Universal Virus Sniffer (uVS), Вопросы разработчику

[JunDF 5]

получается, что "delref %Sys32%\WBEM\WMIC.EXE" универсальное удаление восстановления зловредный dns? ( я про случай когда приписывается в автозапуск этот файл с параметрами)

[santy 151]

да, притом, что wmic больше нигде не попадает по ссылкам в образе автозапуска

при этом удалятся все задания, которые добавлены в планировщик, независимо от имени.

вот например, взято из образа:

Полное имя C:\WINDOWS\SYSTEM32\WBEM\WMIC.EXE

Имя файла WMIC.EXE

Тек. статус ?ВИРУС? ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям

SETDNSSERVER (ЗНАЧЕНИЕ ~ SETDNSSERVER)(1)

WMIC (ССЫЛКА ~ \TASKS\AT)(1) AND (ИМЯ ФАЙЛА ~ WMIC.EXE)(1)

FIND WMIC ( ~ WMIC.EXE)(1)

Сохраненная информация на момент создания образа

Цифр. подпись Действительна, подписано Microsoft Windows

Ссылки на объект

Ссылка C:\WINDOWS\TASKS\AT1.JOB

Значение "wmic.exe" nicconfig where IPEnabled=true call SetDNSServerSearchOrder (37.10.116.201, 8.8.8.8)

Ссылка C:\WINDOWS\TASKS\AT2.JOB

Значение "wmic.exe" nicconfig where IPEnabled=true call SetDNSServerSearchOrder (37.10.116.201, 8.8.8.8)

Ссылка C:\WINDOWS\TASKS\AT3.JOB

Значение "wmic.exe" nicconfig where IPEnabled=true call SetDNSServerSearchOrder (37.10.116.201, 8.8.8.8)

Ссылка C:\WINDOWS\SYSTEM32\TASKS\AT1

Ссылка C:\WINDOWS\SYSTEM32\TASKS\AT2

Ссылка C:\WINDOWS\SYSTEM32\TASKS\AT3

[demkd 590]

santy

удалены будут все ссылки на wmic не более и не менее.

JunDF

в данном случае да

[santy 151]

demkd,

понятно,

значит надо семь раз отмерить, прежде чем добавить команду delref на чистый файл, даже если он содержит в своем инфо ссылку на деструктивное действие

[JunDF 5]

А как такое предложение:

добавить Твик "удаление из автозапуска подозрительных файлов windows". Этот Твик удаляет автозапуски на такие файлы, как cmd.exe wscript.exe cscript.exe WMIC.EXE

?

Это будет универсальной таблеткой от всяких подобных хитростей.

[alamor 69]

demkd можно тогда ещё добавить команду для выборочного удаления заданий из планировщика?

[demkd 590]

santy

в окне иформации о файле видно собственно какие ссылки будут удалены, вот те которые там есть те и будут удалены, соотв. осторожности особой не требуется.

JunDF

универсальных рещений не бывает в природе.

alamor

скриптовая команда del есть, в принципе вписать ее не трудно, хотя конечно можно и в контектсное меню добавить в окне информации, типа щелкнул по произвольному имени файла и получил команду в скрипт.

[alamor 69]

хотя конечно можно и в контектсное меню добавить в окне информации, типа щелкнул по произвольному имени файла и получил команду в скрипт.

Да, именно это и имел ввиду.

[PR55.RP55 82]

--------------------------------------------------------

delref %Sys32%\WBEM\WMIC.EXE

--------------------------------------------------------

Удаление ссылок на файл: C:\WINDOWS\SYSTEM32\WBEM\WMIC.EXE

Изменено/удалено объектов автозапуска 0 из 0 | Удалено файлов: 1 из 1

--------------------------------------------------------

Удалено файлов: 1 из 1

2013_12_25_22_14_12_log.txt

2013_12_25_22_14_12_log.txt

[demkd 590]

PR55.RP55

так и должно быть job файл удаляется.

[demkd 590]

новая версия 3.81.8

очистку твиком hosts.ics пока заблокировал, не ясно что будет с ics если его чистить в ноль,

обновление теперь стоит 0.0001btc, начисление бонусов в btc будет в ближайшее время.

[PR55.RP55 82]

Demkd

Спасибо за новую версию !

В WhatsNew.txt

Нет информации, что исправлена работа критериев поиска ( ! при отрицании ... )

[santy 151]

demkd,

эх, не дотянули до 3.81.14 или еще успеем до нового года?

вопрос по команде quit. ее руками набивать в скрипт, или она может быть добавлена из интерфейса? (не нашел)

[demkd 590]

PR55.RP55

пока не исправлено, надо там подумать еще.

santy

руками или в скрипт по гор. клавише, эта команда вряд ли будет часто использоваться.

[santy 151]

не нашел горячую клавишу. Alt+Q?

[PR55.RP55 82]

Demkd

Запустил uVS > открыл образ > закрыл.

Решил выключить PC.

Вылезло окно с: mci command handing windows

С учётом того, что первый раз такое...

Дело в uVS ?

система XP.

[demkd 590]

santy

Нет, я про готовые скрипты на гор. клавишах, отдельной клавиши для этой команды нет.

PR55.RP55

хз, всякое бывает, смотря какой процесс подвис.

Бонус начислен, всем кто имеет положительный баланс с 5760 подтверждениями (месяц и более на балансе) +5% btc к балансу.

Ограничений на использование бонуса нет, в т.ч. можно выводить. Получившие бонус получили уведомление на email.

В email указан итоговый баланс имеющий 5760 подтверждений с бонусом. Полный баланс складывается из указанной в письме суммы и суммы недавних перечислений на которые бонус не был начислен.

Всех с наступающим новым 2014 годом!

[santy 151]

santy

Нет, я про готовые скрипты на гор. клавишах, отдельной клавиши для этой команды нет.

Бонус начислен, всем кто имеет положительный баланс с 5760 подтверждениями (месяц и более на балансе) +5% btc к балансу.

Ограничений на использование бонуса нет, в т.ч. можно выводить. Получившие бонус получили уведомление на email.

Всех с наступающим новым 2014 годом!

demkd,

понятно.

за бонус, отдельное спасибо!

пусть и дальше в новом 2014 году universal Virus Sniffer продолжает развиваться с опережением новых угроз.

С Наступающим!

[PR55.RP55 82]

ВСЕХ.

С наступившим новым годом !

Demkd

Есть мнение, что в базу MAIN были добавлены файлы/программы относящиеся к btc Mining/у

Есть мнение, что их нужно из базы проверенных изъять...

Мнение моё.

[demkd 590]

PR55.RP55

тогда уж придется изъять и все остальные безопасные программы, которые могут быть использованы... нестандартным образом

Текущая версия 3.81.9

o Для *.exe файлов добавлена автоматическая функция поиска одноименных .url файлов.

Найденные url файлы помещаются в категорию подозрительных.

В поле #FILE# доступно начало содержимого файла. (в т.ч. и для образов автозапуска).

o Изменены правила обработки критериев с отрицанием <> и !~:

при отсутствии в списке соотв. атрибута условие принимает значение 1.

o Добавлена новая команда в контекстное меню файла:

"Проверить по базе критериев".

[грум 0]

demkd а по этому вопросу ничего не получилось?

грум

можно просто добавив ntldr в _известные в своей базе и базу не обновлять в последствии, я подумаю может добавлю в свою базу, там были какие-то проблемы, потому в базе их нет, надо вспомнить.

[demkd 590]

грум

пока нет

[Smit 29]

demkd как быть с функцией программы "безопасное удаление ссылок на ВСЕ отсутствующие объекты"

ибо она далеко не безобидная а значит и не безопасная потому что удаляются ссылки с двойным слешем ??? и программы перестают функционировать .

если система воспринимает такой формат ссылок в реестре то и ваша программа обязана их воспринимать или надо удалить данную фишку как недоработанную

далее недавно встретил такую ситуацию винлокер запускает батник в при старте системы, который в свою очередь выгружает эксплорер из памяти и самоликвидируется из памяти.

суть проблемы: программа его не нашла ни в "автозагрузке" ни в "запускается неявно или в ручную"

механизм запуска батника: вражеская прога запускает его из темпа (сам батник лежит в другой папке)+ есть еще один ехе в appdata который контролирует это дело и тоже его запускает если не срабатывает первый вариант ,хз может есть и третий вариант запуска батника но мы этого не узнаем drweb все красиво прибил .

по этому образ для анализа создать не успел...

[g0dl1ke 26]

чистить темп не пробовал?

[demkd 590]

Smit

с двумя слэшами давно уже не удаляются ссылки (не помню с какой версии), а без самого зловреда на руках толку править нет.