Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 82]

Мысли на примере темы:

https://forum.kasperskyclub.ru/topic/463016-pomogite-s-zachistkoj-memtrojanwin32sepehgen/#comments

т.е. У нас есть лог журнала антивируса и есть объект этого журнала: AppLaunch.exe

Можно добавить в меню команды:  Отслеживать потоки внедрённые в ххх.exe

Блокировать доступ к файлу ( с отслеживанием попыток доступа ); Блокировать сетевой доступ.  и т.д.

Да есть твик: 39 но... Он для всей системы.

+ В меню есть команда: Лишить файла статуса "исполняемого файла"

Предлагаю добавить соответствующую команду для каталога ( само собой кроме системных )

т.е. каталог переименовать. ( сейчас есть только удаление ) ( для изучения )

 

 

[PR55.RP55 82]

Предлагаю добавить удаление по критерию поиска.

На примере темы: https://forum.kasperskyclub.ru/topic/463829-ne-poluchaetsja-udalit-virus/

т.е. у нас есть переменные и постоянные... данные.

На основе постоянных данных создаётся критерий поиска и скрипт по нему отработает.

В принципе  можно пользователю кинуть поисковый критерий в виде файла > Прогнать список по поиску > Удалить найденное. Но как это всё объяснять.

[PR55.RP55 82]

Можно сделать так чтобы объект в списке отображался не под своим именем, а под именем критерия. ( или по результату проверки на V.T ) - ( по настройке в settings.ini )

Для чего?

Например в списке есть:

oikgcnjambfooaigmdljblbaeelmeke

odbmjgikedenicicookngdckhkjbebpd

Но объект  может отображаться внятно:

oikgcnjambfooaigmdljblbaeelmeke = T-Сashback1 — кэшбэк-сервис

odbmjgikedenicicookngdckhkjbebpd = T-Сashback2 — кэшбэк-сервис

 

[PR55.RP55 82]

Как бы это выявлять и исправлять в uVS ?

https://forum.kasperskyclub.ru/topic/464495-pojmal-virusa-pereimenovalis-sluzhby/

[santy 151]

В 16.09.2024 at 3:03 AM, PR55.RP55 сказал:

Как бы это выявлять и исправлять в uVS ?

Выявлять это можно через критерий:

C:\WINDOWS\SYSTEM32\WUAUENG.DLL

HKLM\System\CurrentControlSet\Services\wuauserv_bkp\Parameters\ServiceDLL

а для исправления нужен твик с соответствующим файлом reg из чистой системы, например, wuauserv.reg для соответствующей системы.

[PR55.RP55 82]

Предлагаю добавить в settings.ini - настройку: Передавать статистику удаляемых файлов.

Для чего ? Когда статистика будет накоплена ( и проанализирована ) то можно будет применить команду:

1) Обнаружить угрозы - исходя из данных статистики

2) Создать автоскипт на базе общей операционной статистки

3) Создать автоскипт на базе моей статистики.

Файл\ы данных доступны - как при обращении к серверу - так и локально.

-----

% 70 скрипта - Это всё одно и тоже...

Так чего мучить Оператора, если минимум % 70 скрипта можно генерировать автоматически,  а стальное он сам допишет. А то автоскрипт есть - а пользуется этим три человека.

-------

Кроме того - та же история и с FRST - можно создать автоматический _помощник который будет например в Notepad++ помечать ( на базе статистики ) закладкой все типичные удаляемые объекты. Ведь не единым uVS жив человек ?