uVS - Тестирование

[PR55.RP55 82]

Demkd

http://tdkare.ru/sysadmin/index.php/Wpad.dat

____________

Полное имя                  HTTP://UNSTOPP.ME/WPAD.DAT?0CCC217EB7D9023EE9FBC197DA5190222227642
Имя файла                   HTTP://UNSTOPP.ME/WPAD.DAT?0CCC217EB7D9023EE9FBC197DA5190222227642
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
                            
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-108393158-1832105142-1644505984-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
AutoConfigURL               http://unstopp.me/wpad.dat?0ccc217eb7d9023ee9fbc197da5190222227642

___________________

Как это связано ?

                            

[demkd 590]

12 часов назад, PR55.RP55 сказал:

Как это связано ?

Понятия не имею.

Теперь для uVS доступна китайская локализация в разделе Ohter languages

[PR55.RP55 82]

Путь к wpad.dat, расположенному на локальном диске, не на сайте

http://forum.ixbt.com/topic.cgi?id=7:43013

Как будет обрабатывать это uVS ?

 

 

 

[demkd 590]

18 минут назад, PR55.RP55 сказал:

Как будет обрабатывать это uVS ?

кто мешает попробовать и посмотреть что будет, я не могу помнить все.

[PR55.RP55 82]

Demkd

http://www.tehnari.ru/f35/t254626/

Здесь что- то новое с WMI

ASEC.[EVENTFILTER SETHOMEPAGE2]

-------------

В меню скрипты файл: C:\WINDOWS\SYSTEM32\DRIVERS\JFKNUNWDI.SYS

По моему первый раз такое вижу.

-------------

И вообще образ просто шедевр.

 

 

[PR55.RP55 82]

+

Не работает критерий см. фото.

 

[demkd 590]

Да, запущенный случай.
А критерий работает, просто нет Consumer_Script видимо.
SYS в скриптах бывает, иногда это просто текстовый файл.

[PR55.RP55 82]

33 минут назад, demkd сказал:

А критерий работает, просто нет Consumer_Script видимо.

Как же он работает, если он не работает ?

Несколько раз проверял.

Там две записи:

Consumer_ScriptingEngine

Consumer_ScriptText

Я сократил запись до: Consumer_Script ( содержит ) - так, как показано на фото )

И критерий не работает.

 

[PR55.RP55 82]

+

Ещё косяк в работе программы,

Очень опасный.

Ошибка в разборе пути.

C:\PROGRAM FILES (X86)\MEDIASERCHU\R62SNR6.DLL
C:\PROGRAM FILES (X86)\MEDIASERCHU2\5T9UO1W.DLL

C:\PROGRAM FILES (X86)\MEDIASERCHUN\UNINSTALL.EXE

Пути разные но uVS воспринимает это как один и тот-же путь.

Воспроизводим ошибку:

Выбираем: C:\PROGRAM FILES (X86)\MEDIASERCHU\R62SNR6.DLL

и отдаём команду: Удалить все файлы каталога...

А в итоге...

( см. новый образ в той - же теме )

[demkd 590]

3 часа назад, PR55.RP55 сказал:

Я сократил запись до: Consumer_Script ( содержит ) - так, как показано на фото )

содержит касается исключительно значения, но никак не атрибута.

[demkd 590]

Только что, PR55.RP55 сказал:

Пути разные но uVS воспринимает это как один и тот-же путь.

проверю

[santy 151]

17 часов назад, demkd сказал:

проверю

возможно, в какой то момент времени - так и было задумано  с учетом полезной составляющей такой обработки. Например, можно задать "все файлы данного каталога и подкаталогов являются подозрительными".

demkd,

вопрос опять же не для того, чтобы с новой силой развернуть дискуссию о том, как нам реорганизовать работу с сигнатурами.

Как показывает опыт, наибольшее число фолсов возникает, если исходный файл был откомпилирован в промежуточный язык Microsoft (MSIL), поскольку такие вредоносные файлы ESET как правило детектирует с префиксом MSIL, например: a variant of MSIL/Kryptik.IOF [ESET-NOD32]

в данной теме http://www.tehnari.ru/f35/t254626/

можно было несколько десятков файлов прибить одной сигнатурой, но к сожалению цепляются по этой сигнатуре и группа системных файлов.

C:\WINDOWS\ASSEMBLY\GAC_MSIL\*

есть какая то возможность обойти этот фолс?

 

[PR55.RP55 82]

santy

Я выше давал ссылку.

Cisco выпустила генератор вредоносных сигнатур с открытым исходным кодом
 

https://www.anti-malware.ru/news/2017-06-21/23211

Возможно, что-то полезное там есть.

А ещё можно найти данные\коды по антивирусам которые попали в сеть и посмотреть как там реализован механизм работы с сигнатурами.

__________

Ну и опять же вставляю 5 копеек.

Добавлять к данным сигнатуры дополнительную информацию. ( типа ЭЦП ; 32\64bit  ; Тип языка MSIL.... и т.д ) и т.д.

или как я предлагал: Ввести команду: Ограничить действие сигнатуры:

Верно для всех каталогов  кроме каталога ( *** )

Верно только для каталога ( *** )

[PR55.RP55 82]

+

Или доп. условия.

Верно для всех файлов в автозапуске.

Верно для всех файлов в Temp + RECYCLE + \APPDATA\LOCAL\ + \APPDATA\ROAMING\ + \APPLICATION DATA +

В общем не оставлять сигнатуру в одиночестве

 

[santy 151]

RP55, вообще то вопрос не к тебе.

в данном случае интересует мнение разработчика, который знает алгоритм снятия сигнатуры с файла.

[PR55.RP55 82]

2 минуты назад, santy сказал:

RP55, вообще то вопрос не к тебе.

в данном случае интересует мнение разработчика, который знает алгоритм снятия сигнатуры с файла.

Я разве за Demkd  отвечал ?

Меня просто удивляет желание использовать чистую сигнатуру.

т.е. некую математическую модель.

Хотя её можно дополнить и сделать на порядок...

addsgn & hide %SystemRoot%\ASSEMBLY* BA6F9BD21DE149279EF6AE329EC9D505258AFCF6FDF057FB418B2C1DAE298EDC6F9E877306DCC96D1FC80DD3623EA1D78E20179AFD2C4FD361FCE00BFF8D7657 64 Win64/Wdfload.M [ESET-NOD32] 7

 

[santy 151]

RP55,

я специально добавил текст:

Цитата

вопрос опять же не для того, чтобы с новой силой развернуть дискуссию о том, как нам реорганизовать работу с сигнатурами.

зная, что ты сейчас начнешь поднимать свои ссылки двух, трехлетней давности. Но ты похоже страдаешь недержанием речи. И будешь в сотый раз повторять свою версию.

Вопрос конкретный, и конкретно разработчику, автору программы, который знает алгоритм снятия сигнатур. Твоя версия ответа известна уже.

[PR55.RP55 82]

santy

Я это пишу по той причине, что уверен - нет чисто математического решения.

Symantec одна из крупнейших компаний использует базу SHA-1 ( или её аналог ) для обнаружения угроз.

Значит они не смогли подобрать иной ( сигнатурный ) - надёжный вариант.

 

[demkd 590]

3 часа назад, santy сказал:

есть какая то возможность обойти этот фолс?

только изменить способ формирования сигнатур, но это породит лишь новые фолсы собственно все, невозможно скрестить ужа и ежа, либо надежный детект 1 файла, либо вероятностный детект с массой фолсов в некоторых случаях, но и детект модификаций.

[PR55.RP55 82]

Я уже давно смотрю за: File_Id

Оказывается, что у родственных файлов File_Id частично совпадают.

Пример: ( легальные файлы )

C:\PROGRAM FILES (X86)\NVIDIA CORPORATION\3D VISION\NPNV3DV.DLL

File_Id : 5280EAA8C4000

C:\PROGRAM FILES (X86)\NVIDIA CORPORATION\3D VISION\NPNV3DVSTREAMING.DLL

File_Id : 5280EAAD97000

C:\PROGRAM FILES (X86)\NVIDIA CORPORATION\3D VISION\NVSCPAPISVR.EXE

File_Id : 5280EB1A6B000

--------------

Теперь на примере вчерашнего образа. ( вирус который даёт ложное срабатывание сигнатуры )

C:\PROGRAM FILES\0A6D8TLBHB\0A6D8TLBH.EXE

File_Id : 5960B06F104000

C:\PROGRAM FILES\PYAX9R2WIZ\PYAX9R2WI.EXE

File_Id : 5960BE89104000

------------+

C:\USERS\АЛЕКСАНДР КУКУ\APPDATA\LOCAL\HOSTINSTALLER\1142111729_INSTALLCUBE.EXE

File_Id : 595D70C226000

C:\USERS\АЛЕКСАНДР КУКУ\APPDATA\ROAMING\RCZ4Z3GBPXB\MEZ3BYAPYUB.EXE

File_Id : 595F4E628000

_______

А это те фалы на которые было ложное определение:

C:\WINDOWS\ASSEMBLY\GAC_MSIL\MICROSOFT.POWERSHELL.CONSOLEHOST.RESOURCES\1.0.0.0_RU_31BF3856AD364E35\MICROSOFT.POWERSHELL.CONSOLEHOST.RESOURCES.DLL

File_Id : 4A5BE84D12000

C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V3.0\WPF\PRESENTATIONFONTCACHE.EXE

File_Id : 4CA2EC7EC000

Как мы видим ID совершенно разные...

т.е. в данном случае можно задать

addsgn & File_Id : 595* + 5960B* 0DC977BA156A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42FC7062273 8 1111111 7

т.е. в данном случае совпадение сигнатуры и частичное совпадение _идентификатора_ ...

 

 

[santy 151]

9 часов назад, demkd сказал:

только изменить способ формирования сигнатур, но это породит лишь новые фолсы собственно все, невозможно скрестить ужа и ежа, либо надежный детект 1 файла, либо вероятностный детект с массой фолсов в некоторых случаях, но и детект модификаций.

а есть какая то особенность в том, что массовый фолс, чаще всего, происходит именно на MSIL-файлах?

[demkd 590]

6 часов назад, santy сказал:

а есть какая то особенность в том, что массовый фолс, чаще всего, происходит именно на MSIL-файлах?

потому что msil генерируется на основе одно и того же исполняемого файла с текстовой добавкой, потому нет ничего удивительного что сигнатура получается одна и та же.

[demkd 590]

15 часов назад, PR55.RP55 сказал:

Я уже давно смотрю за: File_Id

а чего на них смотреть это дата время+размер кода.

[PR55.RP55 82]

Поговорили и...

какие шаги будут сделаны  в отношении сигнатур ?

Или это всё так... одни разговоры...

[demkd 590]

4 часа назад, PR55.RP55 сказал:

какие шаги будут сделаны  в отношении сигнатур ?

Пока ничего не планируется изменять.