Перейти к содержанию

Recommended Posts

santy
://pchelpforum.ru/f26/t71077/

в данном случае, человек так толком и не объяснил, как он получил подобный смешанный образ автозапуска. (Лично в моей практике uVS это единстсвенный случай). Скорее всего, запустился с какого то Live.CD, прикрутил с рабочего стола реестр системы с жесткого диска (это возможно в Alkid), далее запустил uVS - текущий пользователь (без выбора системы), и получил для анализа смешанный список из записей реестра системы с C и X.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit
из записей реестра системы с C и X.

думаю еще проще: использовал рансанер для запуска uVS

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Smit

Vvvyg

В принципе для таких целей служит StartF он все лишнее снесет включая банеры, соотв и скрипт выполнить будет не трудно.

.//..//.EXE

Это я посмотрю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit
Smit

Vvvyg

В принципе для таких целей служит StartF он все лишнее снесет включая банеры, соотв и скрипт выполнить будет не трудно.

Это я посмотрю.

[autorun]

open=cmd.exe /D /C"(md c:\$uvs_285 || cd c:\$uvs_285) && copy /Y PePrograms\uVS\*.* c:\$uvs_285 && start c:\$uvs_285\startf.exe"

именно по это я и говорю все одно сидит под банером и продолжить что либо невозможно, а хотелось бы чтобы программа сама запустилась дальше через 3-5 сек бездействия

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
именно по это я и говорю все одно сидит под банером и продолжить что либо невозможно

А это мне надо образец зловреда, потому что если не помог startf то это как минимум странно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zloyDi

Недавно обнаружил вирус который встраивается в поток NTFS. При этом эта сволочь закрывает любые программы которые запускаеш, ювс запускается на пару сек и закрывается. Пробывал лечить тдс киллером от касперского, вроде как удаляет файлы, но после запуска программы(любой) вирус на месте. Жалко на удаленке был попробывал бы стартФ и предоставил лог для изучения данной хрени.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Жалко на удаленке был попробывал бы стартФ и предоставил лог для изучения данной хрени.

Можно было бы попробовать подрубится по сети и из меню дополнительно вызвать команду выгрузки всего неизвестного в принципе это более сильная штука чем startf.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zloyDi
Можно было бы попробовать подрубится по сети и из меню дополнительно вызвать команду выгрузки всего неизвестного в принципе это более сильная штука чем startf.

Если итрересно то вот лог с загрузочного диска. Очень упорная тварь, непомогает ничего. Уже просто руки опускаются, почти все удалил, а он гад каждый раз заражает новый драйвер и его просто невозможно очистить...

http://zalil.ru/31761890

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

zloyDi

Это в файловом потоке? 155406168:2813377782.EXE

Хм... а образца живого нет? Я бы погонял его по коридорам :) Виртуализацию пробовал? Она его должна прибить легко в активном виде, если все хвосты в автозапуске отрежешь конечно.

Еще fips.sys какой-то совсем уж левый, ну остальное и так ясно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

goover

Да это он

BackDoor.Maxplus.24

Backdoor.Win32.ZAccess.ob

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg
в принципе это более сильная штука чем startf.

uVS - "эта вещь будет посильнее "Фауста" Гёте" (с)

Можно на сайт на страничку ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

может стоило переименовать start.exe, чтобы бэкдор на старте не стрелял в него?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zloyDi
может стоило переименовать start.exe, чтобы бэкдор на старте не стрелял в него?

Эта сволоч дает стартовать ювс опять если удалить ювс и заново распаковать с архива. Вообще пробывал помещать в карантин толку ноль.

И еще одна проблема. у товарищи пропал интернет после лечения. Вернее сайты пингуются но бразуеры посылают в лес...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

вот такой скрипт.

http://rghost.ru/23115921

интересно, в новом образе если будет новый драйвер, попадет он под эти сигнатуры или нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zloyDi
интересно, в новом образе если будет новый драйвер, попадет он под эти сигнатуры или нет.

Драйвер каждый раз новый, в данный момент сканит загрузочным диском от нода. Если не поможет создам новый образ автозапуска.

+ TDDSKiller находит и руткит в драйвере и сам файл удаляет о очищает, но после ребута все на своих местах.

Тут явно нужен хорошо продуманный клинер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

zloyDi

это хвосты в автозапуске остаются, чего-то было пропущено.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1.Добавлять в образ автозапуска информацию о системных ошибках/сбоях.

Скажем - 100 последних событий.

1.1 Просмотр журнала при работе в Live CD

Меню - "просмотр событий"

2.Комментарий - если, тестовые версии файлов новой Windows 8

будут добавлены в базу SHA1 ( MAIN ) - и при дальнейшем их тестировании выяснится, что ряд этих файлов способны вызвать системный сбой - то стоит ли сейчас их вносить в Официальную базу проверенных...

3.При, отображении процессов - отображать какую нагрузку на процессор они дают в %.

4."Имя файла похоже на имя известного..."

если имена написать так - то, они видимо уже непохожи на известные... ? ;)

svcho st.exe

explor er.exe

5.Settings.ini настройка.

Автоматическое сопоставление/сличение имён файлов на Virus Total.

пример: в системе, есть файл - C:\WINDOWS\ryiiofes.exe _99F6560209BF745CEA4982EC84A08F975DF2932D_

А на V.T. файл с sha1 _99F6560209BF745CEA4982EC84A08F975DF2932D_ имеет имя: disssаwa.ru

При, соответствующей настройке в Settings.ini будет выдавать предупреждение:

"Обнаружено расхождение в имени файла"

*Автоматически проверку можно организовать через поисковый критерий "Не равно"

**Особое внимание уделять файлам с одинаковым числом символов в имени но имеющим различия в названии.

6.Автоматически- помещать в подозрительные и вирусы файлы типа: ( .ru и пр...)

Реальный пример:

"Файл" = "c:\program files\common files\microsoft shared\sigexec.ru" ( 8: Рисковано ) ; Client Service for Netware ; Microsoft Corporation ;

"SHA1" = "EBD92EAB3D14DF35F6821E17BDA95FE4BCC42728" ( 8: Рисковано ) ;

"Последнее время записи" = "2010/03/20 01:45" ( 8: Рисковано ) ;

"Время создания" = "2010/03/20 01:45" ( 8: Рисковано ) ;

"Размер файла" = "207872" ( 8: Рисковано ) ;

"Описание файла" = "Client Service for Netware" ( 8: Рисковано ) ;

"Название компании" = "Microsoft Corporation" ( 8: Рисковано ) ;

"Версия файла" = "5.1.2600.5512 (xpsp.080413-2113)" ( 8: Рисковано ) ;

"Имя продукта" = "Microsoft® Windows® Operating System" ( 8: Рисковано ) ;

"Внутреннее имя" = "nwwks.dll" ( 8: Рисковано ) ;

"Cloud Age" = "yesterday" ( 8: Рисковано ) ;

"Cloud Volume" = "1" ( 8: Рисковано ) ;

"Ссылается на" = "Службы -> c:\program files\common files\microsoft shared\sigexec.ru"

http://www.virustotal.com/file-scan/report...e76e-1317220856

8.Ввести функцию для usb устройств: "Удалить загрузчик"

т.е. речь идёт именно об удалении/нейтрализации - а не о перезаписи - для всех типов загрузчиков.

9.Добавлять в подозрительные файл - если символ в его имени повторяется 3-ри и более раза.

пример: vezzziu.exe

10.Добавить в меню uVS стандартные скрипты лечения от известных угроз типа: TDSS и др.

Меню > Скрипты > Стандартные скрипты лечения.

*Если функцию поддерживать в актуальном состоянии - то, вероятно она имеет право на жизнь.

11.Если возможно, при проверке по дате скрывать/уведомлять о днях без запуска PC.

12.Если есть возможность/смысл сравнивать дату простоя PC с датой создания/изменения файлов.

т.е - PC НЕ работал, а файл был создан/изменён...

13.При выполнении скрипта содержащего команду restart - автоматически обнулять буфер.

14.Двойной образ.

А)Создаётся полный образ автозапуска.

В)PC предлагается немедленно перезагрузить с предварительной выдачей сообщения: "Повторите создание полного образа авт. после перезагрузки"

С)После перезагрузки и создания нового образа, uVS автоматически сравнивает/сопоставляет объекты образов.

На предмет: изменения имени/отсутствия объекта.

Создаётся итоговый образ с информацией по отсутствующим/изменённым объектам.

Соответственно, имея сигнатуру объекта сменившего имя можно проводить зачистку машины.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1.Опция - смена MAC Адреса.

Сфера применения опции:

А) При настройке сетевого соединения, при апгрейде PC - в случае, когда провайдер привязан к определённому MAC адресу.

В) Уход от направленных атак.

С) Дополнительное обеспечение приватности в сети с периодической сменой адреса.

*Возможность случайной генерации MAC дреса.

**Сохранение дефолтного значения - резервирование информации.

2.Сопоставление изменения - основных системных файлов.

В случае когда два и более системных файла изменены в одной временной точке -

Автоматически, выдавать предупреждение в лог.

Автоматически - Акцентировать внимание оператора на "вне-системных" файлах созданных в

данном временном интервале.

Пример: EXPLORER.EXE, TASKMGR.EXE, USERINIT.EXE.

Файлы изменены: 15.09.11; 16:01

И в тоже время - имеем исполняемые файлы созданные в этот день.

C:\WINDOWS\system32\bumblebee.exe [15.09.11; 15.57 ]

C:\WINDOWS\system32\hop.exe [15.09.11; 15.58 ]

Очевидно, что это не совпадение... ;)

Так, можно найти вредителя.

Однако, в системе тысячи файлов и проводить сопоставление не имея автоматизированной системы

сложно.

Поэтому предлагаю включить в uVS данную опцию.

*Возможно, как доп.настройку для settings.ini или автоматически.

**Добавить, возможность просмотра даты - изменения для всей группы системных файлов в одном окне это позволит ускорить работу по поиску и обнаружению зловреда.

3.Меню - Руткиты.

Добавить опцию: "Поиск изменённых объектов по файлу сверки"

т.е. создали файл сверки > перезапустили систему > После нового входа в систему произвели

сравнение.

Если, какой вредитель сменил имя или директорию - то uVS его обнаружит.

Так, в ряде случаев уже нет необходимости в применении Live CD

*Сохранять результат в образе & в лог файле - по образцу того, что создаётся сейчас при выполнении скрипта.

** Создание файла сверки, позволит провести сравнение по всему системному диску.

4.Если, возможно выдавать & сохранять в образе информацию по дате сброса/смены/изменения системного: даты/времени.

* В ряде случаев вредитель может сбрасывать время ( скажем с 2011 на 2006 год )

прописываться/ устанавливаться в системе и вновь устанавливать актуальную дату/время.

Соответственно - при просмотре логов будет указана дата создания файла, как 2006г.

Информация по дате корректировки настроек - в ряде случаев могла бы дать информацию по времени заражения машины.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
3.Меню - Руткиты.

Добавить опцию: "Поиск изменённых объектов по файлу сверки"

т.е. создали файл сверки > перезапустили систему > После нового входа в систему произвели

сравнение.

Если, какой вредитель сменил имя или директорию - то uVS его обнаружит.

Так, в ряде случаев уже нет необходимости в применении Live CD

*Сохранять результат в образе & в лог файле - по образцу того, что создаётся сейчас при выполнении скрипта.

** Создание файла сверки, позволит провести сравнение по всему системному диску.

тут дело в том, что uVS (при определенной практике) и так много чего обнаруживает. Есть ведь утилитка отдельная для сравнения двух образов автозапуска. Хотя, запуск сравнения из под оболочки uVS не помешал бы. Результат расхождений можно было бы вывести в подвал лога текущего образа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

:facepalm:

:unsure:

:D

1. Добавить скриптовую команду полной зачистки/очистки файла sgnz от сигнатур.

Пример скрипта:

_____________________________________________________________

; uVS v3.71 script [http://dsrt.dyndns.org]

ZeroSgns

_____________________________________________________________

Для чего:

А) В случае когда пользователь самостоятельно внёс сигнатуры чистых файлов в базу.

Б) В случае ошибочного добавления легитимных файлов.

В) В том случае, когда пользователь скачал версию uVS содержащею мусорные сигнатуры "забивающие"

образ ложными детектами.

* Да - ситуацию можно решить и другими методами - но функция очистки всё равно будет полезна.

2.В ленточное меню добавить к уже имеющимся:

Имя||Каталог||Статус||Производитель||Версия|| - ДАТА ; KB/MEGABYTE

* Таким образом, можно будет отсортировать групы файлов по времени их создания и "весу".

** Можно добавить в качестве второй ленты - или в меню "Настройки" "Расширенное отображение информации"

3. В окне "ИНФОРМАЦИЯ" - по каждому из файлов добавлять сравнительную информацию.

Сравнивается - время создания файла со списком/временем установкой "легитимного" программного обеспечения.

*Пример: файл создан - 21.09.2011 г., 14:59:42

Информация: " На период 21.09.2011 НЕ зарегистрировано установки "легитимного" программного обеспечения."

Мы видим, что даты не совпадают...

** Да, файл может иметь отношение к уже удалённой программе или быть компонентом обновления...

Однако, такого рода информация позволит обратить дополнительное внимание на данный объект.

4.В ряде случаев основные "системные" файлы в своём наименовании могут иметь нестандартный шрифт & регистр.

В случае, отсутствия у таких файлов цифровой подписи - это может служить дополнительным поводом для

подозрений.

В окне - Файл > "ИНФОРМАЦИЯ" акцентировать внимание на этой особенности.

5.Возможная ошибка...

В ряде случае - ( когда скорость соединения падает до +- 10kb )

uVS Ошибочно определяет отсутствие хеша файла на V.T.

При запросе к серверу выдаёт: "Хеш не найден на сервере" *

*при проверке отдельно взятого объекта по SHA1.

В то время, как при открытии в браузере отчёта...

Выясняется, что хеш файла на сервере Присутствует !

Что прямо скажем не очень хорошо...

6. Необходима доработка uVS при работе с Mozilla Firefox 6 и 7 поколения.

В ряде случаев очистка по команде:

delref HTTP://WWW.SMAXX**I.BIZ

Может быть НЕ эффективна.

7.Для удобства просмотра, поиска, при работе с поисковыми критериями можно акцентировать внимание оператора на записи/информере путём маркировки строки спец. символом.

Пример:

Удовлетворяет критериям

## Virus.P.A. ИМЯ ФАЙЛА: IGFXTRAY.EXE

где ## Это спец символ.

т.е. при составлении оператором поискового критерия автоматически добавлять символ к данным поискового критерия.

* Что при обилии информации позволит сократить время анализа данных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1.Добавлять в образ автозапуска информацию о системных ошибках/сбоях.

1.1 Просмотр журнала при работе в Live CD

Подумаю.

3.При, отображении процессов - отображать какую нагрузку на процессор они дают в %.

Подумаю.

4."Имя файла похоже на имя известного..."

лень делать полноценный анализатор.

5.Settings.ini настройка.

Отклоняется, имя не имеет значения.

6.Автоматически- помещать в подозрительные и вирусы файлы типа

Если активен то будет помещен, а вообще нестандартное расширение не криминал.

8.Ввести функцию для usb устройств: "Удалить загрузчик"

9.Добавлять в подозрительные файл - если символ в его имени повторяется 3-ри и более раза.

...

14

Отклоняется.

1.Опция - смена MAC Адреса.

2.Сопоставление изменения - основных системных файлов.

3.Меню - Руткиты.

Не имеет смысла, отклоняется.

1. Добавить скриптовую команду полной зачистки/очистки файла sgnz от сигнатур.

2.В ленточное меню добавить к уже имеющимся:

3. В окне "ИНФОРМАЦИЯ" - по каждому из файлов добавлять сравнительную информацию.

Отклоняется.

5.Возможная ошибка...

6. Необходима доработка uVS при работе с Mozilla Firefox 6 и 7 поколения.

Посмотрю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
незнайка

demkd

Добрый день. Может быть мое предложение где то обсуждалось, но рискну предложить. Можно ли в твиках UVS реализовать как в AVZ скрипт №9 в "востановление системы". То бишь, "удаление отладчиков системных процессов".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

незнайка

Это избыточная функция, все отладчики все равно поподают в подозрительные поэтому проблем с их карнатином и удалением нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
незнайка

demkd

Оффтоп. Но все равно вопрос касающийся антивирусной безопасности. На этом сайте читал обсуждение программы Shadow Defender, отзывы тутошних спецов хорошие. Но как по Вашему мнение, так ли хороша защита у такого рода продуктов, которые замораживают ось, и у Shadow Defender в частности. Очень хочется узнать Ваше мнение. Спасибо,

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×