Новые функции в Universal Virus Sniffer (uVS)

[santy 153]

RP55,

Хочу напомнить - я предполагал реализовать в uVS чёрный список = работу с ним.

может ты и подбросил эту идею для АнтиСМС?

за черными сертификатами не угонишься, почти каждый день новые в темах, так что придется часто выпускать обновления.

я считаю, что подход в uVS с белым списком правильным. Добавить в список несколько десятков надежных сертификатов, вместо того чтобы забивать сотнями в черный список.

1) Помещать команды exec ; uidel в начало списка.

это дело вкуса, кому как нравится. по мне, так на первом месте должна быть очистка системы от активных зловредов.... которые не факт, что будут удалены через деинстал,

т.е. "первым делом - самолеты".

[PR55.RP55 83]

• Добавлен внутренний чёрный список сертификатов, использовавшихся для вредоносных целей.

Чёрный список для поиска и удаления. ( в том числе и в автоматическом режиме )

Белый же для исключения.

Это две разные задачи.

Без чёрного списка автоскрипт вещь бесполезная.

Как давно реализован автоскрипт ?

И сколько человек его использует в работе ?

Это 2-3 человека.

И то не всегда, а время от времени.

т.е. в том виде в каком он сейчас он практически бесполезен.

это 1% всех написанных скриптов.

- Так как автоскрипт реализован на базе критериев поиска.

А критерии выполняют разные задачи: ( о чём мной неоднократно сказано в теме )

Да и уровень надёжности критериев отличается.

Критерии по ЭЦП самые надёжные.

• Добавлены присланные сигнатуры известных загрузочных секторов.

Это значит что список/база известных уже есть...

Речь не о добавлении, а о работе с подготовленной базой.

• Исправлена проблема при работе с ярлыками, которая могла появиться в редких случаях.

Мы не знаем о чём идёт речь - но uVS работает с ярлыками...

И если проблема есть/была в одной программе она может повториться и в другой.

- Тем более, что в ряде случаев uVS вылетает при анализе ярлыков.

• Оптимизировано восстановление системных файлов, теперь права доступа не имеют значения.

uVS также работает с LiveCD диска и каталогами Windows проблема может иметь место.

• Обновлена база хэшей, добавлены различные оптимизации и исправления.

Да база для uVS регулярно обновляется - это так.

Речь об оптимизациях и исправлениях.

- Конкретно о том, что УВЕЛИЧЕНА скорость проверки списка/реестра/файлов SHA1.

Santy пишет:

Помещать команды exec ; uidel в начало списка.

это дело вкуса, кому как нравится.

А на фото и показано, что оператор настраивает работу так, как ему нужно.

Это замечание в духе: "Зачем вы едите эти зелёные яблоки ? Давайте есть те зелёные яблоки "

-------

P.S.

Для АнтиСМС я ничего не предлагал.

Я там даже не зарегистрирован.

[santy 153]

RP55,

P.S.

Для АнтиСМС я ничего не предлагал.

Я там даже не зарегистрирован.

а зачем мы обсуждаем здесь новые опции в АнтиСМС?

по остальному посту: перенеси сообщение в офтоп, там и можно поговорить. и не засорять тему новых предложений.

[alamor 69]

demkd

Можно добавить, чтобы uVS видел какие поисковые системы установлены в браузерах? Сейчас очень много разной адвари которая прописывают туда свой поисковик .

[PR55.RP55 83]

santy

Речь именно об uVS...

Об автоматизации процесса.

Речь о сравнении.

По той причине, что АнтиСМС в плане автоматизации самая продвинутая программа.

Единственно что требуется - это её запустить.

----

Преимущество uVS в том, что можно удалить практически все угрозы ( 98% точно )

не используя LiveCD.

Если реализовать автоматический режим...

т.е.

Есть белый список ЭЦП и программа эти файлы не трогает.

Есть список/база проверенных файлов и загрузчиков SHA1 ...

Есть чёрный список - который подлежит обязательному отключению из автозагрузки или удалению.

Временные ключи запуска и т.д.

---

Автоматизация это не только скрипт.

AVZ например может работать в разных режимах.

-----

Что касается:

Santy пишет:

а зачем мы обсуждаем здесь новые опции в АнтиСМС?

А кто в своё время написал/сравнил AVZ&uVS.pdf ?

Я сравниваю АнтиСМС и uVS.

И только возможные ОБЩИЕ функции.

[santy 153]

RP55,

А кто в своё время написал/сравнил AVZ&uVS.pdf ?

Я сравниваю АнтиСМС и uVS.

И только возможные ОБЩИЕ функции.

а кто тебе мешает написать сравнительное (жизне)описание? чай, не хуже будет чем у Плутарха .

только вынести это в отдельную тему: возможно полезно будет разработчикам uVS и AtiSMS, как констатация текущего состояния и будущего развития.

[santy 153]

интересная форма поискового запроса.

http://totalhash.com/help/

[PR55.RP55 83]

Проверка файлов на VirusTotal + HerdProtect Одновременно

Вот: http://www.sevenforums.com/tutorials/34647...ltaneously.html

Несколько месяцев назад база HerdProtect была равна 12 000 000 файлов/SHA1

Demkd тогда сказал, что это так себе.

Сейчас база содержит более 33 000 000 миллионов файлов/SHA1

Нужно реализовать проверку файлов на сервисе - в том, или ином виде.

[santy 153]

идея здесь в другом.

в создании в uVS своей строки поискового запроса по образу автозапуска.

здесь приведены примеры поиска.

Example: filename:*sdra64.exe

Example: hash:da39a3ee5e6b4b0d3255bfef95601890afd80709

ip:8.8.8.8

registry:*rundll32.exe*

url:*/gate.php

и другие.

Search terms can be combined using the logical operators AND, OR, NOT. For example the following term could be used to find poison ivy samples that do not use the default mutex;

av:*poison* NOT mutex:)!VoqA.I4

-----------

в uVS это могло бы быть примерно так.

имя файла:*.MSR (И) цифр.подпись:* (И) ссылка:*LanmanServer

[PR55.RP55 83]

Santy пишет:

в uVS это могло бы быть примерно так.

имя файла:*.MSR (И) цифр.подпись:* (И) ссылка:*LanmanServer

---------

Так и сейчас можно настроить чтобы найти нужное.

[santy 153]

сейчас поисковый запрос работает только по одному полю (из фиксированного набора полей: имя, каталог, статус, производитель)

[PR55.RP55 83]

сейчас поисковый запрос работает только по одному полю

Вот пусть дальше так и работает.

Иначе непонято откуда брать информацию для заполнения запроса.

Все эти записи: имя файла; цифр.подпись и т.д.

[santy 153]

RP55,

Иначе непонято откуда брать информацию для заполнения запроса.

Все эти записи: имя файла; цифр.подпись и т.д.

информацию придется брать из своего опыта. (из головы, из записной книжки, из сети... вообщем из хранилища, кто какое использует в своей работе)

[PR55.RP55 83]

А смысл в чём ?

Быстрее создаётся критерий - сомнительно...

Проще создать критерий - сомнительно...

Быстрее будет обрабатываться образ/данные ? - сомнительно...

Так для чего ?

[santy 153]

RP55,

А смысл в чём ?

смысл содержится в предложении,

я не зря привел ссылку на страницу, где это реализовано,

как вариант компактного поискового запроса по разным полям в одной строке.

[PR55.RP55 83]

1) Запускать uninst.exe

Для файлов подписанных ЭЦП из Чёрного списка.

2) Запускать uninst.exe

Для файлов при полном совпадении ЭЦП и наименования каталога программы.

Пример:

Browse Burst

C:\Program Files\Browse Burst

C:\Program Files\Browse Burst\unins000.exe

3) Запускать uninst.exe/MSI

При полном совпадении наименования установленной программы ( из списка установленных прогамм ) и Чёрной ЭЦП

Пример:

DEALPLY = DEALPLY ЭЦП

BABYLON = Babylon Ltd.

BONANZA DEALS = BONANZA DEALS

BROWSEMARK = BROWSEMARK

BUZZSEARCH = BUZZSEARCH

DEAL KEEPER = DEAL KEEPER

FINDRIGHT = FINDRIGHT

LINKSWIFT = LINKSWIFT

MEGA BROWSE = MEGA BROWSE

YONTOO = YONTOO LLC

-----

Игнорировать какие sequo к подписи как: LLC; LLC.; LTD; LTD.; Inc; Inc.; INC.; Co., Ltd.; S.L.; Lab; Ltd; SL

4) Внести корректировку и уведомление в инфо. при сравнении ЭЦП файла И списка ЭЦП

Уведомлять:

При полном совпадении.

При частичном не совпадении написания.

Я об этом: LLC; LLC.; LTD; LTD.; Inc; Inc.; INC.; Co., Ltd.; S.L.; Lab; Ltd; SL

+ Обязательный учёт Регистра: d|D.... i|I ( в том смысле что YONTOO LLC и Yontoo LLC - это одно и тоже ) в данном контексте )

т.е. Если критерий настроен на обнаружение ADWARE с ЭЦП Babylon а файл подписан Babylon Ltd.

критерий сработает - Но выдаст в инфо. и лог соответствующее уведомление.

Это предложение относиться как к критериям поиска так и к Чёрному списку.

[PR55.RP55 83]

P.S.

Написание ЭЦП одной фирмы действительно отличается - порой на пару символов, или по регистру.

Проверено на практике.

----

Пример из белого списка:

"Autodesk, Inc."

"Autodesk, Inc"

---------

ABBYY Production LLC

ABBYY PRODUCTION LLC

-----------

Adobe Systems Incorporated

Adobe Systems Incorporated.

-----------

Ashampoo GmbH & Co. KG

ashampoo GmbH & Co. KG

------------

DoubleGIS

DoubleGIS LLC

------------

Logitech

Logitech Inc

-------------

[PR55.RP55 83]

1) Модифицировать команду: "Отменить всё"

Соответственно, если при работе с образом будет применена команда: "Отменить всё"

Образ автозапуска с которым на данный момент работает uVS будет загружен повторно.

это будет новое/повторное открытие образа.

- Это позволит, избавиться от текущих ошибок в работе программы. ( например для команд визуализации )

И полагаю будет способствовать ускорению процесса обработки данных.

так, как реальной отмены команд не будет, а будет сразу идти повторная загрузка образа.

[PR55.RP55 83]

COMODO deleted vendors: http://comodo.kemschool24.ru/av/tvl/

[PR55.RP55 83]

1) Критерии поиска.

Подключаемый список ЭЦП.

Есть файл/список в котором перечислены ЭЦП

При активации поля: " Значение список ЭЦП" в рамках поискового критерия происходит обработка всего списка.

-------

Существующая модель исчерпала себя и не отвечает реальным потребностям.

Сейчас уже 426 Чёрных... ( в теме )

-------

В перспективе критерий должен работать как с Чёрным так и с белым списком wdsl ( не содержит )

426_______.txt

426_______.txt

[PR55.RP55 83]

счётчик V.T.

Первая цифра - число выполненных запросов к сервису.

Вторая цифра - таймер времени - таймер появляется после запроса и показывает время ожидания - обнуления лимита.

----

Оператор видит: можно/нельзя запрашивать данные V.T.

Что позволяет оптимизировать процесс.

Реже будет возникать необходимость в применении Esc.

Оператор будет делать запрос вовремя.

[santy 153]

1) Критерии поиска.

Подключаемый список ЭЦП.

Есть файл/список в котором перечислены ЭЦП

При активации поля: " Значение список ЭЦП" в рамках поискового критерия происходит обработка всего списка.

-------

это уже ближе к теме.

здесь можно в качестве значения в критерий внести управляющий тэг + имя списка (list.txt), который бы указывал на то, что атрибут проверяется не по значению из критерия, а выполняется поиск атрибута в указанном списке, причем поиск прекращается при первом вхождении. (без обхода всего списка)

Существующая модель исчерпала себя и не отвечает реальным потребностям.

скорее, исчерпал себя (безсигнатурный) подход опираться при детекте исключительно на критерии.

[PR55.RP55 83]

В связи с известными сложностями по V.T.

И невозможностью получения полной информации по API :

First submission

Last submission

Возникает необходимость работы с браузером.

Но, есть и другой недостаток - оператор не видит по каким файлам он уже просмотрел информацию в браузере, а по каким нет.

Предлагаю сделать так чтобы оператор видел - какой файл отработан, какой нет - для: "Открыть в браузере отчёт "

Предложение на фото.

[PR55.RP55 83]

1) uVS анализирует _заголовок полученной страницы VT

например: virustotal.com/ru/file/1bc1f868441faef08484e6f2a9cbe7f1adf17afefb3f8a3a1071c13125e00c6d/analysis/

И сопоставляет SHA256 - страницы с локальным результатом...

После чего отчёт отрывается в Инфо. файла.

-----

В конце концов много браузеров с открытым исходным кодом, чем можно воспользоваться.

И НЕ открывать браузер как таковой.

А отображать данные сразу в Инфо. файла.

После чего можно проводить анализ полученных данных.

[PR55.RP55 83]

При запросе к VT одновременно делать запрос к Jotti или herdprotec

Совмещать даты сканирования/результат.

на разных сервисах файлы проверяются в разное время.

Значит оператор увидит две даты проверки.

- Это и будет аналогом:

First submission

Last submission