Universal Virus Sniffer (uVS), Вопросы разработчику - Страница 50 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

santy

залейте образы на нормальный обменник (http://rghost.ru), показывает размер архива 0байт

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

JunDF, посмотрите эти ключи в реестре в исследуемой системе:

HKLM\Software\Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32\

HKLM\Software\Classes\CLSID\{D5DE8D20-5BB8-11D1-A1E3-00A0C90F2731}\InprocServer32\

что там прописано.

в 3.75 они не попадали в образ автозапуска. добавлены в 3.76.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
JunDF

Выбрал "Очистить корзину, удалить временный файлы, затем удалить ссылки на отсутствующие", после этого ссылки были удалены и UVS больше не ругался на них.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

по новому варианту dorkbot.b

----

Полное имя C:\USERS\ZAK963\APPDATA\ROAMING\LGXYXJ.EXE

Имя файла LGXYXJ.EXE

Тек. статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Сохраненная информация на момент создания образа

Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Инф. о файле Не удается найти указанный файл.

Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Путь до файла Типичен для вирусов и троянов

Ссылки на объект

Ссылка HKEY_USERS\S-1-5-21-2343441232-3266300291-82532514-1000\Software\Microsoft\Windows\CurrentVersion\Run\Lgxyxj

Lgxyxj C:\Users\Zak963\AppData\Roaming\Lgxyxj.exe

не хватает строковых функций, типа SUBST, LEN чтобы связать эти данные в надежный критерий. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

santy

надежный тут наверное все равно не получится :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

пока по множеству тем не вижу исключений из такого правила:

ссылка~SUBST([имя файла],1, LEN[имя файла]-4)

:).

----------

маловато конечно, может быть и ложняк для других объектов :).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

можно сделать так, чтобы uVS рассматривал текстовый лог, который формируется при создании образа автозапуска как дополнительный объект автозапуска? Чтобы можно было создавать критерии по вхождению тех или иных подстрок в данное текстовое поле?

это решило бы по детектированию с помощью критериев ряда проблем, которые иногда бывают не замечены (пропущены) при ускоренном (беглом) формировании скриптов.

---------

например:

вхождение таких подстрок, как

(!) Обнаружен сплайсинг: NtQueryDirectoryFile

(!) Обнаружен сплайсинг: LdrLoadDll

(!) Обнаружен сплайсинг: NtEnumerateValueKey

указывает на вероятность заражения тем же Dorkbot.B

The worm hooks the following Windows APIs:

ZwEnumerateValueKey (ntdll.dll)

ZwQueryDirectoryFile (ntdll.dll)

NtEnumerateValueKey (ntdll.dll)

http://www.virusradar.com/en/Win32_Dorkbot.B/description

так же можно было бы отслеживать зараженный хостс,

наличие статических маршрутов,

блокирование regedit, taskmgr

и другое.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

santy

подумаю, пока времени нет, ибо я в процессе расставания со своим текущим роботадателем, а после 23-го буду полностью свободен и время на uVS скорее всего появится тогда и подумаю :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Есть:

C:\PROGRAM FILES (X86)\NVIDIA CORPORATION\3D VISION\

В подозрительных.

Применяем команду: Статус > Все файлы в каталоге и подкаталогах проверенные.

Где Результат ?

см. Образ ANDREY-PC_2012-10-15

2) По: WMIPJOBJ.DLL

Записи для:

DEN-001_2012-10-04

" ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Синтаксическая ошибка в имени файла, имени папки или метке тома.

проверка не производилась"

Для:

TATSIANA-PC_2012-10-13

ПОДОЗРИТЕЛЬНЫЙ в автозапуске

The filename, directory name, or volume label syntax is incorrect.

проверка не производилась.

С чего вдруг ?

Смотрим: rghost.ru/40962543

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
g0dl1ke

по WMIPJOBJ.DLL в свежей версии usv этот файлик всегда подозрителен, хотя при осмотре - имеет цифровую подпись майкрософт и vt рапортует о чистоте

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
по WMIPJOBJ.DLL в свежей версии usv этот файлик всегда подозрителен, хотя при осмотре - имеет цифровую подпись майкрософт и vt рапортует о чистоте

Да, этот вопрос тоже нужно проработать.

___________________________________

Я обратил внимание, что в русской версии встречается вставка на английском.

то русский - то английский.

просто удивительно.

В образах это ясно видно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
JunDF

Возможно ли добавить в твик "восстановление winlogon" удаление параметров HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ userinit.exe и HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ explorer.exe

?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
g0dl1ke

зачем? правой мышкой на ntsd - удалить все ссылки на объект

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
JunDF

Столкнулся с зараженным компьютером, вычистил всю заразу. Изучив все вкладки uVS ничего подозрительного не нашел.

После перегрузки компьютер дальше экрана приветствия не грузился в любых режимах. Загрузился с LiveCD и uVS сразу выделила зловредную запись в HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ userinit.exe, удалив ее компьютер загрузился нормально.

Но она не была обнаружена при лечении из зараженной системы. Твик, который бы очищал эти значения реестра позволил бы не использовать LiveCD в этом случае.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

в таком случае нужен образ автозапуска для полноты картины. возможно, какая то другая (вредоносная) программа была прописана в отладчики в данных записях реестра.

------------

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
JunDF

santy, скинул вам в личку ссылку на зловред. Подскажите, как его правильно удалять в WinXP, чтобы загрузка системы не портилась.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

JunDF,

здесь проблема в том, что процесс данный вредоносный защищен, и автоматически удаляется только после перезагрузки.

защищен так же и ключ, (имя вредоносной программы меняется после повторной установки).

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe]

"Debugger"="dnseoplay.exe"

при активном зловреде удаленный параметр Debugger восстанавливается вместе со своим значением,

поэтому, имхо, удалять лучше с использованием безопасной виртуализации.

;uVS v3.76 script [http://dsrt.dyndns.org]

;Target OS: NTv5.1

OFFSGNSAVE

zoo %Sys32%\DNSEOPLAY.EXE

addsgn 71D15A48176AB1F90E9F7AF3644DD2716C26ADB689732A035581C5851CF251312C5C4A5A6885DF49

A2B5A94F0416A2EFF4C2B3A217DA39293FA6E62FA1C127A8 8 tr.0628

sreg

delref %Sys32%\DNSEOPLAY.EXE

areg

в этом случае, вредоносный файл исключается из автозапуска, удалением вредоносной ссылки, но остается в системе, его (тело) можно руками удалить или повторным скриптом.

-------------

добавляю.

при таком удалении данного зловреда имеем описанную выше проблему

delall %Sys32%\LOGONGWIN.EXE

--------------------------------------------------------

Удаление ссылок и самого файла: C:\WINDOWS\SYSTEM32\LOGONGWIN.EXE

Запуск служб блокирован

Построение списка процессов и модулей...

Сбор дополнительной информации...

Остановка сервисов и выгрузка драйверов...

Завершение процессов...

C:\WINDOWS\SYSTEM32\LOGONGWIN.EXE будет удален после перезагрузки

Запуск служб разблокирован

Изменено/удалено объектов автозапуска 1 из 1 | Удалено файлов: 0 из 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
JunDF

santy, виртуализация действительно позволяет удалить этот зловред без проблем после перезагрузки. Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
atwinny
Win 7 x64 HB uVS вылетает с ошибкой через 5 секунд после нажатия кнопки Запустить под текущим пользователем:

та же проблема :(

пишет "анализ автозапуска" и вылетает.

Отредактировал atwinny

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

atwinny

я пока причин такого поведения программы не нашел, хорошо бы полню копию реестра мне получить (снятую например erunt-ом)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Время от времени попадаются, логи uVS где сам файл лога не просто упакован, а спрятан в подкаталоги. В следствие ошибка открытие лога uVS если указать архив (нужно вручную распаковывать логи потом указывать его программе). В приведённом ниже логе он упакован: Архив.rar\Users\UserName\Лог.txt

http://rghost.ru/41315965

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg

В 3.75 и более ранних версиях Winrar запускался на упаковку образа в т. ч. с ключом -ep1, в текущей этот ключ отвалился. Может, благодаря мне...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) По Win.rar поддерживаю.

В новой версии необходимо изменить параметры.

Распаковывать когда образ 5-ть раз завёрнут... :facepalm:

2) Для борьбы с зверями приходиться пользоваться доп. протезами.

В силу того, что uVS не справляется с задачей.

Соответственно необходимо предпринять шаги к разрешению ситуации !!

Смотрим тему: forum.esetnod32.ru/forum6/topic7488/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×