uVS - Тестирование - Страница 21 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

demkd
9 часов назад, PR55.RP55 сказал:

Я это к тому пишу, что потребуется выявлять и восстанавливать повреждённые записи.

В данном случае поможет только откат ресстра на момент до заражения или выборочное восстановление веток по сохраненной копии и то и другое есть в uVS, вопрос только в наличии копии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

Меня один момент смущает:

 

Полное имя                  C:\WINDOWS\SYSWOW64\LSM.EXE
Имя файла                   LSM.EXE
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Не_типичен для этого файла [имя этого файла есть в известных]
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{f3b975e7-e068-4f66-81ef-b23e0a0e64c9}\ApplicationIdentity
ApplicationIdentity         lsm.exe

-----------

Такие записи стали встречаться почти в каждом образе - а раньше не было.

2) Отвалилась проверка: DNS  на https://www.nic.ru

изменили алгоритм работы...
                            

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
В 2 апреля 2018 г. at 1:54 PM, PR55.RP55 сказал:

Полное имя                  C:\WINDOWS\SYSWOW64\LSM.EXE

Инф. о файле                Не удается найти указанный файл.

В 2 апреля 2018 г. at 1:54 PM, PR55.RP55 сказал:

 

uVS со многими файлами так выводит, в том числе и с системными, давно уже заметил. Тут файл лежит в system32, а uVS его ищет и в ней и с редиректом в syswow64 (где он никогда и не лежал и не должен лежать). Не находит его и выводит в лог как отсутствующий, хотя по факту никаких отклонений в системе нет.

 



 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
9 часов назад, alamor сказал:
В 02.04.2018 at 3:54 PM, PR55.RP55 сказал:
 

uVS со многими файлами так выводит, в том числе и с системными, давно уже заметил. Тут файл лежит в system32, а uVS его ищет и в ней и с редиректом в syswow64

обычно это просто мусор которого в реестре windows море, если ссылка лежит в 32-х битной ветке реестра то путь до файла обязательно попадает под редирект.
 

В 02.04.2018 at 3:54 PM, PR55.RP55 сказал:

2) Отвалилась проверка: DNS  на https://www.nic.ru

посмотрю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.0.11
---------------------------------------------------------
 o Восстановлена работа с сервисом whois на nic.ru

 o Добавлен твик #38 - Очистить список DisallowedCertificates

 o Исправлена функция парсинга параметра browser.startup.homepage в perfs.js (Firefox).

 

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

а что означает это сообщение?

Splicing m3 detected: RegReplaceKeyW

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
15 минут назад, santy сказал:

Splicing m3 detected: RegReplaceKeyW

это случай когда регион памяти где находится тело функции RegReplaceKeyW очень маленький, чего в обычном случае быть не должно, сигнатуры в этом случае не сличаются,  но это косвенный признак перехвата функций, лично я ниразу не видел такого, но предупреждение таки вписал на этот случай.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd
           

Полное имя                  F:\USERS\BUH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1TASKMGR.EXE
Имя файла                   1TASKMGR.EXE
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
File_Id                     58B8AF7219000
Linker                      10.0
Размер                      94720 байт
Создан                      08.04.2018 в 17:59:22
Изменен                     08.04.2018 в 17:59:22
                            
TimeStamp                   02.03.2017 в 23:49:06
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                            
Доп. информация             на момент обновления списка
SHA1                        45C6CEF1932EDBAF0EFDE7B11AFF3E646BC53B1C
MD5                         3962C9DDCF0365945724BDC98CE89717
 ---------------

Это, как ?

Образ: http://rgho.st/7SZRdxQRw 

                 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
2 часа назад, PR55.RP55 сказал:

Статус                      ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]

скорее всего он скрыт от просмотра через листинг каталога, но не скрыт по прямому доступу, а путь выловился через кэш, потому нет статуса "в автозапуске".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Цитата

Demkd пишет:     скорее всего он скрыт от просмотра через листинг каталога, но не скрыт по прямому доступу,  

А в случае с:  hosts*  или иными схожими системными файлами, что будет ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
17 минут назад, PR55.RP55 сказал:

А в случае с:  hosts*  или иными схожими системными файлами, что будет ?

скрытые от листинга системные файлы? это что-то новое :D  а hosts всегда читается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

 

По крайне мере некоторые устаревшие версии файла способны запускать любые соответствующие файлы\библиотеки

Так например легальный\подлинный файл: GOOGLEUPDATE.EXE  прописывается в автозапуск.

В каталог с файлом GOOGLEUPDATE.EXE помещается файл:  GOOPDATE.DLL

Файл:  GOOPDATE.DLL  не имеет подписи - или подписан левым сертификатом и может иметь статус скрытый\системный и т.д.

Таким образом файл GOOPDATE.DLL в автозапуске...

А вот в логах его в автозапуске не будет.

----------

Нужно доработать uVS и считать все файлы: GOOGLEUPDATE.EXE  +++

как находящиеся в автозапуске.

Тем более, что случай исключительный.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
9 часов назад, PR55.RP55 сказал:

В каталог с файлом GOOGLEUPDATE.EXE помещается файл:  GOOPDATE.DLL

Файл:  GOOPDATE.DLL  не имеет подписи - или подписан левым сертификатом и может иметь статус скрытый\системный и т.д.

Таким образом файл GOOPDATE.DLL в автозапуске...

А вот в логах его в автозапуске не будет.

 

 

 

RP55,

смысл добавления для dll статуса "в автозапуске"?

данный dll запускается только в том случае, если запущен исходный exe

в образ автозапуска этот файл попадает, в списке загружаемых dll он есть,

C:\USERS\POWER\APPDATA\ROAMING\GOOGLEUPDATE.DLL

файл проверен при создании образа автозапуска и помечен как "НЕИЗВЕСТНЫЙ".

В итоге Uvs присваивает ему статус:

АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ DLL

по этому статусу можно добавить критерий, чтобы подобные файлики попадали в отсек "ВИРУСЫ и подозрительные" для последующего анализа.

(СТАТУС ~ АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ DLL )(1) [auto (0)]

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

https://www.comss.ru/page.php?id=4839

Нужно бы добавить выявление Криптомайнеров в браузерах.

+

Для всех процессов  рассчитывать\фиксировать  потребление ресурсов. Что позволит не только эффективнее бороться с майнерами но и выявлять проблемные приложения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

Сейчас хотел составить критерии для: Установленные программы.

С той целью чтобы из списка автоматически скрывались известные программы.

Но это не работает.

А, как было бы удобно - составил список и в перечне остались только НЕ известные программы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 16.05.2018 at 12:57 PM, PR55.RP55 сказал:

, как было бы удобно - составил список и в перечне остались только НЕ известные программы.

А кто их знает известные они или нет, имя можно любое написать, как и подкинуть валидный дезинсталятор в каталог.

---------------------------------------------------------
 4.0.12
---------------------------------------------------------
 o Добавлена поддержка защищенных системных процессов (для Vista+)
   Добавлен новый статус "защищенный".

 o Исправлена ошибка обработки имен файлов с ведущим пробелом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Цитата

Demkd пишет:   А кто их знает известные они или нет, имя можно любое написать, как и подкинуть валидный дезинсталятор в каталог.    

Лучше иметь такую информацию, чем её не иметь. Тем более при работе с образом - когда нет доступа к файлам.

+

Время отведённое на анализ всегда ограничено и весь анализ _списка программ основывается на критерии - Известен: ДА \ НЕТ

+

Файлы программы не ограничиваются одним дезинсталятор-ом,  проанализированы будут и другие файлы.

Кроме того, если дезинсталятор подписан левой ЭЦП ( по критерию поиска ) - это должно влиять на Статус программы в списке и на процесс автоматизации.

В любом случае решение должно быть за оператором - как ему работать и не стоит его искусственно ограничивать - чем больше у оператора возможностей - тем лучше.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

@demkd, просьба добавить обработку и вывод в образ списка поисковых систем из файла \CHROME\USER DATA\Default\Web Data

Файл никак не пошифрован. Надо сделать чтение и удаление (если оператором будет отдана команда на удаление) соответствующей поисковой системы из этого файла.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Почтовики в последнее время начали успешно блокировать карантины UVS находя в них потенциально вредоносное содержимое. Можно что-то сделать (например сменить пароль)?

 

 552-5.7.0 This message was blocked because its content presents a potential
    552-5.7.0 security issue. Please visit 552-5.7.0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
43 минут назад, akoK сказал:

Можно что-то сделать (например сменить пароль)?

можно в принципе сделать настройку, добавлю

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd

возможно ли создавать архив 7z из командной строки с шифрованием заголовков файлов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
7 часов назад, demkd сказал:

можно в принципе сделать настройку, добавлю

а что там делать? Она, в принципе, давно есть. Параметр ArchiveZoo только разве смена пароля поможет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
11 часов назад, santy сказал:

возможно ли создавать архив 7z из командной строки с шифрованием заголовков файлов?

Добавить -mhe ключ в параметр ArchiveZoo и все

8 часов назад, alamor сказал:

а что там делать? Она, в принципе, давно есть. Параметр ArchiveZoo только разве смена пароля поможет?

А вообще да, там же пароль указывается, я уже и забыл, можно вместе с -mhe попробовать, вполне возможно не нравятся имена файлов в архиве.
Ну а в случае гуглмейла ничего не поможет, он не предназначен для передачи шифрованных архивов, тем не менее им почему-то пользуются до сих пор :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dragokas

Не проверял, как сейчас. Раньше, архивы с зашифрованными именами файлов gmail сразу блокировал, так что я бы не назвал это вариантом.

Для начала, определить источник, откуда и куда вы отправляете?

Вот только что отправил письмо с yandex.ru на gmail.com, файл ZOO_, дефолт. пароль, внутри:

ONENOTE 2016.LNK._22299B8A955CED97CD8E815D85990295F3A6D838.txt

ONENOTE 2016.LNK._22299B8A955CED97CD8E815D85990295F3A6D838

Всё нормально дошло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×