Очистка пользовательских временных каталогов

[demkd 622]

santy

комодо конечно хороший фаер, а вот антивирь его сигналит почти всегда мимо, так что тут у него чистое везение

TODO а означает что программер поленился и не заполнил соотв. поля, т.е. это говорит о том что софт одноразовый и писан скорее всего на коленке.

PR55.RP55

Как бы никакой антивирус уже и не может ловить больше 90% 0-day... масса зловредов растет, компании физически не справляются с потоком, большинство просто валят в базы все подряд и потому еще как-то держатся (не будем показывать пальцем). А правильно написанный троян тихий и спокойный, не прокалывающийся на мелочях типа самостоятельного выхода в сеть может без проблем избегать детекта годами, а с подписью так и вообще может весь срок действия сертификата прожить.

[g0dl1ke 26]

пора антивирусным компаниям отстегивать автору uvs

[PR55.RP55 82]

Зверюку данной модификации впервые нашли.

Клиенты использующие систему «iBank 2», а это 650 тысяч корпоративных и более 450 тысяч частных клиентов (согласно интернет-порталу www.bifit.com) в России и 300 тысяч корпоративных и более 145 тысяч частных клиентов в Украине,

Эксперты вирусной лаборатории ESET обнаружили новую версию банковского трояна Carberp.

Основной целью новой версии Carberp является модификация программного комплекса iBank 2

Если вспомнить сколько было заражений связанных с Котиком ( Carberp )

то можно прийти в Ужас...

Должны быть десятки и даже сотни НЕ выявленных зверей > случаев заражения.

Поднять образы с форумов и посмотреть...

[santy 153]

это надо смотреть темы с Spy.Banker, но таких на моей памяти было немного на форуме. (по крайней мере у нас. на других не знаю, но там и образов скорее всего нет )

[Angel-iz-Ada 0]

а с подписью так и вообще может весь срок действия сертификата прожить

[PR55.RP55 82]

это надо смотреть темы с Spy.Banker,

Это в случае, если стоит анти-зверь от: ESET; COMODO или возможно Dr.Web

Во всяком случае с идентификацией нового вида совсем хреново...

[PR55.RP55 82]

Форумы где регулярно или периодически применяют uVS

adminplanet.ru

tehnari.ru

pchelpforum.ru

daryi.ru

virusinfo.info

forum.ixbt.com

pc-forums.ru

forum.esetnod32.ru

forum.oszone.net

cyberforum.ru

safezone.cc

sonikelf.com

kompasnet.org

P.S. Для общего развития.

[Vvvyg 12]

PR55.RP55, имхается мне (С), что daryi.ru - это алиас pchelpforum.ru

[santy 153]

Форумы где регулярно или периодически применяют uVS

RP55, а на зарубежных форумах работают с uVS?

[PR55.RP55 82]

Видимо нет.

На majorgeeks.com года 3 назад был небольшой комментарий: " есть такая программа uVS - да, а чего и зачем ? Вот увидел такая есть, заинтересовала но непонятно, как с ней работать.

Ну и ладно... "

И на этом всё.

[alamor 69]

Видно отпугнуло отсутствие нормальной документации

[g0dl1ke 26]

14 файлов, 4493 строки текста - этого мало?

[alamor 69]

g0dl1ke

1) В англ. варианте всего 6 файлов, кол-во строчек не считал, оценивать качество справки аналогично индусскому коду считаю неправильным.

2) В этой справке нету нормального описания работы команд и т.д. Даже по словам santy, для того чтобы научиться работать с uVS кроме этой справки надо-либо постоянно спрашивать разработчика в режиме вопрос-ответ, либо кого-то кто уже научился работать с утилитой.

Освоить uVS несложно. В течении месяца, при наличии активной практики, и консультанта, который поправляет и исправляет ошибки по ходу работы на примере работы типовыми образами.

[PR55.RP55 82]

alamor

Так напишите справку.

Все вам скажут спасибо !

[g0dl1ke 26]

хм, я перечитал справку и вник в принцип работы программы

да, я еще многого не понял, но для текущих задач хватает и текущих умений

[santy 153]

g0dl1ke

1) В англ. варианте всего 6 файлов, кол-во строчек не считал, оценивать качество справки аналогично индусскому коду считаю неправильным.

2) В этой справке нету нормального описания работы команд и т.д. Даже по словам santy, для того чтобы научиться работать с uVS кроме этой справки надо-либо постоянно спрашивать разработчика в режиме вопрос-ответ, либо кого-то кто уже научился работать с утилитой.

alamor, в данном случае я имею ввиду некоторую сетевую технологию передачи опыта работы с uVS. Идет она, конечно, от разработчика. Программа, документация, консультирование. ДАлее, уже кто более-менее (на практике) освоил uVS консультирует новых участников процесса.

Вы же разобрались с работой uVS? понадобился вам для этого опытный консультант?

[PR55.RP55 82]

По инструкции к программе.

Предлагаю для начала сформировать список.

Например:

1) Что такое uVS

2) uVS и командная строка

3) Работа с реестром

4) Удаление Dll + Процесс

5) Последовательность применения команд.

6) Общие принципы поиска/выявления угроз.

7) Формирование критериев поиска - их роль в выявлении угроз.

8)

9)

10)

***

После этого можно дать каждому желающему по 2 пункта списка для написания инструкции.

В качестве источника использовать: Doc ; Инфо. с форума/форумов; собственные мысли/наработки ( прошедшие проверку временем/практикой )

Затем полученная инструкция объединяется > перечитывается.

Исправляется/дополняется.

И в итоге создаётся uVS.chm документ.

Который распространяется с программой.

И примерно каждые 6 месяцев обновляется/корректируется.

[demkd 622]

PR55.RP55

хотите делайте, а я пас

[Angel-iz-Ada 0]

это очень долгая и кропотливая работа. да и желательно чтоб один человек это все расписал, а потом несколько других исправили\дополнили мануал

[santy 153]

непонятно кому (и к чему) нужна детальная документация к программе. Тот же ВирусИнфо или СейЗоне, как работали на AVZ, так и будут продолжать работать, а uVS будут использовать в том случае, когда AVZ в упор не видит зловредов.

А кто захочет научиться работать с uVS - или самостоятельно разберется (по докам что есть сейчас и обновляются), или с помощью скриптов уже готовых и образов, которых полно на форумах, надо только аккуратно все читать и проверять на тестовой машине.

А написание детального мануала надо оставить автору, если у него будет когда нибудь желание это сделать. Чтобы было пользой для проекта.

[PR55.RP55 82]

Новый тип блокировки ресурсов.

" Перестали обновляться базы антивируса"

" Не могу попасть ни на один сайт с антивирусами "

" ping : "Общий сбой". "

В uVS нет информации.

Пример:

http://rghost.ru/48164173

Применение команд:

dnsreset

winsockreset

Не даёт результатов.

----------

Решение:

Политики безопасности.

" Заходим в Пуск->Выполнить и вводим команду mmc. Откроется консоль, где надо зайти в Файл->Добавить или удалить оснастку.

Выбираем в левом списке: Управление политикой IP-Безопасности, Добавить, Готово, ОК. Теперь видим, что в корне консоли появилась добавленная нами оснастка.

Открываем её, и удаляем из неё все элементы.

В Данном случае это - элемент ”default”, в котором прописан огромный список IP-адресов сайтов, включая сайты антивирусов.

----------

Уже зафиксировано несколько аналогичных случаев.

----------

Сможет, ли uVS решать данную проблему ?

[santy 153]

видимо импортируется настроенная политика безопасности IP. можно пробовать восстановить политику по умолчанию.

http://www.manhunter.ru/software/488_bloki...zopasnosti.html

[demkd 622]

>Сможет, ли uVS решать данную проблему ?

24-й твик при наличии копии, но да таки надо в лог добавлять ipsec.

[santy 153]

24-й твик при наличии копии, но да таки надо в лог добавлять ipsec.

demkd, имеется ввиду дефолтная копия политики или копия реестра?

[demkd 622]

santy

реестра