Universal Virus Sniffer (uVS), Вопросы разработчику - Страница 73 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

santy

можно в логах вызвать контекстное меню и добавить хэш загрузчика в базу проверенных, если уверены что чистый загрузчик

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zzkk
Как вариант проверить этот загрузчик на VT.

Как?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

zzkk

Так:

http://rghost.ru/59352086

-------

Вы вначале изучите программу - потом спрашивайте.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mike 1
Как?

F4QlFXn.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
arraga
Бывает ли так, что загрузчик программе неизвестен, но на самом деле не заражен ничем (предполагаю, что машина чистая)?

Я вот тоже, когда прогу только начал юзать, часто задавался таким вопросом - постоянно пишет, что мол загрузчик неизвестен, то сё.. Но с другой стороны - НИКОГДА эти предупреждения о неизвестных загрузчиках (я говорю о своей практике) ни разу не привели к негативному исходу. Эмпирически я сделал вывод - по.уй эти уведомления. Прошло несколько лет. Прогой пользуюсь каждый день несколько раз. Полёт нормальный. Так правда и не понял, что значат эти загадочные уведомления о загрузчике (а главное, где бы прочитать об этом) - но это и неважно. Мне важно, что прога работает))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg
НИКОГДА эти предупреждения о неизвестных загрузчиках (я говорю о своей практике) ни разу не привели к негативному исходу.

Повезло, буткит не попался. А может, и попался, только Вы его не заметили...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
arraga
Повезло...
Прошло несколько лет. Прогой пользуюсь каждый день несколько раз. Полёт нормальный. Так правда и не понял, что значат эти загадочные уведомления о загрузчике

ЧЯДНТ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

кроме проверки загрузчиков по базе безопасных, есть еще возможность проверки неизвестных загрузчиков по созданным сигнатурам.

примеры зараженных загрузчиков, определенных сигнатурно.

1.

Полное имя IPL NTFS [F:]

Тек. статус ?ВИРУС? ВИРУС загрузчик

Статус ВИРУС

Сигнатура Boo.Cidox.A [глубина совпадения 64(64), необх. минимум 64, максимум 64]

www.virustotal.com 2012-02-24 [2012-02-21 22:20:43 UTC ( 2 years, 9 months ago )]

AntiVir BOO/Cidox.A

BitDefender Rootkit.MBR.Mayachok.B

Сохраненная информация на момент создания образа

Статус загрузчик

Размер 7680 байт

Доп. информация на момент обновления списка

SHA1 160FD4591CF2114409BFDED1F6A162CB77BAFA89

2.

Полное имя MBR#1 [298,1GB]

Статус ВИРУС

Сигнатура Rootkit.MBR.Whistler.B [глубина совпадения 64(64), необх. минимум 64, максимум 64]

www.virustotal.com 2013-01-23 [2011-11-07 18:12:50 UTC ( 3 years ago )]

AntiVir BOO/Whistler

Avast MBR:Whistler-C [Rtk]

BitDefender Rootkit.MBR.Whistler.B

DrWeb Trojan.Hashish.6

Сохраненная информация на момент создания образа

Статус загрузчик

Размер 440 байт

Доп. информация на момент обновления списка

SHA1 2112DEB97137CBCC5710EFED18ADC8F308731CFF

3.

Полное имя MBR#0 [9,5GB]

Статус ВИРУС

Сигнатура MBRLock.C [глубина совпадения 64(64), необх. минимум 64, максимум 64]

www.virustotal.com 2012-07-23 [2012-07-23 09:20:24 UTC ( 2 years, 4 months ago )]

AntiVir BOO/Ransom.AC

BitDefender Rootkit.MBR.Locker.B

DrWeb Trojan.MBRlock.6

Kaspersky Trojan-Ransom.Boot.Mbro.d

Microsoft Trojan:DOS/Ransom.B

Сохраненная информация на момент создания образа

Статус загрузчик

Размер 440 байт

Доп. информация на момент обновления списка

SHA1 CCF2B65A1522D809F9FD2E50DDFFB673F06DBF29

4.

Полное имя MBR#0 [232,9GB]

Статус ВИРУС

Сигнатура Trojan.MBRlock.14 [глубина совпадения 64(64), необх. минимум 64, максимум 64]

www.virustotal.com 2012-08-27 [2012-08-27 08:30:16 UTC ( 2 years, 3 months ago )]

AntiVir BOO/Ransom.AB

Avast MBR:Ransom-A [Rtk]

BitDefender Rootkit.MBR.Locker.B

DrWeb Trojan.MBRlock.14

Kaspersky Trojan-Ransom.Boot.Mbro.d

Microsoft Trojan:DOS/Ransom.A

Сохраненная информация на момент создания образа

Статус загрузчик

Размер 440 байт

Доп. информация на момент обновления списка

SHA1 447F3FC53901C70C0AD577E580A1D56A8010FA6F

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

demkd,

что означает ошибка

Error: [Ошибка номер 12039]

при попытке проверить файлы на VirusTotal?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

alamor

как-то так, а уж почему хз, может прокся совсем уже кривая:

The application is moving from a non-SSL to an SSL connection because of a redirect.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
может прокся совсем уже кривая

Это на виртуалке VMware. Прокси нету, интернет через nat, настройки по дефолту. На хосте проверка на VT работает нормально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

alamor

значит это кривизна vmware

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
значит это кривизна vmware

demkd

Сегодня попробовал на этой же виртуалке открыть в IE ссылку https://www.virustotal.com/latest-report.ht...32A31D368EA562F

Открылось нормально. Разве это не означает, что проверка должна работать и в uVS?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

alamor

только теоретически wininet api все таки не эксплорер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mike 1

Почему-то никак не получалось вычистить прокси из этого ключа:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies

Значение:

1http=127.0.0.1:16386

__________2014_12_17_12_56_47.7z

2014_12_17.rar

__________2014_12_17_12_56_47.7z

2014_12_17.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sandor
как-то так, а уж почему хз, может прокся совсем уже кривая:

The application is moving from a non-SSL to an SSL connection because of a redirect.

У меня при отправке через прокси на VT выдает

HTTP Status Code: 407

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

обратил внимание, что при ручной деинсталляции программ выходит:

В скрипт добавлена команда: exec32 "C:\Users\MARGO\AppData\Local\ConvertAd\uninstall.exe"

В скрипт добавлена команда: exec32 "C:\Users\MARGO\AppData\Roaming\VOPackage\uninstall.exe"

В скрипт добавлена команда: exec32 "C:\Program Files (x86)\Microsoft Data\unins000.exe"

В скрипт добавлена команда: exec C:\Users\MARGO\AppData\Roaming\1H1Q1V1N1N1O1R\PDF Reader Packages\uninstaller.exe /Uninstall /NM="PDF Reader Packages" /AN="1H1Q1V1N1N1O1R" /MBN="PDF Reader Packages"

при автоматическом формировании скрипта:

; ConvertAd

exec C:\Users\MARGO\AppData\Local\ConvertAd\uninstall.exe

; Remote Desktop Access (VuuPC)

exec C:\Users\MARGO\AppData\Roaming\VOPackage\uninstall.exe

; WebSecurity Extension version 16.40

exec C:\Program Files (x86)\Microsoft Data\unins000.exe

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Sandor

прокся хочет авторизацию

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sandor

Получается значения из settings.ini не считываются?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Sandor

считываются, но вот скажем с vt это почему-то не работает, а вот с jt работет, хз почему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov

на момент 11.02.2015 09:27:06

http://dsrt.dyndns.org

лежит

видимо и uvs обновиться не может из-за этого

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Sergey Dindikov

угу, роутер заглючил не хотел обновлять ip, теперь должно работать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sandor

demkd

с vt это почему-то не работает, а вот с jt работет

Рискну еще раз поднять свой вопрос.

Почему-то на JT на любой файл отвечает

Хэш НЕ найден на сервере.

А на VT:

HTTP Status Code: 407

Вики говорит, что это 407 Proxy Authentication Required, о чем Вы, вероятно, и так знаете.

Надеюсь, что все же найдется решение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

К сожалению с VT после перехода на API стало невозможно нормально работать.

First submission -

Last submission +

Без данных о времени первой проверки полученный результат не объективен, а значит и бесполезен.

Кроме того ограничение по запросу крайне затягивает процесс проверки.

Одно дело поиск и удаление вирусов.

И другое дело поиск ADWARE с ЭЦП - здесь нужно чёткое понимание, что и где - дифференциация объектов.

Постоянно приходиться работать с браузером, что создаёт сложности.

---------

В качестве единственного решения вижу работу с сервисом herdprotect.com

Тем более, что в их базе сейчас более 38 000 000 файлов/sha1 и база пополняется.

Да, у них другая специфика отличная от VT однако не менее эффектная.

Всё зависит от задачи которая стоит перед оператором.

----------

Повторюсь...

Обязательно реализовать запрет на массовую проверку файлов при отсутствии базы проверенных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×