Новые функции в Universal Virus Sniffer (uVS)

[demkd 603]

А так - отдал не ну команду...

Раз и исправил !

Самым простым решением является правка готового скрипта, что есть секундное дело перед сохранением.

А отмену делать мне лень, слишком много бесполезного мне кода.

И, в ряде случаев приводит к необходимости повторной проверки - что отнимает время; расходует трафик; нагружает V.T.

* Думаю, что это особенно актуально в тех случаях, когда происходит сброс для файлов прошедших проверку по цифровой подписи.

Возможно ли это исправить ?

Я пожалуй сделаю лучше и подумаю над опциональным кэшированием запросов к VT/JT в локальной базе/файле.

3. "Цифровая подпись - белый список"

отклоняется, базой доверенных серфтификатов пусть занимается microsoft.

Имеет место ряд случаев когда человек говорит о том, что браузер постоянно - в момент запуска открывает: webalta.ru

За параметрами ярлыков пусть следит сам пользователь, незачем забивать образ всяким хламом.

[PR55.RP55 82]

1. В ряде случаев нужно имя из списка сигнатур вирусов.

Было бы удобно их копировать через: "В Буфер обмена > имя файла"

2. "Добавить хэш файла в базу проверенных"

Возможно случайное добавление sha1 вируса.

Во избежание инцидентов лучше сделать через вкладку с |> переходом.

т.е.прежде чем добавить хэш в базу нужно будет открыть вкладку/переход и только затем добавить файл.

При просмотре в 50 -70 образов в сутки, вероятность случайного нажатия/добавления высока.

Или же, внести опционально запрет - на данную функцию при работе с образами.

Едва-ли, есть желающие добавлять неизвестный sha1 из инфицированной системы.

Дополнительная страховка от ошибки будет весьма к месту.

3.Фактическая ошибка.

В обработке/проверке/исполнении команд скрипта.

Приведу пример скрипта

;uVS v3.74 script [http://dsrt.dyndns.org]

;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE

deltmp

delref

restart

------------------------------------------------

uVS Считает подобные скрипты легитимными - т.е. принимает их к исполнению...

Значение, или путь удаляемого объекта не заданно ! " delref "

Да...

Программа в процессе закрывается!

Но сам факт того, что скрипт работает и только затем uVS закрывается...

4. По вопросу отмены изменений текста/кода скрипта!

Сейчас есть функция: "Сохранить автоматически созданный скрипт в файл"

т.е. сейчас - Открываем смотрим/редактируем и сохраняем.

Переложение: "Продолжить работу с учётом внесённых изменений в текст скрипта"

Добавить в меню - строку: "Править автоматически созданный скрипт и продолжить работу"

Логика: Пишем скрипт > Открываем > Правим содержание > Закрываем окно > Продолжаем работу по написанию скрипта.

т.е. работает это, как аналог текстового редактора.

Открыли - текст > Внесли исправления > Сохранили результат и продолжили работу по написанию скрипта > Сохранили итоговый результат.

5.При работе со сложными скриптами недостаточно существующего размера окна.

* Информации просто не видно !

Предлагаю - сделать автоматическую подгонку размеров/структуры окна вывода скрипта.

Пример: Набрать 20-ть команд подряд и... что будет ?

6.Считать скриптовую команду: areg .

Завершающей командой скрипта - Не принимать к добавлению и исполнению команды отданные после команды - areg

Считать скрипты аналогичные ниже приведённому ошибочными.

;uVS v3.74 script [http://dsrt.dyndns.org]

;Target OS: NTv5.1

deltmp

delnfr

sreg

areg

czoo

restart

3. "Цифровая подпись - белый список"

Отклоняется, базой доверенных серфтификатов пусть занимается microsoft.

Причём здесь microsoft !

Причём здесь Сертификаты !

Кто говорил о их проверке !

Параметры/список - полностью на совести пользователя !

uVS - сейчас проверяет наличие цифровой подписи - пусть проверяет !

Человеку нужно взять и САМОСТОЯТЕЛЬНО составить список доверенных... ( ESET; Kaspersky; Microsoft...)

* Доверенных в его понимании !

А, uVS - проведёт сопоставление этого списка со списком файлов имеющих цифровые подписи.

По схеме аналогичной системе реализованной в поисковых критериях !

Простого сравнения...

В общем я свою точку зрения выразил !

[santy 151]

2. "Добавить хэш файла в базу проверенных"

Возможно случайное добавление sha1 вируса.

это смотря, кто как добавляет файлы а проверенные.

лично я добавляю только через функцию - добавить хэши исполняемых каталога в проверенные.

на заведомо чистой системе.

6.Считать скриптовую команду: areg .

Завершающей командой скрипта - Не принимать к добавлению и исполнению команды отданные после команды - areg

это тоже ни к чему.

скажем после проверки подозрительных и вирусов,

которые в первую очередь проверяешь, и соответственно

sreg-areg может быть вначале скрипта,

затем еще и основной автозапуск проверяешь, и Explorer с браузерами,

и очистка темпа идет,

и возможно твики надо добавить....

-------

затем просто слегка редактируешь скрипт в окне, чтобы был правильный порядок команд.

[PR55.RP55 82]

это смотря, кто как добавляет файлы а проверенные.

лично я добавляю только через функцию - добавить хэши исполняемых каталога в проверенные.

на заведомо чистой системе.

Я же ясно написал - что речь идёт о вероятности ошибки при работе с образом !

Причём же здесь целенаправленное добавление в базу ? !

* Я говорю - об ошибочном добавлении из контекстного меню объекта...

Не принимать к добавлению и исполнению команды отданные после команды - areg

Хорошо скорректирую текст.

Так: "Не принимать к исполнению команды отданные после команды - areg " - "Считать их ошибочными "

Прежде всего имел ввиду уже готовый файл скрипта.

А по редактированию в процессе его создания - кому, как удобнее - тот пусть так и работает.

* Ясно же, что команда/ы отданные после areg - будут лишними.

Путь будет проверка на логику выполнения - уже готового скрипта.

И если кто такой шедевр напишет - то пусть берут и исправляют !

P.S. моё предложение: "Цифровая подпись - белый список"

Понято верно ?

Или, также имеет место непонимание ?

[demkd 603]

Или же, внести опционально запрет - на данную функцию при работе с образами.

это можно.

Программа в процессе закрывается!

посмотрю.

4. По вопросу отмены изменений текста/кода скрипта!

слишком много бесполезного кода.

Предлагаю - сделать автоматическую подгонку размеров/структуры окна вывода скрипта.

подумаю.

Считать скрипты аналогичные ниже приведённому ошибочными.

ни к чему это.

Причём здесь microsoft !

Причём здесь Сертификаты !

При том что проверка эцп процесс сложный и многоэтапный, а вот нашлепнуть вполне валидную подпись (без проверки цепочки сертификатов) с любым набором символов в поле "Имя подписавшего" может любой школьник... впрочем и с проверкой тоже, достаточно поставить свой корневой сертификат, соотв. фильтрация по имени не только смешна, но и опасна. Поэтому вообще не стоит сильно доверять цифровой подписи, а если и доверять то только при ее проверки на заведомо чистой машине со всеми соотв. апдейтами от microsoft.

[santy 151]

Хорошо скорректирую текст.

Так: "Не принимать к исполнению команды отданные после команды - areg " - "Считать их ошибочными "

здесь вопрос конечно интересный:

продолжает ли uVS что либо делать после выполнения (или при получении) команды areg.

Я всегда считал, что сразу следует перезагрузка системы, т.е. для uVS areg помимо всего прочего (действий) является указателем на restart.

[PR55.RP55 82]

Цитата demkd

Считать скрипты аналогичные ниже приведённому ошибочными.

ни к чему это.

Скрипты по типу:

sreg

areg

czoo

restart

и

sreg

areg

restart

Реально пишутся и применяются !

Можно привести примеры - только как оказалось открытая критика плохо воспринимается.

* Приношу извинения за публичное освещение данного вопроса.

** Однако надо внимательнее читать инструкцию...

" Много бы ещё чего Доброго по этому вопросу мог бы написать однако воздержусь"

Потому я и говорю на эту тему.

Или может всем вместе перейти такие скрипты... ?

deltmp

delnfr

restart

restart

[demkd 603]

Реально пишутся и применяются !

Если есть restart в тексте то после выполнения всего скрипта произойдет рестарт (с версии 3.60), если есть аreg аналогично, т.е. все вышеприведенные скрипты отработают нормально. Проблема-то в чем собственно? В том что кто-то добавляет лишние команды... ну на здоровье пусть добавляют.

[santy 151]

предложение: добавить адаптированную (автоматическую) реакцию в uVS на добавление новой сигнатуры.

по умолчанию в settings указывается_остается стандартная реакция, т.е. ZOO &addsgn

-------

результат такой, чтобы в скрипт при определенных условиях не попадала команда ZOO (добавить в карантин).

причина: то что если при проверке на VT файл детектируется группой антивирусов, то нет смысла добавить его в карантин, чтобы не перегружать

вирлаб карантинами файлов, которые детектируются.

идея_алгоритма такая (для адаптированной реакции):

ставим первым в списке антивирусов vGetName тот вирлаб, куда обычно отсылаем вирусы. например: NOD32.

если в момент добавления сигнатуры количество детектов на VT=0 (еще не проверяли на VT или при проверке нет ни одного детекта), тогда автоматически добавить команду ZOO;

если VT<>0, но нет детекта по первому в списке vGetName=NOD32, DrWeb, Kaspersky, тогда автоматом добавляем команду ZOO;

если VT<>0, и есть детект по первому антивиру, тогда ZOO не добавляется.

если все таки нужен карантин файла (по которому есть детект на VT первого в списке антивируса), тогда вручную добавить ZOO или перейти на стандартную реакцию.

-------

+ ввести счетчик закарантиненных файлов,

если nQrntFile<>0 включить автоматически автоархивирование карантина (перед рестартом системы или в конце выполнения скрипта) , даже если нет в скрипте команды czoo.

-------

+ изменить имя архива с карантином на ZOO_дата_время.7z/rar

[PR55.RP55 82]

1. Просто фото

2. Простое предложение

3. Просто жду.

[santy 151]

размещение тригеров неважное. поле для фильтрующего поиска должно быть где оно есть сейчас. по центру поля зрения, а не где-то в правом углу.

[demkd 603]

если VT<>0, но нет детекта по первому в списке vGetName=NOD32, DrWeb, Kaspersky, тогда автоматом добавляем команду ZOO;

че-то это больно сурово, как с тем же cgminer-ом который и drweb и kaspersky и авира и еще 20 штук детектили как вирус... а авира упорно наплевав на все возражения до сих пор детектит. Детект любым антивирусом не есть достаточное условие для того что бы считать файл зловредным.

1. Просто фото

подумаю.

включить автоматически автоархивирование карантина

это как-то больно сурово, разве что только при работе с образами.

изменить имя архива с карантином на ZOO_дата_время.7z/rar

поменяю.

[santy 151]

че-то это больно сурово, как с тем же cgminer-ом который и drweb и kaspersky и авира и еще 20 штук детектили как вирус... а авира упорно наплевав на все возражения до сих пор детектит. Детект любым антивирусом не есть достаточное условие для того что бы считать файл зловредным.

да, есть здесь вилка. по идее, любой удаляемый файл надо бы карантинить.

---------

нет, конечно, не пойдет это.

поскольку сам юзер, возможно захочет отправить карантин еще и в другое место, а мы таким образом привязываем его (карантин) к своему вирлабу. нет. снимаю это предложение.

это как-то больно сурово, разве что только при работе с образами.

да, конечно, только с образами.

[hitman_007 25]

Уважаемые участники.

А никто бы не хотел/мог бы сделать некоторое поясняющее/обучающее видео? И видимо даже не одно, а несколько, т.к. всегда есть тонкости же. Формат видео типа пояснение к действиям, и почему именно эдак, а не так.

Понимаю что это отнимет время, но к примеру на видео можно давать советы, свои измышления, советы и прочее, т.е. сама затея возможно принесет кучку пользы

[PR55.RP55 82]

1) Предложение.

При добавлении сигнатуры в базу.

Автоматически производить маркировку сигнатуры - по типу расширения файла.

*Для стандартных/известных типов расширений.

Например: exe;sys;dll

Для чего: В целях минимизации ложного определения. ( информация для оператора )

т.е. Сигнатура извлечена из файла типа: EXE, а срабатывание/определение на файл типа: Dll

Имея данные для анализа - мы практически с 100% вероятностью сможем сказать, что это ложное обнаружение/срабатывание.

Ведь мы знаем тип файла №1 ( exe )и №2... !

________________________________________________________________________________

hitman_007

про:

кучку пользы

Подумаю.

* Чего именно ( с подробностями/примерами, вы хотите ).

[hitman_007 25]

Ну отчего такая явная отрицательная реакция? Да, многие умеют грамотно использовать функционал проги, но почему-то все же иногда спрашивают как лучше здесь сделать, или что вообще делать. Думается если посмотреть на действия других, можно иногда что-то выцепить "полезное"?!

Ни разу не делал восстановление системных данных, не использовал образы. Больше интересует кто и как начинает работать с системой, чем руководствуется, чем лечение какого-то конкретного примера.

[santy 151]

hitman_007, наверное это лучше делать в теме для общения, не в новых функциях uVS.

примерный формат - сочинение на тему: "как я провел лето", "как я лечил MBRLock", "как я вылечил ZAccess" и т.д.

[zzkk 130]

demkd, ниже цитата из статьи:

Функциональность команды Netsh гораздо богаче, чем было описано в данной статье. Но читателей наверняка интересует, как здесь обстоит дело со шпионскими программами. Эти программы обычно действуют, проникая в Winsock — по существу, в интерфейс между имеющимися приложениями и Internet. Шпионские программы предпочитают размещаться там так, чтобы удобно было следить за пользователем. Некоторые антишпионские инструменты способны находить и удалять такие программы, но со временем они могут полностью вывести из строя стек Windows TCP/IP. И хотя это эффективный способ защиты от постороннего вмешательства, он равноценен разрушению ради спасения.

К счастью, здесь может помочь Netsh. Достаточно просто набрать

netsh winsock reset

и нажать Enter. Теперь необходимо перезапустить систему. Возможно, потребуется проделать это с последующей командой

Netsh IP Reset

и вы тут же получите стек IP обратно.

Собственно, сегодня чистил зараженную машину, у которой малвара испортила сеть. Решить проблему помогла команда "netsh winsock reset". Давайте добавим ее на окошко твиков.

[Smit 29]

demkd, ниже цитата из статьи:

Собственно, сегодня чистил зараженную машину, у которой малвара испортила сеть. Решить проблему помогла команда "netsh winsock reset". Давайте добавим ее на окошко твиков.

кагдато давно я тоже предлогал автору эту каманду...

* netsh int ip reset resetlog.txt

* netsh winsock reset

(можно еще и лог делать чтобы видеть, что зараза нарисовала)

и дополнительно приводил работу утилит от майкрософта : MicrosoftFixit50199.MSI и Microsoft Fix it 50203

в любом случае (камандой или утилитами ) в ряде случаев придется пересоздайте VPN подключение

[santy 151]

Приветствую.

можно критерии поиска привязать к записям в hosts?

например, чтобы детектировать сразу вирусное заражение по записи

127.0.0.1 jL.chura.pl

[demkd 603]

При добавлении сигнатуры в базу.

Автоматически производить маркировку сигнатуры - по типу расширения файла.

отклоняется, лень.

Решить проблему помогла команда "netsh winsock reset". Давайте добавим ее на окошко твиков.

Добавить-то можно, но скорее всего не в твики.

можно критерии поиска привязать к записям в hosts?

подумаю.

[santy 151]

приветствую,

вопрос_предложение.

загрузчик в MBR занимает 440байт, остальные байты до 512 отведены под таблицу разделов. При создании файла сверки в файл dat сохраняется все 512байт из MBR. можно в uVS сделать восстановление таблицы разделов по файлу сверки в случае если она испорчена MBRLock-керами? Если конечно, предварительно был сохранен файл dat. (т.е. отдельно проверять изменение загрузчика и таблицы разделов) В таком случае, можно будет рекомендовать юзерам сохранить копию файла сверки.

[demkd 603]

santy

да, сделать можно.

[PR55.RP55 82]

Вот - наверное все обрадовались - что давно ничего не предлагал ?!!!

Ага разбежались !

Мечты !

Santy:

Пусть, файл сверки будет интегрирован в состав образа.

Тогда, копия файла .dat будет доступна при наличие образа автозапуска на форуме тех поддержки.

и.т.д.

1. Функция сравнения файлов сверки -до/после лечения ?

2. Опция:

Поверка списка - " Выделить найденные объекты - без добавления сигнатуры в скрипт! "

т.е. происходит проверка списка по ранние сохранённой сигнатуре с выделением - но, без...

Что это даст: Все угрозы будет прекрасно видно во вкладке: "Подозрительные и вирусы" - уже, нет необходимости запоминать какие объекты попали под определение - Вирус.

И принимать решения > отдавать НЕОБХОДИМЫЕ в данной ситуации команды !

3. Возможность написания/сохранения - параллельно/единовременно - при работе с образом двух скриптов .

Что это даст: Возможность последовательного применения написанных скриптов = экономия времени.

Возможность генерации/составления Комбинированных скриптов - Создание скрипта из двух.

4. Доп меню к файлам ( как пример...)

* При написании скрипта.

** В качестве функции корректировки - при одновременной работе с группой объектов !

*** Например Автоматически была добавлена команда Zoo - для группы объектов.

Однако - нужны не все образцы/объекты.

Как исключить команду из скрипта ?

Два варианта: Редактировать или реализовать моё предложение.

Контекстное меню файла > Дополнительно > вкладка.:

" Оставить команду Zoo в скрипте"

" Удалить команду Zoo из скрипта"

" Оставить сигнатуру в скрипте"

" Удалить сигнатуру из скрипта"

" Оставит bl в скрипте"

и.т.д...

5.Меню: Создать заметку.

т.е. при активации - открывается окно куда можно записать/добавить свою заметку.

- своего рода рабочий блокнот для uVS.

6.Поисковые критерии.

Поиск критериев - по их имени не работает !

Я про категорию "Списки критериев поиска"

* Например - добавили временный/сиюминутный критерий - если поисковых критериев много его ещё хрен найдёш чтобы удалить.

7. Добавить новую категорию: "Исполняемые Файлы с неизвестным типом расширения"

Или их все сразу в подозрительные.

8. Захват буфера.о. - "Добавить текст к коду скрипта"

т.е скопировал нужный текст/команды и добавил. ( + предложение №9 )

9. Возможность корректировать/исправлять текст скрипта ( удалять/добавлять текст в окне сохранения ) в процессе его написания.

т.е. открыл окно сохранения - внёс правку и продолжил работу с уже модифицированным скриптом.

10. И всё таки - автоматически "подписывать/маркировать" сигнутуры отмечая расширение файла.

*Лучше один раз побороть бабушку Лень - чем всю жизнь подписывать/проверять расширения.

А - так всё ясно: сигнатура в базе для: .exe > файл .dll = Ложное срабатывание !

;uVS v3.74 script [http://dsrt.dyndns.org]

;Target OS: NTv5.1

addsgn A7679BC9DE37442480A1A2E6EFB50280D3FFF575B4D6DB79E9C32E9AD328703826943D554B773C09

E281E81A866240AD2B8C17A2D01AC4207A21F7C7CFF9DD8C 64 majachok.dll

[santy 151]

Santy:

Пусть, файл сверки будет интегрирован в состав образа.

Тогда, копия файла .dat будет доступна при наличие образа автозапуска на форуме тех поддержки.

и.т.д.

юзеры как правило добавляют образы на файлообменники и там эти файлы долго не хранятся.

А так будут приходить на форум и говорить - помните, я два года назад у вас лечился, и оставил вам образ на хранение,

а сейчас у меня MBRock и таблица разделов испорчена. помгите восстановить.

------

так что надежнее будет, если юзеры будут хранить копии таблицы разделов у себя.