Пытаюсь скрестить BAT и антивирус AVG 1) где скачать последний модуль для антивируса AVG для BAT avgbat.bav актуальный для 2014 2015 версии AVG- ктото подскажет ? и как его правильно использовать ?
2) использую в связке AVG и почтовый клиент The Bat
в настройках AVG - Защита электронной почты - Сканер электронной почты - Фильтрация - Фильтр вложений 1.Поставил галки - Удалять исполняемые файлы 2. Удалять файлы со следующими расширениями - js,exe
Отправляю письмо со вложенными файлами 111js и exe-шником себе - все принимается в BAT и ничего не удаляется из вложений при проверке почты антивирусом (антивирус пишет что проверяет)
Как правильно настроить чтоб автоматом удаляло такие файлы в BAT ?
И я не хочу перехват трафика. Тоталитаризм какой-то. Есть ещё нормальные антивирусы как TrustPort, VBA32 и потомок СтопАнтивируса, которые ещё поддерживают (или совсем недавно поддерживали) bav-плагины. Я использую на КИСе 14-ом (надо обновиться до 15-го пока лицензия не кончилась, наверное, он ещё более гламурный) плагин от КИСа 13-го. Мой неотвеченный вопрос Евгению: http://forum.kasperskyclub.ru/index.php?showtopic=43034 Какой-то ******** выковырял из Бата возможность проверки ранее полученных писем bav-плагином. Разве редко бывает, что иной вирус попадает в сигнатуры спустя пару месяцев? Но нет, разрабы лучше нас знают что нам лучше. Последняя версия AVG имеющая на борту bav-плагин была 2012-ая. Может получится установить в песочнице AVG 2012 и вытащить плагин? AVG Internet Security 2012 http://www.avg.com/ru-ru/download-2012.prd-isc
пробовать 2012 получается ? был вариант чето не сработало - вывел вложения в BAT в отдельную папку - ложаться туда проверил отметил галкой пункт "Сканировать при закрытии" (при записи на диск) в AVG - не проверяет файлы на тесте eicar в папке вложений хотя окно проверки почты AVG вылазит при принятии почты если напрямую папку проверить - антивирь работает а через почту нет - не проверяет получается папку
поставил KIS13 - и проверяет почту и расширения требуемые удаляет и плагин к бату есть (в KIS14-15 вер нет плагина и в почтовых настройках почти ничего нет) только больше чем AVG грузит машину а на работе машины слабые
Установил KIS 2015 и такое ощущение, что пуповина с плагином окончательно оборвалась. Но надо ещё перепроверить с eicar'ом только на этот раз без SSL и TLS.
Вообще пытаюсь решить проблему борьбы с вирусами типа encoder - вот здесь про них толково написано http://vmartyanov.ru/ Вирус попадает в почту путем вложения в виде архива *.rar или *.zip - а внутри файл с двойным расширением типа *.doc.js или *xls.js или подобное на запуск скрипта
Пока вижу 2 пути путем скрещивания TheBat и KIS13 1. средствами KIS13 - В TheBat файлы вложений сделать - прикрепленные файлы в каталоге отдельно от писем - тогда файловый антивирус при записи на диск может поймать - но
рисково .. В почтовом антивирусе KIS13 можно прописать фильтр вложений по расширению, которые удаляются. Но как прописать расширение файла, вложенного в архив типа *.rar ...*.doc.js чтоб сработало ??
2. средствами TheBat - Ящик-Настройка сортировщика писем-Правило-Файл соответствующий маске -например *.js - Удалять письма Но опять - как прописать расширение файла, вложенного в архив типа *.rar ...*.doc.js ??
Тема актуальна - у нас на работе уже 2 компа за неделю посыпалось - открывают вложения - махом пролетает вирус - все файлы офиса и pdf на всех дисках шифрует и вложения с текстом типа резюме или "у вас задолженность ..." и пр от доверенных адресов те путь - сразу удалять такие файлы чтоб пользователь не лез
Какие мысли у кого по этому поводу и как прописать расширения в архивах ?
AnrDaemon пишет: Проблема решается просто - удалением всех писем, которые вы не понимаете.
Это да.
И использовать встроенный в Бат HTML viewer вместо IE. И не открывать сразу аттачи из письма, а сохранять и после сканировать. Простите за банальность.
"Проблема решается просто - удалением всех писем, которые вы не понимаете." Это бесполезно - 10 манагеров сидят каждый за своей почтой - все равно проскочит 1.письмо может прийти с доверенного адреса -комп клиента подхватил заразу и сделал рассылку по адресной книге 2.Письма читал их и вложения с вирусами сохранял - письма толковые типа резюме или у вас задолженность и прочее
В Bat можно запретить открытие архивов - тогда пользователь будет вынужден сохранить вложение и далее катавасия со сканироваем архива
а хотелось чтоб такие письма не доходили до пользователя и удалялись
И не открывать сразу аттачи из письма, а сохранять и после сканировать.
Вообще не открывать. Сразу удалять и не мучаться дурью. Сканирование не помогает. Криптеры изменить ОЧЕНЬ просто. А отследить исключительно сложно. Ибо там не используется никакого сомнительного с системной точки зрения кода. Все используемые в процессе программы абсолютно легитимны. Простой пример. Активный, регулярно (раз в полчаса) обновляемый др.веб. Не в меру ретивый менеджер. Письмо с аттачем. Менеджер открыла аттач и потеряла все документы на локальном компьютере и примонтированном сетевом диске. Обновление, детектящее конкретно этот криптер, пришло через 15 минут. Если бы она проявила хоть КАПЛЮ внимательности, ничего этого бы не случилось.
Ну так и оказалось - если включить TLS/SSL, то KIS 2015 молчит с максимально жёсткими настройками и не важно с воткнутым или нет bav-плагином. Время bav и впрямь прошло. Плагин сторонний к ClamAv тоже ума не даёт. Хотя надо попробовать обычное соединение.
Да вроде ниче не падает - Остановились обьективно на том чтобы запретиь архивы открывать в bat - тогда пользователь уже УЖЕ ДУМАЕТ стоит ему сохранять вложение или нет- далее если сохранил и пробует открыть - тогда варианты ... вот какие варианты - вопрос - как запретить открывать или удалять двойное расширение при открытии в архиве уже на диске и прочее .. фантазии - натравить на скачанный архив портабельную версию жестко что- нибудь достойное хотя бы по маске - расширению файлов в архиве
На днях я расширил список запрещённых к открытию из The Bat! масок. Но чувствую, что список не полон. Возможно, что и перебдел с некторыми. Представлены для наглядности столбиком.
Мои ожидания не подвёл TrustPort Internet Security 2014. Его BAV-плагин работает! И TLS не помеха! Пришлось для проверки работоспособности плагина воспользоваться сервисом отмыливания eicar - http://www.windowsfaq.ru/content/view/449/80/. Забыл когда в последний раз видел папку Бата по имени карантин. Жаль разрабы Бата демонтировали возможность проверки на вирусы ранее полученной почты. Решил я сделать проверку не мытьём, так катаньем - запустил индексирование папки Бата Архивариусом. На один временный файл созданный Архивариусом Трастпорт окрысился. Нашёл я то письмо, но это баловство а не метод. Хотя лучше, чем ничего.
Беларусский VBA32, где тоже поддерживается BAV. не проверял ибо триал можно скачать только старый и про совместимость с Win 8 нет ни слова.
Знаете, ваш подход "про совместимость" мне до ужаса напоминает Артемия Лебедева. Вся эта "совместимость с Windows 8", если это не драйвер или системный сервис - это миф. Если программа не древняя, как дерьмо мамонта (т.е. написана как минимум с учётом Vista), должна нормально работать.
В первую руку мне не захотелось проверять работу bav-плагина в ПО которому года три. Примерно столько же времени тому назад и Каспер поддерживал. А про совместимость приплёл до кучи. "Однофамилец" Жеки писал здесь (http://insidepro.com/rus/doc.shtml) про то как можно совместить якобы несовместимое. Много mht оттуда сохранил, жаль не сделал полный бэкап.
благодарен The Provizor за список расширений запрещенных - я уже 3 дня потею чтоб список составить - фантазии не хватает - правда не хватает двойных расширений с js в финале на распространенные типы файлов типа офис акробат и прочие а про winrar подсказка хорошая от AnrDaemon - уже чтото просматривается чтоб элементарно защитится.. токо с прописью масок терпение надо ..