Новые функции в Universal Virus Sniffer (uVS)

[santy 151]

предложение:

выделять (каким-то образом) в меню "твики" опции, которые рекомендуется исполнить для данного образа, или активной системы на основе уже собранной инфо, которая отражена в логе, или объектах автозапуска.

---------

скажем, если в логах уже есть запись о блокировании диспетчера задач или regedit, сделать подсветку или изменить "рельеф" твиков "1.Разблокировать диспетчер задач", или "2. разблокировать редактор реестра",

аналогично по статическим маршрутам, hosts, твикам 12, 18, 20, 21 если в логах есть соответствующая инфо.

[Angel-iz-Ada 0]

Еще не было бы лишним автоматически добавлять в скрипт команды на удаление ненужных программ, по типу MailGuard, Ask.Toolbar, TicnoTabs прочее.

[santy 151]

Еще не было бы лишним автоматически добавлять в скрипт команды на удаление ненужных программ, по типу MailGuard, Ask.Toolbar, TicnoTabs прочее.

а как это реализовать?

если только через возможность добавлять критерии связанные со списком установленных программ.

В данном случае, имхо, надо начинать думать над модулем автоскрипта, когда uVS помимо всех детектов по сигнатурам и криптериям может сформировать автоматически скрипт лечения от начала и до конца (restart) хотя бы с некоторой точностью, кторый на простых случаях заражений будет точен на 100%.

в данном случае, можно привязать к сигнатурам и критериям поле "рекомендуемое действие".

stand, delref, delall, sreg, exec/uninstall

[Angel-iz-Ada 0]

Ну что-то типа критериев поиска. Если в названии есть .exe файл программы, то считывается путь к uninstall файлу и добавляется команда на удаление.

[akoK 75]

Еще не было бы лишним автоматически добавлять в скрипт команды на удаление ненужных программ, по типу MailGuard, Ask.Toolbar, TicnoTabs прочее.

Зачем?

[Angel-iz-Ada 0]

Что значит зачем? Для автоматизации процесса создания скрипта.

[demkd 590]

2. возможно, добавить новую категорию - селектированные

проще сделать кнопку добавить в подозрительные, чем делать еще одну категорию.

а зачем танцы с chklst? оно вроде быстро работает.

вирусов хотябы с грифом "возможно вирус"

есть имя, там можно указать каким-нибудь значком, доп. признак добавлять смысла не вижу.

также не мешало бы микробраузер

кто мешает взять какой-нибдуь FF и прописать его в качестве браузера в uVS по относительному пути?

новый движок проверки по хэшам в стадии обдумывания.

а то ждать пака их добавят на вирус тотал долго

а почему бы не загрузить его на VT, VTUploader интегрируется в uVS.

выделять (каким-то образом) в меню "твики" опции

можно конечно, но проще таки сразу в оконечный скрипт добавлять все нужные твики.

Еще не было бы лишним автоматически добавлять в скрипт команды на удаление ненужных программ

пожалуй это уже лишнее, отклоняется.

[PR55.RP55 82]

Уточнение по предложениям.

1.Контекстное меню файла: "Добавить/переместить в котегорию: "Подозрительные и вирусы " с пометкой в статусе - AS.

* После добавления/перемещения - запись по файлу остаётся видимой только в одной категории: "Подозрительные и вирусы "

2.Твики:

Demkd пишет: можно конечно, но проще таки сразу в оконечный скрипт добавлять все нужные твики.

Значит, должна быть отметка в скрипте, что твики добавлены автоматически.

3.Возможность Создать: Поисковые критерии для - "Установленные программы..."

Недостаточно маркировки для статуса по типу: Подозрительный < > ?Вирус?

Нужно делать поле статуса более информативным/разноплановым. ( Впрочем, я уже на эту тему говорил )

[omnilynx13 10]

Недостаточно маркировки для статуса по типу: Подозрительный < > ?Вирус?

Нужно делать поле статуса более информативным/разноплановым.

Кому недостаточно? зачем?

[santy 151]

проще сделать кнопку добавить в подозрительные, чем делать еще одну категорию.

а зачем танцы с chklst? оно вроде быстро работает.

согласен, если переносить, то в подозрительные, со статусом тем, что есть.

его_СТАТУС еще предстоит уточнить с помощью проверок.

(чуть позже пришел к мысли, что для селектирования необходимы дополнительные скриптовые команды, что необоснованно приведет к увеличению операторов в скрипте.)

можно конечно, но проще таки сразу в оконечный скрипт добавлять все нужные твики.

имхо, добавлять в оконечный скрипт, но только из модуля автоскрипта.

модуль автоскрипта запускается вручную. после того как сделаны все проверки, добавлены нужные сигнатуры.

какие действия можно автоматизировать в автоскрипте:

1. удаление файлов: либо через delref (такой как маячок), либо через delall (стандартное действие), либо через sreg/areg /трудно_удаляемые /

2. удаление вредоносных URL (детектируются через категории) - delref;

3. по загрузчикам: fixmbr/fixvbr (если попали под сигнатуры);

4. объекты DNS (детектируются через критерии) - setdns

5. далее,

если число добавленных сигнатур не равно нулю (с вариантами конечно условий), добавить в скрпт пару chklst/delvir;

автоматически добавить пару deltmp/delnfr

6. далее формируем список необходимых твиков, согласно результатам анализа;

7. добавляем в скрипт команду ZOO если количество объектов в ZOO <>0;

8. закрываем скрипт с помощью restart

---------

алгоритм, естественно приблизительный, но его надо тестировать, последовательно развивать от простого к сложному, от версии к версии.

[Smit 29]

есть имя, там можно указать каким-нибудь значком

да я говорил совсем о другом , речь идет о то что я отослал вирус на вирус тотал его добавили в вирусы только на 3й день а на второй я его опять выловил а по вирус тотолу он еще был чистый

а поскольку вы боитесь что люди будут добавлять невирусы в базу, то хотябы сделать отдельную базу для тех которые еще не признали как вирусы

а вообще это бред есть вирус а добавить его в базу не могу

по поводу FF я тоже вам подробно написал что после указания пути он все равно не проверяет хешь по базе тотала и скрин сделал и приложил его

а вообще скорее всего надо прогу научить самой http протокол отрабатывать(без окна) и выдавать в лог инфу , а также почемуто прога не запоминает путь к VirusTotalUpload.exe ,приходиться каждый раз при включении ее тыкать носом

[demkd 590]

запись по файлу остаётся видимой только в одной категории: "Подозрительные и вирусы "

это уже внесет в процесс неразбериху.

Значит, должна быть отметка в скрипте, что твики добавлены автоматически.

добавлю комментарий.

Возможность Создать: Поисковые критерии для - "Установленные программы..."

подумаю, может быть иногда полезно.

если число добавленных сигнатур не равно нулю (с вариантами конечно условий), добавить в скрпт пару chklst/delvir;

автоматически добавить пару deltmp/delnfr

тогда передача сигнатур скриптом станет неприятным и мало того опасным процессом

вообще автоматизация мне кажется уже избыточным процессом, разлагает это и в результате приводит к ошибкам.

вы боитесь что люди будут добавлять невирусы в базу

База пользовательская, добавляйте туда самостоятельно все что угодно, хоть вирусы, хоть антивирусы

отдельную базу для тех которые еще не признали как вирусы

Зачем? Смысла я таки не вижу.

по поводу FF я тоже вам подробно написал что после указания пути он все равно не проверяет хешь по базе тотала

а я и ответил, что новый движок для массовой проверки хэшей, который будет работать в PE в стадии разработки.

FF же прекрасно работает в PE.

а также почемуто прога не запоминает путь к VirusTotalUpload.exe

Проверил, запоминает, путь хранится в ini файле.

[santy 151]

тогда передача сигнатур скриптом станет неприятным и мало того опасным процессом

вообще автоматизация мне кажется уже избыточным процессом, разлагает это и в результате приводит к ошибкам.

я представляю это дело так.

во первых: отбор сигнатур для скрипта происходит вручную, так же как и проверки на ВТ, т.е. перед запуском режима автоскрипта все добавленные сигнатуры уже будут проверены в интерактивном режиме во избежание фалсов;

во-вторых- текущий порядок добавления команд в скрипт сохраняется;

автоскрипт - это альтернативный способ формирования скрипта, когда основная работа по проверке образа выполнена , в некоторых (для начала в простых) случаях он будет удобен.

например: одно-два вирусных тела, несколько вредоносных URL, необходима чистка темпов, и проч.

еще... при недавних заражениях smallHTTP иногда в образе было около сотни сетевых подключений, с десяток записей с подменой DNS, т.е. в данном случае вместо десятка исправлений DNS через контекстное меню автоскрипт отработает на ура, если записи отобраны уже с помощью критерия.

ну и как всякое новое дело будет использоваться с осторожностью, и тщательнее проверять скрипт придется в первое время.

[omnilynx13 10]

ну и как всякое новое дело будет использоваться с осторожностью, и тщательнее проверять скрипт придется в первое время.

Вот сейчас, напрягся. uVS, в принципе, пользоваться надо с осторожностью. и просто как юзер, честно скажу, тщательная проверка скрипта - сама формулировка пугает, я уже отвык Имхо всё ж работа с сигнатурами должна всё ж оставаться за оператором.

[santy 151]

Вот сейчас, напрягся. uVS, в принципе, пользоваться надо с осторожностью. и просто как юзер, честно скажу, тщательная проверка скрипта - сама формулировка пугает, я уже отвык Имхо всё ж работа с сигнатурами должна всё ж оставаться за оператором.

omnilynx13, тут какое слово не возьми - оно будет напрягать, а иногда даже и пугать. В действительности все же проще предполагается. Отбор сигнатур ведь не предполагается автоматизировать. Все это делает оператор. просматривая список визуально, использую проверки и критерии - и принимая решение, что есть фолс, а что достойно удаления.

-------

а вот когда эта работа завершена, тогда уже остальной процесс можно автоматизировать. одним нажатием на функцию автоскрипт. (при этом лишние синатуры уже не будут созаны - а будет определен порядок удаления данных файлов: delref, delall, или sreg и других объктов, которые уже однозначно определены для удаления, осталось только зафиксировать это скриптом. можно в принципе, коаждому объекту автозапуска сопоставить дефолтный оператор удаления (исправления).

возможно, этот способ будет на 100% точен лишь в 10% тем, но можно его уточнять от версии к версии, повышать 10% потолок.

[santy 151]

пример:

;uVS v3.75 script [http://dsrt.dyndns.org]

;Target OS: NTv6.1

addsgn 0DE9D12F156A8B772266EEB164C81205167CB2FFBCF8A93885EAF09FE496718B260C7B173E559D49

2B47810FF05649FA7DDFE81ADCE2BE2C72F6430E0B0622F8 8 Shiz.0610

zoo %SystemRoot%\APPPATCH\NAKKXP.EXE

delall %SystemRoot%\APPPATCH\NAKKXP.EXE

chklst

delvir

setdns Подключение по локальной сети 2\4\{900F7DB3-DC89-4C89-9D4B-34AF7DB8257A}\

deltmp

delnfr

regt 12

czoo

restart

сигнатуру Spy.Shiz добавляет оператор, если на тот момент ее нет в базе,

и все.

нажимаем "автоскрипт",

остальное по силам дописать уже модулю uVS

delall - дефолтный оператор для объекта типа файла, который попадет под сигнатуру,

setdns - дефолтное действие над объектом DNS, который попал под критерий поиска;

regt 12 - автоматическое действие, поскольку изменен объект автозапуска userinit/shell;

czoo - потому что в скрипт добавлена одна или более сигнатур.

[PR55.RP55 82]

запись по файлу остаётся видимой только в одной категории: "Подозрительные и вирусы "

Demkd пишет: это уже внесет в процесс неразбериху.

Это, упорядочит обработку объектов: т.е. перекинуть/собрать все вирусы/подозрительные в одной категории.

После чего обработать

* При переносе изменять поле: СТАТУС.

** Соответственно оставить возможность: "Показывать все перемещённые объекты".

Вот, если объектов будет много и они будут во множестве присутствовать...

Это и есть путаница...

Будет непонятно перенесён/обработан объект или нет...

1. Возможность восстановить/Задать DNS - при его отсутствии.

т.е. Если нет заданного значения.

т.е. В реальной системе, если нет ( совсем нет значений ) для DNS - то, нет и контекстного меню в uVS...

Развивая идею/предложение Santy...

2.Автоскрипт по поиску из базы автоскриптов.

т.е. Оператор создаёт базу автоскриптов - определений/топологий - и через меню поиска определяет/задаёт - тип скрипта/команды.

Автоскрипт по типу...

или

Spy.Shis

или

Carbepr

или

Mrdrv

или

Соответственно необходима предварительная настройка - задание параметров автоскрипта.

т.е. Оператор даёт программе указание/уведомление - с чем она будет имеет дело.

+ Принимается во внимание изменяемое значение для поля: СТАТУС.

т.е. если в поле статус вместо статуса: ?Вирус? - будет статус: ?Mayachok?

uVS - Автоматически генерирует скрипт для данного типа объектов.

[santy 151]

Развивая идею/предложение Santy...

да, рано еще развивать, давайте хотя бы примем решение по модулю автоскрипта: быть ему или нет быть.

[PR55.RP55 82]

Нужно указать/показать uVS с чем она имеет дело и как с этим нужно работать.

uVS считывает имеющийся в базе тип/образец.

Задаётся/принимается автоматическое соответствие для списка/перечня скриптовых команд.

И автоматически применяет.

Отдаётся ОДНА команда: " Обработать объект Diso.dll > как tr.Mayachok.

Даже сигнатура ненужна...

Всё автоматизированно !

[PR55.RP55 82]

Нужно указать/показать uVS с чем она имеет дело и как с этим нужно работать.

uVS считывает имеющийся в базе тип/образец.

Задаётся/принимается автоматическое соответствие для списка/перечня скриптовых команд.

И автоматически применяет.

Отдаётся ОДНА команда: " Обработать объект Diso.dll > как tr.Mayachok.

Даже сигнатура ненужна...

Всё автоматизированно !

В контекстное меню файла добавляется команда: "Обработать объект как..."

Например это: Diso.dll

И далее раскрывается список/меню типов/образцов.

Где мы выбираем из предлагаемого списка ТИП: "tr.Mayachok"

Можно открыть и посмотреть, что будет добавлено в скрипт в автоматическом режиме, это команды:

;uVS v3.77 script [http://dsrt.dyndns.org]

;Target OS: NTv5.1

addsgn

zoo

bl

delref

deltmp

delnfr

czoo

restart

т.е. uVS понимает, что при наличие команды: addsgn - нужно генерировать сигнатуру для заданного объекта*...

Zoo - Скопировать объект в zoo_

И далее... по списку.

* При детекте на V.T. - имя автоматически задаётся в соответствии с настройкой приоритета.

От оператора требуется:

1) Выбрать: " ***.dll"

2) Задать тип/объект - через контекстное меню. "tr.Mayachok"

3) Подтвердить принятое решение. Enter.

И всё...

На создание стандартного скрипта потребуется порядка 4-х секунд.

+ Необходима автоматическая проверка списка > в плане защиты от ложного срабатывания.

+ Коррекция ошибок ( например для bl - если sha1 - файла отсутствует... )

-----------

По ранее прикреплённому фото - Интерактивный поиск с возможностью корректировки типов/образцов - их наименований содержимого.

[santy 151]

критерий по установленным программам.

подумаю, может быть иногда полезно.

неплохо, если объект (из списка установленные программы), который попадет под соответствующий критерий добавится в подозрительные, с контекстной функцией uninstall.

[santy 151]

еще предложение:

подвесить в лог uVS в информационные строки о блоках regedit, диспетчера задач и другие - через контекстный вызов соответствующие твики

[demkd 590]

я представляю это дело так.

я подумаю

т.е. В реальной системе, если нет ( совсем нет значений ) для DNS - то, нет и контекстного меню в uVS...

исправлю.

2.Автоскрипт по поиску из базы автоскриптов.

оно может конечно и полезно было бы иногда, но слишком много возни, да и п.н. фича была бы невостребована, потому что и оператору будет лень набивать шаблонов для каждого зловреда.

подвесить в лог uVS в информационные строки о блоках regedit

лень, да и мало кому будет нужно, все равно в окно твиков заходить.

[santy 151]

RP55,

2.Автоскрипт по поиску из базы автоскриптов.

оно может конечно и полезно было бы иногда, но слишком много возни, да и п.н. фича была бы невостребована, потому что и оператору будет лень набивать шаблонов для каждого зловреда.

имхо, полезнее было бы добавить класс сигнатур в базу, с возможностью вручную установить его для сигнатуры, и уже от класса размышлять над автоматическими действиями.

---------

инфо для разработчиков tdsskiller

(которые читают данный топик):

третий случай уже (в последнее время), когда tdsskiller v 2.7.36 не обнаруживает бутовый вариант majachok

один пример на pchelp-е

http://pchelpforum.ru/f26/t98161/

второй на eset

http://forum.esetnod32.ru/forum6/topic5979/

третий в приложении

ALEKSANDR_2012_06_13_10_22_02.7z

TDSSKiller.2.7.36.0_13.06.2012_10.32.39_log.txt

ALEKSANDR_2012_06_13_10_22_02.7z

TDSSKiller.2.7.36.0_13.06.2012_10.32.39_log.txt

[PR55.RP55 82]

Автоскрипт по поиску из базы автоскриптов.

Оно может конечно и полезно было бы иногда, но слишком много возни, да и п.н. фича была бы невостребована, потому что и оператору будет лень набивать шаблонов для каждого зловреда.

Я, это понимаю, как своего рода язык для uVS...

т.е. uVS понимает, что при наличие команды: addsgn - нужно генерировать сигнатуру для заданного объекта...

Zoo - Скопировать объект в zoo_

И далее... по списку.

Шаблоны можно создать не для всех - только для основных типов - тех, что наиболее часто встречаются, а это 5-7 вирусов.

Да, матушку Лень грех беспокоить...

Также, можно создать базу по типу/типам расширения: exe; dll; sys - добавив в контекстное меню.

Можно и это Автоматизировать > где uVS будет автоматически определять тип расширения и предлагать решение по типу...

Этого будет вполне достаточно.

Всего три типа !

Автоскрипт и нужен прежде всего для работы с типичными т.е. часто/регулярно/ежедневно повторяющимися заражениями типа:

Spy.Shis ( exe )

Carbepr ( exe )

Mayachok ( dll )

Corcow ( dll )

Mkdrv ( sys )

* Единственно добавить автоопределение для добавления твиков.

т.е. предлагаю интегрировать автоскипт в uVS - для данных трёх типов.