Перейти к содержанию

Recommended Posts

santy

пример эффективности текущих сигнатур в uVS,

несколько свежих сигнатур вытащили все файлы вирусяк из автозапуска, убивающих антивирус, и объявляющих "защищенный режим антивируса"

http://forum.esetnod32.ru/forum6/topic2028/

скрипт прилагается.

script.txt

script.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1. Копировать файл в ZOO

Копировать файл в STOORE

Уверен, что стоит разделить эти команды более значительным промежутком.

Потому - как можно ошибиться и скопировать вирус не в ZOO а в STORE

К чему это может привести...

2. Если диску присвоена/назначена доп.метка

Добавление всех исполняемых файлов каталога: I:\

I:\ [Системе не удается найти указанный путь. ]

Добавлено новых файлов: 174

mm.uVS.jpg, 1212.jpg, 2011-06-21_031403.jpg

В принципе это ошибка системы...

Есть, ли возможность компенсировать её ?

1212.jpg

2011_06_21_031403.jpg

mm.uVS.jpg

post-8956-1308691031_thumb.jpg

post-8956-1308691038_thumb.jpg

post-8956-1308691047_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Уверен, что стоит разделить эти команды более значительным промежутком.

Может быть.

2. Если диску присвоена/назначена доп.метка

Чем назначена, какому диску, тут подробнее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Чем назначена, какому диску, тут подробнее.

Свой вопрос отменяю...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

v3.66

Небольшое обновление.

o Добавлена поддержка сохранения и проверки кода загрузчика в MBR.

Добавить хэш загрузчика в базу проверенных можно в его контекстном меню или

в контекстном меню лога. (если выделена строка с хэшем).

(для всех режимов, в т.ч. и при работе с образом созданным uVS v3.66)

o Новый пункт в меню "Руткиты":

Заменить загрузчик в MBR (кроме работы с удаленной системой)

С помощью этого пункта меню можно перезаписать загрузчик у выбранного физического диска.

Загрузчик берется из первых 440 байт файла MBRC входящего в пакет uVS.

Файл содержит стандартный загрузчик. Вы можете заменить его на свой загрузчик.

Скриптовая команда "fixmbr" с параметром.

o Новый пункт в меню "Файл"

Восстановить системный реестр из каталога...

Автоматически производится поиск бэкапов реестра, сделанных системой или ERUNT-ом.

Доступен выбор произвольного каталога с реестром. (кнопка "Другой")

(!) Для неактивных систем перезагрузка не требуется.

(!) Для удаленных систем _автоматическая_ перезагрузка НЕ производится.

(!) Для активных систем реестр восстанавливается полностью только при запуске под LocalSystem,

(!) компьютер перезагружается автоматически.

o Твик #23: "Очистить ВСЕ каталоги System Volume Information"

(в частности удаляются все точки восстановления).

o Расширен вывод информации в лог при работе с Jotti.

o Исправлена ошибка в функции сохранения системного реестра удаленной системы.

o Исправлена ошибка из-за которой пункт меню "Архивировать Zoo" не был доступен при работе

с образом.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
v3.66

Небольшое обновление.

o Новый пункт в меню "Руткиты":

Заменить загрузчик в MBR (кроме работы с удаленной системой)

С помощью этого пункта меню можно перезаписать загрузчик у выбранного физического диска.

Загрузчик берется из первых 440 байт файла MBRC входящего в пакет uVS.

Файл содержит стандартный загрузчик. Вы можете заменить его на свой загрузчик.

Скриптовая команда "fixmbr" с параметром.

проверил восстановление загрузчика в MBR из под Winpe&uVS.

Предварительно переписал на VM с помощью bootice чистый MBR на MBR машины, зараженной Win32\MBRLock.C без перезаписи таблицы разделов и сигнатуры (только загрузчик).

После запуска с winpe uVS определил

>>MBR#0 [8,0GB]: Неизвестный загрузчик SHA1: D85762905DEBE08E475428BE310AFE7D1CCB0C9A

функция Руткиты - "Заменить загрузчик в MBR" нормально восстановила загрузку системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

На данный момент существуют вредоносные программы, хранящий свой код в бут-секторе (не MBR). Лечатся командой fixboot из Recovery Console.

Пример - Rootkit.Boot.Cidox.a

Каким образом лечить такую заразу в uVS?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
На данный момент существуют вредоносные программы, хранящий свой код в бут-секторе (не MBR).

До бута руки пока не дошли, добавлю работу с бутом в будущем. В MBR и то оказался полный бардак, разных загрузчиков огромное количество, вносить в базу устал и оставил еще с десяток полежать пока не просмотрю, а с бутом будет совсем грустно.

С другой стороны сам процесс лечения не слишком и важен... fixmbr из консоли, bootsect из под PE проблемы как таковой нет. Другое дело предупреждение о том что код прописан левый, ради этого предупреждения я и добавляю работу с загрузчиками.

А с руткитами все проще, сверка давно и легко их выявляет и предлагает сохранить зараженный и оригинальный mbr или бут, скорее всего тут я добавлю возможность вписать оригинальный код сразу по обнаружению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
До бута руки пока не дошли, добавлю работу с бутом в будущем....

вот такую вещь еще бы добавить - дополнительный анализ детектов ВТ и jotti.

в последних случаях заражений - "усиленной защитой антивируса" в список вирусов попадает свыше десятка и более файликов.

нужен такой запрос - "получить список файлов, попавших под детект одного (согласно внесенного в настройки settings), либо группы значимых антивирусов".

например, один из... выбирается из списка значимых антивирусов и после выполнения запроса - в списке подозрительных и вирусов остаются все файлы, которые на ВТ и(или) jotti задетектил (или наоборот, не задетектил) любимый антивир. Это надо будет, скажем для дополнительного контроля, чтобы файлы (без детекта на сегодня_сейчас) точно ушли в вирлаб.

Возможно, еще лучще - оформить результат анализа в виде текстовой таблички, например

list_avirus: NOD32: DrWeb: Kaspersky: Symantec

--------------------------------------------------------------------------------------------------------------------------------------------------

filename1: probably unknown NewHeur_PE; DLOADER.Trojan; HEUR:Trojan.Win32.Generic; нет детекта

filename2:

....

filename N:

здесь NOD32, DrWeb, Kaspersky, Symantec скажем, вносятся в settings.ini в переменную list_antivir например.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
нужен такой запрос - "получить список файлов, попавших под детект одного (согласно внесенного в настройки settings), либо группы значимых антивирусов".

Да, такая идея давно бродит, всякие недоантивирусы детектят че попало, особенно утомил Symantec с его вездесущим WS.Reputation, хоть бы уже не позорились и прикрыли эту бездарную репа-лавочку...

Может как-нибудь и добавлю настраиваемый фильтр.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuNetting

Принимала ли эта программа участие в каких-нибудь тестах?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

RuNetting

А смысл?

Потуги антивирусных компаний сделать что-то для анализа системы или лечения угробленных ими же систем даже смешными назвать нельзя, с AVZ тоже не сравнишь функционал сильно различается и пересечений уже гораздо меньше чем различий. Соотв. смысл тестирования полностью теряется из-за отсутствия прямых аналогов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1. Вирус может содержать иконку ( например маскироваться под медиа файл )

Соответственно есть вероятность, что данная иконка будет использоваться и при создании новых образцов вирусов.

На основе этого предлагаю:

Через меню uVS:

Открыть файл - найти/выбрать иконку файла - Добавить sha1 в критерий поиска.

И далее: Открыть файлы списка проверить/найти по sha1.

т.е. Своеобразный поиск по компоненте.

2.Ряд вирусов принудительно, сразу после заражения вызывают рестарт системы.

Если, есть возможность выявить/зафиксировать момент/точное время перезагрузки...

Соответственно, внести все исполняемые файлы в список подозрительных, если исполняемый файл был сознан во временном промежутке/интервале +- 60 секунд до Рестарта.

* Особое внимание уделив нештатному рестарту.

** Сбою в работе PC.

т.е Автоматически происходит расчёт/вычисление +- временного интервала.

И на основании этого файл попадает в подозрительные.

3.Опция

Найти все файлы ( для всех режимом ) с идентичной sha1.

Или же с идентичным временем создания/запуска +- 60 секунд.

* Возможно, как поисковый критерий ( временной диапазон )

В чём смысл?

Предположим, что НЕИЗВЕСТНЫЙ вирус был запущен из каталога Х1

После чего удалил своё тело из данного каталога и записал его в каталог Х2

Дополнительно ( в идеале автоматически ) сравнивается время создания файлов.

Х1.SHA1.B56B7B063640845FE80313025BE39F06A020C9EA.Ygy.exe время создания/запуска = 12.31.12

Х2.SHA1.B56B7B063640845FE80313025BE39F06A020C9EA.Aga.exe время создания/запуска = 12.31.14

Соответственно помещение файла в список подозрительных.

4.Файлы

Autorun.exe

Autorun.inf

Их добавлять в список подозрительных всегда.

* Пример: Автозапуск на PC был ВРЕМЕННО отключён.

Папку с вирусами скопировали на HDD диск.

Команда ADDDIR добавит все файлы каталога в список...

Однако на данный момент файлы Autorun.exe & Autorun.inf в категорию подозрительных автоматически добавлены не будут...

+ Добавлять файлы имеющие сокращённые расширения: ex, in...

5.Меню Файл.

Добавить опцию

_Создать полный образ автозапуска - открыть по завершении_

Смыл: в данном случае не требуется лишних телодвижений.

Запустили создание...

Образ автоматически открылся...

Работаем... Пишем скрипт лечения!

Выполняем его из...

* Быстро, удобно, эффективно, и главное без лишних телодвижений.

А, в случае ошибки всегда можно переделать, при этом лишний раз не нервируя самого виновника торжества Vi. ;)

6. Твики

Твик: №24

_Установить стандартную тему оформления_

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Открыть файл - найти/выбрать иконку файла - Добавить sha1 в критерий поиска.

Тут есть некоторые технические сложности касающиеся именно иконок и их контрольных сумм.

Да и вообще трояны с постоянными граф. ресурсами вымирают по очевидным причинам.

Соответственно, внести все исполняемые файлы в список подозрительных, если исполняемый файл был сознан во временном промежутке/интервале +- 60 секунд до Рестарта.

И для чего же такая точность? Хватит уже реализованного фильтра, все равно будет 1-2 файла.

Предположим, что НЕИЗВЕСТНЫЙ вирус был запущен из каталога Х1

После чего удалил своё тело из данного каталога и записал его в каталог Х2

Дополнительно ( в идеале автоматически ) сравнивается время создания файлов.

Х1.SHA1.B56B7B063640845FE80313025BE39F06A020C9EA.Ygy.exe время создания/запуска = 12.31.12

Х2.SHA1.B56B7B063640845FE80313025BE39F06A020C9EA.Aga.exe время создания/запуска = 12.31.14

Если X1 уже удалил свое тельце, то о каком сравнении идет речь? Файла нет - нет хэша, так что пример странный.

Однако чисто информативная функция выявления одинаковых файлов в автозапуске в целом может быть полезна, пусть и не для зачистки вирусов, так что я подумаю.

Однако на данный момент файлы Autorun.exe & Autorun.inf в категорию подозрительных автоматически добавлены не будут...

inf в каталоге не представляет никакой угрозы, как и файл с именем autorun.exe.

Adddir добавляет _все_ исполняемые файлы _вне_ зависимости от расширения.

_Создать полный образ автозапуска - открыть по завершении_

Зачем?

_Установить стандартную тему оформления_

Стандартную... у каждого свой стандарт :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Стандартную... у каждого свой стандарт biggrin.gif

Это так.

Но вот тут есть тема со страшным/ужасным вирусом @ "Галя" ;)

Ищут Пожарные, Ищет Полиция, ищет давно но не может обезвредить...

http://forum.esetnod32.ru/forum6/topic1962/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Но вот тут есть тема со страшным/ужасным вирусом @ "Галя"

Тема - это личное, давать хелперу посягать на святое не стоит :)

Как поставили тему так и сменят.

А то так можно и до смены обоев дойти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Принимала ли эта программа участие в каких-нибудь тестах?

есть сравнительное описание функционала AVZ и uVS здесь

http://defendium.info/showthread.php/807-U...ull=1#post13813

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
trox
Тема - это личное, давать хелперу посягать на святое не стоит

Как поставили тему так и сменят.

А то так можно и до смены обоев дойти.

Если посмотреть здесь , то можно увидеть скриншот, где видно, что "Галя" запускается через wscript.exe.

А теперь зная это, попробуем воспользоваться инструментом uVS. Скачиваем образ автозапуска (GOOGLE.zip) и откроем в uVS-> Весь автозапуск.

Видим след. картину:

usbbc.jpg

Если бы не знали, как и откуда производится запуск, то легко бы просмотрели бы момент.

А если бы сразу показывалась строка из "информация" (прав.кн.мыши) в главном окне, то было бы проще заметить.

nullh.jpg

з.ы. вроде баг. Сдвинул колонки, чтобы сделать скриншот. Переключился на программу-скриншотер и колонки опять расширились. Пришлось искать горячие клавиши и скриншотить не переключаяся=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Если посмотреть здесь , то можно увидеть скриншот, где видно, что "Галя" запускается через wscript.exe.

Дык это престарелый полузловред (из-за тупости написавшего скрипт зловредно пытается сжечь движок флоповода постоянными к нему обращениями) :) а картинок он вроде никогда не вешал, хотя может мод кто-то сделал.

Если бы не знали, как и откуда производится запуск, то легко бы просмотрели бы момент.

После загрузки первого образа usbb с Z сразу попадает в подозрительные вместе с родительским autorun.inf.

А после стандартной зачистки по Alt+Del и следов в системе не остается, поскольку на C его уже кто-то прибил.

и колонки опять расширились.

Это не баг - это фича :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
trox
После загрузки первого образа usbb с Z сразу попадает в подозрительные вместе с родительским autorun.inf.

А после стандартной зачистки по Alt+Del и следов в системе не остается, поскольку на C его уже кто-то прибил.

На C:\ кто-то прибил, но ссылка в реестре осталась на запуск? Может стоит показывать путь, хоть файл и отсутствует?

Например Autoruns показывает путь, даже если файл удален или отсутствует.

Хотя это не так уж и важно =)

Это не баг - это фича :)

Из-за этой фичи я думал что у меня склероз =) Вроде бы сужал колонки, ан-нет =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
На C:\ кто-то прибил, но ссылка в реестре осталась на запуск? Может стоит показывать путь, хоть файл и отсутствует?

А там лишь осталась ссылка в MountPoints2 где лежит всякий хлам.

HKEY_USERS\S-1-5-21-4048080979-3045584786-1406607427-1110\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##domen#Share_adm\Shell\explore\Command\

Да и сама строка "запуска": wscript.exe usbb.wsf

Т.е. путь до usbb.wsf не указан, по путям в Path файла нет, поэтому uVS и показывает файл без пути до него.

uVS показывает и C:\PROGRAM FILES\USB_ANTI_AUTORUN\USBB.WSF (его и показывает autoruns)

который когда-то запускался, но уже отсутствует в автозапуске.

И еще живой на тот момент Z:\USBB.WSF котрый был прописан в autorun.inf

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Есть ли возможность научить UVS работать с FTP протоколом? Можно создавать базы вредоносов и чистых файлов на отдельной шаре в сети для коллективной работы, ну и соответственно коллективно их наполнять. При грамотной фильтрации доступа работать будет прекрасно.

Ну и соответственно нужен функционал по удаленному редактированию баз (удаление мусора, фалсов и пр.).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

P>S> Нужно доточить анализ MBR. UVS постоянно дергается на съемные носители и не опознает ни один из доступных мне MBR. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

MBR? Дмитрий, не отголоски ли это IPL-детектов? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Есть ли возможность научить UVS работать с FTP протоколом?

Лень мне это делать. Да и какой смысл постоянную базу вести, она ж оперативная, антивирусы конечно тормозят с добавлен сигнатур, но через месяцок эти сигнатуры все равно уже не нужны, антивирус таки обновится.

UVS постоянно дергается на съемные носители и не опознает ни один из доступных мне MBR.

Он предупреждает, что загрузчик нестандартный.

Да и кто мешает добавить хэш загрузчика в _свою базу... если уверен, что загрузчик хороший ;)

MBR? Дмитрий, не отголоски ли это IPL-детектов?

Нет :) Я еще не выпустил 3.67 где uVS будет бросаться и на загрузчик в VBR и на IPL, если он есть :)

Хотя дописать чуть-чуть осталось, вот лень заборю и выпущу, будет и Cidox в IPL лечить... почему то даже в активном виде.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
      Антивирусы для macOS были обновлены до версии 6.10.700.
    • ForetFR
      CLIMB Hearsay from Earth - https://mebonus.ru
      Google №Wet

      Palestinians scoot as Israel bombards haunts from style, swell and sod!!!

      Google Hearsay

      People in Gaza fled their homes carrying crying children and valued possessions as Israeli forces pounded the vicinage from aura, adrift and land on Friday.
      The escalating controversy triggered furious protests in the occupied West Bank, where seven Palestinians were killed by way of Israeli army fire, and moreover fury between Arabs and Jews in Israel.
      Hamas praised the clashes between stone-throwing youths and Israeli soldiers in the West Bank grevorgАЛИdVhower , m‚tier on Palestinians to “set the ground ablaze under the feet of the rule”.
      Google RUMOUR - Wet
      In a meritorious escalation in the worst bout of fighting between Israel and Hamas looking for seven years, oppressive artillery fire was aimed at what the Israeli military said was a hefty network of fighter tunnels. Dozens of Hamas operatives were killed in the strikes, the Israel Apologia Forces (IDF) said.
      Palestinian protesters burn tyres and throw stones at Israeli forces in the West Bank community of Nablus

      There was gallimaufry overnight after the IDF corrected an earlier communiqu‚ saying that base troops were “currently attacking in the Gaza Strip”. A blemished proclamation clarified that there was no excuse sediment aggression, but artillery and tank vivacity from the border. “Clarification: there are currently no IDF establish troops reversed the Gaza Strip. IDF current and area forces are carrying out strikes on targets in the Gaza Strip,” it said.
      What is the current Israel-Gaza turning-point far and where is it heading?
      Deliver assign to more - GOOD COPY - in cak

      Analysts suggested it was a purposeful ploy intended to onwards elder Hamas figures to split for into a network of hidden tunnels known as “the metro”. Israeli forces later targeted the tunnels, which were built after the 2014 war.
      An IDF asseveration said 160 aircraft had “struck over 150 subterranean targets in the northern Gaza Shed one's clothes” overnight. Israel’s forces destroyed “many kilometres” of the tunnels during the assail, it claimed.
      A multi-storey building casing a bank affiliated with Hamas was destroyed, and weapons opus and naval sites were also smash, it said.

      Palestinians living in areas closed to the Gaza-Israel frieze fled their homes in pickup trucks, on donkeys and on foot. Some went to UN-run schools in Gaza Urban district, carrying small children, household essentials and food.
      Hedaia Maarouf, who left-wing her serene with her extended kinfolk of 19 people, including 13 children, said: “We were terrified instead of our children, who were screaming and shaking.”
      A Palestinian kindred flees their home in Beit Lahya in the northern Gaza Strip?
      In northern Gaza, Rafat Tanani, his having a bun in the oven strife and four children were killed after an Israeli warplane reduced a building to rubble, residents said.
      Bill - Matt Gaetz associate pleads contrite to sexual congress trafficking crimes – US manipulation animate Bouts

      The death chime in Gaza rose to over and above 120, with a dressy increase in the number of people injured in the overnight onslaught, according to the Gaza health ministry. At least 31 children bear been killed.
      Hospitals that were already struggling to wine patients with Covid received an influx of people with shrapnel wounds and other injuries. Some needed amputations. “All I can do is beseech,” said one hospital director.
      The UN said more than 200 homes and 24 schools in Gaza had been destroyed or severely damaged in Israeli bearing raids in the lifestyle five days. It also said residents’ access to inexperienced spa water could be limited because of power cuts and harm to pipe networks.
      Increased power blackouts are expected as nuclear fuel supplies off low. Most families already exclusively have power in regard to four or five hours a daylight, and hospitals are stiff to rely on generators.

      Hamas and other militant groups continued to fusillade rockets into Israel, where example sirens sounded in towns and communities. The Israeli military said it had intercepted at least five drones carrying explosives launched from Gaza since Thursday.
      Read more Scandal - HEARSAY - in Wet

      Statistic Tidings Front-page news
      http://mebonus.ru - Front-page news of Googles
    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
    • akoK
×