CHKLST.RU

о новой версии uVS. 3.76

отредактировано 1 Jun Раздел: Новости и объявления
uVS версии 3.76 содержит ряд полезных добавлений и улучшений в функциональности.

Прежде всего, за счет расширенного анализа автозапуска добавлен детект и лечение бэкдора crexv, на поиск лечения которого было затрачено немало усилий хелперов kompasnet.org, safezone.cc, virusinfo.info, pchelpforum.ru, forum.esetnod32.ru
(напомню, что в вер. 3.74 была добавлена возможность детектирования и корректного исправления в реестре заражения системы модифицированным Win32/Corkow)

Добавлена функция (и скриптовая команда) winsockreset, которая восстанавливает доступ к сети интернет после удаления вредоносных программ, внедренных в Winsock.

Расширена команда EXEC. ее новый вариант CEXEC позволяет вывести контекст выполнения внешних программ в лог uVS.
например:
CEXEC cmd /c"ping facebook.com"
--------------------------------------------------------
Запуск процесса под текущим пользователем...
CMD /C"PING FACEBOOK.COM"
--------------------------------------------------------
Упрощенный запуск процесса...

Обмен пакетами с FACEBOOK.COM [69.171.237.16] по 32 байт:

Ответ от 69.171.237.16: число байт=32 время=237мс TTL=242
Ответ от 69.171.237.16: число байт=32 время=234мс TTL=242
Ответ от 69.171.237.16: число байт=32 время=234мс TTL=242
Ответ от 69.171.237.16: число байт=32 время=234мс TTL=242

Статистика Ping для 69.171.237.16:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 234мсек, Максимальное = 237 мсек, Среднее = 234 мсек
Скриптовая команда hide позволяет исключить из проверки чистые файлы, которые в результате проверки chklst попадают под ложный детект добавленных сигнатур.
Т.о. мы можем увеличивать длину активной части сигнатуры для более точного совпадения при chklst, а в случае полного совпадения 64байт файла с сигнатурой, исключить из проверки чистый файл, оставляя детект данной сигнатурой только вредоносных программ.

Контекстная функция "Статус" меняет статус отдельного файла на проверенный или подозрительный.

И наконец, улучшен механизм сети критериев, создаваемых пользователем, для выделения вредоносных программ из списка объектов автозапуска, которые не попадают под сигнатурный детект (ввиду их еще отсутствия в сигнатурной базе)

image
Теперь мы можем создавать сложные критерии в виде цепочки простых условий объединенных логическим И. (условие_1 И условие2 И условие N) т.е. сложный критерий будет детектировать объекты, описание которых удовлетворяет одновременно всем составляющим условиям критерия. Добавлю, что функционально механизм редактирования, добавления новых условий в сложный критерий прост и удобен.

Если вы хотите создать сложный критерий с объединением простых условий с помощью ИЛИ, используйте группу простых типовых условий из списка критериев, которая будет работать при проверке как одно сложное ИЛИ. А после добавление операнда ИЛИ в редактор критериев возможно также внутри одного критерия создать список условий объединенных ИЛИ. (условие_1 ИЛИ условие_2 ИЛИ.... условие_N)

Так же следует отметить, что критерий без указания аргумента, например, ~\mkdrv на самом деле является сложным критерием, в котором группа полей, составляющих описание объекта проверяется на вхождение выражения \mkdrv. Критерий будет выполнен, если хотя бы одно из полей содержит значение "\mkdrv", т.е. в данном критерии простые условия поле1~\mkdrv, поле2~\mkdrv... полеN~\mkdrv соединены с помощью ИЛИ.

скачать новую 3.76 версию можно здесь и здесь
Войдите или Зарегистрируйтесь чтобы комментировать.