Новые функции в Universal Virus Sniffer (uVS)

[demkd 619]

В данной теме вы можете высказывать свои пожелания и предложения по функционалу, который бы вы хотели увидеть в будущих версиях uVS.

Сообщения не относящиеся непосредственно к теме обсуждения будут удаляться.

Принятые к реализации:

1. отображать дополнения браузеров [v?.??]

2. очистка кэша java [v?.??]

3. добавить в лог uVS информацию о состоянии функции восстановления системы, наличие последних точек восстановления, если есть. [v?.??]

4. расширение функционала в окне установленных прогамм: поиск, копирование имени, оторбражение попадающих под критерии. [v?.??]

5. выводить в лог список установленных антивирусов [v?.??]

6. доработка критериев: белые, назначение действия [v?.??]

7. выводить информацию о том упакован ли исполняемый файл [v?.??]

8. добавить поддержку utf16/uft8 для отображения содержимого текстовый файлов в окне информации о файле [v?.??]

(в скобках указана версия в которой будет реализована данная функция, если указано ?.?? то реализация функции отложена на неопределенный период времени)

[santy 153]

  demkd сказал:

В данной теме вы можете высказывать свои пожелания и предложения по функционалу, который бы вы хотели увидеть в будущих версиях uVS.

может стоит добавить команду SCAN dir? сканировать каталоги, подкаталоги с возможностью использования сокращенных путей, отключением или включением рекурсии по сигнатурам, добавленным в базу юзера, эффектвно будет при заражении папок жесткого или съемного диска однотипными файлами червя или трояна.

---

или все таки правльнее будет использовать adddir с добавлением файлов новый образ, и тогда уже наверняка прибивать с помощью chklst&delvir?

[demkd 619]

  santy сказал:

или все таки правльнее будет использовать adddir с добавлением файлов новый образ, и тогда уже наверняка прибивать с помощью chklst&delvir?

Добавить то не трудно, но я думаю adddir - это пока наиболее правильный вариант, особенно если получить образ с уже добавленными каталогами то можно держать лечение под полным контролем. Бесконтрольное же лечение черевато массовыми чистками безвинных файлов. Лучше уж тогда оставить _неактивные тела вирусов дожидаться всплеска гиперактивности обновившегося антивируса.

[hitman_007 25]

Есть немного необычная задумка, которая рассчитана для не очень опытных пользователей uvs, ну и для тех у кого нет возможности зайти под live-cd:

Попался заблокированный комп, с баннером, на win 7, 32х. Антивирусник спокойно «жил» с ним, не вопил. Ни запускалось ничего, но заходило в безопасном режиме. В безопасном uvs ничего подозрительного не находил, в автозапуске глазами лишнего не увиделось. В последствии оказалось что он каждый раз меняет фирму-производителя. (тут вот видимо сказывается неопытность в использовании программы).

В общем помыкавшись туда-сюда, убил в безопасном режиме стандартный таск-менеджер (тут хорошо что оказался файловый менеджер, а то вроде по другому никак не удалить защищенный файл?), скинул все файлы uvs в папку, переименовал start.exe в taskmgr.exe, поставил что бы было поверх окон, и запустился в обычном режиме. Там вызвал таск, вылез uvs, начал выгружать по-одиночке все незнакомые процессы, так в общем и нашёл. Ну а дальше все подчистилось в общем то.

Вот отсюда и возникла мысль – можно ли добавить конфиг/параметр, что бы автоматом ставилось в автозагрузку, или заместо стандартного таск-менеджера? Ну или еще какие-либо варианты?

Понимаю что мысль полностью дилетантская, но однако помогло .

[demkd 619]

hitman_007

Никогда не требуется включать uVS в автозапуск, смысла в этом нет.

Лучше изучить способы фильтрации информации в uVS, начинающим хватит фильтра по примерной дате заражения и проверки по базе проверенных (F4), проверки эцп (F6)... впрочем даты почти всегда достаточно.

Но если таки очень хочется включить в автозагрузку uVS то можно воспользоваться следующим файлом.

uVS будет доступен по Win+U там же можно настроить автозапуск.

winu.zip

winu.zip

[PR55.RP55 82]

  demkd сказал:

Для uVS выделен отдельный подфорум

постепенно буду добавлять справочные темы, а эту тему со временем постараяюсь превратить в FAQ убрав все лишнее и добавив рубрикатор. smile.gif

Надо понимать, что все предложения по функционалу следует теперь писать в новой теме ?

-----------------------------------------------------------------------------------------------------------------------

1.

В SYSTEM.INI и Загрузчики.

IPL NTFS ( SHA1 79D7DA3273882A67F5131AF99C1D7AB22950B693)

MBR (SHA1 DA38B874B7713D1B51CBC449F4EF809B0DEC644A )

VBR NTFS (SHA1 A9523B6CBA7954202BC72A605250C1819BB64424)

Получается, что данные по SHA1 есть - а вот проверки на VirusTotal нет...

Правда предложение спорное...

2. Если, моё предложение по сравнению по SHA1 & Сигнатурам не проходит...

То, предлагаю другой более простой подход/вариант.

Последовательность действий:

1.Очистить Temp*

2.Добавить, все восстановленные исполняемые файлы в список/категорию.

"Файлы Temp"

Получаем, одну команду с двумя действиями.

* Исполняемые файлы добавляются после очистки всех временных каталогов с 65-й секундной задержкой по времени.

** Если, есть вирус тело которого было удалено в результате этой операции - то оно будет восстановлено, и с вероятностью 70% эта процедура будет связанна с Temp* объектами...

*** Соответственно, мы сможем просмотреть/проверить данную категорию и принять решение по добавлению сигнатур

данных объектов в базу.

Для, чего ?

Например, если нет связи и доступа к VT. или есть сомнение, или для изучения зловреда.

В любом случае это дополнительная опция - хуже от которой точно никому не будет.

Отредактировал Август 4, 2011 demkd
Перенес сообщение

[demkd 619]

  PR55.RP55 сказал:

Надо понимать, что все предложения по функционалу следует теперь писать в новой теме ?

Именно так чтоб все предложения были в одной теме и я их не забывал.

  PR55.RP55 сказал:

Получается, что данные по SHA1 есть - а вот проверки на VirusTotal нет...

Можно добавить, но я таки рекомендую обратить внимание на возможность полного извлечения загрузчиков из образа и соотв. возможность залить их на VT... другое дело что не каждый антивирус поймет что это дампы загрузчиков.

  PR55.RP55 сказал:

2.

Смысл действий от меня ускользнул.

[santy 153]

довольно часто в последнее время в темах заражений встречается подмена системной сервисной dll на левую. удаление левой dll приводит к очистке значения параметра реестра, в итоге не работает какая либо служба системы. Может добавить восстановление значения параметра из копии реестра, если она будет найдена?

например:

в

  Цитата

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\ServiceDll

значение

  Цитата

C:\Program Files\Common Files\msdao23.tlc

заменить на

  Цитата

%SystemRoot%\System32\srvsvc.dll

если будет найдено значение в копии реестра.

[demkd 619]

  santy сказал:

добавить восстановление значения параметра из копии реестра, если она будет найдена?

Надо посмотреть как оно выглядит в разных версиях windows, возможно и не нужна будет копия, реализую восстановление дефолтного значения, хотя можно и в 20-й твик добавить, подумаю.

[PR55.RP55 82]

При проверке Одиночного файла по SHA1 на Vir.Total при отдаче команды Esc прерывать операцию проверки немедленно.

*При невозможности получить ответ от сервера операция чрезмерно затягивается.

Способствует, ли тому низкая скорость соединения, или перегрузка сервера.

[demkd 619]

  PR55.RP55 сказал:

при отдаче команды Esc прерывать операцию проверки немедленно

да, надо бы доделать.

[demkd 619]

По поводу проверки загрузчиков на VT... идея принята к реализации.

В принципе нашлось целых 3 антивируса способных правильно проверять дампы загрузчиков: Avira AntiVir, Avast, GData.

Соотв. будет реализовано:

проверка загрузчика по хэшу и возможность заливать его на VT без предварительного извлечения из образа.

К сожалению более серьезные антивирусы (Dr.Web & Kaspersky) себя в деле проверки дампа IPL зараженного Cidox-ом никак не проявили, впрочем по скорости пополнения баз они очень заметно (в последнее время по данным shadowserver-а) уступают авире, так что проблем быть с опознанием не должно, хватит одной авиры

[PR55.RP55 82]

  demkd сказал:

По поводу проверки загрузчиков на VT... идея принята к реализации.

В принципе нашлось целых 3 антивируса способных правильно проверять дампы загрузчиков: Avira AntiVir, Avast, GData.

1.В таком случае во избежание путаницы предлагаю отображать результат детекта по VT. только для этих

трёх антивирусов.

Все остальные результаты не отображать.

А, в случае, если производители антивирусов решат стать хорошими ( т.е. исправить свои недоработки ) тогда в одной из последующих версий uVS можно будет внести соответствующее дополнение.

2.Цитата:

; Автоматически проверять список по базе проверенных файлов при открытии образа

ImgAutoF4 = 1 (1 по умолчанию)

Сразу возникает закономерный вопрос, а почему только при работе с образом ?

Данная функция может быть не менее полезна и при работе с реальной системой.

3.Идеальный вариант, если максимальное число загрузчиков будут добавлено в базу SHA1

Соответственно, если Вам их вышлют, то вы их сможете добавить в базу проверенных и посмотреть, что там и как ???!

*Это, такой тонкий намёк для читателей форума.

[demkd 619]

  PR55.RP55 сказал:

В таком случае во избежание путаницы предлагаю отображать результат детекта по VT. только для этих

трёх антивирусов.

Зачем же так, а вдруг начнутся подвижки в этом плане в любом случае раз детекта нет, то очевидно и в списке лишнего не будет.

  PR55.RP55 сказал:

Сразу возникает закономерный вопрос, а почему только при работе с образом ?

Потому что при работе с образом это всегда имеет смысл, при работе с активной системой не всегда и забытый флаг будет мягко говоря... раздражать, вполне возможно был нужен лишь твик или очистка от мусора или... а тут понимаешь на 5 минут встала проверка, в случае же с удаленной системой автоматика всегда вредна.

  PR55.RP55 сказал:

Соответственно, если Вам их вышлют, то вы их сможете добавить в базу проверенных и посмотреть, что там и как ???!

Мне мое свободное время дорого, поэтому я добавляю только то что нужно мне лично то с чем я работаю, в принципе 0.5 хэшей в базе даже для меня много, поддержание базы в актуальном виде и так отнимает огромное количество времени.

Не стоит приравнивать возможности одного человека к возможностям антивирусной компании с десятками специалистов. Хочется добавить что-то добавляйте в свою личную базу, выкладывайте ее, поддерживайте ее и если народу понравится то базу будут качать и использовать наряду с моей.

[santy 153]

уточняющие вопросы:

  demkd сказал:

Принятые к реализации:

3. Поддержка сигнатур для MBR/VBR/IPL [v3.69]

допустим я ранее добавил сигнатуры MBR (mbrlock) или VBR (cidox), и она сработала при проверке последующих образов, полученных от юзеров из под winpe.

Какие действия uVS может сделать по данным сигнатурам?

chklst&delvir будет что то делать с MBR/VBR при выполнении скрипта на зараженной машине?

если нет,

то может следуют дополнительно добавлять (автоматически добавлять) команду fixmbr исходя из сигнатурного детекта особенного объекта, как MBR?

для VBR в случае сигнатурного детекта, например cidox - добавлять команду fixvbr.

[PR55.RP55 82]

  demkd сказал:

В любом случае раз детекта нет, то очевидно и в списке лишнего не будет.

В том, то и дело, что он может быть даже в том случае когда AV продукт НЕ способен корректно обработать данный файл.

Просто ложное срабатывание.

Зачем пугать мирное гражданское население, оно и так запуганное и пугливое.

*Просто может быть путаница...

Раз... и нашёл Malware !

[santy 153]

  PR55.RP55 сказал:

1.В таком случае во избежание путаницы предлагаю отображать результат детекта по VT. только для этих

трёх антивирусов.

Все остальные результаты не отображать.

а что мешает тебе оставить в списке

; Фильтр по производителю антивируса через запятую.

vFilter=эти заявленные антивирусы?

или предлагаешь отдельный vfilter_два ввести для подобного детекта? опять создание лишних сущностей будет.

[PR55.RP55 82]

  santy сказал:

а что мешает тебе оставить в списке

; Фильтр по производителю антивируса через запятую.

vFilter=эти заявленные антивирусы?

или предлагаешь отдельный vfilter_два ввести для подобного детекта? опять создание лишних сущностей будет.

Всякая лишняя активность с загрузчиками может иметь негативные последствия.

Фильтр предлагаю встроенный в uVS.

Без дополнительных vFilter...

И пусть программа сама отсевает лишнее из данной категории.

* Ложные детекты, явно тут не нужны - А всегда помнить, какой антивирус может корректно отработать, а какой нет...

Это точно путаница может быть.

[santy 153]

  PR55.RP55 сказал:

Всякая лишняя активность с загрузчиками может иметь негативные последствия.

надо просто помнить, что детект ВТ - это как помощь друга в "кто хочет стать миллионером", помощь квалифицированная, но решение все равно принимать тебе. (Я уже запомнил, что детект загрузчиков будет отличаться от детекта tr/worm/virus. Скажем, для меня всегда важен результат проверки DrWeb, Kaspersky, Eset NOD32, Avira.) Два списка настраиваемых фильтров - это перебор. Встроенный в UVS фильтр чреват претензиями к разработчику - почему моего любимого антивируса нет в списке. Настраиваемый фильтр - это то, что соответствует концепции uVS: гибкость, адаптивность программы чрезвычайна важна для исследователя, для заинтересованного пользователя.

[demkd 619]

  santy сказал:

chklst&delvir будет что то делать с MBR/VBR при выполнении скрипта на зараженной машине?

Ничего.

  santy сказал:

то может следуют дополнительно добавлять (автоматически добавлять) команду fixmbr исходя из сигнатурного детекта особенного объекта, как MBR?

Я думаю что пока стоит оставить подобные действия на усмотрение хелпера, захочет вылечить выберет соотв. команду, автоматика тут может оказаться вредной.

  PR55.RP55 сказал:

В том, то и дело, что он может быть даже в том случае когда AV продукт НЕ способен корректно обработать данный файл.

А не известно не способен или просто не хочет, фолс может быть у каждого, соотв. не вижу ни малейших причин ограничивать полезный функционал.

[santy 153]

  demkd сказал:

К сожалению более серьезные антивирусы (Dr.Web & Kaspersky) себя в деле проверки дампа IPL зараженного Cidox-ом никак не проявили,

В проверке дампа MBR (mbrlock) отметились все таки Dr.Web & Kaspersky

http://www.virustotal.com/file-scan/report...389-1312917558#

[demkd 619]

santy

А я про MBR и не говорил с ним у них проблем нет, ибо считай это обычный com файл я говорил про IPL, скорее всего они с ним не работают в отрыве от vbr, надо будет попробовать скормить все в месте возможно и будет эффект.

[PR55.RP55 82]

1.Если в скрипт добавлена сигнатура.

Однако скрипт НЕ содержит команд/ы:

chklst

delvir

Дать - соответствующее предупреждение при сохранении скрипта.

* Периодически подобная ошибка имеет место быть порядка 2% от всех скриптов.

2. При открытии образа.

При автоматическом добавлении сигнатур/ы в скрипт!

( В случае, когда речь идёт о ложном сигнатурном детекте на файл.)

Получается, что Ложная сигнатура уже автоматически добавляется/добавлена в текст скрипта...

*При соответствующей настройке.

И даже, если при работе с объектом увеличить длину сигнатуры и тем самым избежать ложного детекта...

То, скрипт по прежнему будет содержать ошибочные команды на удаление!

Соответственно - при коррекции длинны сигнатуры необходимо Автоматически переписывать текст скрипта

с учётом обновлённых данных.

Выдавать предупреждение в лог, или же при сохранении скрипта:

"Вами была произведена коррекция длинны сигнатуры - Что привело к исключению файла из списка "Подозрительные и вирусы" Все команды скрипта будут отменены"

*Да в uVS есть команда "Отменить всё"

Однако, есть высокая вероятность того, что оператор устранив ложный детект пропустит этап очистки, от

предыдущих команд...

А, с учётом того, что команды были отданы/записаны автоматически вероятность ошибки резко возрастает.

В связи с чем считаю, необходимым скорректировать данную операцию.

Также скорректированный вариант предложения №1 от:

"Santy:

На этот случай неплохо бы задействовать проверку скрипта....

если есть в скрипте команды addsgn+zoo, то при проверке неплохо бы сигналить, что нет завершающей конструкции chklst, delvir"

[santy 153]

как тяжко прорываться сквозь дебри предложений RP55!

------------------------

предлагаю перенести проверку скрипта в тестовый режим с разбором завершающих конструкций....

  Цитата

На этот случай неплохо бы задействовать проверку скрипта....

если есть в скрипте команды addsgn+zoo, то при проверке неплохо бы сигналить, что нет завершающей конструкции chklst, delvir"

только проверку делать не из файла, а из того, что попало в буфер обмена (или то, что отображается по alt+S) по ходу автоматического составления скрипта.

---------

результат проверки выводлить в лог uVS

[demkd 619]

  PR55.RP55 сказал:

1.Если в скрипт добавлена сигнатура.

Если учесть осбенности работы uVS с образом то наличие такого скрипта означает что именно такой скрипт хелпер и хотел получить, а вот склероз тут явно не причем. Доплнительное предупреждение будет лишь раздражать.

  PR55.RP55 сказал:

Однако, есть высокая вероятность того, что оператор устранив ложный детект пропустит этап очистки, от

предыдущих команд...

Тут уже он сам себе злобный буратино, вполне логично сперва выявить всех зловредов, снять сигнатуры, убрать фолсы, а затем лечить все скопом и уже потом делать твики и прочее. Короче не вижу смысла.