CHKLST.RU

Как начать практически использовать Universal Virus Sniffer

отредактировано 4 сен Раздел: Антивирусные утилиты
image
В голову пришли таки хорошие идеи и нашлось время для их реализации. Соотв. релиз v3.
(c), Кузнецов Дмитрий.


Основное:
o Добавлен 4-й режим запуска: "Загрузить образ".
В этом режиме работает симулятор реальной системы, для исполнения доступны некоторые команды, которые выполняются на списке виртуальных файлов. Т.е. поддерживается некоторый эффект присутствия в реальной системе. Автоматически по ходу исполнения команд формируется скрипт для последующего исполнения его в реальной системе. Образы автозапуска можно создавать при проверке активной и неактивной системы.
вот где то с этого момента стало возможным использовать uVS на форумах для лечения активного заражения удаленных пользователей.

В общем случае для изучения работы uVS рекомендуется:

1. установить виртуальную машину: VMware или VirtualBox, чтобы последовательно укрепиться в мысли, что все заявленные в uVS функции выполняются.

2. Следует освоить технологию создания загрузочных дисков, например winPE, поскольку uVS замечательным образом работает при запуске с загрузочных дисков. (интерес к uVS возник на ВирусИнфо именно в темах по созданию загрузочных дисков.)

3. Внимательно ознакомиться с концепцией работы uVS в документации к программе, с набором скриптовых команд, который весьма ограничен, но эффективен.

4. Плюсы uVS:
+ "после первого использования образа желание искать в тексте отпадет сразу и навсегда, как и желание править скрипт руками." (c), Кузнецов Дмитрий;
+ накопление собственной базы сигнатур, критериев, списков безопасных файлов, возможность обмена базами и списками с другими участниками форума;
+ автоматический отсев подозрительных и вредоносных записей в отдельный список сокращает время анализа зараженной системы до минимального;
+ компактный скрипт лечения, который можно выполнять как из буфера обмена, так и из отдельного файла;
+ uVS продолжает развиваться и поддерживаться разработчиком, который открыт для новых предложений и идей.

1. Как создать образ автозапуска в uVS
2. Как выполнить скрипт в uVS
3. как создать новый критерий поиска
4. механизм автоскрипта в uVS
5. Используем Winpe&uVS
6. Создаем образ автозапуска из под Winpe&uVS
7. Метод поиска руткитов в системе по файлу сверки в uVS
8. uVS и AVZ. сравнительный анализ
------------------------

Официальный форум поддержки uVS
Тэги темы:
«1

Комментарии

  • отредактировано Июнь 2016 PM
    Восстанавливаем файлы на съемном диске, скрытые после вирусной атаки.
    --------------
    1. стартуем uVS под текущим пользователем.

    2. в главном меню uVS выбираем режим Дополнительно с функцией "сбросить атрибуты для всех файлов /каталогов в..."

    image

    3. в правой части экрана выбираем букву вашего съемного диска, в левой части - нажимаем "выбрать".

    image

    4. ждем завершения операции.
  • отредактировано 4 сен PM
    @ScriptMakeR,
    проверьте, есть ли у вас доступ к комментированию в данной теме. Если, да, тогда здесь можно и продолжить обсуждение работы с uVS. Мне здесь будет удобнее консультировать Вас по той причине, что здесь уже созданы важные темы по работе с uVS: как создать образ, как выполнить скрипт, как создавать критерии, механизм автоскрипта, и другие темы.
    я думаю, лучше начать с ваших вопросов по созданным темам. Постараюсь на них ответить - а затем можно практически поработать с образами автозапуска, по которым вы можете практиковаться в анализе проблем и написании скриптов.
    добавил права. проверьте
  • Праветствую.
    Вот теперь могу писать. Спасибо.
    Только я даже не знаю, какие вопросы задать. С uVS я совсем не знаком. Знаю только что создается образ системы, с которым потом может работать хелпер. А вот с чего начать знакомство с утилитой?
  • Поизучаю пока информацию, из первого сообщения
  • отредактировано 4 сен PM
    Вы можете открыть в uVS уже готовый образ и покрутить его, посмотреть какие есть секции и возможности? найти, какие есть вредоносные файлы. У меня есть библиотека образов по различным видам заражений, так что с ней и можно практиковаться в написании скриптов.
  • отредактировано 4 сен PM
    ScriptMakeR написали: »
    А вот с чего начать знакомство с утилитой?
    если есть такая возможность, установите виртуальную машину VMWare или VirtualBox. На ней и можно будет практиковать выполнение скриптов. Иначе получится, что вы можете анализировать готовый образ и создавать скрипт, а вот применять его на своей системе (без крайней необходимости) не рекомендуется.
    ScriptMakeR написали: »
    Поизучаю пока информацию, из первого сообщения
    хорошо, вот вам еще образ автозапуска для изучения, посмотрите что можно с ним сделать, какие файлы необходимо очистить для восстановления нормально работы системы.
    https://www.sendspace.com/file/xmlnvl

    с образом (после его открытия) вы можете делать что угодно: удалять файлы, удалять ссылки, применять разные твики. На вашу рабочую систему эти действия не распространяются. При работе с образом в ответ на ваши действия uVS автоматически будет создавать команды и записывать их в файл скрипта.

    вы так же можете "отменить все" произведенные действия и начать все сначала.



  • Так. Судя по всему, я майнера словил.
    https://www.sendspace.com/file/qd4hrv
    На первый беглый взгляд, я вижу троих зловредов:
    C:\USERS\КОСТЯН\APPDATA\ROAMING\JAVA\X86-64BITS WINDOWS\CONFIG-DEFAULTMAIN\SYSUTILS SDK V2.49\SVHCOST.EXE
    C:\USERS\КОСТЯН\APPDATA\ROAMING\ADOBE\SYSSD.EXE
    C:\USERS\КОСТЯН\APPDATA\ROAMING\ADOBE\TEMP.EXE
    Если я буду пытаться скрипт составить, то можно сразу в uVS с полученными результатами работать, или нужно отдельно образ открыть?
  • отредактировано 9 сен PM
    Если я буду пытаться скрипт составить, то можно сразу в uVS с полученными результатами работать
    можно, но скрипт не получится написать. команды будут выполняться сразу после их отдачи, за исключением тех, которые попадут в очередь команд. Очередь выполняется через "принять изменения". (как правило, это выгрузка файла из памяти и очистка ссылок в реестре).
    на своей системе можно работать несколькими способами:
    либо сразу удаляете файлы по одному - по некоторым командам будет создана очередь команд и затем можно выполнить их все одновременно - через "принять изменения".

    либо, через образ: создаете и открываете образ, пишете по нему скрипт, и затем применяете скрипт на своей реальной системе.

    по майнеру: он действительно есть.
    C:\USERS\КОСТЯН\APPDATA\ROAMING\MACROMEDIA\CODEXI\STEAM
    a variant of Win32/BitCoinMiner.BF potentially unsafe
    смотрите в секции задачи
    C:\WINDOWS\SYSTEM32\TASKS\STEAM_X64-S-2-106-91

    скорее всего это (хотя и без детекта на VT):
    C:\USERS\КОСТЯН\APPDATA\ROAMING\ADOBE\SYSSD.EXE
    +
    C:\USERS\КОСТЯН\APPDATA\ROAMING\ADOBE\TEMP.EXE
    a variant of Win32/CoinMiner.ANC
    +
    C:\USERS\КОСТЯН\APPDATA\ROAMING\JAVA\X86-64BITS WINDOWS\CONFIG-DEFAULTMAIN\SYSUTILS SDK V2.49\SVHCOST.EXE
    Хэш НЕ найден на сервере.
    если нужна оперативная помощь в очистке системы от майнера, можно открыть отдельно тему здесь
    https://chklst.ru/categories/help


  • Не, оперативная помощь не нужна. Я с ним и средствами AVZ сам справиться могу. Мне хочется самому понять, как с uVS работать.
  • отредактировано 4 сен PM
    ScriptMakeR написали: »
    Не, оперативная помощь не нужна. Я с ним и средствами AVZ сам справиться могу. Мне хочется самому понять, как с uVS работать.

    ну, вот на всякий случай мой скрипт:
    часть команд здесь создана автоматически, функцией автоскрипта.
    ;uVS v4.0.9 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    OFFSGNSAVE
    ;------------------------autoscript---------------------------
    
    delall %SystemDrive%\USERS\КОСТЯН\APPDATA\ROAMING\ADOBE\SYSSD.EXE
    zoo %SystemDrive%\USERS\КОСТЯН\APPDATA\ROAMING\JAVA\X86-64BITS WINDOWS\CONFIG-DEFAULTMAIN\SYSUTILS SDK V2.49\SVHCOST.EXE
    addsgn A7679B19919AF422F39EAE59E8A7E7FA84AAD0BD89711F905D2E3F43DBDBBD6168176277121E9DC22B0B91BB885C4912A532128DF4FA9C672DFCA4C78BE8D88C 8 Win32/CoinMiner 7
    
    zoo %SystemDrive%\USERS\КОСТЯН\APPDATA\ROAMING\ADOBE\TEMP.EXE
    addsgn A7679B19919AF422879CAE596411E5FA847241BE89711F90F5923843DBDB6DF36B1762AF831D9DC22B0B91772A5E49120D8E158DF4220D642DFCA4C72357DF8C 8 Win32/CoinMiner 7
    
    zoo %SystemDrive%\USERS\КОСТЯН\APPDATA\ROAMING\MACROMEDIA\CODEXI\STEAM
    addsgn A7659219B9728B762FD6AEB1643707C541D8FC1EED07E087D04A203FBCDED0B44745C39EC1B5FBD97E09611CAA1EE822198DE8BBAA3A20BC78FE41AC2B1EE577 64 Win32/BitCoinMiner 7
    
    chklst
    delvir
    
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID=EFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ&INSTALLSOURCE=ONDEMAND&UC
    apply
    
    deltmp
    delref %SystemDrive%\PROGRAMDATA\NVIDIA\NVCONTAINERUSER%D.LOG
    delref %SystemDrive%\PROGRAMDATA\NVIDIA\DISPLAYSESSIONCONTAINER%D.LOG
    delref %SystemDrive%\PROGRAM FILES\ACER INCORPORATED\HID MONITOR\HIDMONITOR.EXE
    delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID]
    delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
    delref {FE285C8C-5360-41C1-A700-045501C740DE}\[CLSID]
    delref {9CDA66BE-3271-4723-8D35-DD834C58AD92}\[CLSID]
    delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
    delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
    delref {06DA0625-9701-43DA-BFD7-FBEEA2180A1E}\[CLSID]
    delref {5AA199A0-1CED-43A5-9B85-3226086738A3}\[CLSID]
    delref {EA9155A3-8A39-40B4-8963-D3C761B18371}\[CLSID]
    delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID]
    delref {EBF00FCB-0769-4B81-9BEC-6C05514111AA}\[CLSID]
    delref {E51DFD48-AA36-4B45-BB52-E831F02E8316}\[CLSID]
    delref {FF87090D-4A9A-4F47-879B-29A80C355D61}\[CLSID]
    delref {45F26E9E-6199-477F-85DA-AF1EDFE067B1}\[CLSID]
    delref {7CCA6768-8373-4D28-8876-83E8B4E3A969}\[CLSID]
    delref {BF6C1E47-86EC-4194-9CE5-13C15DCB2001}\[CLSID]
    delref {1B1F472E-3221-4826-97DB-2C2324D389AE}\[CLSID]
    delref %Sys32%\AUTOWORKPLACE.EXE
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
    delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
    delref %SystemRoot%\SYSWOW64\BLANK.HTM
    delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
    delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
    delref %SystemDrive%\USERS\КОСТЯН\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6816.0313\AMD64\FILESYNCSHELL64.DLL
    delref %SystemDrive%\USERS\КОСТЯН\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6816.0313\FILESYNCSHELL.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
    delref %Sys32%\IGFXSRVC.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
    delref %Sys32%\IGFXDO.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
    delref %Sys32%\IGFXTMM.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
    delref %Sys32%\IGFXDEV.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
    delref %Sys32%\IGFXCFG.EXE
    delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
    delref %Sys32%\QUICKACTIONSPS.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
    delref %Sys32%\IGFXSRVC.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
    delref %Sys32%\CHTADVANCEDDS.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
    delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
    delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
    delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
    delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
    delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MCAFEE\PLATFORM\PLATFORMSERVICEFWPS.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
    delref %SystemRoot%\SYSWOW64\IME\SHARED\IMEROAMING.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
    delref %SystemRoot%\SYSWOW64\AUTHHOST.EXE
    delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
    delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
    delref %SystemRoot%\SYSWOW64\RSTRUI.EXE
    delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
    delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
    delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT DC\ACROBATINFO.EXE
    delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
    delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\PLATFORM\MCSVCHOST\MCSVHVER.DLL
    delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\INSTALLER2\INSTALLER.{C500FA82-BB4C-4CF2-87F8-761A448EE9AD}\NVI2.DLL
    delref %SystemRoot%\SYSWOW64\GPSVC.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
    delref %SystemDrive%\USERS\КОСТЯН\APPDATA\LOCAL\TEMP\TEMP2_HPUSBFW_SPECIAL.ZIP\HPUSBFW_SPECIAL.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
    delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
    delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
    ;-------------------------------------------------------------
    
    restart
    
    
    
    
  • Ну что ж, смысла сочинять свой скрипт уже не вижу. Он был бы явно короче :)
    Можно я тогда с вопросов начну?
    OFFSGNSAVE - отключаем сохранение сигнатур. А зачем? Я думал наоборот, лучше базу побольше набить. Ведь за счет нее автоскрипт работает? Или я что-то путаю?
    Почему первый файл просто удаляется, а остальные карантинятся и удаляются по сигнатуре? Пока меня учили работать с AVZ, с меня постоянно требовался полный карантин всех удаляемых файлов.
    chklst - это что вообще за команда? В документации к uVS такое скудное описание, что аж теряюсь после документации по AVZ.
    Дальше, как я понимаю, идет уже не борьба со зловредами, а просто чистка системы?
  • отредактировано 15 окт PM
    OFFSGNSAVE - отключаем сохранение сигнатур. А зачем?

    Сигнатуры при выполнении скрипта, который содержит команды ADDSGN, сохраняются на стороне пользователя.
    Сигнатуры опасны ложным определением\срабатыванием.
    Сигнатуры хранятся в файле: sgnz
    Пример: Оператор добавляет сигнатуры > проверяет список > при необходимости корректирует длину сигнатуры.
    Ложных определений\срабатываний нет.
    Сигнатура не опасна для легитимных файлов и её можно добавить в скрипт.
    Сигнатура сохранилась в базе...
    Через пол года человек вновь обращается за помощью...
    За это врем система обновилась; были установлены новые программы...
    А старые сигнатуры по прежнему в базе... и никто их на ложное срабатывание не проверял.
    Как итог - возможно удаление чистых\легитимных файлов.
    Пока меня учили работать с AVZ, с меня постоянно требовался полный карантин всех удаляемых файлов.

    Карантин нужен для пополнения антивирусных баз.
    Поэтому и говорили о необходимости сбора новых образцов.

    chklst - проверка списка по базе сигнатур.
    т.е. это просто проверка - без удаления.
    Это нужно для контроля за сигнатурным определением.
    Чтобы увидеть, что и как определяется.
    В каталоге uVS есть папка Doc
    с документацией.

  • Карантин нужен для пополнения антивирусных баз.
    Поэтому и говорили о необходимости сбора новых образцов.
    Так и я о том. А первый файл в зоопарк не отправляется, он просто удаляется. Вот мне и интересно, почему его так удаляют в uVS, а остальные по другому?
  • отредактировано 4 сен PM
    почему его так удаляют в uVS, а остальные по другому?

    Здесь решение за оператором и только.

  • отредактировано 5 сен PM
    ScriptMakeR написали: »
    Ну что ж, смысла сочинять свой скрипт уже не вижу. Он был бы явно короче :)
    Можно я тогда с вопросов начну?
    OFFSGNSAVE - отключаем сохранение сигнатур. А зачем? Я думал наоборот, лучше базу побольше набить. Ведь за счет нее автоскрипт работает? Или я что-то путаю?
    все верно.
    Если вы работаете как хелпер, или scriptMakeR, то вы заинтересованы в создании своей, выверенной базы сигнатур. их можно собирать разными способами: из своих образов, из других образов (и скриптов) на других форумах, просто из вредоносных файлов. В данном случае этот флаг автоматически попадает в скрипт, когда скрипт передается от хелпера к пользователю, с целью предупреждения накопления сигнатур в файле sgns. (Мы ведь не контролируем в дальнейшем, как пользователь будет обходиться с uVS, а сигнатуры могут фолсить, и если пользователь недостаточно готов к работе с uVS, то может навредить своей системе.)

    т.е. в вашем случае он (флаг OFFSGNSAVE) был необязателен, поскольку вы заинтересованы в накоплении сигнатур, и можете контролировать фолсы, прежде чем применить сигнатуры функцией автоскрипта.
    ScriptMakeR написали: »
    Почему первый файл просто удаляется, а остальные карантинятся и удаляются по сигнатуре? Пока меня учили работать с AVZ, с меня постоянно требовался полный карантин всех удаляемых файлов.
    по первому файлу не получилось создать сигнатуру, для MSIL файлов сигнатуры сильно фолсят. а автоматически ZOO для команды delall у меня не настроено. (К тому же я стремился написать скрипт идеально эффективно, а не идеально правильно :))
    update: сигнатуру таки сейчас создал нормально. детекта не было на VT, потому решил просто через delall удалить файл. Что не есть хорошо. (Файл без детекта антивирусами на VT, и не был закарантинен).

    6heabjln9dst.jpg

    при создании же сигнатуры для детектирования можно настроить, чтобы команда ZOO автоматически карантинила детектируемый файл, прежде чем он будет удален.
    (потому по вторым файлам применилось ZOO. в конце скрипта можно еще указать команду CZOO, чтобы все что добавлено в папку ZOO автоматически было заархивировано в файл ZOO_дата_время.7z (или rar)
    ScriptMakeR написали: »
    chklst - это что вообще за команда? В документации к uVS такое скудное описание, что аж теряюсь после документации по AVZ.

    да, команда chklst - это по сути процедура, которая проверяет весь список объектов автозапуска, (который был получен в uVS) по загруженной сигнатурной базе и + новым добавленным сигнатурам из скрипта, и в случае детектирования части объектов присваивает им статус ВИРУС с добавлением в статус имени сигнатуры по которой будет максимальное совпадение.
    ScriptMakeR написали: »
    Дальше, как я понимаю, идет уже не борьба со зловредами, а просто чистка системы?
    все что было после deltmp - это автоматическая очистка системы от ссылок на недостающие_отсутствующие файлы. Раньше, это действие в скрипте было показано одной командой delnfr, но в новой версии 4.* разработчик реализовал идею с очередью команд, и теперь все удаляемые ссылки отображаются визуально, могут быть скорректированы в очереди и затем попадают в скрипт.

  • отредактировано 9 сен PM
    здесь добавлено кратное видео к созданию скрипта по образу с майнером от ScriptMakeR
    (формат файла exe со встроенным видеоплейером, файл создан в программе uVScreenCamera.)

    https://www.sendspace.com/file/74aed1

    https://www.virustotal.com/en/file/256ffd1b83f13d7869ae51e67dfacacc1efb58328de787667d6e9c1f4db61654/analysis/1504968613/
  • safety
    Спасибо за видео. К нему бы еще добавить озвучивание действий с их пояснением. И можно смело считать готовым учебным материалом.
  • отредактировано 9 сен PM
    safety
    По предложенному Вами образу у меня получился такой скрипт:
    ;uVS v4.0.9 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    OFFSGNSAVE
    
    zoo %SystemDrive%\USERS\SOBAKEVICH09\APPDATA\ROAMING\IDENTITIES\CTFHOST\CTFHOST.EXE
    
    chklst
    delvir
    
    deltmp
    
    ;------------------------autoscript---------------------------
    
    delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
    delref %SystemDrive%\PROGRAM FILES (X86)\ПРОГРАММКИ\GARENA PLUS\ROOM\SAFEDRV.SYS
    delref %Sys32%\DRIVERS\MBAMSWISSARMY.SYS
    delref %Sys32%\DRIVERS\VBOXNETFLT.SYS
    delref %Sys32%\PSXSS.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\DAO\DAO350.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
    delref G:\LG_PC_PROGRAMS.EXE
    delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID]
    delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\OBLIVION\OBSE_LOADER.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\OBLIVION\UNINSTALL.EXE
    delref F:\DIRECTX\DXSETUP.EXE
    delref F:\DIRECTX\VCREDIST_X86.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\DIABLO III\MANUAL.URL
    delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\DIABLO III\TECHSUPPORT.URL
    delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\DIABLO III\BATTLENETACCOUNT.URL
    delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\DUNGEON OF THE ENDLESS\DUNGEONOFTHEENDLESS.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\COMMANDOS\COMM2.EXE
    apply
    
    ;-------------------------------------------------------------
    
    czoo
    restart
    

    Если честно, то я сейчас как ёжик в тумане. Все делаю методом научного тыка.
    Так и не понял, как добавить в скрипт команду addsgn. При нажатии =Добавить сигнатуру файла в скрипт и вирусную базу=, мне пишет, что сигнатура уже есть в базе, а в скрипт не добавляет.
  • отредактировано 9 сен PM
    ScriptMakeR написали: »
    safety
    Спасибо за видео. К нему бы еще добавить озвучивание действий с их пояснением. И можно смело считать готовым учебным материалом.

    попробую попозже добавить звук, микрофон есть, установлю поудобнее, и сделаю новую запись. (или запись по тестовому образу.)
  • отредактировано 9 сен PM
    мой список подозрительных вирусов.
    1a6jdmzs2vx2.jpg

    по вашему тестовому скрипту:

    1. сигнатура по майнеру не добавлена в скрипт, поэтому он не будет удален из системы командами chklst/delvir
    ZOO здесь только вспомогательная команда, добавляет в карантин файл, что предполагается к удалению.
    (так должно быть.)
    ;------------------------autoscript---------------------------
    
    zoo %SystemDrive%\USERS\SOBAKEVICH09\APPDATA\ROAMING\IDENTITIES\CTFHOST\CTFHOST.EXE
    addsgn BA6F9BB2BD2949720B9C2D754C216CFBDA7503D32D621F78CD4A9998589EF82007078BDE4A71851E6303688F75DF7A3A4E20E7D092DFE6942E77A62FC706E576 15 Win32/BitCoinMiner 7
    
    chklst
    delvir
    .....
    
    2. помимо майнера есть еще объекты, которые желательно удалить из системы.
    отладчик,
    C:\WINDOWS\SYSTEM32\SVCHOST.EXE

    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCleaner64.exe\Debugger

    его можно обнаружить с помощью критерия:
    (ССЫЛКА ~ \IMAGE FILE EXECUTION OPTIONS\)(1) OR (ССЫЛКА ~ .EXE\DEBUGGER)(1) [auto (0)]
    удалять в данном случае через delref нельзя запись отладчика, поскольку при этом будут удалены и полезные ссылки в реестре. но можно использовать в данном случае твики:

    7vs9l1rp7yoq.jpg

    а так же есть левые расширения в Chrome, детектирую их правилом (критерием):
    (СТАТУС ~ CHROME)(1) AND (ССЫЛКА ~ \UPDATE_URL)(1) [delref (1)]

    почему сигнатурное удаление (chklst/delvir) предпочтительнее чем просто delall/del.
    потому что сигнатура - это по сути правило, и оно еще не раз сработает при анализе других образов, хотя с какой то вероятностью может выйти и фолс.

    просто delall/del - это разовая очистка в текущем образе, которая не добавляет новые правила для анализа других образов.

  • отредактировано 9 сен PM
    Так у меня addsgn почему-то в скрипт не добавляется. Я выше об этом писал.

    Такой вопрос.
    Где-то натыкался на информацию, что uVS сам сортирует команды в скрипте при его выполнении и сортировка команд не так критична, как в AVZ.
    Так ли это?
  • отредактировано 9 сен PM
    добавил второе видео с комментариями по ходу работы с тестовым образом. что-то получилось записать с 10 раза. :)

    https://www.sendspace.com/file/6uyt1k

    https://www.virustotal.com/en/file/1214a4b520b2a91c7601afbe11e03add2f548df2f4c622d5ec8b41901094d6cd/analysis/1504968227/
  • отредактировано 11 сен PM
    ScriptMakeR написали: »
    Так у меня addsgn почему-то в скрипт не добавляется. Я выше об этом писал.
    Если честно, то я сейчас как ёжик в тумане. Все делаю методом научного тыка.
    Так и не понял, как добавить в скрипт команду addsgn. При нажатии =Добавить сигнатуру файла в скрипт и вирусную базу=, мне пишет, что сигнатура уже есть в базе, а в скрипт не добавляет.

    сигнатура теперь при добавлении добавлении в базу автоматически не добавляется в скрипт.
    Сделано это совсем недавно с тем, чтобы в скрипт не попадали ложные детекты.

    В этом есть некоторый минус, то что мы не видим как последовательно формируется скрипт при добавлении каждой новой сигнатуры.

    Плюс есть в том, что исключаются ложные детекты, и они автоматически не попадают в скрипт.

    Предполагаю, что вы скрипт записали не через функцию автоскрипта.
    zoo %SystemDrive%\USERS\SOBAKEVICH09\APPDATA\ROAMING\IDENTITIES\CTFHOST\CTFHOST.EXE

    chklst
    delvir

    deltmp

    эта часть скрипта записана после того как вы вручную сформировали команды.
    1. добавили сигнатуру в базу,
    2. добавили ZOO на удаляемый файл.
    3. выполнили команду "убить все вирусы".
    4. выполнили действие "очистить корзину"
    5. и далее нажали автоскрипт.

    сигнатуры же в скрипт добавляются при проверке списка объектов, которая инициируется в функции автоскрипта.

    если вы нажимаете на кнопку - "проверить список", то вы увидите только детект объектов, но при этом сигнатуры не будут добавлены в скрипт.

    !!!
    сигнатуры в скрипт добавляются при действии "проверить список", которое инициируется функцией автоскрипт.
    !!!
    т.е. правильная последовательность действий здесь, на мой взгляд такая:
    1. добавляете нужные сигнатуры,
    2. проверяете список,
    3. исключаете ложные детекты,
    4. добавляете нужные правила_критерии, настраиваете действие (команду), которое будет добавлено в скрипт.
    5. исключаете ложные объекты со статусом ?ВИРУС? через shift+space
    6. запускаете функцию автоскрипта и далее уже в редакторе поправляете скрипт, если есть в этом необходимость.
    ScriptMakeR написали: »
    Такой вопрос.
    Где-то натыкался на информацию, что uVS сам сортирует команды в скрипте при его выполнении и сортировка команд не так критична, как в AVZ.
    Так ли это?

    сортировка действий выполняется при обработке очереди команд.
    Я думаю вначале идет выгрузка_завершение процессов, затем очистка ссылок.
    update:
    cktvxofhqv96.jpg
    при сигнатурном удалении последовательность действий думаю такая:
    выгрузка процессов, очистка ссылок, удаление файлов.

    при удалении delall:
    выгрузка процесса и удаление ссылок добавляются в очередь команд, а удаление файла выполняется сразу.

  • :D У меня антивирус на второе видео ругается
  • отредактировано 9 сен PM
    исключаете ложные объекты со статусом ?ВИРУС? через shift+space
    Что-то у меня ни одного статуса ?ВИРУС? нет.

    А можно как-нибудь название добавленной сигнатуры сменить?
  • отредактировано 9 сен PM
    ScriptMakeR написали: »
    :D У меня антивирус на второе видео ругается
    проверьте на VT и дайте ссылку в сообщение, будем знать какой у вас антивирус. :),
    да сам сейчас и проверю :)

    вообще то чисто,
    и можете сравнить хэши того, что вы скачали c sendspace.com, и то что попало на VT:
    https://www.virustotal.com/en/file/1214a4b520b2a91c7601afbe11e03add2f548df2f4c622d5ec8b41901094d6cd/analysis/1504968227/
    но замечаю, что sendspace.com не всегда получается скачать.
  • Windows Defender у меня. Если бы он не шел в комплекте с осью, то и его бы не было. Для себя я смысла в них не вижу.
    Верю, что чисто. Самого удивила его реакция.
  • отредактировано 9 сен PM
    ScriptMakeR написали: »
    Windows Defender у меня. Если бы он не шел в комплекте с осью, то и его бы не было. Для себя я смысла в них не вижу.
    Верю, что чисто. Самого удивила его реакция.
    некоторая вероятность таки есть, что исполняемые файлы на удаленном сервере могут быть изменены после upload, так что имеет смысл проверить хэши, а VT я доверяю больше чем файло_обменникам.
    по всем следующим видео буду добавлять линк проверки на VT.

  • отредактировано 9 сен PM
    ScriptMakeR написали: »
    исключаете ложные объекты со статусом ?ВИРУС? через shift+space
    Что-то у меня ни одного статуса ?ВИРУС? нет.

    А можно как-нибудь название добавленной сигнатуры сменить?

    статус ?ВИРУС? объекты получают, если попадают под детект критериев. (эти правила сохраняются в файл snms). теперь уже завтра, покажу как создавать правила_критерии.

    0tkztpozobr7.jpg

    да, имя сигнатуры после ее создания можно изменить. надо открыть список сигнатур вирусов.

    wqpmemtvkpql.jpg
  • Trojan:Win32/Spursint.F!cl
    Вот как мой антивирус на видео ругается
Войдите или Зарегистрируйтесь чтобы комментировать.