uVS - оффтопик

[PR55.RP55 78]

http://www.herdprotect.com/stuxnet.exe-4bb...73fdcca85e.aspx

[santy 149]

Программный код творишь

Опутан проводами

Замученный делами

День и ночь сидишь.

Разблокировать систему,

Алгоритм создать,

В своём деле просто гений!

Он не умеет отдыхать!

Комп отодвинь!

Рискни оставить Vista

У тебя — День программиста!

[santy 149]

объявляется конкурс на лучший скрипт в uVS по текущему образу.

скрипт постить в отдельный файл.

7_TECH_2014_12_09_13_02_41.7z

7_TECH_2014_12_09_13_02_41.7z

[akoK 75]

santy, в чем соль?

[santy 149]

akok,

соль будет в самом скрипте, кто как мыслит решить проблему заражения системы на примере данного образа средствами uVS

скрипт может получиться длинным или коротким, с применением различных методов удаления зловредов, которые заложены в uVS.

[mike 1 57]

Получилось вот так только папки уже лень было зачищать.

3.txt

3.txt

[PR55.RP55 78]

Santy

Да...

Скрипт я от н** делать написал.

Выкладывать пока не буду.

---

А образ милый.

Там и вирусы разных типов, и модификация ими реестра.

И десятки разных ADWARE

И HIPS +

И модификация ярлыков.

И даже вроде как Майнер...

Левые расширения в браузере.

И Сетевой мухлёж разных типов.

И исполняемые файлы всех типов.

[santy 149]

RP55, тут дело добровольное, не хочешь - не выкладывай,

я тоже не все зачищал из бат файлов, только для основных браузеров

примерно такое.

am_script.txt

am_script.txt

[PR55.RP55 78]

Вот вот этот зловредный тип.

Но, в _реальной обстановке я бы скрипт не стал писать.

Сначала всё сканерами прибить, а что останется - то, уже uVS.

( здоровье оно дороже )

_______111.txt

_______111.txt

[santy 149]

С Наступающим Новым 386 uVS!

[PR55.RP55 78]

С годом Ка:

И с наступающим и с наступившим !

[PR55.RP55 78]

А вот интересно, новый жуткий; вызывающий оторопь вирус "недавно" найденный Kaspersky

Для жёстких дисков...

Интересно файл сверки в uVS его сможет выявить ?

[Vvvyg 12]

Интересно файл сверки в uVS его сможет выявить ?

Если коротко - нет.

[PR55.RP55 78]

Его вообще реально найти и как это можно сделать ?

[alamor 69]

@PR55.RP55, если прочитать внимательно новость, то можно заметить, что распространение этого вируса относительно малое и заражает он машины избирательно. Так что вероятность, что в живой природе встретите такую машину очень низкая.

Встретить бесфайловый вредонос вероятность думаю намного выше. А uVS его тоже скорее всего не заметит.

[santy 149]

конкурс на лучший автоскрипт.

используем сигнатуры, критерии, ручные команды очистки.

 

123-ПК_2015-01-15_16-19-22.7z

123-ПК_2015-01-15_16-19-22.7z

[mike 1 57]

Как-то так получилось.

1.txt

1.txt

[santy 149]

mike_1,

все команды отданы вручную, без автоскрипта?

 

с критериями и сигнатурами будет как то так.

- здесь конечно в том, что блок deldirex надо смещать ниже блока деинсталляций.

 

new_scr.txt

 

 

 

 

new_scr.txt

[PR55.RP55 78]

И без всяких сигнатур.

Вычищает 95% всего.

а, что осталось то руками.

 

[mike 1 57]

mike_1,

все команды отданы вручную, без автоскрипта?

Я не пользуюсь автоскриптом. Критерии использую, но не использую при этом автоскрипт. Сигнатуры у меня в основном для шифраторов созданы. 

[santy 149]

Я не пользуюсь автоскриптом. Критерии использую, но не использую при этом автоскрипт. Сигнатуры у меня в основном для шифраторов созданы.

 

мы используем, и стремимся развить автоскрипт, чтобы среднестатистичные проблемы, которых порядка 50% (исключая шифраторы) решались автоматически, практически в фоновом режиме. открыл образ, выполнил 1-2 манипуляции с объектами, запустил автоскрипт, получил на выходе текст скрипта, передал его пользователю для выполнения, по необходимости выполнил контроль по логу.

 

по шифраторам сигнатуры работают по ctblocker.

по xtbl (csrss.exe) сигнатура будет фолсить, потому csrss.exe лучше детектировать через критерий.

по VAULT там по сути нет вредоносной программы, svchost.exe после завершения шифрования, или аварийной перезагрузки безопасен для системы и документов.

[santy 149]

небольшой пример (на uVSCamera) работы с автоскриптом

 

Project001.rar

 

+

пример2

http://rghost.ru/6KzPC4ZLj

Project001.rar

Отредактировал Май 4, 2015 santy

[PR55.RP55 78]

Вот, файловые критерии: http://www.anti-malware.ru/forum/index.php?showtopic=23751&page=9#entry184760

 

Думаю прописать путь до файлов труда не составит.

 

- Можно протестировать на выше приложенном santy образе.

 

И написать какой результат/впечатление

[santy 149]

новый образ в качестве упражнения для анализа заражения и примера для создания скрипта.

 

004F17546C544C2_2015-08-02_19-09-49.7z

004F17546C544C2_2015-08-02_19-09-49.7z

[santy 149]

+

новый образ в качестве упражнения для анализа заражения и примера для создания скрипта.

 

LANOS_2015-09-16_13-04-31.7z

LANOS_2015-09-16_13-04-31.7z