Flame - очередное кибероружие
Автор
A., в Общий форум по информационной безопасности
Объявления
-
Сообщения
-
От santy · Опубликовано
RP55, 1. критерии - это те же самые фильтры, и потому команды удаления, реализованные в критериях - это тоже самое удаление с учетом конкретного фильтра. В snms их может быть много, и uVS строит автоскрипт согласно множеству фильтров одновременно, а не так как ты предлагаешь: один фильтр поднять, удалить все.... второй фильтр поднять - удалить все и т.д. 2. если тебе нравится удалять по хэшам, ты можешь создать критерий black_sha, и вести список черных хэшей в отдельном файле. надеюсь, как подключить файл к критерию ты еще не забыл. никто изначально и не обещал, что будет легко работать с uVS - только те, кому интересно не просто быстро удалять файлы, но и в первую очередь выполнить анализ заражения системы в комплексе. Зачастую же на форумах выполняют удаление вначале одним, потом вторых и третьим инструментом, (а иногда еще и сканерами) и только когда проблема не решается, тогда делают образ автозапуска в uVS, в итоге проанализировать всю картину заражения в комплексе (и сделать какие то полезные выводы и решения) становится сложнее по тем остаткам, что попадут в образ автозапуска. процент применения инструментов на форумах, если он такой какой ты его привел здесь не отражает адекватно тот факт, что инструменты FRST, avz удобнее в анализе или удалении, чем uVS. Скорее всего, это отражает привычку тех или иных форумов работать по определенной методике. avz +hj + скрипты + (adwcleaner) +FRST или uVS + скрипты+ (adwcleaner)+FRST и если добавить команду "удалить текущий файл и всю его "родню"", на процент применения инструментов на форумах это не повлияет. --------------- так что в основном твои предложения сводятся к созданию еще одного удалятора вредоносных программ, которых сейчас предостаточно, вместо реального поиска проблем и анализа, который можно сделать в uVS. -
От PR55.RP55 · Опубликовано
Как мы выше выяснили, не все файлы которые нужно удалять являются исполняемыми. Не для всех файлов возможно добавление сигнатур - как мы помним из опыта в ряде случаев в код вируса намеренно добавляется код системных файлов - что приводит к ложным срабатываниям. Если у файлов идентичные SHA1 - сигнатуры не нужны так, как определение по SHA1 - надёжнее. Не все операторы работают с сигнатурами - это занимает больше времени - требуется проверка по V.T. с целью определения типа угрозы, нужно прописать наименование угрозы, если нет результата по V.T. ; необходимо проверить список и исключить ложные срабатывания, если же корректировка невозможна то приходиться параллельно работать с сигнатурами + удалять файлы в ручную, или через поисковые критерии\автоскрипт. таким образом изначально простое действие превращается в целый набор операций. Если бы удаление работало по типу: " Удалить все объекты с учётом фильтра " было бы ещё проще. Удалить все: .bat Удалить все: .info.hta Удалить все: .TMP Удалить все: .HTTP и т.д. Если есть опасение за целостность системы - можно установить заглушку на удаление по типам расширений. uVS _избыточно требовательна к оператору. Как итог 75% всех случаев заражения это очистка в FRST и 12% в AVZ на долю uVS приходиться ( как это ни печально ) 5% -
-
От PR55.RP55 · Опубликовано
"времени на раскачку нет" https://forum.kasperskyclub.ru/index.php?s=35fdc94435f2493d0ac8d0282ba035f4&showtopic=64721 HKLM\...\Run: [1corona.exe] => C:\Windows\System32\1corona.exe [94720 2020-02-14] () [File not signed]
C:\Windows\System32\1corona.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-16] () [File not signed]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
Startup: C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-16] () [File not signed]
C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
Startup: C:\Users\dostyp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-14] () [File not signed]
C:\Users\dostyp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
2020-02-16 17:22 - 2020-02-16 17:22 - 000094720 _____ C:\Users\Dmitriy\AppData\Roaming\1corona.exe
C:\Users\Dmitriy\AppData\Roaming\1corona.exe ------------------ А в uVS это была бы одна команда.... " Удалить файл и все родственные файлы" -
От dompokypok1 · Опубликовано
Работаю над проектом интернет-магазина вроде все урезал ужал и жаль что еще можно сделать.
-