Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 83]

Суть предположения: Есть некий файл, имя файла совпадает с именем известного/системного файла, но есть расхождение в пути.

У Оператора возникает сомнение...

Вдруг это реальный системный файл и его удаление приведёт к...

Просто это очень, очень, весьма кривая сборка системы.

Если сделать, как показано на фото Оператор будет уверен в своих действиях и спокойно сможет удалить подозрительный файл.

[santy 153]

RP55, если есть сомнения, то достаточно фильтра по тому же EXPLORER, чтобы убедиться, что настоящий EXPLORER сидит на своем месте, и никуда не уходил.

[PR55.RP55 83]

Если есть сомнения, то достаточно фильтра по тому же EXPLORER, чтобы убедиться, что настоящий EXPLORER сидит на своем месте, и никуда не уходил.

Я знаю про фильтр и понимаю, что можно так проверить.

Только вот для чего проверять, если всё сразу будет видно, как это показано на фото.

т.е. проверка будет АВТОМАТИЧЕСКОЙ !

Автоматическая проверка при условии: "Имя файла совпадает с именем известного/системного файла, но есть расхождение в пути."

Мы же к автоматизации процесса стремимся ?

[santy 153]

RP55, на основании расхождения путей между известными/системными файлами никто ведь и не предлагает удалять файлы. Самое место таким файлам в категории подозрительных. Все равно этот файл придется проверять, даже если найдется (или не найдется) ему автоматически оригинал на правильном месте.

т.е. расхождение в путях - не повод для удаления, но симптом для проверки, независимо от того, есть оригинал или нет его.

достаточно глянуть на ссылки, по которым он стартует из автозапуска.

-------

а делать скидки и допуски под сборки систем, думаю - это неправильный будет путь.

[PR55.RP55 83]

Santy

Важно учитывать уровень знаний/подготовки оператора.

На что ему стоит обратить внимание в первую очередь.

Важно знать/видеть, есть ли необходимый для работы системы файл в списке.

Да это не отменяет проверки подозрительного объекта, но избавит оператора от лишних сомнений.

Вся необходимая для орг. выводов информация будет перед глазами.

А причин "Дублирования" файла может быть множество: Авторские сборки; Системный файл - например cmd.exe запущен/запускался с USB диска или рабочего стола; Вирусы маскирующее своё имя под имя известного объекта но стартующие из другой директории.

+ Информацию о наличии легитимного файла можно выводить и в случае схожести имён. ( например когда имена отличаются на 1 символ )

Да...

Я понимаю, что Оператор должен разобраться.

И вероятно разберётся в ситуации.

Но !

На поиск/проверку нужно время.

Зачем доп.телодвижения делать ?

[santy 153]

Зачем доп.телодвижения делать ?

не знаю, не знаю,

лично я предпочту визуально увидеть легальный объект в списке, просмотреть его полное описание: ссылки, наличие цифровой подписи, контрольные суммы и т.д.

в вопросах жизни и смерти системы лучше сделать доп. движение, чтобы действовать наверняка, а не по косвенному поиску, из за того, что вероятно в системе появился двойник.

+

эта оптимизация в целом ничего не решает, все равно надо проверять объект по VT.

-------

админы, например, любят переименовать r_server в близкий к svchost.exe, чтобы юзера не прибивали процесс r_server

[PR55.RP55 83]

Лично я предпочту визуально увидеть легальный объект в списке, просмотреть его полное описание: ссылки, наличие цифровой подписи, контрольные суммы и т.д.

Можно ведь и переход сделать.

т.е. Выдать в инфо. так так это на фото показано + реализовать возможность перехода к самому объекту.

Получаем автоматически данные от uVS и возможность удостовериться.

Эта оптимизация в целом ничего не решает, все равно надо проверять объект по VT.

Для левого объекта НЕ решает.

А по известному получим информацию - есть такой в системе или нет.

[Smit 29]

demkd

есть предложение по поводу работы программы из win_pe :

при выборе "мертвой" системы каждый раз приходиться набирать путь : "C:\WINDOWS"

хотелось бы его видеть по умолчанию... и если токовой нас устраивает просто нажать enter , а в случае если такого нет пути или он нас не устраивает так уж и быть искать вручную. если эта идея понравиться автору , то можно ее дополнить выпадающим меню с сохраненными другими путями в какой нибудь (lnk_os.ini) или типо того.

а также кто подскажет :

по работе с удаленной системой по сети, выбрал комп и включил удаленный рабочий стол ... радости нет придела! но как без танцев с бубном запустить работу uVS на этом удаленном компе?!

[santy 153]

Smit,

как часто приходится заходить с козырного туза в игре с вирусняком?

....эта рационализация может внести путаницу. придется проверять на всех разделах и дисках наличие каталога системы.

даже если добавить в list popup найденные каталоги системы, как это сделано в ERD commander 2005, все равно надо точно знать, какая система из списка является рабочей.

аналогично, и с lnk.os.ini. как говорится, пути системы неисповедимы.

-------------

по подключениям к удаленному компутеру, быстрее всего вбить IP. (если он неизвестен, тогда предварительно пропинговать имя компьютера в локальной сети)

но как без танцев с бубном запустить работу uVS на этом удаленном компе?! facepalm.gif

здесь лучше уточнить, что имеется ввиду... подключение к удаленному рабочему столу, минуя построение списка автозапуска?

[Smit 29]

santy что то вы все не о том говорите... я в карты не играю это для дебилов и катал!

объясняю подробно: загрузился с win_pe для ремонта "убитой" системы жму выбрать каталог (в 99% это "C:\WINDOWS") чего тут не ясного и сложного? забить эту позицию вместо "весь компьютер" остается только согласиться или выбрать свой путь например :"D:\WINDOWS" и совсем не нужно ни каких проверок для этого делать ... а как это сделано в ERD commander 2005 меня как то не беспокоит

"по подключениям к удаленному компьютеру, быстрее всего вбить IP" как то опять не в ту степь!!! меня интересует как запустить сам uVS на компе а не службу удаленного доступа!

ПОДРОБНЕЕ: мне надо подключиться к реестру удаленной машины , а не щелкать мышкой по чужому рабочему столу и каталогам!

пака получается два варианта: или я должен где то на расшареном ресурсе сбросить программу и потом через удаленный доступ жертвы запустить uVS или скинуть его же на компьютер жертву (а комп зараженный) и запускать его там со всеми отягчающими , а после лечения удалить все следы программы (дистрибутив) при всем таком маразме зачем мне тогда сетка???!!!

надеюсь теперь проблема разжевана?

[PR55.RP55 83]

Smit

Смените тон.

Вы кому предъявляете претензии ?

Вам тут обязаны ?

[santy 153]

santy

объясняю подробно: загрузился с win_pe для ремонта "убитой" системы жму выбрать каталог (в 99% это "C:\WINDOWS") чего тут не ясного и сложного?

Smit, о том и вопрос: как часто вы это делаете: один раз в день, один раз в неделю, один раз в месяц... намного чаще, намного реже...

судя по темам на форумах с winlock, mbrlock самые разные могут быть каталоги: win, wind, win8, windows.0, windows.1

"по подключениям к удаленному компьютеру, быстрее всего вбить IP" как то опять не в ту степь!!! меня интересует как запустить сам uVS на компе а не службу удаленного доступа!

а этот режим вы не используете? чем он не устраивает? uVS запускается на удаленной в сети машине (без подключения к рабочему столу), и весь список автозапуска у вас в кармане (на вашем рабочем столе), делайте с ним что хотите. через интерфейс uVS.

Start.exe имеет ключи запуска:

/с (указать имя компьютера)

Пример:

start.exe /c computername

start.exe /c computername /p user password

на рисунке этот режим показан как "выбрать удаленный компьютер"

или опять не то?

[PR55.RP55 83]

1) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer]

\BackupPath]

ntbackup.exe

\cleanuppath]

cleanmgr.exe

Если изменить ***.exe

То, после нажатия кнопки выполнить будет выполнено...

А если файл ещё и будет иметь цифровую подпись. ( Смотрим фото результат )

Думаю нужно внести изменения.

Хотя бы в плане того, что все системные файлы с цифровой подписью НЕ от microsoft "+", а от Васей Пупкиных считать подозрительными.

2) Категория: "подозрительные и вирусы"

Автоматическая группировка объектов списка по группам ( по настройке settings.ini )

Например по: " Ключ реестра = или содержит значение ХХХ "

т.е. Фактически проводить авто. группировку объектов по данным из Инфо.

Задаётся некое характерное, отличительное/объединяющее свойство для...

* Группы визуально разделять пробелом.

[santy 153]

Например по: " Ключ реестра = или содержит значение ХХХ "

т.е. Фактически проводить авто. группировку объектов по данным из Инфо.

RP55, объясни, зачем нужна (чего особенного дает) эта группировка? какие есть плюсы в этом?

(помимо минусов создания параллельной структуры критериев в settings.)

то что со статусом ?ВИРУС? и с детектом сигнатур и так все время наверху.

[PR55.RP55 83]

Santy

Группировка по объектам реестра:

Например:

Все объекты: WINLOGON ; RUN ; APPLICATION DATA...

Или

Все объекты типа: ADWARE ; BAR ; SECURITY SCAN ...

Все объекты сгруппированы...

Плюсы в поочерёдной обработке.

Посмотрели и обработали объекты одного типа, затем другого.

uVS сейчас работает именно так - разбивает объекты на КАТЕГОРИИ т.е. на группы по признаку.

В settings.ini следует реализовать на уровне Активно/НЕактивно.

А так, есть база критериев поиска где фильтр можно добавить по имени критерия.

т.е. имя критерия + комментарий = автоматическая разбивка списка " ПОДОЗРИТЕЛЬНЫЕ И ВИРУСЫ" на группы.

Сейчас есть ограничение по группировке списка это: Имя; Каталог; Статус ; Производитель.

Значит реализовав данное предложение появляется возможность структурировать список образом наиболее удобным для оператора.

[santy 153]

RP55, плюсов в упор не вижу в поочередности обработки объектов....

достаточно деления подозрительных по статусам. будь хоть адваре, хоть zbot, если попал под сигнатуру, значит будешь удален...

если попал на статус ?ВИРУС? по критериям, значит будешь удален из автозапуска согласно выбранному в settings методу удаления.

другое дело, что в рамках текущей модели uVS нужны категории критериев жестко определенные в самой программе:

1. поисковые критерии

2. критерии uninstaller

3. критерии delhost

4. белые списки

возможно другие добавятся

которые uVS обрабатывает различным образом.

[PR55.RP55 83]

Santy

Просто можно чётко дифференцировать по типу запуска.

По типу сопутствующих объектов.

Чётко увидеть: что, как и где.

* Может народ что скажет ?

[santy 153]

RP55,

А дифференциации по категориям автозапуска сейчас недостаточно?

процессы,

сервисы,

сервисные модули,

модули в памяти

и т.к.

все, что попадает в подозрительные и вирусы относится к определенной категории автозапуска.

может отсюда имеет смысл и отталкиваться, не создавая лишних сущностей?

--------------------

скажем, для той же статистики:

выгружено столько то (вредоносных) процессов,

удалено столько то сервисов,

деинсталлировано столько то приложений,

и т.д.

как итог в конце выполнения скрипта.

[PR55.RP55 83]

Santy пишет:

Все, что попадает в подозрительные и вирусы относится к определенной категории автозапуска.

Может отсюда имеет смысл и отталкиваться, не создавая лишних сущностей?

Да, это верная мысль.

Можно разделить по группам в зависимости от того из какой категории данный объект был добавлен.

Только не будет той дифференциации которая нужна оператору.

В моём предложении можно задать чёткие рамки границы.

-------

По Статистике - это явно лишнее.

[PR55.RP55 83]

1) По критериям поиска.

Возможность быстрого подключения блока критериев.

Для увеличения скорости создания критерия.

Пример блока:

ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО MICROSOFT WINDOWS; ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО MICROSOFT CORPORATION; ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО NVIDIA CORPORATION; ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО SYMANTEC CORPORATION; \KASPERSKY LAB\AVP

Зачем набирать блок исключения вручную и тратить время, если по команде можно добавить разом весь нужный блок данных.

Соответственно добавить в меню доп команду: "Подключить блок"

[PR55.RP55 83]

1) В меню добавить команду: "показать ресурсы файла"

Ресурсы типа: "Dialog" ; "Manifest" ; "Menu" и т.д.

Кириллица; Латиница.

Наличие/отсутствие иконок; количество иконок; их тип.

Посмотрим ресурсы РЕАЛЬНОГО TASKMGR.EXE

см. фото.

Очевидно, что при банальной подмене файла типичных для файла ресурсов присутствовать не будет.

Появляется возможность быстро оценить ситуацию.

------

Оптимально в дальнейшем реализовать автоматическую проверку _сличение_ на наличие Типичных файлу ресурсов.

При отсутствии типичных файлу ресурсов - файл получает статус подозрительного - Оператор получает соответствующее информационное уведомление.

( перечень ресурсов; тип и т.д )

[PR55.RP55 83]

1) Меню.

" Проверить все файлы каталога и подкаталоги "

см. фото.

* С последующим автоматическим добавлением исполняемых файлов каталога в список.

[santy 153]

demkd,

можно скорректировать реакцию uVS на объекты автозапуска со статусом ?ВИРУС? ?

типа файл, который детектируется на VT или JT, но по которому не извлекается сигнатура (или в общем случае просто нет на этот файл сигнатурного детекта)

например:

Полное имя C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\APPLICATION DATA\FLASH\UPDATE.VBS

Имя файла UPDATE.VBS

Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

www.virustotal.com 2013-07-27 [2013-05-10 04:27:12 UTC ( 4 months, 3 weeks ago )]

DrWeb Trojan.BtcMine.87

Microsoft Trojan:VBS/Cominer.A

ESET-NOD32 VBS/CoinMiner.E

Сохраненная информация на момент создания образа

Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Размер 202 байт

Создан 05.05.2013 в 16:58:28

Изменен 29.04.2013 в 01:13:24

Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Путь до файла Типичен для вирусов и троянов

Доп. информация на момент обновления списка

SHA1 BDC96DD5CAB08F7F9502B752E20655CF49F19F67

MD5 E1E0814B08507078E8A0819914ACAD62

Ссылки на объект

Ссылка C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\FLASHUPDATE.LNK

т.е. если мы выбираем метод удаления 2

2 - применить delref

то, в этом случае в автоскрипт до проверки на VT добавляется команда

delref C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\APPLICATION DATA\FLASH\UPDATE.VBS

но если мы сделали предварительно проверку на VT и получили что один или несколько антивирусов из списка vFilter детектирует файл,

то в этом случае в автоскрипт будет добавлена команда

delall C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\APPLICATION DATA\FLASH\UPDATE.VBS

[PR55.RP55 83]

В продолжение темы по фал/ресурс/просмотр.

Вот реальная программа с возможностью просмотра.

Не так чтобы детально - Однако сам факт.

[Аркалык 19]

demkd, Возможно ли добавить в образ автозапуска список установленных плагинов в браузерах? И дать возможность управлять им (отключить/удалить). Против рекламных баннеров в браузерах в самый раз.

+

Добавить возможность почистить кэш java: Пример Тоже нужная фиша против баннеров в браузерах. Можно поставить рядом с чисткой HOSTS (твики)