Натыкался на подобные отладчики. Что интересно, имена у всех вполне легитимные.
А это точно зловредная запись?
В задачах нашел OVERBTC13. Как я понимаю, это часть того же майнера. Если я не ошибаюсь, то удаление по сигнатуре самого майнера не затронет этого зловреда.
Не пойму, по какому критерию можно забраковать расширения Chrome. Расширения IE по CLSID/файлу проверяю. А остальные как бракуют?
З.Ы.: Не подскажите, как тут часть сообщения цитировать?
Или только из полной цитаты лишнее удалять?
В задачах нашел OVERBTC13. Как я понимаю, это часть того же майнера. Если я не ошибаюсь, то удаление по сигнатуре самого майнера не затронет этого зловреда.
да, это часть майнера. бывает что не все вредоносные объекты сразу попадут в категорию вирусы и подозрительные", поэтому дополнительно имеет смысл проверить и другие категории: процессы, сервисы, драйвера, секции браузеров, загрузчики, задачи.
Полное имя C:\USERS\SOBAKEVICH09\APPDATA\ROAMING\IDENTITIES\CTFHOST\CTFHOST.EXE
Имя файла CTFHOST.EXE
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Удовлетворяет критериям
FOLDERS.LIST (ПОЛНОЕ ИМЯ ~ \CTFHOST)(1) [deldirex (2)]
Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id 561598F19C000
Linker 12.0
Размер 612864 байт
Создан 13.10.2015 в 12:14:03
Изменен 13.10.2015 в 12:14:03
TimeStamp 07.10.2015 в 22:13:05
EntryPoint +
OS Version 0.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить
Не пойму, по какому критерию можно забраковать расширения Chrome. Расширения IE по CLSID/файлу проверяю. А остальные как бракуют?
это например, по Extension_name
Полное имя C:\USERS\***\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\55.11_0\SEARCH APP BY ASK V2
Имя файла SEARCH APP BY ASK V2
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ Chrome/Yandex
Натыкался на подобные отладчики. Что интересно, имена у всех вполне легитимные.
А это точно зловредная запись?
Отладчик это системный элемент.
Файл\ы
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSWOW64\SVCHOST.EXE
Системные и легитимные.
Как правило используется для блокировки работы той, или иной программы ( чаще всего антивирусы, сканеры, программы для просмотра автозапуска )
В задачах нашел OVERBTC13. Как я понимаю, это часть того же майнера. Если я не ошибаюсь, то удаление по сигнатуре самого майнера не затронет этого зловреда.
C:\USERS\SOBAKEVICH09\APPDATA\ROAMING\IDENTITIES\CTFHOST\CTFHOST.EXE
в инфо. по файлу есть запись:
ссылка: C:\WINDOWS\SYSTEM32\TASKS\CTF HOST
т.е. сигнатура данную запись удалит - как имеющею отношение к CTFHOST.EXE
Но, в случае сомнения такие объекты нужно дополнительно удалять.
Не пойму, по какому критерию можно забраковать расширения Chrome. Расширения IE по CLSID/файлу проверяю. А остальные как бракуют?
Для объектов типа: HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2
У меня критерий: Содержит: CLIENTS2.GOOGLE.COM
+
Я работаю несколько по другому. ( в сравнении с safety )
Убираю из списка весь мусор.
А затем работаю со значимыми объектами.
Видео пример: ( в .exe формате ) https://www.sendspace.com/file/v93k4h
+
Я считаю, что так ниже вероятность пропустить нужный\опасный объект.
Но это требует доп. времени.
Соглашусь с rp55rp55 в том, что количество объектов в секции "подозрительные и вирусы" определяется тем, насколько качественная база сигнатур и критериев уже создана на момент текущего анализа. Если сигнатуры могут частично фолсить, то критерии могут избыточно присваивать объектам статус ?ВИРУС?
Сигнатуры можно уточнять (увеличивать длину активной части от 8 до 64 байт), или удалять в случае если множественный фолс наблюдается, так же объекты можно скрывать от проверки с помощью команды hide, если вы абсолютно уверены в том что он чист.
критерии можно уточнять, дополнять, менять автоматическое действие и т.д.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
C:\USERS\SOBAKEVICH09\APPDATA\ROAMING\IDENTITIES\CTFHOST\CTFHOST.EXE
в инфо. по файлу есть запись:
ссылка: C:\WINDOWS\SYSTEM32\TASKS\CTF HOST
На сколько я понял, в задаче =CTF HOST= есть ссылки на оба объекта. Но сигнатурным удалением мы удалим только первый объект и задачу, их запускающую.
А как второй объект удалить средствами uVS?
это например, по Extension_name
...
открываете инфо по объекту, и отмечаете по каким полям можно создать рабочее правило для детектирования подобных объектов.
Так вот я никак и не пойму, по какому принципу их браковать.
Расширения IE можно на sestemlookup по CLSID/имени_файла пробить, по MD5 файла на VT пробить. А с этими расширениями как играют?
Так из образа автозапуска не получается узнать значение параметра =Debugger=. Мы знаем только то, что он есть.
Хотя, он, скорее всего, зловредный.
Да, _любая запись здесь с вероятностью в 99% относиться к зловредной активности.
Нужно смотреть, что прописано.
Сколько всего в параметре записей.
На сколько я понял, в задаче =CTF HOST= есть ссылки на оба объекта. Но сигнатурным удалением мы удалим только первый объект и задачу, их запускающую.
А как второй объект удалить средствами uVS?
Применима любая команда на удаление.
delref OVERBTC13.
или
del %Sys32%\TASKS\CTF HOST
( в данном случае команда: del %Sys32%\TASKS\CTF HOST
отдаётся из меню: Инфо. файла: CTFHOST.EXE
Так вот я никак и не пойму, по какому принципу их браковать.
Расширения IE можно на sestemlookup по CLSID/имени_файла пробить, по MD5 файла на VT пробить. А с этими расширениями как играют?
Принцип простой: _Автоматически удаляются _все объекты...
( здесь нужно настроить автоскрипт )
типа: HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2
По сути это мусор.
Так из образа автозапуска не получается узнать значение параметра =Debugger=. Мы знаем только то, что он есть.
Хотя, он, скорее всего, зловредный.
svchost.exe как раз и есть в параметре Debugger, иначе бы эта ссылка с HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCleaner64.exe\Debugger
не попала в инфо для svchost.exe
Так вот я никак и не пойму, по какому принципу их браковать.
Расширения IE можно на sestemlookup по CLSID/имени_файла пробить, по MD5 файла на VT пробить. А с этими расширениями как играют?
расширение в Chrome - это же не один файл, какое брать MD5, если там может быть несколько десятков различных файлов.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Помимо sgns, snms, VT/Virusscan base +встроенная логика uVS - которые работают в сторону увеличения числа объектов со статусом ?ВИРУС?/Sign_detected и подозрительный, есть файлы, которые работают в сторону уменьшения подозрительных в секции "подозрительные и вирусы".
это:
MAIN/VT1 (в подкаталоге SHA) - содержат хэши проверенных файлов, которые издаются разработчиком. для всех пользователей они открываются только для чтения. Но пользователь может вести свой файл SHA1 в текущем каталоге, куда могут быть добавлены хэши проверенных файлов, которых нет в списках MAIN/VT1
WDSL - белый список цифровых сертификатов. добавлен в связи с тем, что в настоящее время многие adware/troj так же подписаны сертификатами и автоматически получают статус проверенных. Поэтому проверка по WDSL автоматически снимает статус ПРОВЕРЕННЫЙ со всех объектов, сертификат которых не добавлен в белый список.
+
проверка по хэшам на VT/Virusscan так же работает и в сторону уменьшения подозрительных.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
добавил видео по созданию критериев поиска вредоносных объектов.
CRC32: 8548A78E
MD5: FE72334F15B7CCF76E6984DB397051D0
SHA-1: 5C8D01F55A9C3120E701F6CAB6B0A6D28A9C9293
видео снято по образу: https://www.sendspace.com/file/c7034k
краткая анотация к видео. наличие базы критериев вместе с базой сигнатур автоматически отсеивает найденные вредоносные объекты в секцию "подозрительные и вирусы". После этого обнаруженные объекты можно проанализировать по инфо, а так же проверить на ВирусТотал, чтобы вы могли убедиться, что детект был правильным. Или снять статус ?ВИРУС? и уточнить сигнатуру в том случае, если имеет место ложный детект.
помимо детектирования в критерии можно добавить действия (команды), которые будут добавлены в скрипт функцией автоскрипта при обработке списка объектов со статусом ?ВИРУС?. Если это действие не добавлено, или выставлен флаг "по умолчанию", в этом случае функция автоскрипта добавил по данному объекту команду, которая определена в settings.ini
o Новый параметр в settings.ini
[Settings]
; Значение управляет методом удаления файлов со статусом "?ВИРУС?" в функции
; автоскрипта.
ImgAutoDelMethod1 (по умолчанию 1)
0 - игнорировать
1 - применить delall
2 - применить delref
3 - применить delref+del
o Новый параметр в settings.ini
[Settings]
; Значение управляет методом удаления файлов со статусом "?ВИРУС?" в функции
; автоскрипта с виртуализацией реестра.
ImgAutoDelMethod2 (по умолчанию 3)
0 - игнорировать
1 - применить delall
2 - применить delref
3 - применить delref+del
объять необъятное в кратком сообщении не получится, поэтому часть информации может быть получена практическим путем, или методом вы нам вопросы - мы вам ответы.
update:
критерий, который был создан в видео_примере отредактировал.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Авторы SafeBrowse, расширения Chrome с более чем 140 000 пользователей, встроили библиотеку JavaScript в код расширения, который запускает майнер криптовалют Monero с использованием компьютеров пользователей без их согласия.
разница в коде как будто бы и не большая, но в первом случае добавленная (в скрипт и в базу хелпера) сигнатура еще неоднократно сработает на детект, а во втором случае нет. не сработает.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
@ScriptMakeR,
по автоскрипту уже ранее была добавлена статья: "Механизм автоскрипта в Universal Virus Sniffer"
где подробно описано, как последовательно создавался механизм автоскрипта в uVS. добавлю, что работать с функцией автоскрипта комфортно при наличии настроенной базы критериев, и проверенной базы сигнатур. В рамках видео не получится показать данный процесс, поскольку он продолжителен по времени.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Я дико извиняюсь, за столь длительное отсутствие.
Но, не могли бы Вы продолжить оказание помощи в моем освоении uVS?
Нужно несколько образов с возрастающей сложностью, которые бы я мог разобрать под Вашим присмотром.
Если, конечно, это Вас не затруднит..
Извините, что обнаружил ваше сообщение с некоторым запозданием. Буду знать, что кто-то еще помнит и интересуется развитием uVS. Как раз сегодня вышло новое обновление для версии 4.99.2. Образы подберу - отвечу здесь.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
> @safety написал: > Извините, что обнаружил ваше сообщение с некоторым запозданием.
Да ладно уж Вам. Моё запоздание куда уж более запоздавшее, чем Ваше. У всех есть свои дела и интересы. Я сам, последние пару лет имею ограниченную возможность сетевой активности в первую половину каждого месяца.. Премного благодарен, за отзывчивость.
Комментарии
А это точно зловредная запись?
В задачах нашел OVERBTC13. Как я понимаю, это часть того же майнера. Если я не ошибаюсь, то удаление по сигнатуре самого майнера не затронет этого зловреда.
Не пойму, по какому критерию можно забраковать расширения Chrome. Расширения IE по CLSID/файлу проверяю. А остальные как бракуют?
З.Ы.: Не подскажите, как тут часть сообщения цитировать?
Или только из полной цитаты лишнее удалять?
скорее всего OVERBTC13. содержит код запуска для CTFHOST.EXE.
это например, по Extension_name
открываете инфо по объекту, и отмечаете по каким полям можно создать рабочее правило для детектирования подобных объектов.
да, или разбивать сообщение на части.
А это точно зловредная запись?
Отладчик это системный элемент.
Файл\ы
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSWOW64\SVCHOST.EXE
Системные и легитимные.
https://msdn.microsoft.com/ru-ru/library/a329t4ed(v=vs.100).aspx
Как правило используется для блокировки работы той, или иной программы ( чаще всего антивирусы, сканеры, программы для просмотра автозапуска )
В задачах нашел OVERBTC13. Как я понимаю, это часть того же майнера. Если я не ошибаюсь, то удаление по сигнатуре самого майнера не затронет этого зловреда.
C:\USERS\SOBAKEVICH09\APPDATA\ROAMING\IDENTITIES\CTFHOST\CTFHOST.EXE
в инфо. по файлу есть запись:
ссылка: C:\WINDOWS\SYSTEM32\TASKS\CTF HOST
т.е. сигнатура данную запись удалит - как имеющею отношение к CTFHOST.EXE
Но, в случае сомнения такие объекты нужно дополнительно удалять.
Не пойму, по какому критерию можно забраковать расширения Chrome. Расширения IE по CLSID/файлу проверяю. А остальные как бракуют?
Для объектов типа: HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2
У меня критерий: Содержит: CLIENTS2.GOOGLE.COM
Я работаю несколько по другому. ( в сравнении с safety )
Убираю из списка весь мусор.
А затем работаю со значимыми объектами.
Видео пример: ( в .exe формате )
https://www.sendspace.com/file/v93k4h
https://virustotal.com/ru/file/78e7ae999cf02f1d8be405330081038fae9abf5efc4a48869b6c6cd34cd277cb/analysis/1504986842/
Я считаю, что так ниже вероятность пропустить нужный\опасный объект.
Но это требует доп. времени.
Сигнатуры можно уточнять (увеличивать длину активной части от 8 до 64 байт), или удалять в случае если множественный фолс наблюдается, так же объекты можно скрывать от проверки с помощью команды hide, если вы абсолютно уверены в том что он чист.
критерии можно уточнять, дополнять, менять автоматическое действие и т.д.
Нужно иметь копию своих личных файлов\настроек.
Чтобы иметь возможность быстро откатить внесённые изменения.
Хотя, он, скорее всего, зловредный. На сколько я понял, в задаче =CTF HOST= есть ссылки на оба объекта. Но сигнатурным удалением мы удалим только первый объект и задачу, их запускающую.
А как второй объект удалить средствами uVS? Так вот я никак и не пойму, по какому принципу их браковать.
Расширения IE можно на sestemlookup по CLSID/имени_файла пробить, по MD5 файла на VT пробить. А с этими расширениями как играют?
Хотя, он, скорее всего, зловредный.
Да, _любая запись здесь с вероятностью в 99% относиться к зловредной активности.
Нужно смотреть, что прописано.
Сколько всего в параметре записей.
На сколько я понял, в задаче =CTF HOST= есть ссылки на оба объекта. Но сигнатурным удалением мы удалим только первый объект и задачу, их запускающую.
А как второй объект удалить средствами uVS?
Применима любая команда на удаление.
delref OVERBTC13.
или
del %Sys32%\TASKS\CTF HOST
( в данном случае команда: del %Sys32%\TASKS\CTF HOST
отдаётся из меню: Инфо. файла: CTFHOST.EXE
Так вот я никак и не пойму, по какому принципу их браковать.
Расширения IE можно на sestemlookup по CLSID/имени_файла пробить, по MD5 файла на VT пробить. А с этими расширениями как играют?
Принцип простой: _Автоматически удаляются _все объекты...
( здесь нужно настроить автоскрипт )
типа: HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2
По сути это мусор.
не попала в инфо для svchost.exe
расширение в Chrome - это же не один файл, какое брать MD5, если там может быть несколько десятков различных файлов.
это:
MAIN/VT1 (в подкаталоге SHA) - содержат хэши проверенных файлов, которые издаются разработчиком. для всех пользователей они открываются только для чтения. Но пользователь может вести свой файл SHA1 в текущем каталоге, куда могут быть добавлены хэши проверенных файлов, которых нет в списках MAIN/VT1
WDSL - белый список цифровых сертификатов. добавлен в связи с тем, что в настоящее время многие adware/troj так же подписаны сертификатами и автоматически получают статус проверенных. Поэтому проверка по WDSL автоматически снимает статус ПРОВЕРЕННЫЙ со всех объектов, сертификат которых не добавлен в белый список.
+
проверка по хэшам на VT/Virusscan так же работает и в сторону уменьшения подозрительных.
CRC32: 8548A78E
MD5: FE72334F15B7CCF76E6984DB397051D0
SHA-1: 5C8D01F55A9C3120E701F6CAB6B0A6D28A9C9293
https://www.sendspace.com/file/ufgx6n
проверка файла на Virustotal.com
https://www.virustotal.com/en/file/29edef6f0c7064b5429c37b86bcb8ff1a65c6cf2fb46af43570ee96b1b17863b/analysis/1505561134/
видео снято по образу:
https://www.sendspace.com/file/c7034k
краткая анотация к видео. наличие базы критериев вместе с базой сигнатур автоматически отсеивает найденные вредоносные объекты в секцию "подозрительные и вирусы". После этого обнаруженные объекты можно проанализировать по инфо, а так же проверить на ВирусТотал, чтобы вы могли убедиться, что детект был правильным. Или снять статус ?ВИРУС? и уточнить сигнатуру в том случае, если имеет место ложный детект.
помимо детектирования в критерии можно добавить действия (команды), которые будут добавлены в скрипт функцией автоскрипта при обработке списка объектов со статусом ?ВИРУС?. Если это действие не добавлено, или выставлен флаг "по умолчанию", в этом случае функция автоскрипта добавил по данному объекту команду, которая определена в settings.ini
объять необъятное в кратком сообщении не получится, поэтому часть информации может быть получена практическим путем, или методом вы нам вопросы - мы вам ответы.
update:
критерий, который был создан в видео_примере отредактировал.
мы можем добавить расширение SafeBrowse в список левых расширений для детектирования в uVS
http://www.tehnari.ru/f183/t255673/
сигнатурное удаление будет выглядеть так:
без_сигнатурное удаление:
разница в коде как будто бы и не большая, но в первом случае добавленная (в скрипт и в базу хелпера) сигнатура еще неоднократно сработает на детект, а во втором случае нет. не сработает.
по автоскрипту уже ранее была добавлена статья: "Механизм автоскрипта в Universal Virus Sniffer"
где подробно описано, как последовательно создавался механизм автоскрипта в uVS. добавлю, что работать с функцией автоскрипта комфортно при наличии настроенной базы критериев, и проверенной базы сигнатур. В рамках видео не получится показать данный процесс, поскольку он продолжителен по времени.
Но, не могли бы Вы продолжить оказание помощи в моем освоении uVS?
Нужно несколько образов с возрастающей сложностью, которые бы я мог разобрать под Вашим присмотром.
Если, конечно, это Вас не затруднит..
Извините, что обнаружил ваше сообщение с некоторым запозданием. Буду знать, что кто-то еще помнит и интересуется развитием uVS.
> Извините, что обнаружил ваше сообщение с некоторым запозданием.
Да ладно уж Вам. Моё запоздание куда уж более запоздавшее, чем Ваше.
У всех есть свои дела и интересы. Я сам, последние пару лет имею ограниченную возможность сетевой активности в первую половину каждого месяца..
Премного благодарен, за отзывчивость.