Новые функции в Universal Virus Sniffer (uVS)

[santy 153]

Всего три типа !

Автоскрипт и нужен прежде всего для работы с типичными т.е. часто/регулярно/ежедневно повторяющимися заражениями типа:

он и так будет работать без шаблонов для типичных заражений, а с привязкой сигнатуры к классу можно будет выбрать дефолтный способ удаления: delref, delall или sreg

[g0dl1ke 26]

насчет Carberp и Mayachok - последнее время встречаю именно эти экземпляры.

симптомы: не работают сайты в браузерах, хотя пинг проходит, ну и конечно заменен boot сектор

[PR55.RP55 83]

Santy пишет: С привязкой сигнатуры к классу можно будет выбрать дефолтный способ удаления: delref, delall или sreg

Как именно реализовать привязку ?

Так, как я предлагал ранее: addsgn A7679BC9DE37442480A1A2E6EFB50280D3FFF575B4FE8557E9C32E9AD328703826943D554B773C69

B4AFE81A866240AD2B8C17A2D01AC4207A21F7C7CFF9DD8C 64 tr.majachok.DLL

Какие есть варианты ?

Вообще, мне мой вариант нравиться:

Выбираем объект > Контекстное Меню > Обработать объект как >>>.

Если сигнатура уже есть в базе - автоматически добавляется сигнатура...

Если нет сигнатуры в базе - Всплывает окно где можно ввести имя.

Или: Автоматически добавляется сигнатура и имя - С маркировкой по типу расширения.

т.е.: addsgn A7679BC9DE37442480A1A2E6EFB50280D3FFF575B4FE8557E9C32E9AD328703826943D554B773C69

B4AFE81A866240AD2B8C17A2D01AC4207A21F7C7CFF9DD8C 64 *.DLL

Вместо звёздочки автоматически добавляется путь или другой признак - по выбору.

Например: HKLM\-\Appinit_Dlls.Dll

+ Дата/время добавления сигнатуры.

Кроме всего прочего - маркировка по сигнатуре позволит чётко ориентироваться/определяться - верен детект, или нет.

Имеет ли место ложное срабатывание. ( Об этом я уже тоже ране говорил ).

[santy 153]

Вообще, мне мой вариант нравиться:

Выбираем объект > Контекстное Меню > Обработать объект как >>>.

Если сигнатура уже есть в базе - автоматически добавляется сигнатура...

вообще-то сигнатура уже автоматически добавляется при детекте + автоматическая отдача ZOO, BL - зачем ЖЕ ломать существующий порядок работы программы? Единственное - что необходимо сделать - это уточнить метод удаления вредоносного объекта из автозапуска. К тому же могут быть и варианты объектов, которые не входят в предполагаемые шаблоны, но которые тоже бы хотелось удалить методом автоскрипта.

------

[PR55.RP55 83]

Santy пишет: сигнатура уже автоматически добавляется при детекте + автоматическая отдача ZOO, BL - зачем ЖЕ ломать существующий порядок работы программы?

А, кто его ломает ?

Проверка списка - это проверка списка, а Обработать объект как >>>.

Это само по себе !

Путей для добавления сигнатуры несколько - это один из них.

Я так и написал, что:

Если сигнатура уже есть в базе - автоматически добавляется сигнатура...

Всё как есть...

[demkd 638]

т.е. В реальной системе, если нет ( совсем нет значений ) для DNS - то, нет и контекстного меню в uVS...

проверил, все работает, а вот для TCP/IP v6 меню как раз нет, соотв. и трогать их не надо.

можно будет выбрать дефолтный способ удаления: delref, delall или sreg

sreg это кстати зря, все-таки команда-то глобальная и разделение на delref и delall не совсем понятно зачем и опять же есть же delall?

[santy 153]

sreg это кстати зря, все-таки команда-то глобальная и разделение на delref и delall не совсем понятно зачем и опять же есть же delall?

delref используем для удаления маячка из автозагрузки, поскольку он не защищает свой ключ, а delall иногда приводит к bsod, в общем случае конечно используем delall для удаления,

sreg_areg - чтобы исключить вредоносные драйвера из автозапуска, хотя в безопасном можно использовать тот же delall,

---------

можно конечно, и не заморачиваться в начfльном варианте автоскрипта на все случаи жизни - использовать стандартное удаление delall, в нюансах же использовать обчный способ формирования скрипта.

[iskander-k 0]

У меня пожелание к автору UVS - увеличить длину сигнатур и изменить принцип создания сигнатур. С увеличением баз появляется слишком много совпадений с легитимными файлами по сигнатуре и длины не хватает.. И становится жутко неудобно тратить время и выковыривать легитим из скрипта.

И если возможно чтобы в свободных секциях листа таблицы разделов показывалась дата создания и изменения файла. Так будет легче и быстрее увидеть еще одно тело вируса еще не известное на вирустотале или по базе , но созданное в одно время с первичным телом вируса.

Отредактировал Июнь 14, 2012 iskander-k

[santy 153]

И становится жутко неудобно тратить время и выковыривать легитим из скрипта.

можно указать на ложное срабатывание и сделать отмену (отменить все), чтобы не править скрипт вручную.

[PR55.RP55 83]

Предложение.

В Контекстное меню файла добавить:

"Ложное срабатывание - исключить объект из работы скрипта по Sha1 "

т.е. При применении данной команды uVS автоматически проводит считывание данных - поиск.

При обнаружении в скрипте заданной Sha1 - автоматически исключает/отменяет из скрипта команды, а также их применение по избранному объекту.

* Помимо того, что это позволит исключить из скрипта избыточные команды для ложно попавшего под сигнатурное определение файла - это, даст возможность править скрипт в случае ошибок с минимальными временными затратами.

т.е. При таком подходе нет необходимости править/редактировать весь скрипт.

Пример:

-----------------------------------------------------------

;uVS v3.76 script [http://dsrt.dyndns.org]

;Target OS: NTv5.1

exclude 3BC10B8D00BF12038D180FBBA7FCDF48E1264C6D

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АСВ\LOCAL SETTINGS\TEMP\LXXOXVX.EXE

bl CFF46DCF92ACA98A53FB7D7C920F8A96 212992

addsgn A7679BF0AA024C064BD4C62C24881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92

A2DD78F544E95C0E0C9FE82BD6D7B08C69775BACCA028237 8 Por.exe.Vir.DNS

RESTART

-----------------------------------------------------------

[iskander-k 0]

можно указать на ложное срабатывание и сделать отмену (отменить все), чтобы не править скрипт вручную.

Всё равно - это не дело . Выбирать и вычищать среди вирусов легитим . Отменяя мы также теряем тела вируса, что приведет к ручному поиску тел или предварительной записи на бумагу названий и далее также терять время на поиск тел вируса( а в программе этот поиск организован отвратительно...)

Отредактировал Июнь 16, 2012 iskander-k

[santy 153]

Всё равно - это не дело . Выбирать и вычищать среди вирусов легитим .

если вы видите, что чистый файл попадает под детект сигнатуры, значит следует увеличить длину активной части, если же чистый файл попадает под детект сигнатуры с активной частью 64, значит удаляете данную сигнатуру, и оставляете только те сигнатуры, которые в данном образе не создают ложного детекта.

по сути массовое попадание чистых файлов под детект извлеченной сигнатуры - единичные случаи (пример - троян Styerlown детект Microsoft)

Отменяя мы также теряем тела вируса, что приведет к ручному поиску тел или предварительной записи на бумагу названий...

Интересно, где вы практикуете подобные методы работы с uVS как ручная запись на бумаге вирусных тел?

[PR55.RP55 83]

Заметка по моему предложению на тему uVS: exclude 3BC10B8D00BF12038D180FBBA7FCDF48E1264C6D

http://forum.esetnod32.ru/messages/forum6/...9/#message46139

[santy 153]

по исключению файлов из проверки chklst.

добавить оператор SETSTAT(file, status). действие данного оператора добавляет новый статус файла, в данном случае ИСКЛЮЧЕН (из проверки).

В этом случае необходимо скорректировать работу команды chklst. при обходе списка автозапуска пропускать файлы со статусом ИСКЛЮЧЕН.

в интерфейсе uVS будут необходимы две контекстные функции: ИСКЛЮЧИТЬ из проверки, ОТМЕНИТЬ ИСКЛЮЧЕНИЕ.

[PR55.RP55 83]

1) Возможность ведения заметок.

Будет полезно начинающим работать с программой.

т.е. Вызов записной книжки из меню программы.

2) Сейчас многие программы задействуют при работе вычислительный ресурс видеокарт.

Считаю, что функция позволит быстрее и эффективнее решать соответствующие задачи.

3) В settings.ini добавить настройку вкл/выкл для: Авто-подбор ширины колонок.

4) В окне ИНФОРМАЦИЯ по объекту добавить команду: ВИРУС

При отданной команде: ВИРУС... происходит изменение в статусе объекта.

И его переход в котегорию: " Подозрительные и Вирусы "

см.фото пример.

--------------

P.S.

Вопрос ко всем.

Мне стоит в дальнейшем писать новые предложения по uVS ?

Или всё, хватит уже ?

Ответов ЖДУ здесь: http://www.anti-malware.ru/forum/index.php...40&start=40

[WindR 0]

3) В settings.ini добавить настройку вкл/выкл для: Авто-подбор ширины колонок.

4) В окне ИНФОРМАЦИЯ по объекту добавить команду: ВИРУС

При отданной команде: ВИРУС... происходит изменение в статусе объекта.

И его переход в котегорию: " Подозрительные и Вирусы "

см.фото пример.

Присоединяюсь к данным предложениям.

[PR55.RP55 83]

В обязательном порядке необходимо помимо: "Действительна, подписано Microsoft Corporation"

Указывать: Время подписания !

Например: December 28.2010 4:54:49 FM

securitylab.ru/news/425350.php

+

http://forum.esetnod32.ru/messages/forum6/...7/#message47597

И вообще...

[PR55.RP55 83]

В settings.ini добавить настройку вкл/выкл для: Авто-подбор ширины колонок.

Уточнение по предложению: "Для всех категорий кроме: System.ini и загрузчики."

+

Предлагаю повторно.

Вынести данные по DNS в Лог.

Вся информация по HOSTS; Persistent routes; DNS будет сгруппирована и доступна для просмотра в одном месте.

Что удобно и исключит ошибки связанные с пропуском информации при переключении от одной категории к другой, от одного окна к другому.

[LeoZhu 0]

Здравствуйте demkd !

Хотел предложить добавления следующего режима работы с хранилищем важных системных файлов - STORE.

Собственно основная идея в том чтобы UVS и AntiSMS использовали одно и тоже хранилище важных системных файлов.

В AntiSMS используется фаил SysFiles.bin - это само-распаковывающийся архив, он перед работой AntiSMS распаковывается в %temp%\SysFiles

AntiSMS уже оптимизирован для работы в папке UVS.

На форуме у simplix уже немного высказывался по этому поводу. И здесь, что неплохо получилось если бы UVS и AntiSMS использовали SysFiles.bin совместно т.е. каждый по своему со своей структурой папок в нем, в результате архив не распухнет (сильно), благодаря тому что в 7zip дубли повторно не архивируются.

Вот образец SysFiles.bin(чуть позже добавлю) для совместного использования в UVS и AntiSMS, именно его и использую сейчас у себя в PE7, перед запуском UVS с помощью батника реализовал запрос у юзера о добавлении STORE (распаковкой из архива SysFiles.bin) при условии если его нет.

Отредактировал Август 22, 2012 LeoZhu

[LeoZhu 0]

SysFiles.bin

[demkd 638]

LeoZhu

я подумаю, но пока что-то переделывать просто некогда.

[demkd 638]

увеличить длину сигнатур и изменить принцип создания сигнатур

отклоняется, а принцип... ну если вдруг меня посетит озарение

"Ложное срабатывание - исключить объект из работы скрипта по Sha1 "

надо подумать.

в интерфейсе uVS будут необходимы две контекстные функции: ИСКЛЮЧИТЬ из проверки, ОТМЕНИТЬ ИСКЛЮЧЕНИЕ.

это мне нравится больше, но таки проще просто выкинуть из списка до обновления

1) Возможность ведения заметок.

это уже лишнее

2) Сейчас многие программы задействуют при работе вычислительный ресурс видеокарт.

хэш считать можно, но это смешно на самом деле, файл должен быть прочитан а это 99.9999999999% времени соотв....

3) В settings.ini добавить настройку вкл/выкл для: Авто-подбор ширины колонок.

если руки дойдут.

4) В окне ИНФОРМАЦИЯ по объекту добавить команду: ВИРУС

лучше таки в подозрительные, я давно это хотел сделать, но руки как-то не доходят, а потом забываю, видимо оно не сильно нужно

Указывать: Время подписания !

можно добавить, но пользы реальной не вижу.

Вынести данные по DNS в Лог.

если будет не лень

[PR55.RP55 83]

1) addsgn

В открытом виде:

SHA1-7EDBAECBDF1996B25E1CD6E52288A91A; 975 360 байт; exe; 32х-b и т.д.

Кодировать эти данные/информацию в самой сигнатуре ( сигнатура, как код кодирования/расшифровки )

На выходе получаем рабочею сигнатуру=код.

В результате, при проверке списка по сигнатуре в логе можно увидеть данные в открытом/расшифрованном виде и посмотреть степень совпадения.

Совпадает ли SHA1; тип расширения и другие параметры.

Кроме того реализовать автоматическое определение по совпадению ряда/группы признаков. (как степень достоверности сигнатуры )

2) Возможность получить информацию о типе расширения.

т.е. в контекстном меню файла добавить: "Открыть информацию тип/расширение"

Например на: open-file.ru/types/scr

* Если на systemexplorer.net мы смотрим информацию непосредственно о файле, то на open-file.ru можно посмотреть информацию о типе расширения и сделать соответствующие выводы.

Расширений очень много и в ряде случаев информация будет полезна.

3) В программе AntiSMS есть функция отключения не подписанных объектов.

AntiSMS

• Все не подписанные службы будут отключены, можно восстановить через msconfig после загрузки системы.

• Все не подписанные файлы из автозагрузки реестра будут отключены, можно восстановить через msconfig.

• Отключаются не подписанные файлы в папках автозагрузки, можно восстановить через msconfig.

• Из автозагрузки реестра и папок автозапуска убираются скрипты, можно восстановить через msconfig.

• В Windows 7 для msconfig также добавляется время отключения элементов автозагрузки и служб.

• В папках автозапуска также обрабатываются ярлыки, не подписанные можно восстановить через msconfig.

В теме uVS обсуждалась необходимость в реализации функции ВЫБОРОЧНОГО отключения объектов через его контекстное меню.

предлагаю...

Основное отличие от AntiSMS будет возможность выборочного отключения - вне зависимости подписан объект, или нет !

4) После применения команды: "Сохранить системный реестр в каталог" проверять сохранённую копию на работоспособность.

т.е. корректно ли прошло сохранение.

5) Определять является ли диск загрузочным.

т.е. полноценно загрузочным.

Как для CD дисков так и для HDD.

С отображение в графе статус |Статус|+| или |Статус|-|

[santy 153]

это мне нравится больше, но таки проще просто выкинуть из списка до обновления

имхо, это вещь будет полезная, как временное исключение из проверки (на одну сессию chklst), и в целом решит проблему исключения из проверки.

[santy 153]

хотя.... накатили мысли,

что риск остается... у человека в руках остается кнопка - убить все вирусы, и в следующей сессии данный файл опять попадет под детект сигнатуры, ложное срабатывание, которой было заменено ИСКЛЮЧЕНИЕМ ИЗ ПРОВЕРКИ.

---------

т.е. для личных проверок на месте это удобно, для реализации проверок на форумах через образы - рискованно, или надо очищать все добавленные сигнатуры.