Universal Virus Sniffer (uVS), Вопросы разработчику

[demkd 622]

  PR55.RP55 сказал:

1.Возможно стоит дать в документации к программе доп.рекомендацию - открыть/запустить - браузер/ры.

при создании полного образа автозапуска.

Бесполезно, никто не читает документацию, не читают даже то что в окне запуска написано.

  PR55.RP55 сказал:

2.Сообщение: "Не удалось получить ответ от сервера"

Да, тут стоит что-то сделать.

  PR55.RP55 сказал:

3.Автоматическое Обнаружение угроз по некорректному времени создания файла.

Зачем?

  PR55.RP55 сказал:

Можно - ли проверить точное время запуска файла - по часам ?

Если процесс все еще активен то можно и в принципе эта информация не будет лишней.

Остальное выходит за рамки проекта, никаких защитных функций в uVS не будет.

  PR55.RP55 сказал:

5.Запуск файлов из Каталога/Каталогов второй - неактивной системы.

Это увы не редкость, поэтому отклоняется.

  PR55.RP55 сказал:

Но и учитывать свойство - Когда: Открыт

Поле access time абсолютно бесполезно, а чаще всего обновление его отключено пользователем.

  PR55.RP55 сказал:

Проверять соответствие расширения файла - его структуре.

Для активных файлов это и так делается, а те что просто лежат на диске неинтересны, уже просто потому что исполняемых файлов с совершенно левыми расширениями море.

  PR55.RP55 сказал:

Например объект: C:\WINDOWS\system32\autorun.ex ; autorAn.ex

И что это даст? Замедлит процесс сканирования раз в 20? А файл просто лежит мертвым грузом на диске, так пусть там он и лежит, подбирать трупики дело антивируса.

  PR55.RP55 сказал:

8. Вопрос.

C:\Documents and Settings\User\Рабочий стол\Zebra.hta - Запустил.

uVS его не видит... ?

Нет, запустится ассоциированный с hta исполняемый файл, его uVS покажет... но вообще да, надо таки добавить командную строку в окно информации о файле... а может и разобрать ее на предмет полезных файлов.

Подумаю.

  PR55.RP55 сказал:

А с образом когда будет ?

Если бы оно там было да и еще и работало то это было бы очень сильное колдОвство

Короче если хочется разгребать миллион + 1 файл то придется напрягать юзера чтоб он ручками добавил все звчем-то интересные каталоги _перед созданием образа.

В принципе я могу добавить соотв. скриптовую команду, но тогда процесс создания образа станет двухэтапным.

  PR55.RP55 сказал:

ВИРУС? - то почему они автоматически не попадают в категорию "Подозрительные и вирусы"?

А надо ли это для добавленных ручками? Это может привести к путанице.

  PR55.RP55 сказал:

Идёт проверка по базе проверенных sha1.

И оказывается, что на VirusT проверять нечего и не надо ! ( хотя реально в списке было 3 - ри неизвестных файла !)

Маловероятно, предварительная проверка всегда идет, если файл есть в базе то на vt запрос не производится, если найдется последовательность действий при которой файлы всегда выпадают из проверки тогда и посмотрю код.

  PR55.RP55 сказал:

10. Нет ли ошибок при открытии образа ( при извлечении его из 7-zip архива ) ?

Тогда мне на мыло:

1. версию 7zip,

2. файл с образом который уже не открывается

3. подрбоно описать последовательность действий.

  PR55.RP55 сказал:

11.При работе с образом создании/чтении - обращении к Vir.T. контролировать температуру процессора

Я думаю покупка качественного кулера типа Scyth или Zalman тут более уместна.

  santy сказал:

в каком виде исполняемые файлы должны быть помещены в хранилище STORE? чтобы быть оттуда восстановленными. без упаковки?

в развернутом, можно раскидывать по каталогам, называйте подкаталоги как хотите, можно даже смешивать 32/64 битные файлы, нужная версия подберется сама.

насчет пароля и проверки - это бесполезная трата времени, это функция восстановления которая производится после лечения, соотв. НЕ требуется никакого контроля целостности, юзер получил архив папки с файлами, развернул в корень uvs - это уже обеспечивает высокую вероятность целостности фалов и запустил скрипт, на этом все... если же файлы вдруг побились при распаковке то юзер идет смело в магазин за новой памятью, кулером и т.п. никакое другое лечение ему уже не поможет.

[Sergey Dindikov 10]

Так к слову...

UVS 3.60

В системе WinXP sp3 под админом программа не смогла запустится (start.exe -> запуск под Localsystem или под текущим юзером) ничего не происходит всё подвисает ничего после этого не запускается.

при попытке запуска по startf.exe сразу переходим к моменту ничего не происходит всё подвисает ничего после этого не запускается.

в безопасном режиме запустилась но ничего не нашла.

вручную сам нашёл в system32

mslyqclc.exe - Klab не знает его.

mscokhou.exe found [Trojan.Win32.Menti.giaw]

после работы последнего AVPTool (скачанного 04.05.2011 15:06:38 ) в нормальном режиме OS:

Автоматическая проверка: завершено меньше минуты назад (событий: 11, объектов: 96988, время: 00:11:47)

04.05.2011 16:10:05 Задача запущена

04.05.2011 16:18:52 Обнаружено: HEUR:Trojan.Win32.Generic C:\WINDOWS\system32\sfcfiles.dll

04.05.2011 16:20:09 Обнаружено: HEUR:Trojan.Win32.Generic C:\WINDOWS\Temp\145.tmp

04.05.2011 16:20:09 Обнаружено: Trojan-Downloader.Win32.Injecter.fsr C:\WINDOWS\Temp\tem127.tmp.exe

04.05.2011 16:20:09 Обнаружено: Trojan.Win32.Antavmu.lfn C:\WINDOWS\Temp\tem143.tmp.exe

04.05.2011 16:20:19 Удалено: Trojan-Downloader.Win32.Injecter.fsr C:\WINDOWS\Temp\tem127.tmp.exe

04.05.2011 16:20:19 Обнаружено: Trojan.Win32.Menti.giaw C:\WINDOWS\Temp\tem24A.tmp.exe

04.05.2011 16:20:20 Удалено: Trojan.Win32.Antavmu.lfn C:\WINDOWS\Temp\tem143.tmp.exe

04.05.2011 16:20:20 Обнаружено: HEUR:Trojan.Win32.Generic C:\WINDOWS\Temp\tem459.tmp.exe

04.05.2011 16:20:24 Удалено: Trojan.Win32.Menti.giaw C:\WINDOWS\Temp\tem24A.tmp.exe

04.05.2011 16:21:52 Задача завершена

программа нормально заработала в основном режиме.

вирусяки новые Trojan.Win32.Menti.giaw, Trojan-Downloader.Win32.Injecter.fsr и Trojan.Win32.Antavmu.lfn KL Lab добавила в базы 29 апреля.

HEUR:Trojan.Win32.Generic тут вообще эвристика нашла и удалила.

ps. Комп не мой был, так просили посмотреть.

[demkd 622]

  Sergey Dindikov сказал:

при попытке запуска по startf.exe сразу переходим к моменту ничего не происходит всё подвисает ничего после этого не запускается.

Какие параметры запуска uVS использовались?

  Sergey Dindikov сказал:

в безопасном режиме запустилась но ничего не нашла.

Не обязан uVS что либо искать Это привелегия принадлежит человеку, uVS лишь существенно сужает область поиска и обращает внимание на очевидно подозрительные вещи, так что вполне разумно в первую очередь использовать kvrt и cureit, конечно если есть на это есть лишнее время.

  Sergey Dindikov сказал:

HEUR:Trojan.Win32.Generic тут вообще эвристика нашла и удалила.

И sfcfiles.dll тоже? Суров касперский... обычно это кончается тем что озверевший юзер переставляет ось, файлик этот лучше поднять из дистрибутива.

[Sergey Dindikov 10]

  demkd сказал:

Какие параметры запуска uVS использовались?

при startf.exe ? ничего сразу после запуска процесса ничего не происходит запуск чего либо уже невозможен.

И sfcfiles.dll тоже? Суров касперский... обычно это кончается тем что озверевший юзер переставляет ось, файлик этот лучше поднять из дистрибутива.

да вообще то OS прекрасно без него грузилась и не ругалась.

[santy 153]

  Sergey Dindikov сказал:

Так к слову...

UVS 3.60

В системе WinXP sp3 под админом программа не смогла запустится...

...

в безопасном режиме запустилась но ничего не нашла.

в таких случаях интересно посмотреть образ автозапуска, попали ли данные зловреды в образ автозапуска или нет. Ну и скрипт лечения выписать, чтобы умножить опыт - можно ли с помощью uVS в нормальном или безопасном режиме победить этих зловредов.

(поскольку scan помощью cureit или avptool это длительный процесс, и не всегда есть на это время..., если только файловое заражение, тогда сильно имеет смысл их использовать, да вы и сами это знаете.)

[demkd 622]

  Sergey Dindikov сказал:

при startf.exe ? ничего сразу после запуска процесса ничего не происходит запуск чего либо уже невозможен.

Нет, при запуске start.exe, галки в окошке, антисплайсинг и т.п.

Еще интресно какой стоял антивирус, с ними тоже бывают проблемы.

  Sergey Dindikov сказал:

да вообще то OS прекрасно без него грузилась и не ругалась.

Отсутствие sfcfiles скажется потом в частности в невозможности (пере)установки дров, не работает защита файлов, недоступны функции sfc в т.ч. и sfc /scannow со всеми вытекающими последствиями.

Недавно лечил искалеченную антивирусом машину, вообще странно, вроде серьезные продукты, могли бы при убиении критически важных файлов и попросить диск вставить с дистрибутивом и сами восстановить или хотя бы предупредить, что файл нужно поднять, ан нет...

[Sergey Dindikov 10]

  demkd сказал:

Нет, при запуске start.exe, галки в окошке, антисплайсинг и т.п.

Еще интресно какой стоял антивирус, с ними тоже бывают проблемы.

Отсутствие sfcfiles скажется потом в частности в невозможности (пере)установки дров, не работает защита файлов, недоступны функции sfc в т.ч. и sfc /scannow со всеми вытекающими последствиями.

Недавно лечил искалеченную антивирусом машину, вообще странно, вроде серьезные продукты, могли бы при убиении критически важных файлов и попросить диск вставить с дистрибутивом и сами восстановить или хотя бы предупредить, что файл нужно поднять, ан нет...

настройки при запуске start.exe были стандартные

http://screenshot.su/show.php?img=562587ab...3f7e38c2b00.jpg

стоял антивирус Nod32 4.2

что влечёт за собой отсутсвие sfcfiles.dll я в курсе, после лечения AVPTOOL и запуска UVS, UVS предупредил кстати что этот файл отсутсвует.

образ автозапуска увы уже делать поздно. Машина не моя как говорил небыло толком времени поэксперементировать

поскольку scan помощью cureit или avptool это длительный процесс

ну и толку иногда никакого если вирусы новые. Drweb не в курсе про них вообще был, Klab тоже не всё знал.

[demkd 622]

  Sergey Dindikov сказал:

настройки при запуске start.exe были стандартные

Значит скорее всего антисплайсинг не прокатил, тут уже ничего не сделать опасная это штука, разве что запускать без этого флага.

[santy 153]

  demkd сказал:

uVS специально монтирует образ в R/O режиме во избежании его модификации.

Но вообще можно смонтировать и для изменения.

Например так:

DISM.EXE /mount-wim /wimfile:"y:\sources\boot.wmi" /index:1 /mountdir:"r:\boot"

Для прменения изменений необходимо будет демонтировать образ с помощью uVS или dism-ом.

Монтировать можно только на NTFS разделы.

Насчет необходимости модификации реестра... лучше сперва почитать документацию к Windows AIK там подробно расписано как правильно заточить образ под себя.

разобрался как добавить uVS в автозапуск при загрузке с диска WinPe.

http://forum.esetnod32.ru/messages/forum9/...5/#message15965

[demkd 622]

v3.61

Добавил работу с DNS + мелкие исправления и улучшения.

o Добавлена новая категория "DNS".

DNS доступен для редактирования в любом режиме.

Скриптовая команда для установки dns подключения - "setdns".

Поддерживается IPv4 и IPv6.

Для IPv4 доступна быстрая замена DNS на один из популярных DNS.

o Функции проверки файлов на VT теперь можно прервать нажав ESC.

(!) Нажатие ESC прерывает процесс добавления новых файлов в очередь, завершение всего процесса

(!) произойдет после завершения всех запущенных на момент нажатия потоков.

o Добавлен новый пункт меню "Реестр->[HKLM] Очистить System\MountedDevices"

Скриптовая команда "clrmd".

Функция предназначена для исправления проблем возникших из-за переноса системы на другой носитель.

o Новая функция: "Реестр->Проверить параметры классов устройств по копии реестра"

Назначение функции: выявление различий с целью восстановления нормальной работы системы.

o При невозможности увеличить длину сигнатуры для устранения ложного детекта теперь предлагается удалить сигнатуру из базы.

o В окно информации о файле добавлена командная строка для процессов.

Дополнительно производится разбор командной строки и найденные в ней исполняемые файлы помещаются

в категорию "Запускался неявно или вручную".

o В окно удаленного рабочего стола добавлены 3 кнопки.

"CAD" - симулировать нажатие Ctrl+Alt+Del

"<" - предыдущий рабочий стол

">" - следующий рабочий стол

В заголовке окна отображается название рабочего стола.

o Загрузка профилей отложена на первое обновление списка, что позволяет при работе с удаленной системой

выполнять вход в рабочую станцию если не было ни одного обновления списка. (установлен флаг bNetFastLoad)

o Исправлена функция "Добавить хэши всех проверенных файлов в базу проверенных"

при работе с удаленной системой вызов этой функции иногда приводил к аварийному завершению uVS.

o Исправлена функция получения экрана при работе с удаленным рабочим столом.

[santy 153]

такое небольшое пожелание: включить дополнительно в список настроек "выбор файлового менеджера" (запустить файловый менеджер остается.)

необходимо это вот в каком случае. В своей системе я настраиваю на far, но часто автоматически папку с uVS копирую на флэшку для работы в другой системе, или вообще с загрузочного диска и не факт, что far окажется в исследуемой системе.

Кроме того, хотелось бы в загрузочный образ поместить какой-либо win-подобный ФМ, настроить автоматически запуск uVS, а при необходимости определить через настройки (выбрать файловый менеджер) текущий для работы ФМ.

----

И... с Праздником Победы, конечно!

[demkd 622]

  santy сказал:

В своей системе я настраиваю на far,

FAR можно положить в папку с uVS, настроить запуск и тогда при запуске будет использован относительный, а не абсолютный путь.

Аналогично обстоит дело и с текстовыми редакторами. С образом можно поступить аналогично, либо в прямую прописать нужный путь в settings.ini.

На мой взгляд отдельная и всегда доступная копия far-а более удобна.

  santy сказал:

И... с Праздником Победы, конечно!

с праздником!

[PR55.RP55 82]

С праздником!

1.Сохранять, при создании полного образа автозапуска информацию по кукам. ( имя/текст )

Если заражение произошло во время посещения сайта - то, по косвенным признакам есть шанс определить какой это был сайт.

Блокировать доступ к странице ( см. предложение №2 )

c:\documents and settings\user\cookies\user@yadro[1].txt

2.Добавить HOST ( Добавление строк - Текста в файл, как в режиме реального времени так и при работе с образом/скриптом ) +

Функцию - восстановить HOST.

Путём прямого обращения к файлу, редактирования его - удаления, или блокировки доступа к опасному сетевому ресурсу.

"Возможность _ полуавтоматически _ блокировать доступ к ресурсу - на основе имеющихся в файле данных."

3. Добавить в uVS возможность - провести анализ активных объектов - станицы/сайта на Vir.T.

Логика: "Выбрать браузер" - "Открыть станицу" - "Сохранить/Показать/Извлечь/Проверить - Активные объекты станицы на Vir.Total.

Сохранить активные объекты страницы - копировать в Zoo./Zip.

4.Авто - определение принадлежности файла к определённой операционной системе.

На основе информации по версии файла/OC.

EXPLORER.EXE; (xpsp.080413-2105); 6.0.2900.5512 = XP.

Например в случае если файлы XP заменены в "сборке" ,или в результате ошибки на файлы Win7 и это привело к некорректной работе/функции.

Автоматически - определять для всех файлов в том числе и при наличие цифровой подписи.

Выдавать предупреждение в Лог - чтобы акцентировать внимание на подобного рода информации.

5.В меню - добавить функцию/возможность.

Копировать файл в ZOO - Открыть/показать структуру.

Выбрать программу.

[demkd 622]

  PR55.RP55 сказал:

Сохранять, при создании полного образа автозапуска информацию по кукам.

Отклоняется, куки - это личная информация, uVS не собирает и не будет собирать подобную информацию.

  PR55.RP55 сказал:

2.Добавить HOST ( Добавление строк - Текста в файл

Зачем?

  PR55.RP55 сказал:

провести анализ активных объектов - станицы/сайта на Vir.T.

Это дело для спец. плагина к браузеру, отклоняется.

  PR55.RP55 сказал:

4.Авто - определение принадлежности файла к определённой операционной системе.

На основе информации по версии файла/OC.

Ничего кроме доп. тормозов это не даст, а для устранения проблем с кривыми файлами есть железный довод - sfc /scannow.

  PR55.RP55 сказал:

Копировать файл в ZOO - Открыть/показать структуру.

Выбрать программу.

Для чего?

[Vitokhv 0]

demkd

Здравствуйте.

Появился баннер, который маскирует зараженный "диспетчер задач".

Поиск по сигнатуре (8) не помогает.

Куда отправить архив?

[demkd 622]

  Vitokhv сказал:

Появился баннер, который маскирует зараженный "диспетчер задач".

Поиск по сигнатуре (8) не помогает.

привет,

возможно обычный файловый вирус, можно мне в архиве с паролем virus на demkd@mail.ru

посмотрю может че новенькое в нем есть, хотя маловероятно.

[demkd 622]

Посмотрел я файлик, обычный трояньчик, заменяет собой userinit и taskmgr, третью копию скидывает в D&S и прописывает ее в автозапуск в ключик shell, оригинальный userinit превращается в 03014D3F.exe в \system32, а taskmgr похоже просто прибивает.

Что касается taskmgr... по F7 конечно он не детектится, просто потому что его нет в автозапуске, запускается он лишь вручную.

Вообще говоря желательно проверять каталог Windows и в особых случаях весь системный диск, соотв. кнопкой уже после выявления вируса, занесения его в базу и убиения его в автозапуске. В этом случае taskmgr детектится по сигнатуре без проблем, другое дело что обычно про это забывают.

Если этого не хочется делать, то можно перед созданием образа/лечением добавить весь system32 в список в меню Файл->Добавить.

Однако я пожалуй пополню список принудительно добавляемых файлов и в 3.62, который будет совсем скоро taskmgr.exe будет присутствовать всегда, чисто для облегчения лечения, заодно будут выдаваться предупреждения в лог при отсутствии важных для загрузки файлов.

[Vitokhv 0]

  Цитата

Вообще говоря желательно проверять каталог Windows

Спасибо. С фильтром *.EXE,*.COM меньше затрачивается времени на поиск.

[santy 153]

замечания от NickM по твику "12.Сброс ключей Winlogon в начальное состояние"

http://defendium.info/showthread.php/807-U...ull=1#post12952

[demkd 622]

  santy сказал:

замечания от NickM по твику "12.Сброс ключей Winlogon в начальное состояние"

1. Полный путь полностью исключает неявную подмену исполняемого файла (например с помощью переменной path) изначальные значения ключей - это потенциальная дыра в безопасности Windows... + лишняя запятая.

uVS всегда использует полный путь.

2. Большие буковки бросаются в глаза и это хорошо.

3. AVZ и прочий кривой софт не способный правильно проанализировать основные ключи мне безинтересен.

Версия 3.62

К сожалению замечательная компания Microsoft нагло и довольно сильно попортила мне и другим девелоперам нервы выпуском своего последнего фикса для MSDev-а, фикс я ихний... пофиксел, но если таки будут проблемы под 2k то пишите.

Исправления мелкие.

И для тестов версия поджатая UPX-ом, теоретически увеличивается скорость подключения к удаленной системе. (в 2,5 раза меньше начальный трафик)

o Улучшена функция добавления в список плагинов браузеров Opera/Firefox.

(для "portable" версий браузеров).

o Новая горячая клавиша:

Alt+Enter - Открыть свойства файла.

o Оптимизирован альтернативный режим сканирования.

o Проверка на наличие каталогов для временных файлов.

o Расширен набор известных файлов принудительно добавляемых в список.

o Расширен список известных файлов при отсутствии которых в лог выдается предупреждение.

o Исправлена функция передачи файла в VTUploader из Zoo при работе с удаленной системой.

o Исправлены мелкие интерфейсные ошибки.

[Mr.Belyash 70]

Добавьте помимо virustotal (частенько перегружен сервис)

http://virusscan.jotti.org/ru

возможно и http://virscan.org/

[Danilka 678]

demkd

А это Ваше: http://forum.kaspersky.com/index.php?showtopic=199377 ?

[santy 153]

  Danilka сказал:

А это Ваше: http://forum.kaspersky.com/index.php?showtopic=199377 ?

это winpe, собранный Vitokhv на базе uVS, freecommander, который активно практикуется на форуме Касперского в борьбе с СМС-вымогателями сборшщиками загрузочного диска.

[demkd 622]

  Mr.Belyash сказал:

Добавьте помимо virustotal (частенько перегружен сервис)

Да, надо будет jotti добавить, правда там возни побольше будет чем с VT.

  Danilka сказал:

А это Ваше

На форумах антивирусных вендоров я не отсвечиваю уже давно, диски с uVS люди сами собирают, свои сборки PE я не выкладываю в свободный доступ.

[santy 153]

  demkd сказал:

Версия 3.62

И для тестов версия поджатая UPX-ом, теоретически увеличивается скорость подключения к удаленной системе. (в 2,5 раза меньше начальный трафик)

пожалуй, раза в 2 точно быстрее создается образ автозапуска удаленной системы в локальной сети.