VirusBlokAda VBA32

[Ruby]

Aufmerksam geworden durch Online-Scan-Analysen neuer, unbekannter Malware bei Jotti und Virustotal, bei denen ein einziger neuer Scan eine frühe Zuordnung der Malware-Dateien in eine bestimmte Kategorie ergab, habe ich nachgeschaut, um welchen Scan es sich handelt, der als einziger ein Ergebnis zeigt: VirusBlokAda.

Es handelt sich hierbei um ein Produkt aus Russland. Die Gesellschaft wurde 1997 gegründet und scheint seit Anfang 2005 außerhalb Russlands Fuß fassen zu wollen. Das Virenschutz Programm VirusBlokAda umfasst Lösungen für Windows und Linux. Ein On-Access und On-Demand Scanner, sowie Mail-Serverschutz gehören ebenso zum Programm wie ein Heuristik Analyzer und ein sehr schneller CPU Emulator mit dynamischer Übersetzung, um mit polymorphen Viren, kryptischen Anwendungen und Packprogrammen umgehen zu können. Die Virendatenbank von VBA32 wird mehrfach täglich geupdatet und kann vom User abgefragt werden.

Das AV-Programm liegt zusätzlich zur Kauf-Version in einer Demo-Version vor, die jedoch keine Viren löscht. Um den vollen Schutz zu erhalten, muss man entweder eine Lizenz kaufen oder sich am Beta-Testing beteiligen. Wer an den Alpha-Tests teilnehmen möchte, ist aufgefordert Kontakt mit dem Team von VBA32 aufzunehmen. Man kann aber auch eine Beta-Version und einen dazugehörigen Schlüssel herunterladen, beides muss im gleichen Ordner aufbewahrt werden. Derzeit steht diese Beta-Version jedem zur Verfügung, der daran interessiert ist, das neue Produkt kennen zu lernen und zu testen.

Darüberhinaus gibt es einen Win32 Konsolen Scanner, den man als Zip-Datei herunterladen kann. Er muss nicht installiert werden und kommt nicht mit anderen Virenschutz-Programmen in Konflikt. Mit seiner Hilfe kann man die Antivirus Engine und die Viren-Erkennung auf ihre Fähigkeiten untersuchen.

Als kostenlose Zip-Programme stehen denjenigen von euch, die dieses Angebot annehmen und ausprobieren wollen UltimateZip-de, ZipGenius oder SIMPLYZIP zur Verfügung.

Wer von unseren LeserInnen VirusBlokAda in der einen oder anderen Version testet, möchte so freundlich sein und uns ein Feedback dazu ins Forum geben.

[Ruby]

Der "Win32 Konsolen Scanner' erlaubt es festzustellen, was auf einem System vor sich geht.
Es handelt sich dabei um einen Scanner, der in einem DOS-Fenster läuft.

Bedienungsanleitung

Erstelle einen neuen Ordner "VBA32" auf der Festplatte C:\ (Einführung in Windows).

Entpacke das "vba32-console-scanner-beta-20050707.zip" (mit einem Zip-Programm UltimateZip)
in diesen neuen Ordner C:\VBA32

Update das Programm über die "update.bat" und starte es mit der "Vba32w.exe".

Der Win32 Konsolen Scanner erstellt nun in diesem neuen Ordner zwei Unterordner: Temp und Tools.

Um dein System einer genauen Prüfung zu unterziehen, solltest du es mit dem Heuristic-Scan überprüfen.
Der Heuristic-Scan, der per Doppelklick auf die Datei "heuristics-test.bat" gestartet wird, scannt deine Festplatten auf Virenbefall. Dieser Heuristik-Scanner erstellt einen Report über die gefundenen Viren, den "susp.rpt" und ein passwortgeschütztes Archiv "susp.zip", in das die Viren geschoben werden.

Die Datei "susp.rpt" kann mit einem Texteditor (Notepad) geöffnet und gelesen werden. Unter "suspected" finden sich die Dateien, die unter Malware-Verdacht stehen. Ganz am Ende befindet sich die Auflistung:

Directories : 4050 Files in archives: Files on disks:
Archives: - total : 153103 - total : 45147
- scanned : 8738 - scanned : 152665 - scanned : 44677
- contain viruses : 0 - infected : 0 - infected : 0
- deleted : 0 - suspicious : 0 - suspicious : 0
- cured : 0
Mail messages: Attached files - deleted : 0
- scanned : 145 - total : 120 - renamed : 0
- contain viruses : 0 - scanned : 120 - moved : 0
- suspicious : 0 - infected : 0
- deleted : 0 - suspicious : 0
- cured : 0
- deleted : 0

Startup : 15:22:01 12-07-2005
End : 16:47:04 12-07-2005
Total time : 01:25:03

Viren-Dateien lassen sich unter den Stichworten "infected" bzw. "suspected" aus dem Logfile entnehmen.

Das "susp.zip" Archiv kann und soll per Mail dem Team der VBA32 "newvirusATanti-virus.by" (AT=@) zur Nachprüfung zugestellt werden. Es wird empfohlen das Zip-Programm 7-Zip zu verwenden, um mit der Funktion "recompress-to-7z.bat" eventuell zu grosse Files kleiner zu machen. Das Passwort der Archive lautet 'virus'.

Mithilfe dieses Heuristik-Scans lassen sich neuartige Viren und Trojaner sowie Adware feststellen. Es handelt sich bei diesem Heuristik-Scan um eine Beta-Version mit dem Risiko zu 'false positives', die durch Nachprüfung durch das Team der VBA32 behoben werden.

Alles in allem ein sehr interessantes Projekt, das ich gerne weiter empfehle.

For our English speaking Users: the Original Website of VirusBlokAda and the readme.txt-file are written in English.