Новые функции в Universal Virus Sniffer (uVS)

[santy 153]

demkd,

можно добавить сообщение в логи, если обнаружена групповая политика для Chrome?

и желательно чтобы в этом случае твик 27 попал в автоматически в скрипт через ALT+T

т.е. добавился в эту компанию

Ctrl+T        - Автоматически применить твики #1,2,3,9,28,29 при необходимости.

 

[PR55.RP55 83]

1) Добавление комментария к Zoo

 

В скрипт добавляется строка/комментарий.

Комментарий например для вир. лаба.

-------

Кто скрипт выполнил - тот архив и отправит, уже с комментарием.

Комментарий прописывается в текстовый файл.

[PR55.RP55 83]

1) Есть несколько копий uVS

С разными настройками для решения разных задач.

 

База vtcache может содержать несколько тысяч файлов.

Её копирование/перемещение  отнимает  много времени - особенно на слабых PC.

-------

Предложение: возможность прописать путь к одной общей базе vtcache

это даст:

1) Экономию времини

2) Экономию места на диске

3) База пополняется от/из нескольких источников.

4) База всегда в актуальном состоянии.

 

--------------

2) Создать файл/базу в каталоге uVS присвоить базе имя SHA2

 

По своей структуре это стандартная база проверенных но...

База содержит _временно проверенные sha1 / файл.

 

Принцип: Оператор работает с образом.

Во время работы присваивает статус _ПРОВЕРЕН ряду файлов.

В основе стандартные команды меню СТАТУС:  "Проверенный"  и т.д.

 

это даст:

 

1) Экономию времени при повторной работе с образом.

2) Экономию времени при работе с новым образом.

---------

Почему sha нужно добавлять именно в базу SHA2  ?

Причина проста  - Оператор проверяет файлы, и это поверхностная проверка - она основана на субъективной оценке которая зависит от опыта оператора; результата проверке на VT. и т.д.

У оператора нет самого файла и нет времени на его углубленное изучение.

- Значит это временная база проверенных.

Файлы в ней хранятся  временно ( по настройке settings.ini )

Например  раз в 30 дней _вся база SHA2 будет  обнулена ( если есть соответствующая настройка )

------

Проверка списка по этой базе осуществятся по отдельной команде.

Пример работы: Список проверяется по основной/пользовательской базе проверенных

после чего оператор  может проверить список по базе SHA2

[PR55.RP55 83]

Уточнение по базе SHA2

В базу добавляются все объекты которым оператор присвоен статус ПРОВЕРЕН

кроме объектов:

 

HTTP://******

 

-------------------

[PR55.RP55 83]

Сейчас эпидемия, ( подсыпали в смазку алмазную пыль   ) с вирусами-шифраторами.

 

Некоторые виды всё таки поддаются расшифровке.

- Важно знать тип. расширения.

- Можно отдельно давать информацию например по:

 

C:\WINDOWS\Web\Wallpaper

C:\Documents and Settings\!User!\Мои документы\Мои рисунки

-----

Таким образом не задавая лишних вопросов можно определить тип шифратора.

И сразу дать рекомендации.

[PR55.RP55 83]

Эпидемия шифраторов продолжается.

И судя по всему эффективного решения по защите не предвидится.

Если только...

 

---------

 

В settings.ini  выставляется таймер и...

Скажем раз в 10 секунд проверяется список процессов по базе проверенных.
При нахождении неизвестного на @ оправляется сообщение + в трее всплывает табличка/уведомление.
+ запись в лог/журнал. + копия файла в Zoo. ( для последующего анализа, что это )

И дальше в зависимости от установок.
Если файл имеет ЭЦП  и данная ЭЦП есть в списке белых - файл игнорируется.
( но уведомление/я + запись в лог/журнал + копия файла в Zoo всё одно идёт )

При прочих переменных:  файл удаляется, его повторный запуск блокируется, копия файла идёт в Zoo.
+
Файл  ( по настройке ) передаётся на анализ V.T.

Через 12/24 - Часа файл проверяется повторно.
Отчёт по результату анализа пишется в лог/журнал.
------

uVS работает в фоновом режиме - окно отображается по вызову.

------

 

Результат !

 

1) Это решает проблему шифраторов и большинства других вирусов.

2) Минимальная нагрузка на систему.

3) Оперативное реагирование на угрозы.

----------------

Речь не идёт о мониторе.

Речь идёт  об обновлении списка = его проверке по SHA1 / Wdsl

Всё работает на уже реализованных в программе принципах.

Единственно, что нужно это таймер.

[PR55.RP55 83]

1) uVS  не удаляет системные политики.

Твики не работают.

---------

А вот такой вариант работает:

begin RegKeyDel('HKEY_LOCAL_MACHINE', 'Software\Policies\Google\Chrome'); RegKeyDel('HKEY_CURRENT_USER','Software\Policies\Google\Chrome'); DeleteFile('C:\Windows\system32\GroupPolicy\GPT.ini', '32'); DeleteFileMask('C:\Windows\system32\GroupPolicy\Machine', '*', true); DeleteDirectory('C:\Windows\system32\GroupPolicy\Machine');RebootWindows(false);end.

Предлагаю сделать _усиленный вариант твика !

-----------

2) Команды на удаление программ такие как:

 

exec32 C:\Program Files (x86)\WebBars\uninstall.exe

 

Часто не работают.

 

----------

Предлагаю реализовать принудительное удаление.

В меню uVS добавляется команда: "Принудительное удаление программы "

т.е. Удаление ключей реестра; файлов; каталогов.

-------

Оценивается  есть/нет ЭЦП  у  uninstall.exe//msi

А) Выгружаются все элементы этих программ.

- Учитывается ЭЦП файлов/процессов. ( совпадение ЭЦП )

- Учитывается путь до файла ( например C:\Program Files (x86)\WebBars\***********.exe//dll...

Б) Удаляются ссылки на - как имеющие отношение к самой программе так и к файлам программы.

В) Удаляются сами файлы ( при невозможности удаления - удаление производится после перезагрузки системы )

Г) Удаляются каталоги.

 

3) В списке установленных программ писать ЭЦП/производитель.

инфо. брать из uninstall. и/или файлов каталога где расположен uninstall.

 

4) В конце концов начать работу с toolbars  и расширениями браузеров !

сейчас 50% всех проблем связано с ними.

Internet Explorer toolbars

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\%GUID%\
• \SOFTWARE\Microsoft\Internet Explorer\Toolbar\%GUID%
• HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\Explorer\%GUID%
• HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ShellBrowser\%GUID%
• HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\%GUID%

 

Internet Explorer extensions

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extension\%GUID%
• HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extension\%GUID%
• HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Extension\%GUID%
• HKEY_CURRENT_USER\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Extension\%GUID%

Поисковые системы Internet Explorer

 

"HKLM/HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes"

 

-------------------------------------------------------------

 

Mozilla Firefox extensions

 

( ну... разные есть версии браузера/движка )

 

 

HKEY_CURRENT_USER\Software\MozillaPlugins\plugin-id
HKEY_LOCAL_MACHINE\Software\MozillaPlugins\plugin-id

 

 

HKEY_CURRENT_USER\Software\Vendor\Name\Extensions
HKEY_LOCAL_MACHINE\Software\Vendor\Name\Extensions

 

 

HKEY_CURRENT_USER\Software\Mozilla\Firefox\Extensions
HKEY_CURRENT_USER\Software\Mozilla\Thunderbird\Extensions

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Thunderbird\Extensions

 

--------------

%appdata%\<vendor>\Extensions\<appid>\

 

%appdata%\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\

 

--------------

 

For x86-based computers:

HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions

For x64-based computers:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions

 

 

For x86-based computers:

reg DELETE "HKLM\SOFTWARE\Mozilla\Firefox\Extensions" /v "{27a82645-c095-46ed-80e3-08825760534b}" /f

For x64-based computers:

reg DELETE "HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions" /v "{20a82645-c095-46ed-80e3-08825760534b}" /f

 

--------------

reg DELETE "HKLM\SOFTWARE\Mozilla\Firefox\Extensions" /v "{27a82645-c095-46ed-80e3-08825760534b}" /f
reg DELETE "HKLM\SOFTWARE\MozillaPlugins@*******.com/WPF,version=3.5" /f

--------------

 

 

 

 

[mike 1 57]

А вот такой вариант работает:

 

C:\Windows\SysWOW64\GroupPolicy\Machine

 

Тогда нужно добавить удаление и этой папки для 64 разрядных систем.

[PR55.RP55 83]

mike 1

Так напишите !

-----------

 

Если у demkd мало времени нужно найти сведения по всем основанным браузерам их расширениям/поисковым системам.

Значениям реестра и путей до файлов.

И здесь написать.

- Может ещё чего...

[mike 1 57]

PR55.RP55 я uVS не так часто использую в лечении. Я просто немного дополнил ваш пост, потому что мне встречались темы, где политика для Chrome была прописана в этой папке. Да и я все таки больше предпочитаю использовать Farbar чем uVS. 

[PR55.RP55 83]

mike 1

 

------

Я тут

Написал статейку по Farbar +

http://forum.esetnod32.ru/messages/forum9/topic11806/message83547/?result=edit#message83547

- Может будет полезна - ?

--------

 

Было бы хорошо реализовать закладки и в uVS 

 

Для чего:

1) Удалить выделенные объекты. ( команда на удаление - только для скрипта !! )

2) Обратить в. объекты.

3) Проверить в. на V.T.

4) Все в.проверенны.

 

5) Добавить сигнатуры в.  в базу ( под одним наименованием )

6) Проверить ЭЦП

 

и т.д.

Такой подход значительно ускоряет обработку списка.

[mike 1 57]

Может будет полезна - ?

Не думаю. У меня все вот так сделано, да и вопрос разработчику Farbar я могу задать если мне что-то непонятно.

 

[PR55.RP55 83]

1) Реализовать...

 

------------

В ряде случаев uVS в инфо. пишет:

 

"Сертификат аннулирован"

-------------

Сделать так, чтобы...

Оператор мог _сам подключить файл/ список аннулированных ЭЦП.

и видел в инфо.:  Сертификат аннулирован _оператором.

-----

Соответсвенно файл попадает в подозрительные.

[PR55.RP55 83]

Сейчас актуальна проблема шифраторов.
В связи с чем предлагаю...
Оператор должен иметь возможность видеть есть теневые копии, или нет: 
http://www.outsidethebox.ms/13764/#_Toc328869241

cmd:  vssadmin list shadows

[PR55.RP55 83]

1) Предложение.

 

Реализовать твик для зачистки от отсутствующих: " Task File "

Пример:

Task: {031EE14D-338E-4272-89F1-352F6EB162A8} - \Driver Booster SkipUAC (user) No Task File <==== ATTENTION
Task: {B247D36B-F9A0-447C-8D37-416782AC6B03} - \WinZipDriverUpdaterRunAtStartup No Task File <==== ATTENTION
Task: {BF944475-693A-443F-B9D6-E77C4261C4EA} - \Uninstaller_SkipUac_user No Task File <==== ATTENTION
Task: {D51C15CA-6CD9-4C2A-994D-95124F56A277} - \VKSaverUpdate No Task File <==== ATTENTION
Task: {E2D75554-F204-4A77-B0E7-5E7A55153BD1} - \{CE0B26D7-A051-4DE9-973F-4B53EDF700AF} No Task File <==== ATTENTION
Task: {01035D09-861D-4474-B628-148CE3D3FA14} - \462b26c4-fed9-4a46-8038-2b960b2536e9 No Task File <==== ATTENTION
Task: {0A605A77-AB74-4E85-BFF2-C63018409852} - \{8DE8B879-4B38-4A12-8AD6-D0FE3E5EE0A2} No Task File <==== ATTENTION
Task: {1122B85A-0249-4F96-9E51-CC0827DB6994} - \db114603-5153-4b2b-9258-f4f9ba957f63-1 No Task File <==== ATTENTION
Task: {47BABECC-0005-4CE4-AF33-F50EA72F91C4} - \db114603-5153-4b2b-9258-f4f9ba957f63-7 No Task File <==== ATTENTION
Task: {4DFB83CC-56B6-45F4-9723-72182F77B835} - \{CCE86799-B1E6-475D-BDC9-FFC234CE96C7} No Task File <==== ATTENTION
Task: {5F4E58EC-56A2-421C-B692-A03E29ADD13B} - \db114603-5153-4b2b-9258-f4f9ba957f63-2 No Task File <==== ATTENTION
Task: {9646F873-9CF6-4BBD-97F6-7ECE22D8AF0B} - \{1B6967E4-F248-430C-990A-7AA58F0A7153} No Task File <==== ATTENTION
Task: {9E057AFA-4F8F-4ED4-AFE9-E89CE56BDE4D} - \db114603-5153-4b2b-9258-f4f9ba957f63-3 No Task File <==== ATTENTION
Task: {AA9E446E-C118-40B5-BB93-84AF4C7463A7} - \db114603-5153-4b2b-9258-f4f9ba957f63-5 No Task File <==== ATTENTION
Task: {B52412F0-4527-49D3-A053-858637FC8E1F} - \{3D268319-A385-4BFD-B921-C8BDC910BFDA} No Task File <==== ATTENTION
Task: {DCA076FC-E3B6-4547-B3D7-FC193F24F931} - \db114603-5153-4b2b-9258-f4f9ba957f63-6 No Task File <==== ATTENTION

 

Чем больше мусора - тем больше тормозов.

------

Или очищать при применении команды: delnfr

[demkd 638]

@PR55.RP55,

delnfr это и делает.

[PR55.RP55 83]

Demkd

Точно ?

----------

Я бы проверил...

Почистил uVS

А потом посмотрел отчёт в: http://www.cyberforum.ru/viruses-faq/thread1362245.html

------

И программу которая отправляет отчёт о падениях uVS стоит проверить.

Умышлено создать ошибку и посмотреть что будет.

[demkd 638]

@PR55.RP55,

работает точно.

[PR55.RP55 83]

Всё таки критерии нужно разделить.

 

1) Критерии: УВЕДОМЛЕНИЯ.

т.е. файл/объект помечается, как подозрительный...

НО...

При применении Автоскрипта НЕ удаляется.

 

 

2) Критерии  УДАЛЕНИЯ.

т.е. файл/объект помечается, как подозрительный...

И...

При применении Автоскрипта Удаляется.

------

Тогда не будет проблем с: " Ложными определениями "

- так, как если критерий невозможно точно настроить, или это новый критерий и он нуждается в доп.

отладке - то, оператор его переводит в режим УВЕДОМЛЕНИЯ.

Это решает множество проблем и открывает новые возможности.

 

3) По поводу команды: " Удалить все файлы в текущей категории с учётом фильтра "

 

Само собой, что все известные/системные файлы/ссылки  должны быть защищены от действия этой команды.

в uvS уже есть механизм защиты известных/системных файлов.

Реализовать защиту в том числе и от DEL - при применении автоскрипта = УДАЛЕНИЯ.

[PR55.RP55 83]

1) Браузер -расширения; группировка объектов по дате.

пример:
Браузер установлен 20.01.15
В состав Хрома по умолчанию входит ряд расширений.
Значит расширения:
Х1 = 20.01.15
Х2 = 20.01.15
Х3 = 20.01.15
Х4 = 20.01.15
Х5 = 20.01.15
Установлены вместе с браузером.
---
Команда: " Фильтр по дате. ( 20.01.15 ) "
- В списке остаются только предустановленные расширения.
- Далее применяем команду: "Скрыть с учётом фильтра "
- Работаем с оставшимися объектами.
--------
т.е. Оператор открывает инфо. одного из предустановленных расширений.
хлопает мышой по дате и выбирает в меню команду: "Фильтр по дате."

[demkd 638]

фильтр по дате уже сто лет как реализован

[PR55.RP55 83]

фильтр по дате уже сто лет как реализован

Да я в курсе. 

Речь о экономии времени.

- Не надо настраивать...

Выбрал в инфо. нужную дату...

и готово.

[Виктор Коляденко 6]

Минимальный поиск самых подозрительных файлов по дате - искать в папке System32\drivers файлы, созданные за последние полгода.
З.Ы. Слегка подозрительный файл - скан оригинальный мой:

https://www.virustotal.com/ru/file/03cbe6df7f5605a3659ffe27a1184a8d9066436a17d7bac9cceb122de74f69ae/analysis/1429289866/,

и найденный по хешу:

https://www.virustotal.com/ru/file/03cbe6df7f5605a3659ffe27a1184a8d9066436a17d7bac9cceb122de74f69ae/analysis/1425050081/.

Графа "Имена файлов" особенно удивляет, а так это драйвер из SysWOW64\drivers.

[PR55.RP55 83]

1) По wdsl = белый список.

 

Предложение.

Если будет совпадение: wdsl   и  " Сертификат аннулирован "

то, автоматически удалять соответствующую запись из wdsl.

[demkd 638]

@PR55.RP55,

это глупо, тот же рилтек туча чистых рабочих дров с аннулированым сертификатом, кто точно уверен что делает сам удалит, это не трудно.