Universal Virus Sniffer (uVS), Вопросы разработчику

[g0dl1ke 26]

так под лайв наверняка экран будет в нормальном состоянии, а вернуть ориентацию можно тут:

[Юрий Паршин 330]

по моему вопросу потом отпишите

Обе проблемы исправлены в сборках 2.7.22+

[akoK 75]

Есть ли возможность запускать в UVS запускать импорт (баз, сигнатур) при помощи командной строки?

[santy 151]

Цитата(g0dl1ke @ 19.03.2012, 15:26) *

по моему вопросу потом отпишите smile.gif

проверил сэмпл на VM. пролечивается по методу поиска руткитов в uVS из под Live.CD по файлу сверки.

Образ автозапуска в приложении.

VM_XP_2012_03_22_19_38_28.7z

uVS определяет что изменен системный драйвер ipsec.sys и добавлен скрытый объект.

пролечиваем заменой ipsec.sys на чистый аналог, и удаляем добавленный скрытый объект.

перегружаем систему - проверяем в tdsskiller - чисто.

Обе проблемы исправлены в сборках 2.7.22+

да, исправлено. после лечения uVS обнаруживает что хэш IPL C есть в базе доверенных.

VM_XP_2012_03_22_19_38_28.7z

[Smit 29]

вернуть ориентацию можно тут:

я думаю тут на форуме все знают как это делать!

а речь шла о новой разновидности локера ... к стати на момент обнаружения антивири его не видели ни один из 43

[santy 151]

пошла тема в тираж

cmd.exe

----------

Полное имя C:\WINDOWS\SYSTEM32\CMD.EXE

Имя файла CMD.EXE

Тек. статус ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске

...

Ссылки на объект

Ссылка HKLM\Software\Classes\CLSID\{450D8FBA-AD25-11D0-98A8-0800361B1103}\Shell\cmd\Command\

NULL cmd.exe /s /k pushd "%V"

Ссылка C:\USERS\SERGEY\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\IPWOSL.LNK

Ссылка C:\USERS\SERGEY\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\PFIJXA.LNK

Ссылка HKLM\System\CurrentControlSet\Control\Session Manager\Environment\ComSpec

ComSpec %SystemRoot%\system32\cmd.exe

Ссылка HKLM\System\CurrentControlSet\Control\SafeBoot\AlternateShell

AlternateShell cmd.exe

Ссылка HKEY_USERS\S-1-5-21-412197629-4246752671-3392714233-1000\Software\Microsoft\Windows\CurrentVersion\Run\gzpqy

gzpqy cmd.exe /c copy "C:\Users\Sergey\AppData\Local\Temp\uivuu" "C:\WINDOWS\system32\drivers\etc\hosts" /Y && erase "C:\Users\Sergey\AppData\Local\Temp\rugryl.dll" && copy "\C:\Users\Sergey\AppData\Local\Temp\ibfpw" "%WINDIR%\system32\drivers\etc\hоsts" /Y && attrib +H "C\system32\drivers\etc\hosts"

COPY

Полное имя COPY

Имя файла COPY

Тек. статус в автозапуске

Сохраненная информация на момент создания образа

Статус в автозапуске

Ссылки на объект

Ссылка C:\USERS\SERGEY\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\PFIJXA.LNK

Ссылка HKEY_USERS\S-1-5-21-412197629-4246752671-3392714233-1000\Software\Microsoft\Windows\CurrentVersion\Run\gzpqy

gzpqy cmd.exe /c copy "C:\Users\Sergey\AppData\Local\Temp\uivuu" "C:\WINDOWS\system32\drivers\etc\hosts" /Y && erase "C:\Users\Sergey\AppData\Local\Temp\rugryl.dll" && copy "\C:\Users\Sergey\AppData\Local\Temp\ibfpw" "%WINDIR%\system32\drivers\etc\hоsts" /Y && attrib +H "C\system32\drivers\etc\hosts"

образ автозапуска здесь

MICROSOFT_PC_2012_03_25_13_06_04.7z

MICROSOFT_PC_2012_03_25_13_06_04.7z

[santy 151]

провел небольшой тест по этому поводу: добавил в автозапуск систему ключ test, содержащий команду

cmd.exe /c copy "C:\test\1.txt" "C:\test\2.txt" /Y

далее, выполнил исследование автозапуска в uVS и AVZ.

с такими результатами:

в uVS

Полное имя C:\WINDOWS\SYSTEM32\CMD.EXE

Имя файла CMD.EXE

Статус ИЗВЕСТНЫЙ в автозапуске

....

Ссылки на объект

Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run \test

test cmd.exe /c copy "C:\test\1.txt" "C:\test\2.txt" /Y

....

в AVZ

C:\WINDOWS\system32\cmd.exe

Скрипт: Kарантин, Удалить, Удалить через BCАктивенКлюч реестраHKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, test

---------

вопрос к автору uVS

почему объект COPY в образе не имеет статус в автозапуске

(систему не перегружал после создания ключа)

Полное имя COPY

Имя файла COPY

Статус

Ссылки на объект

Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\test

test cmd.exe /c copy "C:\test\1.txt" "C:\test\2.txt" /Y

[Smit 29]

чтото давно не слышно автора ... хотя вчерашним числом выложены новые базы программы !

видутся ли какието работы по дальнейшей разработке программы ??

к стати при работе с win PE всегда выходит ошибка при отправке файлов или проверка их по хешу в интернет из за того что нет браузеров по умолчанию хотя они присутсвуют (опера или фаир фокс)может быть сделать свой мини браузер для этого или чтобы программа искала эти браузеры и запускала ?

лично я выхожу их этой ситуации запускаю фаирфокс с плагином поиска по хешу на вирустотале, капирую хешь из программы после чего отправляю ... вобщем кучя гемороя

[demkd 590]

вопрос к автору uVS

почему объект COPY в образе не имеет статус в автозапуске

(систему не перегружал после создания ключа)

это команда, а не объект, т.е. тут вообще говоря ничего добавляться и не должно

, а как с этим бороться надо думать.видутся ли какието работы по дальнейшей разработке программы ??

нет, проект пока заморожен до появления реальной необходимости чего-либо в него добавлять, желания и времени с ним возиться нет.

[PR55.RP55 82]

Проект пока заморожен до появления реальной необходимости чего-либо в него добавлять, желания и времени с ним возиться нет.

Если uVS Не нуждается в модификации - тогда, что это ?

http://forum.esetnod32.ru/forum6/topic5109/

http://forum.esetnod32.ru/forum6/topic5009/

http://forum.esetnod32.ru/messages/forum6/...6/#message39726

Много аналогичных примеров.

В течении одного дня на форумах можно найти с десяток подобных случаев.

И решить просто - всё содержимое папки \АВТОЗАГРУЗКА\ & \PROGRAMS\STARTUP\ добавляется в образ автозапуска.

Активен, или Не активен - всё равно добавлять!

[demkd 590]

PR55.RP55

это про то что видно только в сейфмоде, я антируткит писать не буду, это пустая трата времени.

для надежной проверки на скрытые объекты в uVS есть сверка.

[PR55.RP55 82]

uVS "Предлагает" добавить сигнатуру в базу, при том, что она уже в базе !

Фото + Образ + sgnz в архиве !

[santy 151]

uVS "Предлагает" добавить сигнатуру в базу, при том, что она уже в базе !

Фото + Образ + sgnz в архиве !

а глубина совпадения какая по сигнатуре? (на рисунке не видно),

потому как первый же попавшийся пример показывает:

[PR55.RP55 82]

Santy

Я же прикрепил базу sgnz.

Кинуть базу в папку с программой и посмотреть на результат !

Причём же здесь QIP - !!!

Кинуть базу в папу с программой и посмотреть на результат !

[santy 151]

Santy

Я же прикрепил базу sgnz.

Кинуть базу в папку с программой и посмотреть на результат !

Причём же здесь QIP - !!!

при том, что что если uVS обнаруживает идентичную сигнатуру длиной 64байт, он сигнализирует, что она уже есть в базе.

А QIP это или Carberp какая разница. Важен пример. Покажи на своем рисунке, какая глубина совпадения с сигнатурой при детекте.

Если ты конечно, по этому файлу добавляешь сигнатуру.

[PR55.RP55 82]

Понял.

Файл по Сигнатуре определяется - но сигнатуры отличаются.

Поэтому uVS "предлагает" добавить "новую" сигнатуру.

Просто сразу для трёх файлов...

Вообще их логичнее объединить путём выявления закономерностей.

Или как - ?

[demkd 590]

PR55.RP55

это дело пользователя, кто-то собирает все сигнатуры кто-то пользуется одной короткой.

релизнул версию 3.75

[Sergey Dindikov 10]

Прикольно при попытке сохранить скаченную версию uvs 3.75 через chromium 21.0.1144.0 он ругается:

http://pic2net.ru/view/v/7ac7e5f730515c51a...98e6332f6de.jpg

[demkd 590]

Sergey Dindikov

уже 21-я версия, однака...

[PR55.RP55 82]

По uVS 375.

Подробно:

Срабатывает определение по поисковому критерию. ( автоматически по настройке в settings.ini )

Файл попадает в список подозрительных.

Далее для того чтобы очистить/минимизировать список проверяемых применяем F4

Однако, после применения F4 видим, что файл со статусом "?Вирус?" остаётся в списке.

Проверяем его индивидуально т.е. через меню файла: "Проверить хэш файла по базе проверенных файлов"

Получаем результат: "Хэш найден в базе проверенных файлов, файл помечен как проверенный"

Вопрос: Почему объект остаётся в списке ?

Всё выше описанное относиться к версии uVS 375.

Сравним с uVS 374 - работает фильтр/проверка по F4...

Никаких дальнейших действий не требуется !

Результат: Неполноценная работа/проверка по Sha1 - ( F4 )

Файл есть в базе проверенных - однако он остаётся в списке.

Тем самым увеличивается визуальный объём проверяемого материала.

И нивелируется значение/роль базы Sha1.

В чём же дело, что же изменилось ?

Из обсуждения:

Santy пишет:

Чей приоритет выше: проверенный из SHA1 (ручной вердикт - проверен) или сигнатура&критерий.

считаю, что у SHA1 должен быть выше приоритет чем критерий.

Да...

Получается, что в версии 375 Критерий поиска имеет статусное превосходство над базой проверенных файлов...

Всё описано подробно: http://forum.esetnod32.ru/messages/forum6/...8/#message44018

страницы: №62; 63

Вопрос ( Культурный ) Что это значит, Как к этому относиться и будет ли это исправлено/скорректировано ?

[santy 151]

Да...

Получается, что в версии 375 Критерий поиска имеет статусное превосходство над базой проверенных файлов...

в данном случае, критерий не имеет статусного превосходства, ни наоборот - поскольку нет автоматического действия на результирующем основании всех детектов и подтверждений.

Статус имеет только твое личное решение.

скрыть записи, которые попали под детект критериев (даже если они и чисты по SHA), значит игнорировать критерии. В любом случае, надо будет рассмотреть_обратить внимание, почему чистые записи попали под критерий: либо уточнить критерий, либо ожидать, что в эти сети в следующий раз попадется что-то левое, и неблагонадежное.

[PR55.RP55 82]

Santy пишет:

Статус имеет только твое личное решение.

Да.

Однако, стоит сократить/снизить частоту/необходимость в частном определении и выборе.

Santy пишет:

Cкрыть записи, которые попали под детект критериев (даже если они и чисты по SHA), значит игнорировать критерии. В любом случае, надо будет рассмотреть_обратить внимание, почему чистые записи попали под критерий: либо уточнить критерий, либо ожидать, что в эти сети в следующий раз попадется что-то левое, и неблагонадежное.

1.В версии uVS 374 - в 95% случаев критерии работают, так как они и должны.

Значит дело в 375.

2.Игнорировать критерии не нужно!

Однако: критерии появились относительно недавно и они прежде всего работают в качестве вспомогательного элемента.

Это - элемент влияющий на скорость, качество обнаружения.

Если файл есть в базе проверенных - Это должно иметь приоритетное значение.

3.Идеальных критериев нет и быть не может..

Всё равно проверенные файлы попадут под него - Вопрос только в том сколько их попадёт...

И чем больше критериев - тем больше объектов со статусом "?Вирус?".

4.Согласен - В ряде случаев приоритет критерия может быть выше чем...

Однако, в таком случае при создании нового критерия - должна быть реализована возможность ПО ВЫБОРУ назначать уровень/статус

выбранного критерия: "ВСЕГДА ОТОБРАЖАТЬ" или "ОТОБРАЖАТЬ при E=MC.2"

[demkd 590]

PR55.RP55

че-то я поднобного не наблюдаю, образ и набор критериев в студию на которых есть проблема.

[santy 151]

Если файл есть в базе проверенных - Это должно иметь приоритетное значение.

простой пример:

чистый userinit.exe или explorer.exe

есть ссылки в инфо:

userinit.exe, *******.exe

или

explorer.exe csrcs.exe

(тоже самое может быть и cmd, rundll32 и т.п.)

----------

если у тебя в списке есть критерии userint или shell, которые покажут что, что-то лишнее есть по ссылкам на данный объект, вот тебе уже и попадание чистого объекта под критерий. Должен ли ты это игнорировать или нет?

в любом случае, чтобы автоматизировать суммирующее значение детектов (улик) и алиби ( sha1). нужна продуманная и выверенная система оценок.

--------

проверил сейчас по своим образам:

1. файлы, которые попадают под критерий появляются в списке подозрительных.

2. после проверки по F4 (по списку SHA1) данные чистые файлы остаются в списке подозрительных

3. после проверки отдельного файла по базе проверенных - чистый файл (который попал под критерий) уходит из списка подозрительных.

очевидно, что в действии 3 помимо проверки по базе проверенных применяется еще и статусное действие "проверен". (т.е. только в этом случае игнорируется попадание под критерий)

[PR55.RP55 82]

Настроим, поисковые критерии так, что в подозрительные попадут следующие файлы:

C:\WINDOWS\APPPATCH\ACGENRAL.DLL

C:\WEBSERVERS\DENWER\BOOT.EXE

C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WEB FOLDERS

C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE11\MSOXMLMF.DLL

C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SOURCE ENGINE\OSE.EXE

C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WEB COMPONENTS\10

C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WEB COMPONENTS\11

C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SPEECH

C:\DOCUMENTS AND SETTINGS\KOTOR\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\UWSVMMTPQTY.EXE

C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\WINDOWSLIVELOGIN.DLL

C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\WLIDSVC.EXE

C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE

В данном случае это: Путь - Содержит: \MICROSOFT SHARED\ ( скажем ищем Corkow )

&

\ПРОГРАММЫ\АВТОЗАГРУЗКА\ - например ищем CARBEPR.

&

\APPPATCH\ пусть будет поиск - Spy.Shis...

Так вот...

Файлы MICROSOFT - есть в базе проверенных - Sha1

Однако F4 - для них не работает !

Причём и Цифровая подпись у них тоже есть...

Пример несколько грубоват - однако сразу всё видно - что и как !