Universal Virus Sniffer (uVS), Вопросы разработчику

[santy 151]

залейте образы на нормальный обменник (http://rghost.ru), показывает размер архива 0байт

[JunDF 5]

http://rghost.ru/40664785

[santy 151]

JunDF, посмотрите эти ключи в реестре в исследуемой системе:

HKLM\Software\Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32\

HKLM\Software\Classes\CLSID\{D5DE8D20-5BB8-11D1-A1E3-00A0C90F2731}\InprocServer32\

что там прописано.

в 3.75 они не попадали в образ автозапуска. добавлены в 3.76.

[JunDF 5]

Странно, что это там оказалось:

http://s55.radikal.ru/i148/1209/7f/a60858f4c674.png

Эту запись можно удалить?

[JunDF 5]

Выбрал "Очистить корзину, удалить временный файлы, затем удалить ссылки на отсутствующие", после этого ссылки были удалены и UVS больше не ругался на них.

[santy 151]

по новому варианту dorkbot.b

----

Полное имя C:\USERS\ZAK963\APPDATA\ROAMING\LGXYXJ.EXE

Имя файла LGXYXJ.EXE

Тек. статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Сохраненная информация на момент создания образа

Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Инф. о файле Не удается найти указанный файл.

Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Путь до файла Типичен для вирусов и троянов

Ссылки на объект

Ссылка HKEY_USERS\S-1-5-21-2343441232-3266300291-82532514-1000\Software\Microsoft\Windows\CurrentVersion\Run\Lgxyxj

Lgxyxj C:\Users\Zak963\AppData\Roaming\Lgxyxj.exe

не хватает строковых функций, типа SUBST, LEN чтобы связать эти данные в надежный критерий.

[demkd 590]

santy

надежный тут наверное все равно не получится

[santy 151]

пока по множеству тем не вижу исключений из такого правила:

ссылка~SUBST([имя файла],1, LEN[имя файла]-4)

.

----------

маловато конечно, может быть и ложняк для других объектов .

[santy 151]

demkd,

можно сделать так, чтобы uVS рассматривал текстовый лог, который формируется при создании образа автозапуска как дополнительный объект автозапуска? Чтобы можно было создавать критерии по вхождению тех или иных подстрок в данное текстовое поле?

это решило бы по детектированию с помощью критериев ряда проблем, которые иногда бывают не замечены (пропущены) при ускоренном (беглом) формировании скриптов.

---------

например:

вхождение таких подстрок, как

(!) Обнаружен сплайсинг: NtQueryDirectoryFile

(!) Обнаружен сплайсинг: LdrLoadDll

(!) Обнаружен сплайсинг: NtEnumerateValueKey

указывает на вероятность заражения тем же Dorkbot.B

The worm hooks the following Windows APIs:

ZwEnumerateValueKey (ntdll.dll)

ZwQueryDirectoryFile (ntdll.dll)

NtEnumerateValueKey (ntdll.dll)

http://www.virusradar.com/en/Win32_Dorkbot.B/description

так же можно было бы отслеживать зараженный хостс,

наличие статических маршрутов,

блокирование regedit, taskmgr

и другое.

[demkd 590]

santy

подумаю, пока времени нет, ибо я в процессе расставания со своим текущим роботадателем, а после 23-го буду полностью свободен и время на uVS скорее всего появится тогда и подумаю

[PR55.RP55 82]

1) Есть:

C:\PROGRAM FILES (X86)\NVIDIA CORPORATION\3D VISION\

В подозрительных.

Применяем команду: Статус > Все файлы в каталоге и подкаталогах проверенные.

Где Результат ?

см. Образ ANDREY-PC_2012-10-15

2) По: WMIPJOBJ.DLL

Записи для:

DEN-001_2012-10-04

" ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Синтаксическая ошибка в имени файла, имени папки или метке тома.

проверка не производилась"

Для:

TATSIANA-PC_2012-10-13

ПОДОЗРИТЕЛЬНЫЙ в автозапуске

The filename, directory name, or volume label syntax is incorrect.

проверка не производилась.

С чего вдруг ?

Смотрим: rghost.ru/40962543

[g0dl1ke 26]

по WMIPJOBJ.DLL в свежей версии usv этот файлик всегда подозрителен, хотя при осмотре - имеет цифровую подпись майкрософт и vt рапортует о чистоте

[PR55.RP55 82]

по WMIPJOBJ.DLL в свежей версии usv этот файлик всегда подозрителен, хотя при осмотре - имеет цифровую подпись майкрософт и vt рапортует о чистоте

Да, этот вопрос тоже нужно проработать.

___________________________________

Я обратил внимание, что в русской версии встречается вставка на английском.

то русский - то английский.

просто удивительно.

В образах это ясно видно.

[JunDF 5]

Возможно ли добавить в твик "восстановление winlogon" удаление параметров HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ userinit.exe и HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ explorer.exe

?

[g0dl1ke 26]

зачем? правой мышкой на ntsd - удалить все ссылки на объект

[JunDF 5]

Столкнулся с зараженным компьютером, вычистил всю заразу. Изучив все вкладки uVS ничего подозрительного не нашел.

После перегрузки компьютер дальше экрана приветствия не грузился в любых режимах. Загрузился с LiveCD и uVS сразу выделила зловредную запись в HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ userinit.exe, удалив ее компьютер загрузился нормально.

Но она не была обнаружена при лечении из зараженной системы. Твик, который бы очищал эти значения реестра позволил бы не использовать LiveCD в этом случае.

[santy 151]

в таком случае нужен образ автозапуска для полноты картины. возможно, какая то другая (вредоносная) программа была прописана в отладчики в данных записях реестра.

------------

[JunDF 5]

santy, скинул вам в личку ссылку на зловред. Подскажите, как его правильно удалять в WinXP, чтобы загрузка системы не портилась.

[santy 151]

JunDF,

здесь проблема в том, что процесс данный вредоносный защищен, и автоматически удаляется только после перезагрузки.

защищен так же и ключ, (имя вредоносной программы меняется после повторной установки).

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe]

"Debugger"="dnseoplay.exe"

при активном зловреде удаленный параметр Debugger восстанавливается вместе со своим значением,

поэтому, имхо, удалять лучше с использованием безопасной виртуализации.

;uVS v3.76 script [http://dsrt.dyndns.org]

;Target OS: NTv5.1

OFFSGNSAVE

zoo %Sys32%\DNSEOPLAY.EXE

addsgn 71D15A48176AB1F90E9F7AF3644DD2716C26ADB689732A035581C5851CF251312C5C4A5A6885DF49

A2B5A94F0416A2EFF4C2B3A217DA39293FA6E62FA1C127A8 8 tr.0628

sreg

delref %Sys32%\DNSEOPLAY.EXE

areg

в этом случае, вредоносный файл исключается из автозапуска, удалением вредоносной ссылки, но остается в системе, его (тело) можно руками удалить или повторным скриптом.

-------------

добавляю.

при таком удалении данного зловреда имеем описанную выше проблему

delall %Sys32%\LOGONGWIN.EXE

--------------------------------------------------------

Удаление ссылок и самого файла: C:\WINDOWS\SYSTEM32\LOGONGWIN.EXE

Запуск служб блокирован

Построение списка процессов и модулей...

Сбор дополнительной информации...

Остановка сервисов и выгрузка драйверов...

Завершение процессов...

C:\WINDOWS\SYSTEM32\LOGONGWIN.EXE будет удален после перезагрузки

Запуск служб разблокирован

Изменено/удалено объектов автозапуска 1 из 1 | Удалено файлов: 0 из 1

[JunDF 5]

santy, виртуализация действительно позволяет удалить этот зловред без проблем после перезагрузки. Спасибо.

[atwinny 0]

Win 7 x64 HB uVS вылетает с ошибкой через 5 секунд после нажатия кнопки Запустить под текущим пользователем:

та же проблема

пишет "анализ автозапуска" и вылетает.

Отредактировал Октябрь 22, 2012 atwinny

[demkd 590]

atwinny

я пока причин такого поведения программы не нашел, хорошо бы полню копию реестра мне получить (снятую например erunt-ом)

[alamor 69]

Время от времени попадаются, логи uVS где сам файл лога не просто упакован, а спрятан в подкаталоги. В следствие ошибка открытие лога uVS если указать архив (нужно вручную распаковывать логи потом указывать его программе). В приведённом ниже логе он упакован: Архив.rar\Users\UserName\Лог.txt

http://rghost.ru/41315965

[Vvvyg 12]

В 3.75 и более ранних версиях Winrar запускался на упаковку образа в т. ч. с ключом -ep1, в текущей этот ключ отвалился. Может, благодаря мне...

[PR55.RP55 82]

1) По Win.rar поддерживаю.

В новой версии необходимо изменить параметры.

Распаковывать когда образ 5-ть раз завёрнут...

2) Для борьбы с зверями приходиться пользоваться доп. протезами.

В силу того, что uVS не справляется с задачей.

Соответственно необходимо предпринять шаги к разрешению ситуации !!

Смотрим тему: forum.esetnod32.ru/forum6/topic7488/