Universal Virus Sniffer (uVS), Вопросы разработчику

[demkd 590]

1. пока нет возможности проверить лечение буткита

Настоящие буткиты все равно лечить придется загрузившись с диска, а вот модный сейчас Cidox вообще не буткит, он факт заражения IPL не скрывает и вроде никак лечению не противодействует... во всяком случае пока.

может еще сделать переименование существующих уже в списке сигнатур по такому же принципу. через контекстное меню добавить функцию "переименовать сигнатуру" через vGetName

Сигнатура есть, а файла нет, соотв. и хэша нет чтоб найти соотв. сигнатуре зловреда, поэтому только ручками.

[santy 151]

Сигнатура есть, а файла нет, соотв. и хэша нет чтоб найти соотв. сигнатуре зловреда, поэтому только ручками.

Ясно, что из списка сигнатур это ТОЧНО не получится сделать. Я имел ввиду из списка файлов. Открываем зараженные образы (если они сохранились), смотрим записи файлов с сигнатурными детектами, запускаем проверку на VT, а затем из контекста переименовываем сигнатуру. Хотя... согласен, и здесь возможен здесь только поиск по имени сигнатуры. Отменяется предложение.

[santy 151]

Провел небольшой тест (на VMware) на лечение систем WinXP, Vista, Seven (все 32битные) предварительно зараженных boot.cidox.a.

Для лечения использовал WinPE&uVS (v 3.67)

проверял результаты излечения с помощью tdsskiller 2.5.11 после загрузки системы в нормальный режим.

XP до лечения:

2011/07/15 22:42:20.0624 1592 Scan finished

2011/07/15 22:42:54.0546 1584 Rootkit.Win32.BackBoot.gen(\Device\Harddisk0\DR0) - User select action: Skip

2011/07/15 22:42:54.0546 1584 Rootkit.Boot.Cidox.a(\Device\Harddisk0\DR0\Partition0) - User select action: Skip

после лечения:

2011/07/15 22:53:58.0765 0524 Scan finished

2011/07/15 22:53:58.0811 1324 Detected object count: 0

2011/07/15 22:53:58.0811 1324 Actual detected object count: 0

Vista: до лечения

2011/07/16 19:00:49.0299 3652 Scan finished

2011/07/16 19:01:25.0955 3644 Rootkit.Boot.Cidox.a(\Device\Harddisk0\DR0\Partition0) - User select action: Quarantine

после лечения

2011/07/16 19:17:07.0075 2220 Scan finished

2011/07/16 19:17:07.0154 2128 Detected object count: 0

2011/07/16 19:17:07.0154 2128 Actual detected object count: 0

Seven до лечения

2011/07/16 16:23:44.0761 3952 Scan finished

2011/07/16 16:24:36.0527 3944 Rootkit.Boot.Cidox.a(\Device\Harddisk0\DR0\Partition0) - User select action: Skip

после лечения

2011/07/16 16:59:42.0910 2708 Scan finished

2011/07/16 16:59:42.0957 2700 Detected object count: 0

2011/07/16 16:59:42.0957 2700 Actual detected object count: 0

[Angel107 30]

Давно уже хотел сказать! Давайте где-то выкладывать Логи полных образов автозапуска зараженных ПК. Пожалуй это самый эфективный способ обмена опытом.

[Angel107 30]

Образы которые есть у меня: Каталог ПолныеОбразыАвтозагрузки для uVS

[Angel107 30]

Посетить мою домашнюю страницу

[santy 151]

Давно уже хотел сказать! Давайте где-то выкладывать Логи полных образов автозапуска зараженных ПК. Пожалуй это самый эфективный способ обмена опытом.

смысл какой с форумов по лечению нести сюда образы автозапусков? если только наиболее типичные, или наоборот неординарные случаи, + если есть вопросы по работе uVS, чтобы автору была информация для размышления.

[PR55.RP55 82]

1.Все запросы в Одном окне:

http://s004.radikal.ru/i206/1107/51/436e0debdda8.jpg

Поиск по SHA1

Поиск по имени файла.

Поиск по производителю.

По списку, из uVS и на VT ( даже если хеша нет в образе/списке )

Вывод информации при наличии дубликатов - Имя и SHA1

* Возможность поиска/запроса к VT без использования браузера.

Просто вводиться sha1 и производиться запрос.

Например в случае, если хеш сумма получена при работе с другой программой.

Таким образом, можно отказаться от использования/работы с браузером.

Что позволит, ускорить получение данных и освободит пространство на рабочем столе.

Также:

Дополнительно: Произвольный поиск.

* Поиск txt данных по списку/образу.

Примерно так, как это реализовано в случае с поисковыми критериями.

Имя файла,Тип файла,Цифр. подпись, pid =,Ссылка...

*Но уже в интерактивном режиме!

Оператор может оперативно - варьировать свой поисковый запрос в зависимости от потребностей на текущий момент времени.

*Соответственно поисковый запрос - не сохраняется в качестве поискового критерия.

AltI - поиск по Имени.

AltP - по Производителю.

AltS - по Sha1

AltR - Расширенный поиск.

"Sha1"Enter - Запрос к VT.

2.Добавить:

Дополнительно > Открыть каталог uVS/start.exe

*Удобно, при работе на незнакомой машине где много HDD дисков/томов/кардридеров.

Экономия времени при поиске своего/нужного HDD/USB диска с которого запускался uVS.

3. Settings.ini

Автоматически при запуске uVS добавлять в список все исполняемые файлы каталога/каталогов... указанных в settings.ini.

4.Автоматически! Помещать в категорию "Подозрительные и Вирусы"

все, активные исполняемые файлы имеющие следующие имена:

system.exe; Tasks.exe; drivers.exe...

И прочее, по аналогии.

[Angel107 30]

Смысл нести файлы образов бонально прост! Общей базы зловредов нет, соответственно накопить опыт и сигнатуры уже пойманых зловредов можно обучаясь на типичных образах с зараженных машин. Особенно это касается начинающих пользователей утилиты uVS!

Да и уже сейчас судя по возможностям программы её давно пора поставить в один ряд стакими утилитами как AVZ

[santy 151]

1.Все запросы в Одном окне:

http://s004.radikal.ru/i206/1107/51/436e0debdda8.jpg

Поиск по SHA1

Поиск по имени файла.

Поиск по производителю.

По списку, из uVS и на VT ( даже если хеша нет в образе/списке )

RP55, приведи примеры когда нужен поиск по SHA1,

по имени файла есть поиск, по производителю - тоже работает поиск через подключение Alt+M

Вывод информации при наличии дубликатов - Имя и SHA1

* Возможность поиска/запроса к VT без использования браузера.

Просто вводиться sha1 и производиться запрос.

Например в случае, если хеш сумма получена при работе с другой программой.

Таким образом, можно отказаться от использования/работы с браузером.

это плохая идея. браузер не должен терять контакта с ВТ.

поскольку и upload на VT еще актуален.

4.Автоматически! Помещать в категорию "Подозрительные и Вирусы"

все, активные исполняемые файлы имеющие следующие имена:

system.exe; Tasks.exe; drivers.exe...

И прочее, по аналогии.

что мешает создать критерии поиска с такими именами, и они сразу получают статус ?ВИРУС?

Смысл нести файлы образов бонально прост! Общей базы зловредов нет, соответственно накопить опыт и сигнатуры уже пойманых зловредов можно обучаясь на типичных образах с зараженных машин. Особенно это касается начинающих пользователей утилиты uVS!

Да и уже сейчас судя по возможностям программы её давно пора поставить в один ряд стакими утилитами как AVZ

уже писал наверное, повторюсь... uVS активно используется на техническом форуме Eset Russia,

http://forum.esetnod32.ru/forum6/

там не менее 30 страниц по темам заражений, практически везде используется скрипты uVS по добавленным образам автозапуска. Приходите, изучайте.

так же на SafeZone начинают использовать uVS вместе с другими программами. Так что от вас и нас зависит - какое место занимает и будет занимать uVS в линейке утилит по лечению активного заражения. Приходите на форумы, используйте uVS для лечения вместе с другими инструментами.

[Angel107 30]

уже писал наверное, повторюсь... uVS активно используется на техническом форуме Eset Russia,

http://forum.esetnod32.ru/forum6/

там не менее 30 страниц по темам заражений, практически везде используется скрипты uVS по добавленным образам автозапуска. Приходите, изучайте.

так же на SafeZone начинают использовать uVS вместе с другими программами. Так что от вас и нас зависит - какое место занимает и будет занимать uVS в линейке утилит по лечению активного заражения. Приходите на форумы, используйте uVS для лечения вместе с другими инструментами.

Я помню! на SafeZone он только начинает использоваться - материалов для изучения мало все логи шлют для Малвари и AVZ.

Неплохо бы уже иметь гдето базу образов для активного изучения и использования на личном опыте. Косательно Eset форума я там только два образа нашёл - маловато будет!

[santy 151]

Косательно Eset форума я там только два образа нашёл - маловато будет!

значит плохо смотрели. Там почти в каждой теме по два и более образа автозапуска, потому что uVS там - основной инструмент.

---

а вообще, если есть в этом необходимость, зайдите на форум, создайте тему "где найти образы автозапуска" - кто-нибудь ответит. т.е. смысла большего здесь нет муссировать эту тему здесь.

[Angel107 30]

значит плохо смотрели. Там почти в каждой теме по два и более образа автозапуска,

Я Уже 5-6 страниц пересмотрел более ненахожу...

Уточните тогда конкретные странички...для страждущих познаний!

Ура! Один из ненайденых нашелся PENTIUM_2011-03-08_13-02-51.rar

[PR55.RP55 82]

Приведи примеры когда нужен поиск по SHA1

В смысле?

Если sha1 известен.

+ Можно добавить исполняемые файлы каталога в список.

И просеять через поиск. Речь необязательно идёт о вирусах.

Пример: Есть только 1-н браузер IE.

C ним проблемы в результате вирусной атаки.

+ Типично коматозная работа.

+ GPRS подключение = низкая скорость.

+ Возможно нет желания работать с браузером...

Я и написал, что sha1 нет в списке uVS но запрос через/посредством uVS можно отправить.

по имени файла есть поиск, по производителю - тоже работает поиск через подключение Alt+M

Я в курсе

Я предлагаю расширить меню поиска + увеличить соответствующим образом окно запроса.

И соответственно просто перечислил, что и как uVS может искать.

это плохая идея. браузер не должен терять контакта с ВТ.

поскольку и upload на VT еще актуален.

А, кто сказал, что нужно совсем/совсем отказаться от браузера ?

Речь идёт о ВОЗМОЖНОСТИ отказаться - при желании !

что мешает создать критерии поиска с такими именами, и они сразу получают статус ?ВИРУС?

Зачем сотням пользователей делать одинаковую/лишнюю работу ?

Добавить функцию по умолчанию.

Что ещё может запускаться из системных каталогов с таким именем?

Кроме того - Ещё нужно осознать необходимость в создании данных критериев.

* Мне представляется, что я говорю о своего рода Эвристике.

Просто и эффективно.

Имена файлов/вирусов соответствуют наименованиям известных системных каталогов.

** Кроме того создавать а затем удалять поисковый критерий в случае, если речь идёт о кратковременной потребности нецелесообразно.

Возможно, что данный критерий применим только к этой системе или к конкретной ситуации.

Или нужно найти... Но совсем не вирус.

Поэтому и нет смысла создавать постоянный критерий.

А просто работать на уровне Запрос < - > ответ. Без сохранения.

Маловато будет!

Да, мне этот мультик тоже нравиться.

Зима Снег... Новый год.

[santy 151]

Я Уже 5-6 страниц пересмотрел более ненахожу...

Уточните тогда конкретные странички...для страждущих познаний!

Angel107, без обиды, но

мне достаточно того, что я в течение двух лет поддерживаю страждущих в темах по лечению на техническом форуме.

Вы же из другой категории, и вполне можете самостоятельно просмотреть темы, и найти то что вам интересно.

Другое дело - что заголовки тем как правило мало что говорят от том, какое заражение у юзера - но по скриптам лечений можно разобраться. Неординарные же случаи и типичные если впредь будут встречаться - будем постить ссылки сюда. Это конечно все будет интересно.

[Angel107 30]

Да мне этот мультик тоже нравиться.

Зима Снег... Новый год.

Для грызущих гранит науки всегда маловато фактов и т.д.

[santy 151]

Зачем сотням пользователей делать одинаковую/лишнюю работу ?

Добавить функцию по умолчанию.

Что ещё может запускаться из системных каталогов с таким именем?

зачем сотням пользователей вообще пользоваться uVS - критерии поиска создает в своем списке хелпер для того чтобы выделить подозрительные файлы. И написать скрипт.

[Angel107 30]

Неординарные же случаи и типичные если впредь будут встречаться - будем постить ссылки сюда. Это конечно все будет интересно.

Вот это уже другое дело!

Angel107, без обиды, но

мне достаточно того, что я в течение двух лет поддерживаю страждущих в темах по лечению на техническом форуме.

Сорри негружать несобирался. Нареканий на Вашу работу нет. Меня наоборот радует что хоть кому-то интересны утилиты с неординарным подходом к ловле зловредов!

[Angel107 30]

Судя по файлам образов например USER_2010-10-03_23-09-20.zip типичный Win32.Banker

VT так его определил!

[santy 151]

Судя по файлам образов например http://dsrt.dyndns.org]

zoo %Sys32%\THXWWE.EXE

addsgn 9A828D875531CDB199518CB1EFD3EDD6867168B689411F7885C34E7701BE92B0021798903B670D09

2B5D0781461554C8ED9FE88D66814FFF4B7E6449CEC66170 8 bit_vir1

zoo F:\WEBMONEY\WEBMONEY.EXE

addsgn 9204779A556A11225ADB6446B654E5D72A4017F9301110C06EC47C575F469A44DEFCC8A5D5A076BF

D96B8C62ADFFBA11992301EF5A133BE6DAA6FD7797572DB9 8 TR/Fraud.Gen2

addsgn 9AF9BCF65530F76770F8AE9AB73700A6F6EEBCF6E13D775785987DC5AAC6714FFB44ABDF04699D13

AA42B4894216B6C8F2DA9E1415DA3B395B11E42F38D48199 8 Win32/Spy.Shiz.NAI

zoo %Sys32%\5B55614F.EXE

addsgn A7679B1BB9DE4D720B83F832011012564DC6B0F689924324CB9691D6AFBC8E2623E8D6F73E149DCA

EF887B8ACA1608FA507EE87255D535312C77A445386C2219 8

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ВИТЁК\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\WWWZNV32.EXE

addsgn A7679B1BB9DE4D720B83F832011012564DC6B0F689924324CB9691D6AFBC8E2623E8D6F73E149DCA

EF887B8ACA1608FA507EE87255D535312C77A445386C2219 8 Win32:Crypt-GWP

deltmp

delnfr

regt 1

regt 2

regt 5

regt 23

regt 13

regt 14

regt 18

czoo

restart

хотя, на Вебмони тоже ложняк .

---

ну и chklst, delvir конечно пропущено.

[demkd 590]

1,2,4

Отклоняется.

3. Settings.ini

Подумаю.

[Angel107 30]

santy

Так это VT выдал? (косательно скрипта внесения сигнаткр)

я там вомногих образах нашел:

лог по проверке VT:

Новый_текстовый_документ.txt

Новый_текстовый_документ.txt

[Angel107 30]

Может Нужное кому (по загрузчикам) чистые от Windows 7 Максимальная x86:

demkd

Да непрозвучит как шутка! Но uVS уже и иконку как у AVZ можно уже иметь (она того заслужила)

Загрузчики.zip

Загрузчики.zip

[demkd 590]

Но uVS уже и иконку как у AVZ можно уже иметь

Смысла нет, из-за способа запуска иконка будет не видна Да и просто лень рисовать.

[Angel107 30]

Что правда, то правда! Авторы программ нелюбят оформлять своё детище (оно и так работать будет) хотя художники найдутся я думаю и нарисуют.

С меня тож художник никакущий фотошопом недружу (ненравится краптеть над рисованием)

Вот бы еще скриптом подозрительные файлы отправлять скажем на VirusTotal.com

в папке ZOO то он осядет а юзер его может несумеет отправить?