Universal Virus Sniffer (uVS), Вопросы разработчику

[santy 151]

santy

Так это VT выдал? (косательно скрипта внесения сигнаткр)

нет, на Вебмони сработала старая сигнатура. некоторые файлики (из вредоносов) задетектились сигнатурами, по другим добавлял, после проверки на ВТ.

Вот бы еще скриптом подозрительные файлы отправлять скажем на VirusTotal.com

в папке ZOO то он осядет а юзер его может несумеет отправить?

юзеру зачем отправлять на ВТ, лишь бы ы вирлаб отправил по указанным хелперам почтовым адресам, остально уже дело за хелпером.

[santy 151]

кстати еще одно сильное преимущество обнаружилось сегодня в uVS.

то что в инфо из образа можно увидеть версию системных файлов.

лекари_самоучки заменяют системные файлы userinit.exe чем попало, какой

установочный диск попадется под руку, или из инета скачивают.

в итоги имеют либо черный экран при аутентификации, либо бесконечное

завершение сессии.

[Angel107 30]

кстати еще одно сильное преимущество обнаружилось сегодня в uVS.

то что в инфо из образа можно увидеть версию системных файлов.

лекари_самоучки заменяют системные файлы userinit.exe чем попало, какой

установочный диск попадется под руку, или из инета скачивают.

в итоги имеют либо черный экран при аутентификации, либо бесконечное

завершение сессии.

Да есть такое. Буквально 20 минут назад скачал с вашего форума - там видеоконвертор какойто. Потом 10 минут в uVS разгребал. А то антивирь - бедняжка удаляет его а он опять всплывает. Ну вобщем поиграл с им сигнатурку могу скинуть если нужно? (к форуму и к кому либо притензий неимею)

Вот кстате файл инстолятор - он чист но то что скачивает желательно проверять!!!

hamsterfreevideoconverter_shareware_download.zip

hamsterfreevideoconverter_shareware_download.zip

[Angel107 30]

;uVS v3.67 script [http://dsrt.dyndns.org]addsgn 989C1F2A4D6A4D9AE8D5AEB157139B58D907B976D9050AA895C3C43F9F29F831DF71426A3E559D4866DAF1B8E72A49FA7C52687255DAB1AD1527E12FC773367C 64 Downloads.VirusCode

Вот скрипт сигнатуры на этого Виря.

[Angel107 30]

;uVS v3.67 script [http://dsrt.dyndns.org]addsgn 989C1F2A4D6A4D9AE8D5AEB157139B58D907B976D9050AA895C3C43F9F29F831DF71426A3E559D4866DAF1B8E72A49FA7C52687255DAB1AD1527E12FC773367C 64 Win32:AutoRun-BDI [Wrm]

Вот скрипт сигнатуры на этого Виря.

[Angel107 30]

Может кому нужно: Программа для отправки зловреда на анализ в VT

[Angel107 30]

demkd

А можно как-нибудь зделать что-бы запускать с командного файла uVS для Автоматического создания "Полного Образа Автозапуска"?

Да и размещением архива на "Рабочем Столе" для незадачливых юзеров. (Объяснять по 10 раз как-то надоедать начинает!)

[demkd 590]

Программа для отправки зловреда на анализ в VT

VTUploader доступен на оф. сайте http://www.virustotal.com/advanced.html#uploader и качать стоит лишь оттуда.

А можно как-нибудь

Можно, читайте FAQ.

для незадачливых юзеров

Раз юзер смог запусить то и образ в каталоге запуска найдет.

[Angel107 30]

VTUploader доступен на оф. сайте http://www.virustotal.com/advanced.html#uploader и качать стоит лишь оттуда.

Согласен но невсе юзеры любят англоязычные сайты!

[omnilynx13 10]

Согласен но невсе юзеры любят англоязычные сайты!

не в том суть

Под VTUploader, как и например, под AVZ периодически маскируются зловреды. под uVS пока не встречал, но тоже думаю дело времени

[Angel107 30]

не в том суть

Под VTUploader, как и например, под AVZ периодически маскируются зловреды. под uVS пока не встречал, но тоже думаю дело времени

Нынче зловреды могут маскироваться под всё. Ссылка есть а качать или нет каждый решает сам. (тем более что в И-нете есть онлайн антивирусы проверять можно ссылки и файлы)

[Angel107 30]

База полных образов автозапуска пополнилась ещё одним файлом (из разряда простых логов) интересно посмотреть через VT:

База полных образов автозапуска -> АЛИК-ПК_2011-07-17_16-27-47.zip

[zloyDi 15]

На сколько опасно жать кнопку ДА в этом окне?

[Angel107 30]

Создайте полный образ автозапуска вашего ПК и ввиде архива кинте здесь глянем.

[demkd 590]

На сколько опасно жать кнопку ДА в этом окне?

Ну... если совершенно точно надо удалить ссылку на asp.net то хуже от удаления ссылки на svchost.exe уже не будет, без загрузки сервисной DLL svchost будет тупо висеть в памяти.

Другое дело что некоторые сборки и некоторые оригинальные версии windows изначально имеют кривые ссылки в реестре в т.ч. и на asp.net стоит кривая ссылка с "\\" перед именем файла.

Для XP этот глюк был не столь критичен, а вот для вислы и старше "\\" серьезная ошибка.

Я уже наверное как год собираюсь добавить функцию исправляющую подобные вещи, однако слишком много придется написать и желание что-то делать сразу же пропадает.

Т.е. в данном случае лучше всего исправить ссылку или проставить полный framework соотв. версии (есть в links.htm) _после удаления ссылки... конечно если эта dll действительно от framework-а

[PR55.RP55 82]

1.Выдавать автоматически предупреждение в Лог - ПРИ РАБОТЕ С ОБРАЗОМ.

По аналогии: Система Win7 обнаружен активный процесс на базе (xpsp.)

Или наоборот.

*По прежнему считаю, необходимым ввести обнаружение/сравнение в рамках 2-х параметров

переменных/поисковых критериев.

Как пример : NOD32, AMON, ESET & Panda Security, S.L. = ???

* Вижу много вариантов применения данного предложения.

2. При работе в режиме Live CD

Меню:

"Извлечь код активации Windows - сохранить в файл..."

* При работе с повреждённой системой, когда код активации не известен и требуется переустановка Win.

** Сфера применения, как я думаю очевидна.

3.Удалять не только сам файл, но и его ДубликаТ в dllcache.

3.1. Восстанавливать не только сам файл но и его копию в dllcache.

4. Для загрузчиков: ipl5; ntf5 и других...

Сохранять/хранить в отдельной папке.

* Уже сейчас в uVS более 30 файлов...

Работа с отдельной спец. папкой удобнее.

Есть папка SHA, Doc, Store, Zoo так пусть будет отдельная для загрузчиков.

Что будет логично.

[Angel107 30]

Есть папка SHA, Doc, Store, Zoo так пусть будет отдельная для загрузчиков.

Для загрузчиком место в общей базе хэшей вроде устраивает...

(Зловредам сложнее будет отследить их местоположение т.к. с ростом популярности вирусописатели могут начать атаковать и uVS)

А вот с проблемой скриптов уже сталкнулись скрипт проверяет uVS - всё в норме а при попытке исполнения - ошибка (текст скрипта неменял! Программа сама его генерировала.)

[Angel107 30]

Недавно решил создать форум отдельно посвященный uVS пока простенько всё но чем-то вирусинфо.инфо напоминает...если задумка понравится давайте его развивать! Автору uVS сделаем режим администратора ежели он согласится. (Идея проста! Хотелось бы весь форум по теме одной программы с целью развития и помощи другим юзерам которые немогут самостоятельно с помощью uVS лечить свой зараженный ПК.)

Вот собственно ссылка на пробный форум: [удалено]

Модерация: Реклама сторонних форумов запрещена п. 11.19 Правил форума и специальным распоряжением администратора форума. (Mr. Justice)

Отредактировал Июль 21, 2011 Mr. Justice
Нарушение п. 11.19 Правил форума

[santy 151]

3.Удалять не только сам файл, но и его ДубликаТ в dllcache.

3.1. Восстанавливать не только сам файл но и его копию в dllcache.

насколько я заметил, rknown при восстановлении удаленных из system32 userrinit.exe, taskmgr.exe, перезаписывает зараженные файлы-дубликаты в dllcache.

Вот собственно ссылка на пробный форум: [удалено - см. выше]

Вспоминая А. С. Пушкина. Я памятник воздвиг тебе (uVS) нерукотворный, не зарастет к нему народная тропа. .

[demkd 590]

А вот с проблемой скриптов уже сталкнулись скрипт проверяет uVS - всё в норме а при попытке исполнения - ошибка

Пример такого скрипта в студию, тогда починю.

2.

Мне это не нужно.

3.Удалять не только сам файл, но и его ДубликаТ в dllcache.

Так и есть сейчас.

3.1. Восстанавливать не только сам файл но и его копию в dllcache.

Система сделает это самостоятельно если посчитает нужным.

4. Для загрузчиков: ipl5; ntf5 и других...

Подумаю.

[Angel107 30]

Пример такого скрипта в студию, тогда починю.

Сорри несохранил - но буду иметь ввиду.

[g0dl1ke 26]

При работе с повреждённой системой, когда код активации не известен и требуется переустановка Win.

1. если система легальная - код будет на наклейке

2. если левак - то нет смысла искать код, 99% "зверсиди" и прочих уже "вылечены" и не требуют кода

[Mr.Belyash 70]

VTUploader доступен на оф. сайте

Да напиши ты свой....там же дают тебе ключ.

Ценность самоходного продукта все в той же самоходности©

Не юзать втаплоадер,не юзать интерпретатор chm

На борту все свое.

[demkd 590]

а напиши ты свой....там же дают тебе ключ.

1. лень, меня лично и устаревшая 1-я версия VTUploader-а устраивает, молча все заливает, пусть и не без мелких глюков.

2. ограничения на использование API там очень серьезные т.е. работать будет пару минут в сутки и все.

3. Можно конечно логин вытряхнуть из vtuploader-а, но опять же остается п.1 да и не хорошо это, могут обидеться.

[Mr.Belyash 70]

1. лень, меня лично и устаревшая 1-я версия VTUploader-а устраивает, молча все заливает, пусть и не без мелких глюков.

2. ограничения на использование API там очень серьезные т.е. работать будет пару минут в сутки и все.

3. Можно конечно логин вытряхнуть из vtuploader-а, но опять же остается п.1 да и не хорошо это, могут обидеться.

2,3 -не понял...у меня работает на ура.Ты ничего не путаешь?

Посмотри богомерзкую поделку хохмодава,которую ён упер у однго нирускоязычного товарисча.

У хулибокса на васике тоже есть пример.

3)Какой логин?

Разберись...все не так, как ты думаешь.