1) scaricate questo campione di dll infette

http://www.box.net/shared/39gf5dpt3l

2) fatele analizzare ad antivir personal edition classic

3) scaricate il tool da riga di comando di avira

Avira AntiVir command line scanner (unicode for Windows 2000, XP and Vista)

http://www.avira.com/en/support/support_downloads.html

fate analizzare le stesse dll al tool (leggete il file readme) utilizzando il comando

avcls.exe -noboot -nombr -r3 -rf -heuristic:3 "E:\TEST\virus sample"

ovviamente voi dovete mettere il vostro percorso

4) Ditemi se notate qualche differenza nei risultati delle due scansioni

Se anche a voi succede la stessa cosa che succede a me è davvero incredibile.

Ho provato a scaricare le dll dal link che hai postato mi sà devi correggere il link perchè appare questo ;) http://img410.imageshack.us/img410/1082/immaginexa1.th.jpg (http://img410.imageshack.us/my.php?image=immaginexa1.jpg)

a me il link funziona sia avendo fatto il login in box.net sia senza login e avendo pulito cookie e tutto il resto, sia con firefox che con IE.

http://www.box.net/shared/39gf5dpt3l

comunque sia ecco un altro da cui scaricare

http://www.wikifortio.com/964721/BugatronWorldsSetup.exe

non lasciatevi ingannare dal nome, potete aprirlo con 7.zip non si tratta di un vero eseguibile

Sarebbe il caso di editare i link per renderli non cliccabili...la prudenza non è mai troppa ;)

Questo il risultato di clam portable e quello con avira :eek:

non vedo perchè dobbiate stupirvi,avira nella versione classic non rileva spyware/adaware.

il problema è che nemmeno la premium rileva nulla :yeah:

Però su virus total la scansione con il motore di antivir li becca

Però su virus total la scansione con il motore di antivir li becca

non mi pare proprio:stordita:

non mi pare proprio:stordita:

http://www.virustotal.com/it/analisis/3d1f7913928a72ad48fbc4d9f467da21

http://www.virustotal.com/it/analisis/3d1f7913928a72ad48fbc4d9f467da21

scansionando l'archivio però tutto tace link (http://www.virustotal.com/analisis/8c471301d1444deb80c145b447ba132c)

scansionando l'archivio però tutto tace link (http://www.virustotal.com/analisis/8c471301d1444deb80c145b447ba132c)

Perchè è zippato, devi scansionare le singole dll

scansionando l'archivio però tutto tace link (http://www.virustotal.com/analisis/8c471301d1444deb80c145b447ba132c)

Antivir non supporta ancora gli archivi 7-zip (Il supporto è in lavorazione :D )

ecco il test con NIS

Forse mi sono spiegato male

I file contenuti nell'archivio sono 48 e sono tutte varianti di nsis media quindi tutti devono essere rilevati come malware. Dovete scansionare le singole dll non l'archivio compresso.

Dovete fare una scansione con antivir e poi una scansione con il tool da riga di comando sempre di avira. Il tool da riga di comando utilizza le stesse definizioni di antivir con l'interfaccia grafica. Spero che sappiate come si usa un tool da riga di comando.

Vedrete delle differenze mentre antivir becca solo 1 su 48 dll il tool da riga di comando le becca tutte e 48 come si evince dal log che ho allegato nel primo post.

La domanda è come è possibile una simile discrepanza, io me la spiego con un difetto dello scanner, ovvero il tool da riga di comando è più efficace.

Non mi interessa più tanto la differenza tra antivirus diversi.

Antivir classic non rileva gli adware e gli spyware (ADSPY/) per questo motivo non vengono rilevati.

Il tool a riga di commando per scelta o per bug rileva anche gli ADSPY come la premium.

Antivir classic non rileva gli adware e gli spyware (ADSPY/) per questo motivo non vengono rilevati.

Il tool a riga di commando per scelta o per bug rileva anche gli ADSPY come la premium.


siete duri di comprendonio senza offesa :D :cry: :cry: :cry:

su 48 file varianti dello stesso malware antivir ne becca 1, il tool da riga di comando 48 su 48, se fosse come dici tu antivir dovrebbe rilevare 0 su 48 non 1 su 48

Ripeto i file nell'archivio sono 48 e antivir ne rileva solo 1 come infetto.

Tra l'altro ho fatto un esperimento se metto il tool nella stessa cartella di antivir personal edition classic ne becca 1 su 48 come antivir con la GUI mentre se lo uso lanciandolo da un'altra cartella ne becca 48 su 48.

Come si spiega questa cosa? un bug del tool a beneficio di chi lo usa o piuttosto un bug di qualche componente di antivir?

Sarebbe interessante fare lo stesso esperimento con altri sample di malware per vedere se c'è questa differenza di risultati.

A sto punto allora converrebbe usare il tool da riga di comando per fare una scansione approfondita

Il file rsvuaac.dll è riconosciuto come Trojan (TR/Agent.BGZ) per questo viene rilevato da antivir classic.

Il file rsvuaac.dll è riconosciuto come Trojan (TR/Agent.BGZ) per questo viene rilevato da antivir classic.

qualcuno può confermare che le altre versioni di antivir invece rilevano tutto?

interessante questo punto di vista ma forse, sarebbe meglio chiedere nel thread ufficiale ;)
in linea generale comunque capisco quel che vuol dire GmG, in quanto c'è la tendenza di chiamare diversi spyware da diverse case prodottrici di software, chi virus e chi spyware, insomma non esistono standard in questo settore da questo punto di vista.

qualcuno può confermare che le altre versioni di antivir invece rilevano tutto?

li becca tutti e 48,provato ora

come detto prima la classic non rileva spyware adaware...interessante però questa cosa della riga di comando...:Perfido:

Forse mi sono spiegato male

I file contenuti nell'archivio sono 48 e sono tutte varianti di nsis media quindi tutti devono essere rilevati come malware. Dovete scansionare le singole dll non l'archivio compresso.

Dovete fare una scansione con antivir e poi una scansione con il tool da riga di comando sempre di avira. Il tool da riga di comando utilizza le stesse definizioni di antivir con l'interfaccia grafica. Spero che sappiate come si usa un tool da riga di comando.

Vedrete delle differenze mentre antivir becca solo 1 su 48 dll il tool da riga di comando le becca tutte e 48 come si evince dal log che ho allegato nel primo post.

La domanda è come è possibile una simile discrepanza, io me la spiego con un difetto dello scanner, ovvero il tool da riga di comando è più efficace.

Non mi interessa più tanto la differenza tra antivirus diversi.



il mio Avira Premium manco mi fa aprire il file con 7zip, mi rileva subito l'infezione...

Allora dato che Antivir personal edition classic ha questa limitazione (che non rileva gli adspy) possiamo aggirare parzialmente la cosa con questo piccolo trucco.

Copiate i seguenti file nella cartella C:\Programmi\VIRSCAN

avcls.exe (tool a riga di comando)

antivir0.vdf
antivir1.vdf
antivir2.vdf
antivir3.vdf
avewin32.dll
avpack32.dll
avrep.dll

Tali file li potete reperire dal sito di avira.

AntiVir unicode update package (Windows 2000, XP, XP 64Bit, Vista 32 Bit and Vista 64 Bit):

http://dl.antivir.de/down/vdf/ivdf_fusebundle_nt_en.zip

avcls.exe

http://dl.antivir.de/down/windows/antivir_avcls_en.zip

Create un file con estensione .reg con il seguente codice e aggiungetelo al registro di windows con un doppio click.

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\Directory\shell\VIRSCAN]
@="VIRSCAN"

[HKEY_CLASSES_ROOT\Directory\shell\VIRSCAN\Command]
@="C:\\Programmi\\VIRSCAN\\avcls.exe -noboot -nombr -r3 -heuristic:3 \"%1\" "

[HKEY_CLASSES_ROOT\*\shell\VIRSCAN]
@="VIRSCAN"

[HKEY_CLASSES_ROOT\*\shell\VIRSCAN\command]
@="C:\\Programmi\\VIRSCAN\\avcls.exe -noboot -nombr -r3 -heuristic:3 \"%1\" "

Fatto questo avrete nel menu contestuale una voce con la quale lanciare una scansione on demand di singoli file o di tutti i file contenuti in una cartella (escluse le sottocartelle)

Se nel vostro pc il percorso del file avcls.exe fosse differente dovrete modificare opportunamente le voci del registro

HKEY_CLASSES_ROOT\Directory\shell\VIRSCAN\Command

HKEY_CLASSES_ROOT\*\shell\VIRSCAN\command

Il tool a riga di comando a differenza di antivir personal edition classic è in grado di rilevare anche i malware della categoria adspy (adware) pur utilizzando le medesime firme virali.

Inoltre se usate un diverso antivirus potete usare questa scansione come un secondo parere senza dover fare una vera installazione di Antivir. L'unica accortezza è mantenere periodicamente aggiornati i file necessari al tool.

i parametri -nombr -r3 e \"%1\ a cosa fanno riferimento?

i parametri -nombr -r3 e \"%1\ a cosa fanno riferimento?

sono tutti parametri del tool io ho messo solo quelli necessari a scansionare un file o più file contemporaneamente da menu contestuale.

%1 è la variabile d'ambiente utilizzata da windows per dire al tool quale file deve scansionare.

Usage is: AVCLS [options] [path[\*.ext]] [*.ext]

where options are:

-? / -h ......... display the help text

-allfiles ....... scan all files

-defext ......... use the default extension list for scanning

-allboot ........ scan all boot records

-alldrives ...... scan all drives

-allhard ........ scan all hard disks

-allremote ...... scan all network drives

-wub ............ save unknown boot records to file '.\UKB.SAV'

-s .............. scan subdirectories

-z .............. files in archives will be extracted and scanned

-noboot ......... do not check any boot records

-nombr .......... do not check any master boot records

-nobreak ........ disable Ctl-C and Ctrl-Break

-v .............. verbose scan mode

-nopack ......... do not scan inside packed files

-e [-del | -ren] repair detected files if possible

[-del] non-repairable files will be deleted

[-ren] non-repairable files will be renamed

-ren ............ rename detected files (*.COM->*.VOM,...)

-del ............ delete detected files

-dmnoheur ....... disable macro heuristic

-dmdel .......... delete documents containing suspicious macros

-dmdas .......... delete all macros if one appears to be suspicious

-dmse ........... set exit code to 101 if any macro was found

-heuristic[:|=]1 heuristic detection rate low

-heuristic[:|=]2 heuristic detection rate medium

-heuristic[:|=]3 heuristic detection rate high

-r1 ............. just log infections and warnings

-r2 ............. log all scanned paths in addition

-r3 ............. log all scanned files

-r4 ............. select verbose log mode

-rs ............. select single-line log messages

-rf<filename> ... name of log file

?d = day, ?m = month, ?y = year (two digits each)

-ra ............. append new log data to existing file

-ro ............. overwrite existing log file

-q .............. quiet mode

-lang[:|=]DE .... use German texts

-lang[:|=]EN .... use English texts

-once ........... run AVCLS only once a day

-tmp<dir> ....... specify the directory for temporary files

-x<dir> ......... AVCLS looks for its files e.g. 'antivir3.vdf' in <dir>

-if<filename> ... AVCLS uses the given ini file

-kf<filename> ... AVCLS uses the given license file

-with-<type> .... detect unwanted programs,

like "dial", "joke", "game",

"bdc", "heur-dblext", "pck", "spr", "adspy"

the following types are enabled by default:

"dial", "bdc", "heur-dblext", "adspy"

-without-<type>.. like --with-<type>, but disables this type

-alltypes ....... combination of all known -with-<type> options

-qua-<type> <dir> the quarantine function enables detected files

to be isolate in special

directory by specifying:

"qua-move <dir>", "qua-copy <dir>"

or rather "-qua-restore <dir>", "-qua-delete <dir>

to restore or delete files

@<rspfile> ...... read parameters from the file <rspfile>

with each option in a separate line



list of return codes:

0: Normal program termination, no malware, no error

1: Detection pattern was found in a file or boot sector

2: A detection pattern was found in memory

3: Suspicious file found

100: AVCLS only has displayed this help text

101: A macro was found in a document file

102: The parameter -once was given and AVCLS already ran today

200: Program aborted, not enough memory available

201: The given response file could not be found

202: Within a response file another @<rsp> directive was found

203: Invalid parameter

204: Invalid (non-existent) directory given at command line

205: The log file could not be created

210: AVCLS could not find a necessary dll file

211: Programm aborted, because the self check failed

212: Virus definition file could not be found or read error

213: An error occured during initialisation

examples:

scan all files on drive C:

AVCLS -s C:\*

scan, repair & delete damaged/overwritten files on drives C: and D:

AVCLS C:\ D:\ -s -e

Interessante....ora provo!!!!