о новой версии uVS. 3.76
uVS версии 3.76 содержит ряд полезных добавлений и улучшений в функциональности.
Прежде всего, за счет расширенного анализа автозапуска добавлен детект и лечение бэкдора crexv, на поиск лечения которого было затрачено немало усилий хелперов kompasnet.org, safezone.cc, virusinfo.info, pchelpforum.ru, forum.esetnod32.ru
(напомню, что в вер. 3.74 была добавлена возможность детектирования и корректного исправления в реестре заражения системы модифицированным Win32/Corkow)
Добавлена функция (и скриптовая команда) winsockreset, которая восстанавливает доступ к сети интернет после удаления вредоносных программ, внедренных в Winsock.
Расширена команда EXEC. ее новый вариант CEXEC позволяет вывести контекст выполнения внешних программ в лог uVS.
например:
Т.о. мы можем увеличивать длину активной части сигнатуры для более точного совпадения при chklst, а в случае полного совпадения 64байт файла с сигнатурой, исключить из проверки чистый файл, оставляя детект данной сигнатурой только вредоносных программ.
Контекстная функция "Статус" меняет статус отдельного файла на проверенный или подозрительный.
И наконец, улучшен механизм сети критериев, создаваемых пользователем, для выделения вредоносных программ из списка объектов автозапуска, которые не попадают под сигнатурный детект (ввиду их еще отсутствия в сигнатурной базе)
Теперь мы можем создавать сложные критерии в виде цепочки простых условий объединенных логическим И. (условие_1 И условие2 И условие N) т.е. сложный критерий будет детектировать объекты, описание которых удовлетворяет одновременно всем составляющим условиям критерия. Добавлю, что функционально механизм редактирования, добавления новых условий в сложный критерий прост и удобен.
Если вы хотите создать сложный критерий с объединением простых условий с помощью ИЛИ, используйте группу простых типовых условий из списка критериев, которая будет работать при проверке как одно сложное ИЛИ. А после добавление операнда ИЛИ в редактор критериев возможно также внутри одного критерия создать список условий объединенных ИЛИ. (условие_1 ИЛИ условие_2 ИЛИ.... условие_N)
Так же следует отметить, что критерий без указания аргумента, например, ~\mkdrv на самом деле является сложным критерием, в котором группа полей, составляющих описание объекта проверяется на вхождение выражения \mkdrv. Критерий будет выполнен, если хотя бы одно из полей содержит значение "\mkdrv", т.е. в данном критерии простые условия поле1~\mkdrv, поле2~\mkdrv... полеN~\mkdrv соединены с помощью ИЛИ.
скачать новую 3.76 версию можно здесь и здесь
Прежде всего, за счет расширенного анализа автозапуска добавлен детект и лечение бэкдора crexv, на поиск лечения которого было затрачено немало усилий хелперов kompasnet.org, safezone.cc, virusinfo.info, pchelpforum.ru, forum.esetnod32.ru
(напомню, что в вер. 3.74 была добавлена возможность детектирования и корректного исправления в реестре заражения системы модифицированным Win32/Corkow)
Добавлена функция (и скриптовая команда) winsockreset, которая восстанавливает доступ к сети интернет после удаления вредоносных программ, внедренных в Winsock.
Расширена команда EXEC. ее новый вариант CEXEC позволяет вывести контекст выполнения внешних программ в лог uVS.
например:
CEXEC cmd /c"ping facebook.com"
--------------------------------------------------------
Запуск процесса под текущим пользователем...
CMD /C"PING FACEBOOK.COM"
--------------------------------------------------------
Упрощенный запуск процесса...
Обмен пакетами с FACEBOOK.COM [69.171.237.16] по 32 байт:
Ответ от 69.171.237.16: число байт=32 время=237мс TTL=242
Ответ от 69.171.237.16: число байт=32 время=234мс TTL=242
Ответ от 69.171.237.16: число байт=32 время=234мс TTL=242
Ответ от 69.171.237.16: число байт=32 время=234мс TTL=242
Статистика Ping для 69.171.237.16:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 234мсек, Максимальное = 237 мсек, Среднее = 234 мсек
Скриптовая команда hide позволяет исключить из проверки чистые файлы, которые в результате проверки chklst попадают под ложный детект добавленных сигнатур.Т.о. мы можем увеличивать длину активной части сигнатуры для более точного совпадения при chklst, а в случае полного совпадения 64байт файла с сигнатурой, исключить из проверки чистый файл, оставляя детект данной сигнатурой только вредоносных программ.
Контекстная функция "Статус" меняет статус отдельного файла на проверенный или подозрительный.
И наконец, улучшен механизм сети критериев, создаваемых пользователем, для выделения вредоносных программ из списка объектов автозапуска, которые не попадают под сигнатурный детект (ввиду их еще отсутствия в сигнатурной базе)
Теперь мы можем создавать сложные критерии в виде цепочки простых условий объединенных логическим И. (условие_1 И условие2 И условие N) т.е. сложный критерий будет детектировать объекты, описание которых удовлетворяет одновременно всем составляющим условиям критерия. Добавлю, что функционально механизм редактирования, добавления новых условий в сложный критерий прост и удобен.
Если вы хотите создать сложный критерий с объединением простых условий с помощью ИЛИ, используйте группу простых типовых условий из списка критериев, которая будет работать при проверке как одно сложное ИЛИ. А после добавление операнда ИЛИ в редактор критериев возможно также внутри одного критерия создать список условий объединенных ИЛИ. (условие_1 ИЛИ условие_2 ИЛИ.... условие_N)
Так же следует отметить, что критерий без указания аргумента, например, ~\mkdrv на самом деле является сложным критерием, в котором группа полей, составляющих описание объекта проверяется на вхождение выражения \mkdrv. Критерий будет выполнен, если хотя бы одно из полей содержит значение "\mkdrv", т.е. в данном критерии простые условия поле1~\mkdrv, поле2~\mkdrv... полеN~\mkdrv соединены с помощью ИЛИ.
скачать новую 3.76 версию можно здесь и здесь
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Дискуссия закрыта.