uVS - Тестирование - Страница 32 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

PR55.RP55
Цитата

Киберпреступники пять месяцев контролировали ASUS Live Update

Злоумышленники разместили на сервере вредоносный файл с бэкдором, подписанный валидным сертификатом ASUS.
Скомпрометированный сертификат 05e6a0be5ac359c7ff11f4b467ab20fc:

https://habr.com/ru/company/jetinfosystems/blog/445256/

Demkd

А нельзя ли в: wdsl  внести соответствующие изменения...

т.е. добавить идентификатор сертификата ?

Серийный номер; Отпечаток...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
2 часа назад, PR55.RP55 сказал:

т.е. добавить идентификатор сертификата ?

нет смысла, сертификат будет отозван сразу на момент обнаружения.
А история да, смешная, только очень наивный человек поверит что все это происходило без ведома Asus, просто кое-кому нужны были компы с определенными MAC адресами и мат. платами asus. xD

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.1.4
---------------------------------------------------------
 o В информацию об активном модуле(DLL) добавлен pid процесса, дополнительно для сервисных модулей добавлено имя соответствующего сервиса.

 o Исправлен английский языковой файл.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

demkd

Образ:

http://forum.esetnod32.ru/messages/forum6/topic15265/message106421/#message106421

Цитата

Полное имя                  <URL>HTTP://DL2.HAGELTECH.COM/DUMETER-INSTALL.EXE</URL><REFERER>HTTP://DL2.HAGELTECH.COM/DUMETER-INSTALL.EXE</REFERER><COOKIES></COOKIES><SAVEPATH>C:\USERS\BITPORT1\DOWNLOADS</SAVEPATH><FILENAME>DUMETER-INSTALL.EXE</FILENAME><FILEEXTENSION>.EXE</FILEEXTENSION>
Имя файла                   DOWNLOADS</SAVEPATH><FILENAME>DUMETER-INSTALL.EXE</FILENAME><FILEEXTENSION>.EXE</FILEEXTENSION>
Тек. статус                 [Запускался неявно или вручную]
                                                      
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
                            
Доп. информация             на момент обновления списка
Файл                        C:\PROGRAM FILES (X86)\DOWNLOAD MASTER\DMASTER.EXE
CmdLine                     "C:\Program Files (x86)\Download Master\dmaster.exe" -addurl "<url>http://dl2.hageltech.com/DUMeter-Install.exe</url><referer>http://dl2.hageltech.com/DUMeter-Install.exe</referer><cookies></cookies><savepath>C:\Users\BitPort1\Downloads</savepath><filename>DUMeter-Install.exe</filename><fileExtension>.exe</fileExtension>"

+
ПОИСК  ЯНДЕКСA

Поиск раз 10 прописан.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

А можно всё таки сделать удаление по ЭЦП  при работе с образом.

Оператор отдаёт команду:  " Удалить все файлы подписанные данной ЭЦП "

Оператор отдаёт команду:  " Удалить все файлы данного Производителя "

Одна команда и на выходе получим скрипт:


;uVS v4.1.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
delref %Sys32%\DRIVERS\ASWARPOT.SYS
delref %Sys32%\DRIVERS\ASWBIDSDRIVER.SYS
delref %Sys32%\DRIVERS\ASWBIDSH.SYS
delref %Sys32%\DRIVERS\ASWBLOG.SYS
delref %Sys32%\DRIVERS\ASWBUNIV.SYS
delref %Sys32%\DRIVERS\ASWHDSKE.SYS
delref %Sys32%\DRIVERS\ASWKBD.SYS
delref %Sys32%\DRIVERS\ASWMONFLT.SYS
delref %Sys32%\DRIVERS\ASWRDR2.SYS
delref %Sys32%\DRIVERS\ASWSNX.SYS
delref %Sys32%\DRIVERS\ASWSP.SYS
delref %Sys32%\DRIVERS\ASWVMM.SYS
deltmp
restart

По какой причине оператор должен сидеть и 30 раз тыкать на кнопки ?

Пригодиться и при работе с ADWARE и при удалении хвостов антивирусов.

https://forum.esetnod32.ru/messages/forum3/topic15284/message106482/#message106482

или

http://www.tehnari.ru/f35/t263849/

-------------

Конечно можно взять версию uVS без критериев поиска > распаковать > создать новый критерий ( критерии )  >

Настроить должным образом тип команды ( в данном случае delref ) > проверить > применить.

Это всё охрененно здорово - только лучше реализовать предложение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
10 часов назад, PR55.RP55 сказал:

А можно всё таки сделать удаление по ЭЦП  при работе с образом.

Оператор отдаёт команду:  " Удалить все файлы подписанные данной ЭЦП "

Оператор отдаёт команду:  " Удалить все файлы данного Производителя "

Одна команда и на выходе получим скрипт:


;uVS v4.1.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
delref %Sys32%\DRIVERS\ASWARPOT.SYS
delref %Sys32%\DRIVERS\ASWBIDSDRIVER.SYS
delref %Sys32%\DRIVERS\ASWBIDSH.SYS
delref %Sys32%\DRIVERS\ASWBLOG.SYS

.....
restart

По какой причине оператор должен сидеть и 30 раз тыкать на кнопки ?

RP55,

в данном примере как раз и не получится сделать автоматическое удаление по ЭЦП и производителю, (ни по сигнатурам, ни через настройку критерия), поскольку тел этих файлов нет, а в образе только ссылки на отсутствующие файлы. (так что автор скрипта сделал все как надо, хотя ссылки на отсутствующие файлы могли попасть в скрипт и автоматически)

если файлов легального антивируса (много 20-30), то для этого есть родные деинсталляторы и удаляторы,

с нежелательными антивирусами это тоже негодный и нерабочий метод.  как минимум, необходимо преодолеть самозащиту такого антивируса, а не удалять сразу все (подписанные или от производителя) файлы.

----------

и с хвостами это сделать не получится, потому что часть ссылок будет на отсутствующие файлы.

по adware и проч. - может и имеет смысл добавить контекстную команду: все файлы с данной ЭЦП подозрительны. (в том случае если еще нет живого критерия по данной эцп.)

а далее, прежде чем все скопом удалять - выполняем анализ, добавляем сигнатуры и критерии, а затем, применяем автоскрипт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

Идеально не бывает - в ряде случаев команды применить можно, а  в ряде нет.

Антивирусы и их хвосты так, или иначе приходиться удалять.

Можно привести десятки тем  и с файлами и без файлов.

Речь вот о чём:  У оператора должен быть выбор... свобода действия.

И там где можно отдать одну команду оператору не придётся отдавать 10 команд.

4 часа назад, santy сказал:

а далее, прежде чем все скопом удалять - выполняем анализ, добавляем сигнатуры и критерии, а затем, применяем автоскрипт.

У каждого свой метод.

и у оператора должен быть выбор.

Кроме того это вопрос времени - когда время есть - это одно... тогда можно и критерии составлять.

А иногда нужно быстро удалить ( и уже в свободное время заниматься анализом, критериями, сигнатурами )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.1.5
---------------------------------------------------------
 o Добавлен новый ключ реестра в список проверки.

 o Для некоторых объектов добавлены поля "Изменен" отображающие дату и время создания/модификации связанных с ними ключей реестра.

 o В лог теперь выводится и "ReleaseId" версии Windows.
   Например: Windows 10 Pro 1809

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

08.05.2019 15:36:29 Получение списка файлов... [Ok]
08.05.2019 15:36:29 Построение списка файлов для обновления... [Ok]
08.05.2019 15:36:29 Новых хэшей в базе SHA\MAIN: 4779
08.05.2019 15:36:29 Новых хэшей в базе SHA\VT1: 0
08.05.2019 15:36:29 Доступно обновление файлов:
08.05.2019 15:36:29 E:\soft\avirus\Universal Virus Sniffer latest\DOC\WhatsNew.txt [Ошибка]
08.05.2019 15:36:29 Сервис временно недоступен.
08.05.2019 15:36:29 Обновление завершено.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, santy сказал:

08.05.2019 15:36:29 Сервис временно недоступен.

да, пока не доступен через полчасика заработает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

С Праздником.

--------------

Microsoft Edge на Chromium в Windows 10

https://www.comss.ru/list.php?c=microsoft_edge

Будет ли uVS поддерживать данный браузер...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
9 часов назад, PR55.RP55 сказал:

Будет ли uVS поддерживать данный браузер...

вряд ли, его доля среди браузеров ничтожна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
3 часа назад, demkd сказал:

вряд ли, его доля среди браузеров ничтожна. 

Цитата

Microsoft Edge - стандартный системный веб-браузер, который поставляется с Windows 10

Компания работает над версиями нового Edge для Windows 7, Windows 8 и Windows 8.1.

Edge получил поддержку расширений для Chrome

Куда деваться от системного браузера...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 10.05.2019 at 11:11 AM, PR55.RP55 сказал:

Куда деваться от системного браузера...

забыть и все

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Вышел: Firefox 67

Реализован отдельный профиль для каждой установки. ( автоматически используется выделенный профиль )

https://www.comss.ru/page.php?id=6074

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 21.05.2019 at 10:27 PM, PR55.RP55 сказал:

Реализован отдельный профиль для каждой установки. ( автоматически используется выделенный профиль )

текущая версия должна нормально находить все профили, кроме выделенных в отдельные каталоги пользователями.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.1.6
---------------------------------------------------------
 o В меню запуск добавлены новые элементы:
   1) Dism /Online /Cleanup-Image /ScanHealth
      Скриптовая команда ScanHealth.
      Запуск проверки целостности системного хранилища компонентов.

   2) Dism /Online /Cleanup-Image /CheckHealth
      Скриптовая команда CheckHealth.
      Отображание результата проверки scanhealt или

   2) Dism /Online /Cleanup-Image /RestoreHealth
      Скриптовая команда RestoreHealth.
      Автоматическое исправление найденных ошибок.

   Вывод осуществляется в лог uVS.
   Функции доступны только для активных и удаленных систем, в будущем планируется добавить поддержку неактивных систем.

 o В связи с отменой аккаунтов в новой версии bitcoin клиента, планируется конвертация остатков балансов пользователей в количество обновлений,
   после чего ввод/вывод будет закрыт и пополнение станет доступным только после решения технических проблем связанных с переходом
   на альтернативную криптовалюту, процесс перехода на новую систему обновлений будет завершен 14-го июня.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
2 часа назад, demkd сказал:

4.1.6

пока не работает обновление.

04.06.2019 21:50:00 Получение списка файлов... [Ошибка]
04.06.2019 21:50:00 Не удалось получить файл

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, santy сказал:

пока не работает обновление.

с фаером беда какая-то случилась, не выдержал скачков напряжения похоже, буду разбираться...
upd. все оказалось хуже, провайдер что-то нахимичил с маршрутами и с 1-го июня доступа к клиентским ip нет несмотря на реальный адрес, ростелеком он такой........
буду разбираться дальше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Как оказалось ростелеком просто втихую закрыл 80/443 порты.
Сайт теперь будет работать на 8888 порту http://dsrt.dyndns.org:8888
Все модули со старыми ссылками перекомпилированы, для обновления необходимо скачать новый апдейтер.

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

Хорошо бы в меню: Скрипты

добавить команду: " Проверить скрипт находящейся в буфере обмена "

Это нужно при работе на форуме. ( в ряде случаев приходиться редактировать ранее опубликованный текст, в процессе редактирования случайно могут быть допущены ошибки. ) Когда есть сомнения... хорошо бы быстро проверить и без лишних телодвижений ( без сохранения в файл )

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

Привет.

по этому фрагменту из образ автозапуска.

Цитата

Полное имя                  {293C20C4-B5E5-4810-94EC-3742198103BF}.CMD
Имя файла                   {293C20C4-B5E5-4810-94EC-3742198103BF}.CMD
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Доп. информация             на момент обновления списка
Файл                        C:\WINDOWS\SYSWOW64\CMD.EXE
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\{293C20C4-B5E5-4810-94EC-3742198103BF}
{293C20C4-B5E5-4810-94EC-3742198103BF}cmd.exe /C start /D "C:\Users\PC\AppData\Local\Temp" /B {293C20C4-B5E5-4810-94EC-3742198103BF}.cmd

предположительно вредоносный cmd -файл, но в опцию файл попал не он, а первый файл из командной строки. (cmd.exe) Возможно ли внести исправление, чтобы в опции file был показан именно тот файл, для которого создан объект образа автозапуска? (возможно там бы засветился код вредоносного cmd-файла)
                            

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

привет, так он же попал
"Полное имя                  {293C20C4-B5E5-4810-94EC-3742198103BF}.CMD"
или нужно что бы его содержимое отображалось как для текстовых файлов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
17 минут назад, demkd сказал:

привет, так он же попал
"Полное имя                  {293C20C4-B5E5-4810-94EC-3742198103BF}.CMD"
или нужно что бы его содержимое отображалось как для текстовых файлов?

да, как для текстовых файлов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
6 часов назад, santy сказал:

да, как для текстовых файлов.

добавлю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×