Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 82]

Цитата

Santy пишет:  смысл в том, что приходится настраивать длину активной части сигнатуры, а так же ее параметры (выгрузки из памяти, удаления  ссылок, и удаления тела).   

Если в каталоге один тип вируса ( или его разновидности ) скажем всего пять файлов тогда достаточно будет одной настройки на все пять файлов. ( в пять раз быстрее )

Цитата

а имя каталога, которым ограничивается поле деятельности сигнатуры тоже потом добавлять и хранить в сигнатуре? 

А если не удаётся путём увеличения длинны сигнатуры избежать ложных срабатываний ?

Это больше технический вопрос - алгоритм работы uVS.  Сама идея стоящая.

Цитата

если потом возвращаться и править, перенастраивать, и переименовать сигнатуры, то где же здесь автоматизация. потом еще надо найти эту сигнатуру с обезличенным именем в списке сигнатур.

Все сигнатуры получают имя\дату. Можно ориентироваться по принципу: если имя угрозы это каталог, значит нужно переименовать ( при аналогичном\повторном случае заражения ), или сортировка по дате.

[santy 153]

32 минут назад, PR55.RP55 сказал:

А если не удаётся путём увеличения длинны сигнатуры избежать ложных срабатываний ?

Это больше технический вопрос - алгоритм работы uVS.  Сама идея стоящая.

может и стоящая, только надо все продумывать основательно, потому что вместе с файлом сигнатур придется хранить и дополнительный файл, который должен описывать  все исключения на  данную сигнатуру. (есть они или их нет), и менять алгоритм проверки файла по сигнатурам.... потому что исключения могут случиться не только при полной длине сигнатуры, но и при меньше чем 64байта. И не факт, что есть большая необходимость в таком усложнении проверки по сигнатурам, когда есть свобода выбора у оператора.

[PR55.RP55 82]

Цитата

Santy пишет:  вместе с файлом сигнатур придется хранить и дополнительный файл, который должен описывать  все исключения на  данную сигнатуру. (есть они или их нет) 

Второй файл не понадобиться так, как есть поле комментария к сигнатуре...  все исключения будут ( или не будут ) записаны в комментарий.

Оператор отдаёт команду: "Ограничить действие сигнатуры данным каталогом " > наименование каталога автоматически прописывается в комментарий.  например:                  %SystemDrive%\PROGRAMDATA\RUNDLL\

при работе с живой системой проблем уже нет - все данные на стороне оператора.

А при написании скрипта для форума комментарий может быть добавлен к сигнатуре.

stopper %SystemDrive%\PROGRAMDATA\RUNDLL\ addsgn.................

И ничего менять не нужно.

формат базы тот же.

---------------

А одна команда: " Сигнатуры всех файлов каталога добавить в скрипт и вирусную базу " практичнее чем 10 раз добавлять. Опять же при _однотипной угрозе и с автоматическим пропуском проблемных файлов.

[santy 153]

8 минут назад, PR55.RP55 сказал:

Оператор отдаёт команду: "Ограничить действие сигнатуры данным каталогом " > наименование каталога автоматически прописывается в комментарий.  например:                  %SystemDrive%\PROGRAMDATA\RUNDLL\

нет смысла хранить такую сигнатуру, если ее действие ограничено одним каталогом. В таком случае будет проще безсигнатурно удалить данный файл.

[PR55.RP55 82]

Цитата

" нет смысла хранить такую сигнатуру, если ее действие ограничено одним каталогом. "      

А кто говорит об одном каталоге ?

В комментарии место есть, можно прописать порядка 128 символов.

И так сказать к истории вопроса 

v.3.33

o Теперь при добавлении сигнатуры в скрипт помещается полный путь до файла в виде комментария.

Если можно прописать путь до файла то и до каталога можно.

[PR55.RP55 82]

Всё проще.
Главное это удалить угрозу и при этом не затронуть чистые файлы.
Для этого нужно ограничение.
Есть команда hide  для _файла...
А если так:
hide %SystemRoot%\SYSWOW64\DRIVERS\
мы получим не отдельный файл, а целый каталог исключённый из всех операций. ( файлы в случае с исключённым каталогом остаются в списке ) фактически нужна команда типа:

hideCat %SystemRoot%\SYSWOW64\DRIVERS\
значит нужна команда: Статус > Скрыть каталог
По сути для сигнатуры получим инверсию по принципу: "Верно для всех каталогов кроме каталога.... "
Исключение каталога прописано в комментарии к сигнатуре.
Таким образом исключение каталога задаётся автоматически.

А если ложных срабатываний\каталогов много тогда ограничить действие сигнатуры одним каталогом.

[santy 153]

20 часов назад, PR55.RP55 сказал:

Если можно прописать путь до файла то и до каталога можно.

все это хорошо только на словах выходит, а а деле...

сегодня этот файл в одном каталоге, а завтра в другом....стало быть uVS должен уже следить не только за детектом по сигнатуре, но и какой каталог прописан внутри ее... а если каталог прописан другой, то что в этом случае делать: добавлять новый каталог в коментарии к указанной сигнатуре, так и не хватит 128 отведенных байт для комментария....

[PR55.RP55 82]

Реализовать в меню команду:  "  С учётом фильтра добавить сигнатуры всех файлов  в скрипт и вирусную базу. "

_Команда применяется к файлам которые проверены на V.T. и имеют положительный вердикт.  VT [??/71]

В качестве фильтра может быть применён поиск по дате;  каталогу;  производителю;  типу расширения.

_В случае невозможности добавления сигнатуры файла файл пропускается.

_Команда может быть применена не более чем к 25 файлам за раз.

т.е. если нужно добавить в базу 75 файлов - команда отдаётся три раза.

[PR55.RP55 82]

HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\Temp\iYHINxfzwABKgPFo
HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\LVfcChiQeObvDEsZIIR
HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ZebyTtMAayhlmsVB
HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Anatoly\AppData\LocalLow\zPlGDytGgACtw
HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Anatoly\AppData\Local\Temp\frhJYnceMSYnYdbbN

Что из этого следует ?

Мы имеем путь\имя потенциального вируса. фактически угроза сама себя раскрывает.

Объекты находятся и им присваивается статус: Подозрителен.

 

 

 

 

[PR55.RP55 82]

+

Возможно стоит добавить твик для очистки параметра.

 

[PR55.RP55 82]

Так как uVS не видит какие файлы запускались, а какие нет.

https://www.andreafortuna.org/2017/10/16/amcache-and-shimcache-in-forensic-analysis/

https://www.andreafortuna.org/2018/05/23/forensic-artifacts-evidences-of-program-execution-on-windows-systems/

 

[PR55.RP55 82]

 F6            - Проверка цифр. подписей файлов в списке.

А если нужно проверить не всё, а например только драйверы ?

т.е. оператору нужно проверить одну категорию, а по факту проверяется весь список = потеря темпа\времени.

Предлагаю добавить в меню команду: "Проверить ЭЦП файлов только в этой категории "

[PR55.RP55 82]

Какие программы установлены мы видим, а вот какие установлены обновления системы ?

Ошибка:
Не удалось зарегистрироваться в центре обеспечения безопасности Windows
" Защитник Windows не обнаруживает, или не регистрирует антивирусное программное обеспечение сторонних производителей "
Для Windows 7 нужно установить исправление: KB2482947

----------------

WMI
MS17-010 ( KB4012212 )

----------------

и т.д.

Обновления могут быть включены - но установлено ли конкретно это обновление ?

https://habr.com/ru/post/467445/

https://github.com/OlegBezverhii/List-Update-Cheker

[PR55.RP55 82]

Пара предложений на конкретном примере :

https://virusinfo.info/showthread.php?t=224479&s=c331115c4b87439800aaf5e1d48ad9d6

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\8I789T_payload.exe','');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\8I789T_payload.exe','');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8I789T_payload.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\8I789T_payload.exe','');
 TerminateProcessByName('c:\windows\system32\8i789t_payload.exe');
 QuarantineFile('c:\windows\system32\8i789t_payload.exe','');
 DeleteFile('c:\windows\system32\8i789t_payload.exe','32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\8I789T_payload.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8I789T_payload.exe','64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\8I789T_payload.exe','64');
 DeleteFile('C:\Windows\System32\Info.hta','64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta','64');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\8I789T_payload.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

1) Добавить в меню команду.

" Удалить файл и все родственные файлы"

т.е. файлы с идентичным SHA1 и именем файла.

* Оператором команда отдаётся одна - но все удаляемые объекты прописываются в скрипт.

2) Добавить в настройку поискового критерия: "Искать файлы с аналогичным именем и\или SHA1"

Предупреждать\менять статус файла [V] если файл найден более чем [ 2 ] раза [?]

3) Возможность создавать временный критерий на время работы с образом.

т.е. найти > удалить и нет критерия.

 

[santy 153]

12 часов назад, PR55.RP55 сказал:

" Удалить файл и все родственные файлы"

здесь все родственники находятся сразу после добавления единственной сигнатуры. Причем, конкретно для Crysis эта сигнатура работает уже очень давно, если только файл не был перепакован.
 

Цитата

 

;uVS v4.1.8 [http://dsrt.dyndns.org:8888] [Windows 6.2.9200 SP0 ]
; Подозрительные и вирусы          <=

?ВИРУС?    | C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-12D6876E.[DECRYPTERSUPPORT@COCK.LI].HARMA
?ВИРУС?    | C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-12D6876E.[DECRYPTERSUPPORT@COCK.LI].HARMA
?ВИРУС?    | C:\USERS\LEDOVSKIY\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-12D6876E.[DECRYPTERSUPPORT@COCK.LI].HARMA
?ВИРУС?    | C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-12D6876E.[DECRYPTERSUPPORT@COCK.LI].HARMA
?ВИРУС?    | C:\USERS\LEDOVSKIY\APPDATA\ROAMING\INFO.HTA
Win32/Filecoder.Crysis.L(64)| C:\USERS\АДМИНИСТРАТОР\DESKTOP\L033J6_PAYLOAD.EXE
Win32/Filecoder.Crysis.L(64)| C:\USERS\LEDOVSKIY\APPDATA\ROAMING\L033J6_PAYLOAD.EXE
Win32/Filecoder.Crysis.L(64)| C:\WINDOWS\SYSTEM32\L033J6_PAYLOAD.EXE
Win32/Filecoder.Crysis.L(64)| C:\USERS\LEDOVSKIY\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\L033J6_PAYLOAD.EXE
Win32/Filecoder.Crysis.L(64)| C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\L033J6_PAYLOAD.EXE

 

 

[PR55.RP55 82]

Santy пишет:  здесь все родственники находятся сразу после добавления единственной сигнатуры.       

Так никто и не запрещает работать с сигнатурами.

Однако это не всегда нужно.

Как я понимаю с случае с Filecoder.Crysis все директории где помещается тушка вируса жёстко прописываются в момент создания вируса. это не файловый вирус и не червь которые могут действовать по настроению.

Жёсткая привязка прописывается и при работе рекламных агентов.

Сигнатуры устаревают, нужно время для их добавления; определения типа угрозы ( проверка на V.T ), коррекция длинны, проверка списка, сокращения избыточно длинного наименования... т.е. зряшный расход времени, в случае когда это ненужно.

Недавно видел тему  где INFO.HTA  разбросан по системе экземплярах в 30.

При работе с INFO.HTA сигнатуры не нужны в принципе.

А оператор который должен тыкать 30 раз отдавая одну и туже команду...

Да, можно настроить критерий с соответствующий командой. Но работа с шифраторами требует индивидуально подхода и гасить всё подряд не лучшая идея. А если измениться наименование на INFO2.HTA - то и критерий перед его применением потребуется модернизировать.

У оператора должен быть выбор.

 

[santy 153]

17 часов назад, PR55.RP55 сказал:

Недавно видел тему  где INFO.HTA  разбросан по системе экземплярах в 30.

дак и надо приводить пример с 30 info.hta (сомнительно, что это был случай с Crysis), вместо того примера, где все решается одной сигнатурой, и автоскриптом.

Цитата

У оператора должен быть выбор.

это уже как мантра стала, типа, "времени на раскачку нет"

 

 

[PR55.RP55 82]

Цитата

Santy пишет:  дак и надо приводить пример с 30 info.hta? (сомнительно, что это был случай с Crysis)          

Точно, чуть-чуть я ошибся.
это: Scarab
Тема:  https://virusinfo.info/showthread.php?t=224469
README.txt
прописан\ы 64 раза...
При работе с FRST и Текстовым редактором типа Notepad++ удалить все 64 объекта это восемь секунд.
А в uVS оператор бы надорвался подобное удалять.
Да, можно удалить через поисковый критерий - но это уже совсем другая история.
А так в меню отдать одну команду:
" Удалить файл и все родственные файлы"
т.е. файлы с идентичным SHA1 и именем файла.
* Оператором команда отдаётся одна - но все удаляемые объекты прописываются в скрипт.
тем более нет угрозы целостности системы.
Если уж на то пошло и есть опасение - то можно реализовать команду в ограниченном виде ( верно только для не исполняемых файлов ) - чего не хотелось бы.

[santy 153]

29 минут назад, PR55.RP55 сказал:

При работе с FRST и Текстовым редактором типа Notepad++ удалить все 64 объекта это восемь секунд.
А в uVS оператор бы надорвался подобное удалять.

 

это необязательно удалять в uVS, обычный текстовый файл, в автозапуск он не помещается.

хоть в том же frst можно удалить, раз он их все отсвечивает в логе. (а в uVS они врядли все попадут в образ)

 

[PR55.RP55 82]

Цитата

Santy пишет:  в uVS они врядли все попадут в образ

То, что в автозапуске - то попадает. Сейчас проверил:
;
автозапуск | C:\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ПРОБА1.TXT
автозапуск | C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ПРОБА2.TXT

Цитата

 3.83 BETA 18
---------------------------------------------------------
 o Новый параметр в settings.ini
   [Settings]
   ; Значение определяет расширения файлов которые добавляются в список
   ; наряду с исполняемыми файлами функцией Файл->Добавить в список->...
   ; Пример параметра: .BAT.CMD.LNK.VBS
     Add2ListExt (по умолчанию пустая строка) 

Можно бы было удалять любые файлы отставленные шифратором - но НЕ работает...
Вначале всё работало > потом поиск отвалился > добрый и заботливый RP55 об этом писал > но так и не исправили.

Цитата

Santy пишет:   это необязательно удалять в uVS, обычный текстовый файл

Я и написал _подобные этому...
Открываем файл, а в Инфо. есть примечание: файл встречается в системе... встречается 64 раза...
И всё сразу понятно и V.T. не нужен, да и в том случае понятно когда идентичный файл будет 4 раза в системе разгуливать. Бывает, что при удалении оператор может не заметить один из файлов - так, как их много и все с идентичным наименованием - а так одной командой получим полную очистку - это ещё один довод за.

[santy 153]

11 часов назад, PR55.RP55 сказал:

То, что в автозапуске - то попадает. Сейчас проверил:

это текстовая записка о выкупе, она никакой угрозы системе не несет. (лежит себе и лежит в папках, куда их откопируют). в автозапуск из 64 попадет одна или несколько... в uVS их можно удалить, чтобы не всплывали в блокноте при загрузке системы.

[PR55.RP55 82]

"времени на раскачку нет" 

https://forum.kasperskyclub.ru/index.php?s=35fdc94435f2493d0ac8d0282ba035f4&showtopic=64721

HKLM\...\Run: [1corona.exe] => C:\Windows\System32\1corona.exe [94720 2020-02-14] () [File not signed]
C:\Windows\System32\1corona.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-16] () [File not signed]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
Startup: C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-16] () [File not signed]
C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
Startup: C:\Users\dostyp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-14] () [File not signed]
C:\Users\dostyp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
2020-02-16 17:22 - 2020-02-16 17:22 - 000094720 _____ C:\Users\Dmitriy\AppData\Roaming\1corona.exe
C:\Users\Dmitriy\AppData\Roaming\1corona.exe

------------------

А в uVS это была бы одна команда....  " Удалить файл и все родственные файлы" 

[demkd 619]

10 часов назад, PR55.RP55 сказал:

А в uVS это была бы одна команда....  " Удалить файл и все родственные файлы"

сигнатуры никто не отменял

[PR55.RP55 82]

Цитата

Demkd пишет:  сигнатуры     

Как мы выше выяснили, не все файлы которые нужно удалять являются исполняемыми. Не для всех файлов возможно добавление сигнатур - как мы помним из опыта в ряде случаев в код вируса намеренно добавляется код системных файлов - что приводит к ложным срабатываниям.

Если у файлов идентичные SHA1 - сигнатуры не нужны так, как определение по SHA1 - надёжнее.

Не все операторы работают с сигнатурами - это занимает больше времени - требуется проверка по V.T.  с целью определения типа угрозы, нужно прописать наименование угрозы, если нет результата по V.T. ; необходимо проверить список и исключить ложные срабатывания, если же корректировка невозможна то приходиться параллельно  работать с сигнатурами + удалять файлы в ручную, или через поисковые критерии\автоскрипт.

таким образом изначально простое действие превращается в целый набор операций.

Если бы удаление работало по типу: " Удалить все объекты с учётом фильтра "  было бы ещё проще.

Удалить все: .bat

Удалить все: .info.hta

Удалить все: .TMP

Удалить все: .HTTP  и т.д.

Если есть опасение за целостность системы - можно установить заглушку на удаление по типам расширений.

uVS  _избыточно требовательна к оператору. Как итог 75% всех случаев заражения  это очистка в FRST и 12% в AVZ

на долю uVS приходиться ( как это ни печально ) 5%

[santy 153]

RP55,

1. критерии - это те же самые фильтры, и потому команды удаления, реализованные в критериях - это тоже самое удаление с учетом конкретного фильтра. В snms их может быть много, и uVS строит автоскрипт согласно множеству фильтров одновременно, а не так как ты предлагаешь: один фильтр поднять, удалить все.... второй фильтр поднять - удалить все и т.д.

2. если тебе нравится удалять по хэшам, ты можешь создать критерий black_sha, и вести список черных хэшей в отдельном файле. надеюсь, как подключить файл к критерию ты еще не забыл.

никто изначально и не обещал, что будет легко работать с uVS - только те, кому интересно не просто быстро удалять файлы, но и в первую очередь выполнить анализ заражения системы в комплексе. Зачастую же на форумах выполняют удаление вначале одним, потом вторых и третьим инструментом, (а иногда еще и сканерами) и только когда проблема не решается, тогда делают образ автозапуска в uVS, в итоге проанализировать всю картину заражения в комплексе (и сделать какие то полезные выводы и решения) становится сложнее по тем остаткам, что попадут в образ автозапуска.

процент применения инструментов на форумах, если он такой какой ты его привел здесь не отражает адекватно тот факт, что инструменты FRST, avz удобнее в анализе или удалении, чем uVS. Скорее всего, это отражает привычку тех или иных форумов работать по определенной методике.

avz +hj + скрипты + (adwcleaner) +FRST

или uVS + скрипты+ (adwcleaner)+FRST

и если добавить команду "удалить текущий файл и всю его "родню"", на процент применения инструментов на форумах это не повлияет.

---------------

так что в основном твои предложения сводятся к созданию еще одного удалятора вредоносных программ, которых сейчас предостаточно, вместо реального поиска проблем и анализа, который можно сделать в uVS.