uVS - Тестирование

[demkd 636]

1 минуту назад, Dragokas сказал:

Это F8

а ну да,  вот только там скорее всего оно просто не будет работать даже если скомпилировать под x64, я посмотрю что можно сделать.

[Dragokas 2]

Ну, обычные x64-разрядные программы, там нормально запускаются, тот же FRST. Здесь ведь не нужно службы. Ваш x32 restore.exe отрабатывает нормально без ошибок под x32 Windows RE. Так что простого копирования, думаю, должно быть достаточно.

[demkd 636]

сделаю x64 версию restore проверю, а abr будет просто копировать в тот же каталог.

[demkd 636]

---------------------------------------------------------
 4.0.10
---------------------------------------------------------
 o Исправлена критическая ошибка в функции чтения образа автозапуска.
   (ошибка могла проявляться при чтении больших образов в системе с недостатком свободной оперативной памяти)

 

[alamor 69]

неправильно распарсило командную строку

Полное имя                  (X86)\EYELEO\ICON.ICO
Имя файла                   ICON.ICO
Тек. статус                 в автозапуске [Запускался неявно или вручную] 
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске [Запускался неявно или вручную] 
                            
Доп. информация             на момент обновления списка
CmdLine                     "C:\Program Files (x86)\EyeLeo\EyeLeo.exe" C:\Program Files (x86)\EyeLeo\icon.ico
                            
Ссылки на объект            
Ссылка                      C:\USERS\ЛАРЕТА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EYELEO.LNK
SHORTCUT                    C:\USERS\ЛАРЕТА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\EYELEO\EyeLeo.lnk
SHORTCUT                    C:\USERS\ЛАРЕТА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EyeLeo.lnk
                            

Следует обратить внимание на полное имя файла.
 

[demkd 636]

"C:\Program Files (x86)\EyeLeo\EyeLeo.exe" C:\Program Files (x86)\EyeLeo\icon.ico
Распарсено как раз по всем правилам. Длинный путь должен быть в кавычках.

[PR55.RP55 83]

Demkd

Образ: http://www.tehnari.ru/f183/t255526/

В категории: Подозрительные.

более _ 300 файлов от \AUTODESK\

 

[santy 153]

demkd,

хотел предложить сделать обратную сортировку по выбранному полю, но  с учетом фильтрующего поиска видимо обратная сортировка неактуальна.

[mike 1 57]

UVS 4.10 падает. 

https://virusinfo.info/showthread.php?t=215620

[demkd 636]

29 минут назад, mike 1 сказал:

UVS 4.10 падает. 

дамп надо, но обычно из-за галки выгружать dll

[PR55.RP55 83]

Demkd

В системах есть штатный файл:  C:\Windows\PFRO.log

" Это файл содержит «информацию о предстоящих переименованиях ( и удалении ) файлов»

(pending file rename operations, PFRO).
То  есть список файлов которые нужно переименовать ( удалить ), или переместить  (например в ходе обновления систем), но сейчас это сделать нельзя (  загружен в память ...).  Файл будет переименован после перезагрузки. "

Получается, что при создании образа втозапуска ( в аналогичной ситуации )

Переименованный файл просто не попадёт в образ...

Значит нужно обрабатывать информацию из PFRO.log

И добавлять запись ( прогноз ) ( в Инфо. )

Типа:  Файл: \C:\Users\D36B~1\AppData\Local\Temp\nsqA278.tmp\xml.dll

Будет переименован...

( При необходимости ... для его удаления воспользуйтесь сигнатурой )

 

[PR55.RP55 83]

Цитата

Злоумышленники выпустили обновление популярного мессенджера WhatsApp, которое на самом деле оказалось подделкой и в буквальном смысле завалило рекламой более миллиона пользователей.

Сообщается, что в интернет-магазине Google Play появилось так называемое обновление Update WhatsApp Messenger, которое было подписано компанией WhatsApp Inc. 

Однако в самом названии злоумышленники задали пробел другим кодом, который ввел в заблуждение робота Google, после чего приложение было успешно зарегистрировано в хранилище

В uVS  есть список известных - системных файлов\директорий.

Соответственно в одном каталоге может быть два файла с "одинаковым" названием.

Вся разница будет в пробеле\кодировке.

Думаю нужно проверить, как это будет обрабатываться.

 

[PR55.RP55 83]

Периодически вижу записи типа:

Полное имя                  \U:C:\PROGRAM FILES (X86)\PLEXTOOL\UNINSTALL\UNINSTALL.XML
Имя файла                   UNINSTALL.XML
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
                            
Ссылки на объект            
SHORTCUT                    C:\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\PLEXTOOL\Uninstall Plextool.lnk

-----------

Может здесь не: \U:C:\

а

/U

?
                            

[PR55.RP55 83]

Тема:  https://forum.esetnod32.ru/forum6/topic14339/

Дело в том, что задача не отображается в списке, как самостоятельный объект.

А  просто является частью записей Хрома.

Само собой, что это неправильно.

 

[PR55.RP55 83]

Или в этой теме:  http://www.tehnari.ru/f35/t257035/

FRST  по человечески отображает _отдельную задачу:

Task: C:\Windows\Tasks\Chromium forem.job => Wscript.exe  C:\ProgramData\{56EE938D-DCAC-194B-5A6A-8709C0280CC7}\mofo.txt <==== ATTENTION

----------

А в uVS это опять всё в Инфо. файла.

Что  смотреть Инфо.  сотен файлов ?

"C:\Windows\system32\wscript.exe"
"C:\ProgramData\{56EE938D-DCAC-194B-5A6A-8709C0280CC7}\mofo.txt"
"68747470733a2f2f6b6174756e61712e636f6d"
"433a5c50726f6772616d446174615c7b35364545393338442d444341432d313934422d354136412d3837303943303238304343377d5c63696c656461"
"433a5c50726f6772616d446174615c7b35364545393338442d444341432d313934422d354136412d3837303943303238304343377d5c6365646f6c6564"
"//B" "//E:jscript" "--IsErIk"

 

Что толку от информации - она, что есть, что её нет.

Как мы видим оператор просто не видит данных.

[santy 153]

и здесь тот случай, когда предполагаемое вредоносное действие может быть задетектировано через критерии, но статус "проверенный" восстанавливается за счет чистого хэша легитимного файла.

[PR55.RP55 83]

+

По этой теме:  http://www.tehnari.ru/f35/t256998/

C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\WINHTTP.DLL

Файл не попал в список подозрительных - хотя имя файла соответствует системному:

C:\WINDOWS\SYSWOW64\WINHTTP.DLL
C:\WINDOWS\SYSTEM32\WINHTTP.DLL

+

Файл явно в автозапуске  - чего опять же не видно.

по всей видимости ситуация аналогична раннее исправленной ошибке с wsaudio.dll

-----------

+

Вчера запустил uVS > отфильтровал все отсутствующие и применил для них: все файлы в текущей категории ( с учётом фильтра проверены )  > и  применил Alt+Del

У меня на Mozilla Firefox снесло все расширения ( 3) два из которых были отключены.

причём сами файлы в каталоге: Application Data\Mozilla\Firefox\Profiles\********.default\extensions

присутствуют - но браузер их не видит.

[PR55.RP55 83]

Разобрался в чём дело.

uVS  не видит настройки.

А именно:  Перенес кеша Google Chrome, Firefox или Opera и т.д.

т.е. не видит изменения в файле:  profiles.ini

%appdata%\Mozilla\Firefox\profiles.ini

uVS просто всё сносит по Alt+Del - все настройки, расширения, закладки.

Про перенос кеша браузеров:

https://sonikelf.ru/perenos-kesha-brauzerov-google-chrome-firefox-opera/

Я так понимаю, что он при изменении настроек много чего не видит ( думаю и ряд активных файлов\дополнений )

[demkd 636]

В 16.12.2017 at 1:09 PM, PR55.RP55 сказал:

uVS просто всё сносит по Alt+Del - все настройки, расширения, закладки.

если оно лежит во временных файлах то так и должно быть

В 16.12.2017 at 11:48 AM, PR55.RP55 сказал:

Файл явно в автозапуске  - чего опять же не видно.

посмотрю

В 16.12.2017 at 10:43 AM, santy сказал:

статус "проверенный" восстанавливается за счет чистого хэша легитимного файла.

Тут или критерии в приоритете или проверка по хэшу, надо выбрать одно из двух.
 

В 14.12.2017 at 10:46 PM, PR55.RP55 сказал:

Дело в том, что задача не отображается в списке, как самостоятельный объект.

В uVS все завязано на конкретных объектах, в другом софте на ссылках, это абсолютно разные подходы, в одном случае проще удалить только один объект и исчезнет десяток ссылок на него, в другом случае требуется удалить лишь одну ссылку, поэтому разумно выбирать подходящий инструмент для конкретной задачи.

Я пока все так же занят другим проектом поэтому uVS пока спит.

[PR55.RP55 83]

1 час назад, demkd сказал:

В 16.12.2017 at 12:09 PM, PR55.RP55 сказал:

uVS просто всё сносит по Alt+Del - все настройки, расширения, закладки.

если оно лежит во временных файлах то так и должно быть

Что лежит во временных ...

Закладки и расширения браузера ?

Речь о переносе:  профиль+кеш браузера.

Выше я дал ссылку по настройке: https://sonikelf.ru/perenos-kesha-brauzerov-google-chrome-firefox-opera/

Последствия по Alt+Del однозначны.

----------

1 час назад, demkd сказал:

разумно выбирать подходящий инструмент для конкретной задачи.

Для какой ?

Как это определить ?

1 час назад, demkd сказал:

В uVS все завязано на конкретных объектах

Информация в образе автозапуска есть...

Но оператор её не видит...

Какой в этом смысл ?

Предлагаю создать новую категорию:  Информация.

В категории будет отображаться информация по выбору оператора.

Типы ссылок, файлы - что угодно.

 

[PR55.RP55 83]

+

в теме: http://www.tehnari.ru/f35/t257191/

Это: DisallowedCertificates ( о чём я уже писал - ( что необходим твик по очистке ))

 

[santy 153]

8 часов назад, demkd сказал:

В 16.12.2017 at 11:43 AM, santy сказал:

статус "проверенный" восстанавливается за счет чистого хэша легитимного файла.

Тут или критерии в приоритете или проверка по хэшу, надо выбрать одно из двух.

да, тут вилка. все таки фолсов много будет по текущим критериям.

если только вес какой-то максимальный задавать для конкретного критерия, именно на случаи, когда возможно выполнить вредоносное действие в системе с использованием легитимного или даже системного файла.

а таких случаев становится все больше: cmd.exe, rundll32.exe, wscript.exe, cscript.exe, wmic.exe, regsrv32.ru, mshta.exe, powershell.exe

понятно, что по таким критериям нельзя выполнять действия очистки объекта автозапуска, только вывести его в подозрительные, даже если хэш находится в белом списке.

типа, критерии с плавающей точностью :).

[santy 153]

7 часов назад, PR55.RP55 сказал:

в теме: http://www.tehnari.ru/f35/t257191/

Это: DisallowedCertificates ( о чём я уже писал - ( что необходим твик по очистке ))

похоже эти ключи используются:

Disallowed

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates

Disallowed

HKEY_CURRENT_USER\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates

-------

и здесь в списке могут быть и сертификаты, которые были отозваны в Microsoft.

неплохо бы запросить данные ключи у пострадавших юзеров.

-----------------

здесь детально описано:

CertLock Trojan Blocks Security Programs by Disallowing Their Certificates

https://www.bleepingcomputer.com/news/security/certlock-trojan-blocks-security-programs-by-disallowing-their-certificates/

[PR55.RP55 83]

В 16.12.2017 at 9:43 AM, santy сказал:

здесь тот случай, когда предполагаемое вредоносное действие может быть задетектировано через критерии, но статус "проверенный" восстанавливается за счет чистого хэша легитимного файла.

 

10 часов назад, demkd сказал:

Тут или критерии в приоритете или проверка по хэшу, надо выбрать одно из двух.

 

2 часа назад, santy сказал:

в таких случаев становится все больше: cmd.exe, rundll32.exe, wscript.exe, cscript.exe, wmic.exe, regsrv32.ru, mshta.exe, powershell.exe

 

10 часов назад, demkd сказал:

В uVS все завязано на конкретных объектах, в другом софте на ссылках, это абсолютно разные подходы

А, что, если выборочно для группы объектов:  cmd.exe, rundll32.exe, wscript.exe, cscript.exe, wmic.exe, regsrv32.ru, mshta.exe, powershell.exe, APINIT.DLL и т.д.

Применить другой метод... метод основанный на ссылках.

И всю информацию по данным объектам выводить в отдельную категорию.

Или в категорию:  Подозрительные и Вирусы - но в том виде, как это реализовано в FRST

 

[santy 153]

demkd,

есть интересная идея, реализована она в YARA.  (для будущих версий uVS)

там вместе с правилом детектирования можно добавить tag, и в режиме проверки файлов с помощью консольной yara можно задавать параметр tag,

в итоге, скажем проверка списка идет не по всем правилам_критериям, а только по указанным тэгам.

В нашем случае, можно указать тэги в заголовке критерия, и затем при работ с образом, скажем в поисковой строке, или иным образом указывать по какому тэгу проверить список.

--------

иногда это бывает полезно для отладки критерия.