAEEIOI?A, "", Ieeieae Ne?ioeei, xxx@xxx.ru KAV plugin init OK: 01531854.key, expires 12.8.2008[/quote:ab28ee1507]

2007-12-28 15:41:14 AvReload: DbInfo: 27.12.2007 6:55:17 (496390 virus records); Engine: KAVE 5.0.1.83
2007-12-28 21:41:12 AvReload: DbInfo: 27.12.2007 6:55:17 (496390 virus records); Engine: KAVE 5.0.1.83
2007-12-29 03:41:13 AvReload: DbInfo: 27.12.2007 6:55:17 (496390 virus records); Engine: KAVE 5.0.1.83

imported
alex112403.01.2008 13:22
С Новым Годом!

<30>
Log started: Fri, 28 Dec 2007 15:27:42 +0200 (Eproxy/3.0, build 8138, 26.12.2007) KAV plugin init OK: 01531854.key, expires 12.8.2008[/quote:dc109ab914]
1199355412.000 1733 10.0.0.26 TCP_MISS/200 468 GET http://www.eicar.org/download/eicar.com u50 DIRECT/88.198.38.136 application/x-msdos-program 0
1199355417.000 1302 10.0.0.26 TCP_MISS/200 1475 GET http://www.eicar.org/favicon.ico u50 DIRECT/88.198.38.136 image/x-icon 0


Вирус сохраняется на винте локальной машины.
imported
ac03.01.2008 15:37
У меня ловит.
<30>Log started: Thu, 03 Jan 2008 14:31:12 +0200 (Eproxy/3.0, build 8138, 26.12.2007) ... EPROXY key: RU, Kaliningrad, Etype, Eserv, Andrey Cherezov, andrey@cherezov.koenig.su KAV plugin init OK: 024779FE.key, expires 10.12.2008 1199363503.000 640 127.0.0.1 VIRUS_TERM/200 415 GET http://www.eicar.org/download/eicar.com - DIRECT/88.198.38.136 application/x-msdos-program 4294962396


А в кэш попадает? В eicar.zip тоже не ловит?

Eproxy\conf\http-proxy\plugins\antivirus\OnRequest.rules.txt без изменений?
В OnStartup.plugins.txt так
...
\ Plugin: http-proxy\plugins\cfilter
Plugin: http-proxy\plugins\antivirus
Plugin: http-proxy\plugins\antivirus\kav5
\ Plugin: http-proxy\plugins\antivirus\drweb
Plugin: http-proxy\plugins\cache
...
imported
alex112403.01.2008 17:18
В OnStartup.plugins.txt было:
...
\ Plugin: http-proxy\plugins\antivirus
Plugin: http-proxy\plugins\antivirus\kav5
...

Видимо, когда перестал запускаться EPROXY, я начал отключать плагины. А включил не все.

В настоящий момент все работает.
Спасибо!
imported
Point04.01.2008 12:03
Ниже приведены протоколы, согласно которым http://www.eicar.org/download/eicar.com ловится (аналогичные протоколы приводил ac), но тем не менее eicar.com сохраняется на компе юзера (хотя в кэше Eserva его нет) и юзерский AVP его обнаруживает. Что может быть сделано неправильно? Почему пропускается вирус на комп юзера, несмотря на работу плагина KAV5?

<30>
Log started: Fri, 04 Jan 2008 11:30:47 +0300 (Eproxy/3.0, build 8138, 26.12.2007) EPROXY key: RU, Mytishy, OSTROV, AT, Kalmykov Eugen, ostrov@ostrov.ru Boxes: 250 Eserv key: RU, Мытищи, RS:admin, ЗАО ОСТРОВ, IT, Евгений Харитонович Калмыков, ostrov@ostrov.ru TrafC key: RU, Мытищи, RS:admin, ЗАО ОСТРОВ, IT, Евгений Харитонович Калмыков, ostrov@ostrov.ru MStat key: RU, Мытищи, RS:admin, ЗАО ОСТРОВ, IT, Евгений Харитонович Калмыков, ostrov@ostrov.ru KAV plugin init OK: 028344FE.key, expires 5.8.2008 1199435700.000 266 192.168.0.250 VIRUS_TERM/200 401 GET http://ww.eicar.org/download/eicar.com - DIRECT/88.198.38.136 application/x-msdos-program 4294962396[/color:0d844fce41]
2008-01-04 11:34:59;AvScanMemory;INFECTED;http://ww.eicar.org/download/eicar.com;EICAR-Test-File;No
2008-01-04 11:34:59;AvScanFile;OK;..\DATA\cache\w\w\ww.eicar.org\download\eicar.com;None;Yes

2008-01-04 11:30:42 AvLoad: DbInfo: 4.1.2008 7:37:35 (502362 virus records); Engine: KAVE 5.0.1.83 2008-01-04 11:30:47 AvLoad: DbInfo: 4.1.2008 7:37:35 (502362 virus records); Engine: KAVE 5.0.1.83[/color:0d844fce41]
В OnStartup.plugins.txt так:
Plugin: http-proxy\plugins\cfilter
Plugin: http-proxy\plugins\antivirus
Plugin: http-proxy\plugins\antivirus\kav5
\ Plugin: http-proxy\plugins\antivirus\drweb
Plugin: http-proxy\plugins\cache

Eproxy\conf\http-proxy\plugins\antivirus\OnRequest.rules.txt:
AvScan

\ URL =~ http://localhost* | AvNoScan
URL =~ *.jpg | AvNoScan
URL =~ *.gif | AvNoScan
imported
pig04.01.2008 13:16
Да вот он, родимый, как раз в кэше Eproxy:
2008-01-04 11:34:59;AvScanFile;OK;..\DATA\cache\w\w\ww.eicar.org\download\eicar.com;None;Yes

Видимо, из-за HTTP-заголовков не распознался. Или это битый экземпляр, в котором вместо правильного содержимого — детект AvScanMemory.
А кэш у пользовательского браузера тоже надо почистить предварительно — может, оно там уже было, и браузер вообще никуда не лезет. Если таки скачивается — посмотрите в потроха файла, что именно скачивается.
imported
ac04.01.2008 16:30
pig пишет: Если таки скачивается — посмотрите в потроха файла, что именно скачивается.
Да. Должно скачаться, но не то — вместо инфицированного куска в файле будет имя вируса.
imported
Point06.01.2008 11:24
Что-то про кэш и не подумал
Скачался файл. Вот его содержимое:
EICAR-Test-File

Так и должен работать? Т.е. при скачивании зараженных файлов будет подменяться содержимое файла на имя вируса "на лету"? А как плагин будет работать с зараженными архивами, письмами?

Может существует краткое описание методики работы антивирусного плагина от KAV, все-таки продукт платный, а из описания только про установку написано, а как он работает — эксперементальным путем узнаешь
imported
pig07.01.2008 00:33
Работает очень просто. Если в потоке обнаруживается зловредный код, то имя зловреда отдаётся дальше вместо кода. А там уж куда попадёт — то ли в файл, то ли на экран, то ли вообще браузер зажуёт (если получит текст вместо картинки или отдельно загружаемого скрипта).
imported
alex112409.01.2008 13:18
Попробовал в опере сходить по ниже указанному адресу. Я предполагал, что это вирус. Это реальный вирус!
1199457901.000 27129 10.0.0.26 TCP_MISS/200 143076 GET http://parentscards.com/happy_2008.exe u50 DIRECT/70.232.81.48 application/octet-stream 0

Опера сразу передала загрузку даунлоадеру. тот начал закачивать.
Локальный касперский обнаружил и идентифицировал его как желатин.

2008-01-09 12:10:02;AvScanFile;OK;..\DATA\cache\p\a\parentscards.com\happy_2008.exe;None;Yes


Почему то пропускает на EProxy.
imported
pig09.01.2008 14:04
Базы у KAVE актуальные, я надеюсь?
imported
alex112409.01.2008 14:52
Да, разумеется.

2008-01-09 00:37:47 AvReload: DbInfo: 3.1.2008 10:39:10 (501996 virus records); Engine: KAVE 5.0.1.83
2008-01-09 06:38:20 AvReload: DbInfo: 3.1.2008 10:39:10 (501996 virus records); Engine: KAVE 5.0.1.83 2008-01-09 12:41:27 AvReload: DbInfo: 3.1.2008 10:39:10 (501996 virus records); Engine: KAVE 5.0.1.83 [/quote:8a32b3b2b5]
imported
pig09.01.2008 16:13
AvReload: DbInfo: 3.1.2008 10:39:10

База от 3 января. А желатин этот свежий.
imported
alex112409.01.2008 18:10
А почему тогда так получается — локальный касперский — база от 09.01.08, а на EProxy — от 3.1.2008 10:39:10?
Запустил KAV5_bases_updater.bat

kav_update.log:
KAV5 antivirus bases updater v2.0a for Eserv/3.x © 2002-2007 Etype.
Init OK

0
Update task started
Update source is selected 'http://dnl-ru5.kaspersky-labs.com/'
Download file started 'index/6/u0607g.xml.dif'
DNS name resolved 'dnl-ru5.kaspersky-labs.com' '208.53.158.75'
File downloaded 'index/6/u0607g.xml.dif'.
Generate list of files to download.....
Download file started 'bases/av/avc/i386/av-i386-0607g.xml.dif'
File downloaded 'bases/av/avc/i386/av-i386-0607g.xml.dif'...
Download file started 'bases/av/avc/i386_u/avu-i386-0607g.xml.dif'
File downloaded 'bases/av/avc/i386_u/avu-i386-0607g.xml.dif'....
Download file started 'bases/ids/i386-x64/ah-i386-x64-0607g.xml.dif'
File downloaded 'bases/ids/i386-x64/ah-i386-x64-0607g.xml.dif'.....
Download file started 'bases/upd/upd-0607g.xml.dif'
File downloaded 'bases/upd/upd-0607g.xml.dif'.........
Replacing files.
File updated 'data/black.lst'.
File updated 'downloads/updcfg.xml'.
Update operation result 'Success'
Update finished


В 200801av-r.txt записи не поменялись
2008-01-09 12:41:27 AvReload: DbInfo: 3.1.2008 10:39:10 (501996 virus records); Engine: KAVE 5.0.1.83
imported
pig09.01.2008 18:27
А пните старый KAV_bases_updater.bat — что получится?
imported
alex112410.01.2008 09:59
Попробовал — все нормально:
KLAV antivirus bases updater v1.1 for Eserv
Init OK
Version: 04.00.02.04.
Notifications registered OK
KAV Updater starts
Update from URL ftp://updates1.kaspersky-labs.com/updates
...
Disconnecting updates1.kaspersky-labs.com — done.
Download result code=0


В 200801av-r.txt записи не поменялись

Базы обновились (до запуска updater v1.1)и сровнялись по дате с локальной базой:
2008-01-09 12:41:27 AvReload: DbInfo: 3.1.2008 10:39:10 (501996 virus records); Engine: KAVE 5.0.1.83
2008-01-09 18:41:49 AvReload: DbInfo: 9.1.2008 14:40:41 (504809 virus records); Engine: KAVE 5.0.1.83 2008-01-10 00:41:23 AvReload: DbInfo: 9.1.2008 14:40:41 (504809 virus records); Engine: KAVE 5.0.1.83 2008-01-10 06:41:43 AvReload: DbInfo: 9.1.2008 14:40:41 (504809 virus records); Engine: KAVE 5.0.1.83[/quote:3dbdea6c9d]
А вирус пробирается.
imported
pig10.01.2008 10:59
Даже сейчас, если вычистить его из кэша прокси и браузера?
imported
alex112410.01.2008 12:57
Почистил кэш, сходил заново:
1199958285.000 9544 10.0.0.26 TCP_MISS/200 142564 GET http://parentscards.com/happy_2008.exe u50 DIRECT/70.143.34.150 application/octet-stream 0

Пролезает, зараза, на локальный диск.

В предыдущей серии я обновлял базы предыдущим касперским. После этого acSMTP не захотел загружаться. После обновления KAV5 antivirus bases updater v2.0a for Eserv/3.x © 2002-2007 Etype. сервис запустился.

<30>
Log started: Thu, 10 Jan 2008 11:46:19 +0200 (acSMTP/3.0, build 8138, 26.12.2007) Unable to initialize kave: 2147500037 80004005 Error. Mail to support@eserv.ru. <30>Log started: Thu, 10 Jan 2008 11:47:33 +0200 (acSMTP/3.0, build 8138, 26.12.2007) KAV plugin init OK: 01531854.key, expires 12.8.2008 [/quote:305038d509]
imported
ac10.01.2008 13:17
Что-то у меня этот сайт вообще не открывается (11004):
>nslookup parentscards.com
Server: ns.enet.ru
Address: 195.135.212.6:53
* ns.enet.ru can't find parentscards.com: Non-existent domain И через мастерхостовый DNS тоже.

Вышлите, пожалуйста, этот файл (в архиве с паролем) на support@eserv.ru
imported
alex112410.01.2008 14:36
У меня тоже не с первого раза ответил сервер (72.224.23.148), но, тем не менее, взять его можно.
На суппорт отправил письмо с архивом. Пароль в письме.

Если попробовать отправить exe-шник почтой в чистом виде, то получим:
Сообщение, отправленное Вам с адреса ХХХХ, не было доставлено, так как в нем содержится вирус:
Email-Worm.Win32.Zhelatin.qe по данным антивируса KAVE 5.0.1.83
(обновление 10.1.2008 9:33:24 (506494 virus records)).

Т.е. KAVE 5.0.1.83 знает об этом звере и ловит его.
А при проверке http как то не очень он его замечает.
imported
pig10.01.2008 15:26
по данным антивируса KAVE 5.0.1.83
(обновление 10.1.2008 9:33:24 (506494 virus records)

О, нормальные обновления пошли.
imported
ac10.01.2008 17:31
alex1124 пишет: А при проверке http как то не очень он его замечает.

Да, есть проблема, даже в кэше не опознает его, разбираюсь.
imported
Evguenil10.01.2008 18:29
Добрый вечер

26.12.07 обновился до версии 3.33.
Вот сегодня решил глянуть логи и заметил, что KAV 5 с 26.12 не обновлялся. Странно как-то.
Запустил KAV5_bases_updater, он нормально слазил в свои сервера и вроде как обновился.
Глянул в лог 200801av-r а там как было от 26.12.07 так и осталось.
Перезагрузка баз произошла только когда рестартанул acSMTP и Eserv.

2008-01-01 00:02:07 AvReload: DbInfo: 26.12.2007 14:27:30 (494163 virus records); Engine: KAVE 5.0.1.83 2008-01-01 00:32:06 AvReload: DbInfo: 26.12.2007 14:27:30 (494163 virus records); Engine: KAVE 5.0.1.83 2008-01-01 01:02:11 AvReload: DbInfo: 26.12.2007 14:27:30 (494163 virus records); Engine: KAVE 5.0.1.83 2008-01-01 01:32:08 AvReload: DbInfo: 26.12.2007 14:27:30 (494163 virus records); Engine: KAVE 5.0.1.83 2008-01-01 02:01:58 AvReload: DbInfo: 26.12.2007 14:27:30 (494163 virus records); Engine: KAVE 5.0.1.83 2008-01-01 02:32:14 AvReload: DbInfo: 26.12.2007 14:27:30 (494163 virus records); Engine: KAVE 5.0.1.83 ............. ............ 2008-01-10 17:25:39 AvReload: DbInfo: 26.12.2007 14:27:30 (494163 virus records); Engine: KAVE 5.0.1.83 2008-01-10 17:55:28 AvReload: DbInfo: 26.12.2007 14:27:30 (494163 virus records); Engine: KAVE 5.0.1.83 2008-01-10 18:14:03 AvLoad: DbInfo: 10.1.2008 14:31:55 (506695 virus records); Engine: KAVE 5.0.1.83 2008-01-10 18:14:10 AvLoad: DbInfo: 10.1.2008 14:31:55 (506695 virus records); Engine: KAVE 5.0.1.83
imported
ac10.01.2008 19:25
Evguenil пишет: Вот сегодня решил глянуть логи и заметил, что KAV 5 с 26.12 не обновлялся. Странно как-то.

В Updater5 поставьте: cmd.exe /C ..\antivirus\kav\KAV5_bases_updater.bat
(слэши в обратную сторону)
imported
pig10.01.2008 20:21
Фишка в том, что этого батника в принципе нет. Я его не вижу. Нигде. Ни в дистрибутиве, ни в дополнительных архивах.
imported
ac10.01.2008 21:01imported
ac11.01.2008 00:21
alex1124 пишет: У меня тоже не с первого раза ответил сервер (72.224.23.148), но, тем не менее, взять его можно.
На суппорт отправил письмо с архивом. Пароль в письме.
А при проверке http как то не очень он его замечает.

Если от вас этот сервер с вирусом еще доступен, то попробуйте, пожалуйста, этот Eproxy:
http://www.eserv.ru/download/Eproxy_100108.rar
(При загрузке с локального веб-сервера вирус этим eproxy ловится).
imported
alex112411.01.2008 09:23
Установил новый EProxy (номер и дата сборки от предыдущего).

200801av.txt:
2008-01-11 08:10:14;AvScanMemory;INFECTED;http://parentscards.com/happy_2008.exe;Email-Worm.Win32.Zhelatin.qe;No
2008-01-11 08:10:14;AvScanFile;OK;..\DATA\cache\p\a\parentscards.com\happy_2008.exe;None;Yes [/quote:869765e536]
Eproxy.log:
<30>
Log started: Fri, 11 Jan 2008 08:09:12 +0200 (Eproxy/3.0, build 8138, 26.12.2007) KAV plugin init OK: 01531854.key, expires 12.8.2008 1200031792.000 2173 10.0.0.26 ERR_CANNOT_FETCH/503 865 GET http://parentscards.com/happy_2008.exe u50 DIRECT/ - 11001 1200031794.000 2103 10.0.0.26 TCP_MISS/404 364 GET http://parentscards.com/favicon.ico u50 DIRECT/201.214.16.63 text/html 0 1200031818.000 3344 10.0.0.26 VIRUS_TERM/200 256 GET http://parentscards.com/happy_2008.exe u50 DIRECT/24.33.235.192 application/octet-stream 4294962396[/quote:869765e536]
В кэше:
Содержимое папки C:\Program Files\Eserv3\DATA\cache\p\a\parentscards.com
11.01.2008 08:19 <DIR> .
11.01.2008 08:19 <DIR> ..
0 файлов 0 байт


В Опере — "Закачка передана в Даунлоадер", даунлоадер не загружается, закачка не происходит. Но и информация о том, что на том конце с файлом не все в порядке нет. Впечатление такое, что комп завис. Для пользователя нет четкого представления, что он пытается закачать вирус.
imported
ac11.01.2008 14:46
Значит теперь работает, ловит.

alex1124 пишет: Для пользователя нет четкого представления, что он пытается закачать вирус.


Тут, к сожалению, пространства для манёвра нет. На тот момент, когда в процессе скачивания опознается вирус, http-заголовок уже отдан клиенту, т.е. content-type мы сменить уже не можем. Значит не можем заставить браузер перестать качать файл как бинарник, а показать в браузере как текст с названием вируса. Поэтому вирусованные exe и архивы будут качаться как и все остальные бинарные файлы, сохраняться у пользователя, но не будут открываться/запускаться, т.к. в то место, где KAV находит вирус, Eproxy вставляет название вируса.
imported
ac11.01.2008 14:53
Кстати, в моих локальных тестах со скачиванием этого вируса с локального веб-сервера — и IE7, и Firefox не скачивали файл, а показывали в окне браузера одну строку "Email-Worm.Win32.Zhelatin.qe". Хотя content-type тот же application/octet-stream, но видимо эти браузеры, видя чисто текстовое содержимое без непечатных символов, сами решают показывать как текст.
imported
ac11.01.2008 15:10
ac пишет: Да, есть проблема, даже в кэше не опознает его, разбираюсь.

Выходит, http-заголовок в кэше иногда мешает KAV сориентироваться в содержании файла. Это не страшно (с учетом вчерашних изменений в Eproxy.exe по части проверки файлов в памяти на лету) но на всякий случай по этому поводу сделал вчера изменения и в cache plugin:

http://www.eserv.ru/download/cache_plugin.rar (использовать со вчерашним Eproxy.exe, ссылка на который давалась тут выше)
Изменения в CommonPlugins\log.str.txt:
434 *{Dirs[AV]}\{YYYYMM}av.txt*{YYYY-MM-DD} {hh:mm:ss};AvScanFile;INFECTED;{CURRENT-CACHE-TMP-FILENAME};{s};{s}
440 *{Dirs[AV]}\{YYYYMM}av.txt*{YYYY-MM-DD} {hh:mm:ss};AvScanFile;OK;{CURRENT-CACHE-TMP-FILENAME};None;Yes

Если у кого есть вдруг на примете вирусы, которые Eproxy не ловил — интересно будет испытать. На DrWEB тоже может повлиять (в лучшую сторону).
К сожалению, этот вариант plugin'а вынужденно использует больше файловых операций (создаются временные файлы без http-заголовков), т.е. должен быть медленнее. Наверное стоит его сделать отдельной версией кэш-плагина, а не включать по умолчанию.
imported
Dandy11.01.2008 15:24
А может его автоматом подключать вместо стандартного если установлено "Использовать антивирус" + "использовать кэш" ?
imported
ac11.01.2008 15:53
В прокси ведь нет таких флагов, там Plugin'ы подключаются галками по списку, т.е. отдельный plugin в эту схему вписывается. Если в будущем работа с plugin'ами в Eproxy будет упрощена как в Eserv, то можно будет и автоматом выбирать.
imported
alex112412.01.2008 12:13
Внес изменения, как было указано выше с новым билдом EProxy. Пока полет нормальный. Единственно, что несколько смущает так это то, что 200ХХХav.txt иногда пишет события не совсем в он-лайне, т.е. с некоторым (непредсказуемо) опозданием.

К сожалению, этот вариант plugin'а вынужденно использует больше файловых операций (создаются временные файлы без http-заголовков), т.е. должен быть медленнее.

Пока замедления не заметил.

Если "зверек" встретиться — обязательно пришлю.
imported
alex112412.01.2008 13:25
Хотя 200ХХХav.txt:
2008-01-12 12:01:17;AvScanMemory;INFECTED;http://www.welau.com/;Trojan-Clicker.JS.Agent.h;No


В EProxy.log записи VIRUS_TERM по этому поводу нет.

Локальный Касперский:
обнаружено: троянская программа Trojan-Clicker.JS.Agent.h
URL: http://www.welau.com/
и в локальный кэш броузера пролазит.
imported
ac14.01.2008 15:17
В кэш браузера он пролазит с уже откушенным вирусом (страница завершается строкой
<P>&nbsp;</P>Trojan-Clicker.JS.Agent.h
и в тексте страницы больше скриптов нет)
Проверьте, пожалуйста.

Насчет VIRUS_TERM разберусь, спасибо!
imported
alex112414.01.2008 15:58
А почему локальный каспер обнаружил "зверя", если ему откусили "голову" на входе?
imported
ac14.01.2008 16:05
Это мне тоже интересно. Хорошо бы посмотреть на файл в том виде, в котором его ловит локальный касперский.

А незапись VIRUS_TERM починил (это случалось с вирусами, которые отдавались на странице в chunked-режиме передачи). Новый Eproxy.exe:
http://www.eserv.ru/download/Eproxy_140108.rar
imported
alex112414.01.2008 16:27
Установил новый Eproxy.exe,
VIRUS_TERM отображается, все вроде нормально.
imported
alex112417.01.2008 10:17
Честно признаюсь, что специально выискиваю вирусы.

2008-01-17 07:56:07 AvReload: DbInfo: 17.1.2008 5:33:27 (513615 virus records); Engine: KAVE 5.0.1.83
2008-01-17 08:55:32 AvReload: DbInfo: 17.1.2008 6:39:50 (513742 virus records); Engine: KAVE 5.0.1.83[/quote:053c26153d]
2008-01-17 09:00:41;AvScanFile;OK;..\DATA\cache\9\9\99.144.223.134\827875d3a052946336b834cd709b3d1f;None;Yes
2008-01-17 09:00:45;AvScanFile;OK;..\DATA\cache\9\9\99.144.223.134\827875d3a052946336b834cd709b3d1f;None;Yes[/quote:053c26153d]
1200553244.000 3315 10.0.0.26 CLIENT_TERM/200 10105 GET http://99.144.223.134/withlove.exe u50 DIRECT/99.144.223.134 application/octet-stream 10053
1200553250.000 5278 10.0.0.26 TCP_MISS/200 114404 GET http://99.144.223.134/withlove.exe u50 DIRECT/99.144.223.134 application/octet-stream 0


У меня вирус на локальный диск записывается.
На support отправил зверка в архиве.
imported
pig17.01.2008 11:10
Новьё. Сейчас в базах уже есть, попробуйте повторить.
imported
alex112417.01.2008 12:17
Это у меня в Опере:
Антивирус Касперского 7.0
The requested URL http://69.182.35.118/ is infected with Trojan-Clicker.HTML.Agent.s virus


Логи прокси
2008-01-17 10:57:04 AvReload: DbInfo: 17.1.2008 8:49:54 (513866 virus records); Engine: KAVE 5.0.1.83

2008-01-17 10:59:08;AvScanFile;OK;..\DATA\cache\6\9\69.182.35.118\6666cd76f96956469e7be39d750cc7d9;None;Yes

1200560361.000 18257 10.0.0.26 TCP_MISS/200 1123 GET http://69.182.35.118/ u50 DIRECT/69.182.35.118 text/html 0
1200560377.000 711 10.0.0.26 TCP_MISS/404 364 GET http://69.182.35.118/favicon.ico u50 DIRECT/69.182.35.118 text/html 0


Закрыл Оперу, открыл, пошел по адресу: http://69.182.35.118/withlove.exe
Файл скачался, но локальный касперский его не считает вирусом, хотя размер файла вроде не изменился.
imported
pig17.01.2008 12:51
Может, успели обновить, вредители тоже не дремлют. Проверьте в онлайне у Касперских.
imported
alex112417.01.2008 13:15
А почему EProxy его пропускает и не детектирует?
imported
pig17.01.2008 14:13
Я думаю, что он у вас обновляется примерно синхронно с локальным. Набор баз у вас по определению на некоторое время отстаёт от того, что в онлайне.
imported
alex112417.01.2008 14:53
У меня локальный ловил его еще вчера, я специально подождал почти сутки на подгрузку баз в EProxy.
imported
ac17.01.2008 16:35
Дело в подгрузке баз Eproxy. Как раз вчера этим занимались с KL (причем как раз на примере этого "withlove", только на другом URL. Нашли ошибку, сегодня ответили:
Мы провели дополнительный анализ и подтверждаем наличие проблемы. Проблема в том, что перезагрузка баз, действительно, будет произведено только в одном, случайно выбранном процессе.
Причина проблемы – неправильное использование объектов синхронизации (Event). Проблема зарегистрирована в реестре и ее идентификатор Prod00001508.

Временное решение проблемы в виде принудительной перезагрузки баз в Eproxy я выпустил еще вчера: http://www.eserv.ru/cvsweb-nt/cvsweb.cgi/install/Eserv3/Eproxy/conf/http-proxy/plugins/antivirus/kav5/activate.f
imported
Работает на Eserv/5.05567 (10.02.2020)