Новые функции в Universal Virus Sniffer (uVS)

[santy 153]

://pchelpforum.ru/f26/t71077/

в данном случае, человек так толком и не объяснил, как он получил подобный смешанный образ автозапуска. (Лично в моей практике uVS это единстсвенный случай). Скорее всего, запустился с какого то Live.CD, прикрутил с рабочего стола реестр системы с жесткого диска (это возможно в Alkid), далее запустил uVS - текущий пользователь (без выбора системы), и получил для анализа смешанный список из записей реестра системы с C и X.

[Smit 29]

из записей реестра системы с C и X.

думаю еще проще: использовал рансанер для запуска uVS

[demkd 636]

Smit

Vvvyg

В принципе для таких целей служит StartF он все лишнее снесет включая банеры, соотв и скрипт выполнить будет не трудно.

.//..//.EXE

Это я посмотрю.

[Smit 29]

Smit

Vvvyg

В принципе для таких целей служит StartF он все лишнее снесет включая банеры, соотв и скрипт выполнить будет не трудно.

Это я посмотрю.

[autorun]

open=cmd.exe /D /C"(md c:\$uvs_285 || cd c:\$uvs_285) && copy /Y PePrograms\uVS\*.* c:\$uvs_285 && start c:\$uvs_285\startf.exe"

именно по это я и говорю все одно сидит под банером и продолжить что либо невозможно, а хотелось бы чтобы программа сама запустилась дальше через 3-5 сек бездействия

[demkd 636]

именно по это я и говорю все одно сидит под банером и продолжить что либо невозможно

А это мне надо образец зловреда, потому что если не помог startf то это как минимум странно.

[zloyDi 15]

Недавно обнаружил вирус который встраивается в поток NTFS. При этом эта сволочь закрывает любые программы которые запускаеш, ювс запускается на пару сек и закрывается. Пробывал лечить тдс киллером от касперского, вроде как удаляет файлы, но после запуска программы(любой) вирус на месте. Жалко на удаленке был попробывал бы стартФ и предоставил лог для изучения данной хрени.

[demkd 636]

Жалко на удаленке был попробывал бы стартФ и предоставил лог для изучения данной хрени.

Можно было бы попробовать подрубится по сети и из меню дополнительно вызвать команду выгрузки всего неизвестного в принципе это более сильная штука чем startf.

[zloyDi 15]

Можно было бы попробовать подрубится по сети и из меню дополнительно вызвать команду выгрузки всего неизвестного в принципе это более сильная штука чем startf.

Если итрересно то вот лог с загрузочного диска. Очень упорная тварь, непомогает ничего. Уже просто руки опускаются, почти все удалил, а он гад каждый раз заражает новый драйвер и его просто невозможно очистить...

http://zalil.ru/31761890

[demkd 636]

zloyDi

Это в файловом потоке? 155406168:2813377782.EXE

Хм... а образца живого нет? Я бы погонял его по коридорам Виртуализацию пробовал? Она его должна прибить легко в активном виде, если все хвосты в автозапуске отрежешь конечно.

Еще fips.sys какой-то совсем уж левый, ну остальное и так ясно.

[goover 37]

Про подобный файл говорят, что это ZAccess

[demkd 636]

goover

Да это он

BackDoor.Maxplus.24

Backdoor.Win32.ZAccess.ob

[Vvvyg 12]

в принципе это более сильная штука чем startf.

uVS - "эта вещь будет посильнее "Фауста" Гёте" (с)

Можно на сайт на страничку

[santy 153]

может стоило переименовать start.exe, чтобы бэкдор на старте не стрелял в него?

[zloyDi 15]

может стоило переименовать start.exe, чтобы бэкдор на старте не стрелял в него?

Эта сволоч дает стартовать ювс опять если удалить ювс и заново распаковать с архива. Вообще пробывал помещать в карантин толку ноль.

И еще одна проблема. у товарищи пропал интернет после лечения. Вернее сайты пингуются но бразуеры посылают в лес...

[santy 153]

вот такой скрипт.

http://rghost.ru/23115921

интересно, в новом образе если будет новый драйвер, попадет он под эти сигнатуры или нет.

[zloyDi 15]

интересно, в новом образе если будет новый драйвер, попадет он под эти сигнатуры или нет.

Драйвер каждый раз новый, в данный момент сканит загрузочным диском от нода. Если не поможет создам новый образ автозапуска.

+ TDDSKiller находит и руткит в драйвере и сам файл удаляет о очищает, но после ребута все на своих местах.

Тут явно нужен хорошо продуманный клинер.

[demkd 636]

zloyDi

это хвосты в автозапуске остаются, чего-то было пропущено.

[PR55.RP55 83]

1.Добавлять в образ автозапуска информацию о системных ошибках/сбоях.

Скажем - 100 последних событий.

1.1 Просмотр журнала при работе в Live CD

Меню - "просмотр событий"

2.Комментарий - если, тестовые версии файлов новой Windows 8

будут добавлены в базу SHA1 ( MAIN ) - и при дальнейшем их тестировании выяснится, что ряд этих файлов способны вызвать системный сбой - то стоит ли сейчас их вносить в Официальную базу проверенных...

3.При, отображении процессов - отображать какую нагрузку на процессор они дают в %.

4."Имя файла похоже на имя известного..."

если имена написать так - то, они видимо уже непохожи на известные... ?

svcho st.exe

explor er.exe

5.Settings.ini настройка.

Автоматическое сопоставление/сличение имён файлов на Virus Total.

пример: в системе, есть файл - C:\WINDOWS\ryiiofes.exe _99F6560209BF745CEA4982EC84A08F975DF2932D_

А на V.T. файл с sha1 _99F6560209BF745CEA4982EC84A08F975DF2932D_ имеет имя: disssаwa.ru

При, соответствующей настройке в Settings.ini будет выдавать предупреждение:

"Обнаружено расхождение в имени файла"

*Автоматически проверку можно организовать через поисковый критерий "Не равно"

**Особое внимание уделять файлам с одинаковым числом символов в имени но имеющим различия в названии.

6.Автоматически- помещать в подозрительные и вирусы файлы типа: ( .ru и пр...)

Реальный пример:

"Файл" = "c:\program files\common files\microsoft shared\sigexec.ru" ( 8: Рисковано ) ; Client Service for Netware ; Microsoft Corporation ;

"SHA1" = "EBD92EAB3D14DF35F6821E17BDA95FE4BCC42728" ( 8: Рисковано ) ;

"Последнее время записи" = "2010/03/20 01:45" ( 8: Рисковано ) ;

"Время создания" = "2010/03/20 01:45" ( 8: Рисковано ) ;

"Размер файла" = "207872" ( 8: Рисковано ) ;

"Описание файла" = "Client Service for Netware" ( 8: Рисковано ) ;

"Название компании" = "Microsoft Corporation" ( 8: Рисковано ) ;

"Версия файла" = "5.1.2600.5512 (xpsp.080413-2113)" ( 8: Рисковано ) ;

"Имя продукта" = "Microsoft® Windows® Operating System" ( 8: Рисковано ) ;

"Внутреннее имя" = "nwwks.dll" ( 8: Рисковано ) ;

"Cloud Age" = "yesterday" ( 8: Рисковано ) ;

"Cloud Volume" = "1" ( 8: Рисковано ) ;

"Ссылается на" = "Службы -> c:\program files\common files\microsoft shared\sigexec.ru"

http://www.virustotal.com/file-scan/report...e76e-1317220856

8.Ввести функцию для usb устройств: "Удалить загрузчик"

т.е. речь идёт именно об удалении/нейтрализации - а не о перезаписи - для всех типов загрузчиков.

9.Добавлять в подозрительные файл - если символ в его имени повторяется 3-ри и более раза.

пример: vezzziu.exe

10.Добавить в меню uVS стандартные скрипты лечения от известных угроз типа: TDSS и др.

Меню > Скрипты > Стандартные скрипты лечения.

*Если функцию поддерживать в актуальном состоянии - то, вероятно она имеет право на жизнь.

11.Если возможно, при проверке по дате скрывать/уведомлять о днях без запуска PC.

12.Если есть возможность/смысл сравнивать дату простоя PC с датой создания/изменения файлов.

т.е - PC НЕ работал, а файл был создан/изменён...

13.При выполнении скрипта содержащего команду restart - автоматически обнулять буфер.

14.Двойной образ.

А)Создаётся полный образ автозапуска.

В)PC предлагается немедленно перезагрузить с предварительной выдачей сообщения: "Повторите создание полного образа авт. после перезагрузки"

С)После перезагрузки и создания нового образа, uVS автоматически сравнивает/сопоставляет объекты образов.

На предмет: изменения имени/отсутствия объекта.

Создаётся итоговый образ с информацией по отсутствующим/изменённым объектам.

Соответственно, имея сигнатуру объекта сменившего имя можно проводить зачистку машины.

[PR55.RP55 83]

1.Опция - смена MAC Адреса.

Сфера применения опции:

А) При настройке сетевого соединения, при апгрейде PC - в случае, когда провайдер привязан к определённому MAC адресу.

В) Уход от направленных атак.

С) Дополнительное обеспечение приватности в сети с периодической сменой адреса.

*Возможность случайной генерации MAC дреса.

**Сохранение дефолтного значения - резервирование информации.

2.Сопоставление изменения - основных системных файлов.

В случае когда два и более системных файла изменены в одной временной точке -

Автоматически, выдавать предупреждение в лог.

Автоматически - Акцентировать внимание оператора на "вне-системных" файлах созданных в

данном временном интервале.

Пример: EXPLORER.EXE, TASKMGR.EXE, USERINIT.EXE.

Файлы изменены: 15.09.11; 16:01

И в тоже время - имеем исполняемые файлы созданные в этот день.

C:\WINDOWS\system32\bumblebee.exe [15.09.11; 15.57 ]

C:\WINDOWS\system32\hop.exe [15.09.11; 15.58 ]

Очевидно, что это не совпадение...

Так, можно найти вредителя.

Однако, в системе тысячи файлов и проводить сопоставление не имея автоматизированной системы

сложно.

Поэтому предлагаю включить в uVS данную опцию.

*Возможно, как доп.настройку для settings.ini или автоматически.

**Добавить, возможность просмотра даты - изменения для всей группы системных файлов в одном окне это позволит ускорить работу по поиску и обнаружению зловреда.

3.Меню - Руткиты.

Добавить опцию: "Поиск изменённых объектов по файлу сверки"

т.е. создали файл сверки > перезапустили систему > После нового входа в систему произвели

сравнение.

Если, какой вредитель сменил имя или директорию - то uVS его обнаружит.

Так, в ряде случаев уже нет необходимости в применении Live CD

*Сохранять результат в образе & в лог файле - по образцу того, что создаётся сейчас при выполнении скрипта.

** Создание файла сверки, позволит провести сравнение по всему системному диску.

4.Если, возможно выдавать & сохранять в образе информацию по дате сброса/смены/изменения системного: даты/времени.

* В ряде случаев вредитель может сбрасывать время ( скажем с 2011 на 2006 год )

прописываться/ устанавливаться в системе и вновь устанавливать актуальную дату/время.

Соответственно - при просмотре логов будет указана дата создания файла, как 2006г.

Информация по дате корректировки настроек - в ряде случаев могла бы дать информацию по времени заражения машины.

[santy 153]

3.Меню - Руткиты.

Добавить опцию: "Поиск изменённых объектов по файлу сверки"

т.е. создали файл сверки > перезапустили систему > После нового входа в систему произвели

сравнение.

Если, какой вредитель сменил имя или директорию - то uVS его обнаружит.

Так, в ряде случаев уже нет необходимости в применении Live CD

*Сохранять результат в образе & в лог файле - по образцу того, что создаётся сейчас при выполнении скрипта.

** Создание файла сверки, позволит провести сравнение по всему системному диску.

тут дело в том, что uVS (при определенной практике) и так много чего обнаруживает. Есть ведь утилитка отдельная для сравнения двух образов автозапуска. Хотя, запуск сравнения из под оболочки uVS не помешал бы. Результат расхождений можно было бы вывести в подвал лога текущего образа.

[PR55.RP55 83]

1. Добавить скриптовую команду полной зачистки/очистки файла sgnz от сигнатур.

Пример скрипта:

_____________________________________________________________

; uVS v3.71 script [http://dsrt.dyndns.org]

ZeroSgns

_____________________________________________________________

Для чего:

А) В случае когда пользователь самостоятельно внёс сигнатуры чистых файлов в базу.

Б) В случае ошибочного добавления легитимных файлов.

В) В том случае, когда пользователь скачал версию uVS содержащею мусорные сигнатуры "забивающие"

образ ложными детектами.

* Да - ситуацию можно решить и другими методами - но функция очистки всё равно будет полезна.

2.В ленточное меню добавить к уже имеющимся:

Имя||Каталог||Статус||Производитель||Версия|| - ДАТА ; KB/MEGABYTE

* Таким образом, можно будет отсортировать групы файлов по времени их создания и "весу".

** Можно добавить в качестве второй ленты - или в меню "Настройки" "Расширенное отображение информации"

3. В окне "ИНФОРМАЦИЯ" - по каждому из файлов добавлять сравнительную информацию.

Сравнивается - время создания файла со списком/временем установкой "легитимного" программного обеспечения.

*Пример: файл создан - 21.09.2011 г., 14:59:42

Информация: " На период 21.09.2011 НЕ зарегистрировано установки "легитимного" программного обеспечения."

Мы видим, что даты не совпадают...

** Да, файл может иметь отношение к уже удалённой программе или быть компонентом обновления...

Однако, такого рода информация позволит обратить дополнительное внимание на данный объект.

4.В ряде случаев основные "системные" файлы в своём наименовании могут иметь нестандартный шрифт & регистр.

В случае, отсутствия у таких файлов цифровой подписи - это может служить дополнительным поводом для

подозрений.

В окне - Файл > "ИНФОРМАЦИЯ" акцентировать внимание на этой особенности.

5.Возможная ошибка...

В ряде случае - ( когда скорость соединения падает до +- 10kb )

uVS Ошибочно определяет отсутствие хеша файла на V.T.

При запросе к серверу выдаёт: "Хеш не найден на сервере" *

*при проверке отдельно взятого объекта по SHA1.

В то время, как при открытии в браузере отчёта...

Выясняется, что хеш файла на сервере Присутствует !

Что прямо скажем не очень хорошо...

6. Необходима доработка uVS при работе с Mozilla Firefox 6 и 7 поколения.

В ряде случаев очистка по команде:

delref HTTP://WWW.SMAXX**I.BIZ

Может быть НЕ эффективна.

7.Для удобства просмотра, поиска, при работе с поисковыми критериями можно акцентировать внимание оператора на записи/информере путём маркировки строки спец. символом.

Пример:

Удовлетворяет критериям

## Virus.P.A. ИМЯ ФАЙЛА: IGFXTRAY.EXE

где ## Это спец символ.

т.е. при составлении оператором поискового критерия автоматически добавлять символ к данным поискового критерия.

* Что при обилии информации позволит сократить время анализа данных.

[demkd 636]

1.Добавлять в образ автозапуска информацию о системных ошибках/сбоях.

1.1 Просмотр журнала при работе в Live CD

Подумаю.

3.При, отображении процессов - отображать какую нагрузку на процессор они дают в %.

Подумаю.

4."Имя файла похоже на имя известного..."

лень делать полноценный анализатор.

5.Settings.ini настройка.

Отклоняется, имя не имеет значения.

6.Автоматически- помещать в подозрительные и вирусы файлы типа

Если активен то будет помещен, а вообще нестандартное расширение не криминал.

8.Ввести функцию для usb устройств: "Удалить загрузчик"

9.Добавлять в подозрительные файл - если символ в его имени повторяется 3-ри и более раза.

...

14

Отклоняется.

1.Опция - смена MAC Адреса.

2.Сопоставление изменения - основных системных файлов.

3.Меню - Руткиты.

Не имеет смысла, отклоняется.

1. Добавить скриптовую команду полной зачистки/очистки файла sgnz от сигнатур.

2.В ленточное меню добавить к уже имеющимся:

3. В окне "ИНФОРМАЦИЯ" - по каждому из файлов добавлять сравнительную информацию.

Отклоняется.

5.Возможная ошибка...

6. Необходима доработка uVS при работе с Mozilla Firefox 6 и 7 поколения.

Посмотрю.

[незнайка 0]

demkd

Добрый день. Может быть мое предложение где то обсуждалось, но рискну предложить. Можно ли в твиках UVS реализовать как в AVZ скрипт №9 в "востановление системы". То бишь, "удаление отладчиков системных процессов".

[demkd 636]

незнайка

Это избыточная функция, все отладчики все равно поподают в подозрительные поэтому проблем с их карнатином и удалением нет.

[незнайка 0]

demkd

Оффтоп. Но все равно вопрос касающийся антивирусной безопасности. На этом сайте читал обсуждение программы Shadow Defender, отзывы тутошних спецов хорошие. Но как по Вашему мнение, так ли хороша защита у такого рода продуктов, которые замораживают ось, и у Shadow Defender в частности. Очень хочется узнать Ваше мнение. Спасибо,