uVS - Тестирование - Страница 17 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

PR55.RP55

Demkd

http://tdkare.ru/sysadmin/index.php/Wpad.dat

____________

Полное имя                  HTTP://UNSTOPP.ME/WPAD.DAT?0CCC217EB7D9023EE9FBC197DA5190222227642
Имя файла                   HTTP://UNSTOPP.ME/WPAD.DAT?0CCC217EB7D9023EE9FBC197DA5190222227642
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
                            
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-108393158-1832105142-1644505984-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
AutoConfigURL               http://unstopp.me/wpad.dat?0ccc217eb7d9023ee9fbc197da5190222227642

___________________

Как это связано ?


                            

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
12 часов назад, PR55.RP55 сказал:

Как это связано ?

Понятия не имею.

Теперь для uVS доступна китайская локализация в разделе Ohter languages

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Путь к wpad.dat, расположенному на локальном диске, не на сайте

http://forum.ixbt.com/topic.cgi?id=7:43013

Как будет обрабатывать это uVS ?

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
18 минут назад, PR55.RP55 сказал:

Как будет обрабатывать это uVS ?

кто мешает попробовать и посмотреть что будет, я не могу помнить все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

http://www.tehnari.ru/f35/t254626/

Здесь что- то новое с WMI

ASEC.[EVENTFILTER SETHOMEPAGE2]

-------------

В меню скрипты файл: C:\WINDOWS\SYSTEM32\DRIVERS\JFKNUNWDI.SYS

По моему первый раз такое вижу.

-------------

И вообще образ просто шедевр.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Не работает критерий см. фото.

 

5555555-4.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Да, запущенный случай.
А критерий работает, просто нет Consumer_Script видимо.
SYS в скриптах бывает, иногда это просто текстовый файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
33 минут назад, demkd сказал:

А критерий работает, просто нет Consumer_Script видимо.

Как же он работает, если он не работает ?

Несколько раз проверял.

Там две записи:

Consumer_ScriptingEngine

Consumer_ScriptText

Я сократил запись до: Consumer_Script ( содержит ) - так, как показано на фото )

И критерий не работает.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Ещё косяк в работе программы,

Очень опасный.

Ошибка в разборе пути.

C:\PROGRAM FILES (X86)\MEDIASERCHU\R62SNR6.DLL
C:\PROGRAM FILES (X86)\MEDIASERCHU2\5T9UO1W.DLL

C:\PROGRAM FILES (X86)\MEDIASERCHUN\UNINSTALL.EXE

Пути разные но uVS воспринимает это как один и тот-же путь.

Воспроизводим ошибку:

Выбираем: C:\PROGRAM FILES (X86)\MEDIASERCHU\R62SNR6.DLL

и отдаём команду: Удалить все файлы каталога...

А в итоге...

( см. новый образ в той - же теме )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
3 часа назад, PR55.RP55 сказал:

Я сократил запись до: Consumer_Script ( содержит ) - так, как показано на фото )

содержит касается исключительно значения, но никак не атрибута.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Только что, PR55.RP55 сказал:

Пути разные но uVS воспринимает это как один и тот-же путь.

проверю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
17 часов назад, demkd сказал:

проверю

возможно, в какой то момент времени - так и было задумано  с учетом полезной составляющей такой обработки. Например, можно задать "все файлы данного каталога и подкаталогов являются подозрительными".

demkd,

вопрос опять же не для того, чтобы с новой силой развернуть дискуссию о том, как нам реорганизовать работу с сигнатурами.

Как показывает опыт, наибольшее число фолсов возникает, если исходный файл был откомпилирован в промежуточный язык Microsoft (MSIL), поскольку такие вредоносные файлы ESET как правило детектирует с префиксом MSIL, например: a variant of MSIL/Kryptik.IOF [ESET-NOD32]

в данной теме http://www.tehnari.ru/f35/t254626/

можно было несколько десятков файлов прибить одной сигнатурой, но к сожалению цепляются по этой сигнатуре и группа системных файлов.

C:\WINDOWS\ASSEMBLY\GAC_MSIL\*

есть какая то возможность обойти этот фолс?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

Я выше давал ссылку.

Cisco выпустила генератор вредоносных сигнатур с открытым исходным кодом
 

https://www.anti-malware.ru/news/2017-06-21/23211

Возможно, что-то полезное там есть.

А ещё можно найти данные\коды по антивирусам которые попали в сеть и посмотреть как там реализован механизм работы с сигнатурами.

__________

Ну и опять же вставляю 5 копеек.

Добавлять к данным сигнатуры дополнительную информацию. ( типа ЭЦП ; 32\64bit  ; Тип языка MSIL.... и т.д ) и т.д.

или как я предлагал: Ввести команду: Ограничить действие сигнатуры:

Верно для всех каталогов  кроме каталога ( *** )

Верно только для каталога ( *** )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Или доп. условия.

Верно для всех файлов в автозапуске.

Верно для всех файлов в Temp + RECYCLE + \APPDATA\LOCAL\ + \APPDATA\ROAMING\ + \APPLICATION DATA +

В общем не оставлять сигнатуру в одиночестве :)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55, вообще то вопрос не к тебе.

в данном случае интересует мнение разработчика, который знает алгоритм снятия сигнатуры с файла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
2 минуты назад, santy сказал:

RP55, вообще то вопрос не к тебе.

в данном случае интересует мнение разработчика, который знает алгоритм снятия сигнатуры с файла.

Я разве за Demkd  отвечал ?

Меня просто удивляет желание использовать чистую сигнатуру.

т.е. некую математическую модель.

Хотя её можно дополнить и сделать на порядок...

addsgn & hide %SystemRoot%\ASSEMBLY* BA6F9BD21DE149279EF6AE329EC9D505258AFCF6FDF057FB418B2C1DAE298EDC6F9E877306DCC96D1FC80DD3623EA1D78E20179AFD2C4FD361FCE00BFF8D7657 64 Win64/Wdfload.M [ESET-NOD32] 7

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

я специально добавил текст:

Цитата

вопрос опять же не для того, чтобы с новой силой развернуть дискуссию о том, как нам реорганизовать работу с сигнатурами.

зная, что ты сейчас начнешь поднимать свои ссылки двух, трехлетней давности. Но ты похоже страдаешь недержанием речи. И будешь в сотый раз повторять свою версию.

Вопрос конкретный, и конкретно разработчику, автору программы, который знает алгоритм снятия сигнатур. Твоя версия ответа известна уже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

Я это пишу по той причине, что уверен - нет чисто математического решения.

Symantec одна из крупнейших компаний использует базу SHA-1 ( или её аналог ) для обнаружения угроз.

Значит они не смогли подобрать иной ( сигнатурный ) - надёжный вариант.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
3 часа назад, santy сказал:

есть какая то возможность обойти этот фолс?

только изменить способ формирования сигнатур, но это породит лишь новые фолсы собственно все, невозможно скрестить ужа и ежа, либо надежный детект 1 файла, либо вероятностный детект с массой фолсов в некоторых случаях, но и детект модификаций.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Я уже давно смотрю за: File_Id

Оказывается, что у родственных файлов File_Id частично совпадают.

Пример: ( легальные файлы )

C:\PROGRAM FILES (X86)\NVIDIA CORPORATION\3D VISION\NPNV3DV.DLL

File_Id : 5280EAA8C4000

C:\PROGRAM FILES (X86)\NVIDIA CORPORATION\3D VISION\NPNV3DVSTREAMING.DLL

File_Id : 5280EAAD97000

C:\PROGRAM FILES (X86)\NVIDIA CORPORATION\3D VISION\NVSCPAPISVR.EXE

File_Id : 5280EB1A6B000

--------------

Теперь на примере вчерашнего образа. ( вирус который даёт ложное срабатывание сигнатуры )

C:\PROGRAM FILES\0A6D8TLBHB\0A6D8TLBH.EXE

File_Id : 5960B06F104000

C:\PROGRAM FILES\PYAX9R2WIZ\PYAX9R2WI.EXE

File_Id : 5960BE89104000

------------+

C:\USERS\АЛЕКСАНДР КУКУ\APPDATA\LOCAL\HOSTINSTALLER\1142111729_INSTALLCUBE.EXE

File_Id : 595D70C226000

C:\USERS\АЛЕКСАНДР КУКУ\APPDATA\ROAMING\RCZ4Z3GBPXB\MEZ3BYAPYUB.EXE

File_Id : 595F4E628000

_______

А это те фалы на которые было ложное определение:

C:\WINDOWS\ASSEMBLY\GAC_MSIL\MICROSOFT.POWERSHELL.CONSOLEHOST.RESOURCES\1.0.0.0_RU_31BF3856AD364E35\MICROSOFT.POWERSHELL.CONSOLEHOST.RESOURCES.DLL

File_Id : 4A5BE84D12000

C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V3.0\WPF\PRESENTATIONFONTCACHE.EXE

File_Id : 4CA2EC7EC000

Как мы видим ID совершенно разные...

т.е. в данном случае можно задать

addsgn & File_Id : 595* + 5960B* 0DC977BA156A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42FC7062273 8 1111111 7

т.е. в данном случае совпадение сигнатуры и частичное совпадение _идентификатора_ ...

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
9 часов назад, demkd сказал:

только изменить способ формирования сигнатур, но это породит лишь новые фолсы собственно все, невозможно скрестить ужа и ежа, либо надежный детект 1 файла, либо вероятностный детект с массой фолсов в некоторых случаях, но и детект модификаций.

а есть какая то особенность в том, что массовый фолс, чаще всего, происходит именно на MSIL-файлах?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
6 часов назад, santy сказал:

а есть какая то особенность в том, что массовый фолс, чаще всего, происходит именно на MSIL-файлах?

потому что msil генерируется на основе одно и того же исполняемого файла с текстовой добавкой, потому нет ничего удивительного что сигнатура получается одна и та же.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
15 часов назад, PR55.RP55 сказал:

Я уже давно смотрю за: File_Id

а чего на них смотреть это дата время+размер кода.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Поговорили и...

какие шаги будут сделаны  в отношении сигнатур ?

Или это всё так... одни разговоры...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
4 часа назад, PR55.RP55 сказал:

какие шаги будут сделаны  в отношении сигнатур ?

Пока ничего не планируется изменять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×