Перейти к содержанию

Recommended Posts

santy

пример эффективности текущих сигнатур в uVS,

несколько свежих сигнатур вытащили все файлы вирусяк из автозапуска, убивающих антивирус, и объявляющих "защищенный режим антивируса"

http://forum.esetnod32.ru/forum6/topic2028/

скрипт прилагается.

script.txt

script.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1. Копировать файл в ZOO

Копировать файл в STOORE

Уверен, что стоит разделить эти команды более значительным промежутком.

Потому - как можно ошибиться и скопировать вирус не в ZOO а в STORE

К чему это может привести...

2. Если диску присвоена/назначена доп.метка

Добавление всех исполняемых файлов каталога: I:\

I:\ [Системе не удается найти указанный путь. ]

Добавлено новых файлов: 174

mm.uVS.jpg, 1212.jpg, 2011-06-21_031403.jpg

В принципе это ошибка системы...

Есть, ли возможность компенсировать её ?

1212.jpg

2011_06_21_031403.jpg

mm.uVS.jpg

post-8956-1308691031_thumb.jpg

post-8956-1308691038_thumb.jpg

post-8956-1308691047_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Уверен, что стоит разделить эти команды более значительным промежутком.

Может быть.

2. Если диску присвоена/назначена доп.метка

Чем назначена, какому диску, тут подробнее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Чем назначена, какому диску, тут подробнее.

Свой вопрос отменяю...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

v3.66

Небольшое обновление.

o Добавлена поддержка сохранения и проверки кода загрузчика в MBR.

Добавить хэш загрузчика в базу проверенных можно в его контекстном меню или

в контекстном меню лога. (если выделена строка с хэшем).

(для всех режимов, в т.ч. и при работе с образом созданным uVS v3.66)

o Новый пункт в меню "Руткиты":

Заменить загрузчик в MBR (кроме работы с удаленной системой)

С помощью этого пункта меню можно перезаписать загрузчик у выбранного физического диска.

Загрузчик берется из первых 440 байт файла MBRC входящего в пакет uVS.

Файл содержит стандартный загрузчик. Вы можете заменить его на свой загрузчик.

Скриптовая команда "fixmbr" с параметром.

o Новый пункт в меню "Файл"

Восстановить системный реестр из каталога...

Автоматически производится поиск бэкапов реестра, сделанных системой или ERUNT-ом.

Доступен выбор произвольного каталога с реестром. (кнопка "Другой")

(!) Для неактивных систем перезагрузка не требуется.

(!) Для удаленных систем _автоматическая_ перезагрузка НЕ производится.

(!) Для активных систем реестр восстанавливается полностью только при запуске под LocalSystem,

(!) компьютер перезагружается автоматически.

o Твик #23: "Очистить ВСЕ каталоги System Volume Information"

(в частности удаляются все точки восстановления).

o Расширен вывод информации в лог при работе с Jotti.

o Исправлена ошибка в функции сохранения системного реестра удаленной системы.

o Исправлена ошибка из-за которой пункт меню "Архивировать Zoo" не был доступен при работе

с образом.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
v3.66

Небольшое обновление.

o Новый пункт в меню "Руткиты":

Заменить загрузчик в MBR (кроме работы с удаленной системой)

С помощью этого пункта меню можно перезаписать загрузчик у выбранного физического диска.

Загрузчик берется из первых 440 байт файла MBRC входящего в пакет uVS.

Файл содержит стандартный загрузчик. Вы можете заменить его на свой загрузчик.

Скриптовая команда "fixmbr" с параметром.

проверил восстановление загрузчика в MBR из под Winpe&uVS.

Предварительно переписал на VM с помощью bootice чистый MBR на MBR машины, зараженной Win32\MBRLock.C без перезаписи таблицы разделов и сигнатуры (только загрузчик).

После запуска с winpe uVS определил

>>MBR#0 [8,0GB]: Неизвестный загрузчик SHA1: D85762905DEBE08E475428BE310AFE7D1CCB0C9A

функция Руткиты - "Заменить загрузчик в MBR" нормально восстановила загрузку системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

На данный момент существуют вредоносные программы, хранящий свой код в бут-секторе (не MBR). Лечатся командой fixboot из Recovery Console.

Пример - Rootkit.Boot.Cidox.a

Каким образом лечить такую заразу в uVS?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
На данный момент существуют вредоносные программы, хранящий свой код в бут-секторе (не MBR).

До бута руки пока не дошли, добавлю работу с бутом в будущем. В MBR и то оказался полный бардак, разных загрузчиков огромное количество, вносить в базу устал и оставил еще с десяток полежать пока не просмотрю, а с бутом будет совсем грустно.

С другой стороны сам процесс лечения не слишком и важен... fixmbr из консоли, bootsect из под PE проблемы как таковой нет. Другое дело предупреждение о том что код прописан левый, ради этого предупреждения я и добавляю работу с загрузчиками.

А с руткитами все проще, сверка давно и легко их выявляет и предлагает сохранить зараженный и оригинальный mbr или бут, скорее всего тут я добавлю возможность вписать оригинальный код сразу по обнаружению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
До бута руки пока не дошли, добавлю работу с бутом в будущем....

вот такую вещь еще бы добавить - дополнительный анализ детектов ВТ и jotti.

в последних случаях заражений - "усиленной защитой антивируса" в список вирусов попадает свыше десятка и более файликов.

нужен такой запрос - "получить список файлов, попавших под детект одного (согласно внесенного в настройки settings), либо группы значимых антивирусов".

например, один из... выбирается из списка значимых антивирусов и после выполнения запроса - в списке подозрительных и вирусов остаются все файлы, которые на ВТ и(или) jotti задетектил (или наоборот, не задетектил) любимый антивир. Это надо будет, скажем для дополнительного контроля, чтобы файлы (без детекта на сегодня_сейчас) точно ушли в вирлаб.

Возможно, еще лучще - оформить результат анализа в виде текстовой таблички, например

list_avirus: NOD32: DrWeb: Kaspersky: Symantec

--------------------------------------------------------------------------------------------------------------------------------------------------

filename1: probably unknown NewHeur_PE; DLOADER.Trojan; HEUR:Trojan.Win32.Generic; нет детекта

filename2:

....

filename N:

здесь NOD32, DrWeb, Kaspersky, Symantec скажем, вносятся в settings.ini в переменную list_antivir например.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
нужен такой запрос - "получить список файлов, попавших под детект одного (согласно внесенного в настройки settings), либо группы значимых антивирусов".

Да, такая идея давно бродит, всякие недоантивирусы детектят че попало, особенно утомил Symantec с его вездесущим WS.Reputation, хоть бы уже не позорились и прикрыли эту бездарную репа-лавочку...

Может как-нибудь и добавлю настраиваемый фильтр.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuNetting

Принимала ли эта программа участие в каких-нибудь тестах?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

RuNetting

А смысл?

Потуги антивирусных компаний сделать что-то для анализа системы или лечения угробленных ими же систем даже смешными назвать нельзя, с AVZ тоже не сравнишь функционал сильно различается и пересечений уже гораздо меньше чем различий. Соотв. смысл тестирования полностью теряется из-за отсутствия прямых аналогов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1. Вирус может содержать иконку ( например маскироваться под медиа файл )

Соответственно есть вероятность, что данная иконка будет использоваться и при создании новых образцов вирусов.

На основе этого предлагаю:

Через меню uVS:

Открыть файл - найти/выбрать иконку файла - Добавить sha1 в критерий поиска.

И далее: Открыть файлы списка проверить/найти по sha1.

т.е. Своеобразный поиск по компоненте.

2.Ряд вирусов принудительно, сразу после заражения вызывают рестарт системы.

Если, есть возможность выявить/зафиксировать момент/точное время перезагрузки...

Соответственно, внести все исполняемые файлы в список подозрительных, если исполняемый файл был сознан во временном промежутке/интервале +- 60 секунд до Рестарта.

* Особое внимание уделив нештатному рестарту.

** Сбою в работе PC.

т.е Автоматически происходит расчёт/вычисление +- временного интервала.

И на основании этого файл попадает в подозрительные.

3.Опция

Найти все файлы ( для всех режимом ) с идентичной sha1.

Или же с идентичным временем создания/запуска +- 60 секунд.

* Возможно, как поисковый критерий ( временной диапазон )

В чём смысл?

Предположим, что НЕИЗВЕСТНЫЙ вирус был запущен из каталога Х1

После чего удалил своё тело из данного каталога и записал его в каталог Х2

Дополнительно ( в идеале автоматически ) сравнивается время создания файлов.

Х1.SHA1.B56B7B063640845FE80313025BE39F06A020C9EA.Ygy.exe время создания/запуска = 12.31.12

Х2.SHA1.B56B7B063640845FE80313025BE39F06A020C9EA.Aga.exe время создания/запуска = 12.31.14

Соответственно помещение файла в список подозрительных.

4.Файлы

Autorun.exe

Autorun.inf

Их добавлять в список подозрительных всегда.

* Пример: Автозапуск на PC был ВРЕМЕННО отключён.

Папку с вирусами скопировали на HDD диск.

Команда ADDDIR добавит все файлы каталога в список...

Однако на данный момент файлы Autorun.exe & Autorun.inf в категорию подозрительных автоматически добавлены не будут...

+ Добавлять файлы имеющие сокращённые расширения: ex, in...

5.Меню Файл.

Добавить опцию

_Создать полный образ автозапуска - открыть по завершении_

Смыл: в данном случае не требуется лишних телодвижений.

Запустили создание...

Образ автоматически открылся...

Работаем... Пишем скрипт лечения!

Выполняем его из...

* Быстро, удобно, эффективно, и главное без лишних телодвижений.

А, в случае ошибки всегда можно переделать, при этом лишний раз не нервируя самого виновника торжества Vi. ;)

6. Твики

Твик: №24

_Установить стандартную тему оформления_

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Открыть файл - найти/выбрать иконку файла - Добавить sha1 в критерий поиска.

Тут есть некоторые технические сложности касающиеся именно иконок и их контрольных сумм.

Да и вообще трояны с постоянными граф. ресурсами вымирают по очевидным причинам.

Соответственно, внести все исполняемые файлы в список подозрительных, если исполняемый файл был сознан во временном промежутке/интервале +- 60 секунд до Рестарта.

И для чего же такая точность? Хватит уже реализованного фильтра, все равно будет 1-2 файла.

Предположим, что НЕИЗВЕСТНЫЙ вирус был запущен из каталога Х1

После чего удалил своё тело из данного каталога и записал его в каталог Х2

Дополнительно ( в идеале автоматически ) сравнивается время создания файлов.

Х1.SHA1.B56B7B063640845FE80313025BE39F06A020C9EA.Ygy.exe время создания/запуска = 12.31.12

Х2.SHA1.B56B7B063640845FE80313025BE39F06A020C9EA.Aga.exe время создания/запуска = 12.31.14

Если X1 уже удалил свое тельце, то о каком сравнении идет речь? Файла нет - нет хэша, так что пример странный.

Однако чисто информативная функция выявления одинаковых файлов в автозапуске в целом может быть полезна, пусть и не для зачистки вирусов, так что я подумаю.

Однако на данный момент файлы Autorun.exe & Autorun.inf в категорию подозрительных автоматически добавлены не будут...

inf в каталоге не представляет никакой угрозы, как и файл с именем autorun.exe.

Adddir добавляет _все_ исполняемые файлы _вне_ зависимости от расширения.

_Создать полный образ автозапуска - открыть по завершении_

Зачем?

_Установить стандартную тему оформления_

Стандартную... у каждого свой стандарт :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Стандартную... у каждого свой стандарт biggrin.gif

Это так.

Но вот тут есть тема со страшным/ужасным вирусом @ "Галя" ;)

Ищут Пожарные, Ищет Полиция, ищет давно но не может обезвредить...

http://forum.esetnod32.ru/forum6/topic1962/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Но вот тут есть тема со страшным/ужасным вирусом @ "Галя"

Тема - это личное, давать хелперу посягать на святое не стоит :)

Как поставили тему так и сменят.

А то так можно и до смены обоев дойти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Принимала ли эта программа участие в каких-нибудь тестах?

есть сравнительное описание функционала AVZ и uVS здесь

http://defendium.info/showthread.php/807-U...ull=1#post13813

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
trox
Тема - это личное, давать хелперу посягать на святое не стоит

Как поставили тему так и сменят.

А то так можно и до смены обоев дойти.

Если посмотреть здесь , то можно увидеть скриншот, где видно, что "Галя" запускается через wscript.exe.

А теперь зная это, попробуем воспользоваться инструментом uVS. Скачиваем образ автозапуска (GOOGLE.zip) и откроем в uVS-> Весь автозапуск.

Видим след. картину:

usbbc.jpg

Если бы не знали, как и откуда производится запуск, то легко бы просмотрели бы момент.

А если бы сразу показывалась строка из "информация" (прав.кн.мыши) в главном окне, то было бы проще заметить.

nullh.jpg

з.ы. вроде баг. Сдвинул колонки, чтобы сделать скриншот. Переключился на программу-скриншотер и колонки опять расширились. Пришлось искать горячие клавиши и скриншотить не переключаяся=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Если посмотреть здесь , то можно увидеть скриншот, где видно, что "Галя" запускается через wscript.exe.

Дык это престарелый полузловред (из-за тупости написавшего скрипт зловредно пытается сжечь движок флоповода постоянными к нему обращениями) :) а картинок он вроде никогда не вешал, хотя может мод кто-то сделал.

Если бы не знали, как и откуда производится запуск, то легко бы просмотрели бы момент.

После загрузки первого образа usbb с Z сразу попадает в подозрительные вместе с родительским autorun.inf.

А после стандартной зачистки по Alt+Del и следов в системе не остается, поскольку на C его уже кто-то прибил.

и колонки опять расширились.

Это не баг - это фича :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
trox
После загрузки первого образа usbb с Z сразу попадает в подозрительные вместе с родительским autorun.inf.

А после стандартной зачистки по Alt+Del и следов в системе не остается, поскольку на C его уже кто-то прибил.

На C:\ кто-то прибил, но ссылка в реестре осталась на запуск? Может стоит показывать путь, хоть файл и отсутствует?

Например Autoruns показывает путь, даже если файл удален или отсутствует.

Хотя это не так уж и важно =)

Это не баг - это фича :)

Из-за этой фичи я думал что у меня склероз =) Вроде бы сужал колонки, ан-нет =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
На C:\ кто-то прибил, но ссылка в реестре осталась на запуск? Может стоит показывать путь, хоть файл и отсутствует?

А там лишь осталась ссылка в MountPoints2 где лежит всякий хлам.

HKEY_USERS\S-1-5-21-4048080979-3045584786-1406607427-1110\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##domen#Share_adm\Shell\explore\Command\

Да и сама строка "запуска": wscript.exe usbb.wsf

Т.е. путь до usbb.wsf не указан, по путям в Path файла нет, поэтому uVS и показывает файл без пути до него.

uVS показывает и C:\PROGRAM FILES\USB_ANTI_AUTORUN\USBB.WSF (его и показывает autoruns)

который когда-то запускался, но уже отсутствует в автозапуске.

И еще живой на тот момент Z:\USBB.WSF котрый был прописан в autorun.inf

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Есть ли возможность научить UVS работать с FTP протоколом? Можно создавать базы вредоносов и чистых файлов на отдельной шаре в сети для коллективной работы, ну и соответственно коллективно их наполнять. При грамотной фильтрации доступа работать будет прекрасно.

Ну и соответственно нужен функционал по удаленному редактированию баз (удаление мусора, фалсов и пр.).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

P>S> Нужно доточить анализ MBR. UVS постоянно дергается на съемные носители и не опознает ни один из доступных мне MBR. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

MBR? Дмитрий, не отголоски ли это IPL-детектов? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Есть ли возможность научить UVS работать с FTP протоколом?

Лень мне это делать. Да и какой смысл постоянную базу вести, она ж оперативная, антивирусы конечно тормозят с добавлен сигнатур, но через месяцок эти сигнатуры все равно уже не нужны, антивирус таки обновится.

UVS постоянно дергается на съемные носители и не опознает ни один из доступных мне MBR.

Он предупреждает, что загрузчик нестандартный.

Да и кто мешает добавить хэш загрузчика в _свою базу... если уверен, что загрузчик хороший ;)

MBR? Дмитрий, не отголоски ли это IPL-детектов?

Нет :) Я еще не выпустил 3.67 где uVS будет бросаться и на загрузчик в VBR и на IPL, если он есть :)

Хотя дописать чуть-чуть осталось, вот лень заборю и выпущу, будет и Cidox в IPL лечить... почему то даже в активном виде.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×