Как начать практически использовать Universal Virus Sniffer
В голову пришли таки хорошие идеи и нашлось время для их реализации. Соотв. релиз v3.вот где то с этого момента стало возможным использовать uVS на форумах для лечения активного заражения удаленных пользователей.
(c), Кузнецов Дмитрий.
Основное:
o Добавлен 4-й режим запуска: "Загрузить образ".
В этом режиме работает симулятор реальной системы, для исполнения доступны некоторые команды, которые выполняются на списке виртуальных файлов. Т.е. поддерживается некоторый эффект присутствия в реальной системе. Автоматически по ходу исполнения команд формируется скрипт для последующего исполнения его в реальной системе. Образы автозапуска можно создавать при проверке активной и неактивной системы.
В общем случае для изучения работы uVS рекомендуется:
1. установить виртуальную машину: VMware или VirtualBox, чтобы последовательно укрепиться в мысли, что все заявленные в uVS функции выполняются.
2. Следует освоить технологию создания загрузочных дисков, например winPE, поскольку uVS замечательным образом работает при запуске с загрузочных дисков. (интерес к uVS возник на ВирусИнфо именно в темах по созданию загрузочных дисков.)
3. Внимательно ознакомиться с концепцией работы uVS в документации к программе, с набором скриптовых команд, который весьма ограничен, но эффективен.
4. Плюсы uVS:
+ "после первого использования образа желание искать в тексте отпадет сразу и навсегда, как и желание править скрипт руками." (c), Кузнецов Дмитрий;
+ накопление собственной базы сигнатур, критериев, списков безопасных файлов, возможность обмена базами и списками с другими участниками форума;
+ автоматический отсев подозрительных и вредоносных записей в отдельный список сокращает время анализа зараженной системы до минимального;
+ компактный скрипт лечения, который можно выполнять как из буфера обмена, так и из отдельного файла;
+ uVS продолжает развиваться и поддерживаться разработчиком, который открыт для новых предложений и идей.
1. Как создать образ автозапуска в uVS
2. Как выполнить скрипт в uVS
3. как создать новый критерий поиска
4. механизм автоскрипта в uVS
5. Используем Winpe&uVS
6. Создаем образ автозапуска из под Winpe&uVS
7. Метод поиска руткитов в системе по файлу сверки в uVS
8. uVS и AVZ. сравнительный анализ
------------------------
Официальный форум поддержки uVS
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Тэги темы:
Войдите или Зарегистрируйтесь чтобы комментировать.
Комментарии
--------------
1. стартуем uVS под текущим пользователем.
2. в главном меню uVS выбираем режим Дополнительно с функцией "сбросить атрибуты для всех файлов /каталогов в..."
3. в правой части экрана выбираем букву вашего съемного диска, в левой части - нажимаем "выбрать".
4. ждем завершения операции.
проверьте, есть ли у вас доступ к комментированию в данной теме. Если, да, тогда здесь можно и продолжить обсуждение работы с uVS. Мне здесь будет удобнее консультировать Вас по той причине, что здесь уже созданы важные темы по работе с uVS: как создать образ, как выполнить скрипт, как создавать критерии, механизм автоскрипта, и другие темы.
я думаю, лучше начать с ваших вопросов по созданным темам. Постараюсь на них ответить - а затем можно практически поработать с образами автозапуска, по которым вы можете практиковаться в анализе проблем и написании скриптов.
добавил права. проверьте
Вот теперь могу писать. Спасибо.
Только я даже не знаю, какие вопросы задать. С uVS я совсем не знаком. Знаю только что создается образ системы, с которым потом может работать хелпер. А вот с чего начать знакомство с утилитой?
хорошо, вот вам еще образ автозапуска для изучения, посмотрите что можно с ним сделать, какие файлы необходимо очистить для восстановления нормально работы системы.
https://www.sendspace.com/file/xmlnvl
с образом (после его открытия) вы можете делать что угодно: удалять файлы, удалять ссылки, применять разные твики. На вашу рабочую систему эти действия не распространяются. При работе с образом в ответ на ваши действия uVS автоматически будет создавать команды и записывать их в файл скрипта.
вы так же можете "отменить все" произведенные действия и начать все сначала.
https://www.sendspace.com/file/qd4hrv
На первый беглый взгляд, я вижу троих зловредов:
C:\USERS\КОСТЯН\APPDATA\ROAMING\JAVA\X86-64BITS WINDOWS\CONFIG-DEFAULTMAIN\SYSUTILS SDK V2.49\SVHCOST.EXE
C:\USERS\КОСТЯН\APPDATA\ROAMING\ADOBE\SYSSD.EXE
C:\USERS\КОСТЯН\APPDATA\ROAMING\ADOBE\TEMP.EXE
Если я буду пытаться скрипт составить, то можно сразу в uVS с полученными результатами работать, или нужно отдельно образ открыть?
на своей системе можно работать несколькими способами:
либо сразу удаляете файлы по одному - по некоторым командам будет создана очередь команд и затем можно выполнить их все одновременно - через "принять изменения".
либо, через образ: создаете и открываете образ, пишете по нему скрипт, и затем применяете скрипт на своей реальной системе.
по майнеру: он действительно есть.
C:\USERS\КОСТЯН\APPDATA\ROAMING\MACROMEDIA\CODEXI\STEAM
a variant of Win32/BitCoinMiner.BF potentially unsafe
смотрите в секции задачи
C:\WINDOWS\SYSTEM32\TASKS\STEAM_X64-S-2-106-91
скорее всего это (хотя и без детекта на VT):
C:\USERS\КОСТЯН\APPDATA\ROAMING\ADOBE\SYSSD.EXE
+
C:\USERS\КОСТЯН\APPDATA\ROAMING\ADOBE\TEMP.EXE
a variant of Win32/CoinMiner.ANC
+
C:\USERS\КОСТЯН\APPDATA\ROAMING\JAVA\X86-64BITS WINDOWS\CONFIG-DEFAULTMAIN\SYSUTILS SDK V2.49\SVHCOST.EXE
Хэш НЕ найден на сервере.
если нужна оперативная помощь в очистке системы от майнера, можно открыть отдельно тему здесь
https://chklst.ru/categories/help
ну, вот на всякий случай мой скрипт:
часть команд здесь создана автоматически, функцией автоскрипта.
;uVS v4.0.9 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delall %SystemDrive%\USERS\КОСТЯН\APPDATA\ROAMING\ADOBE\SYSSD.EXE zoo %SystemDrive%\USERS\КОСТЯН\APPDATA\ROAMING\JAVA\X86-64BITS WINDOWS\CONFIG-DEFAULTMAIN\SYSUTILS SDK V2.49\SVHCOST.EXE addsgn A7679B19919AF422F39EAE59E8A7E7FA84AAD0BD89711F905D2E3F43DBDBBD6168176277121E9DC22B0B91BB885C4912A532128DF4FA9C672DFCA4C78BE8D88C 8 Win32/CoinMiner 7 zoo %SystemDrive%\USERS\КОСТЯН\APPDATA\ROAMING\ADOBE\TEMP.EXE addsgn A7679B19919AF422879CAE596411E5FA847241BE89711F90F5923843DBDB6DF36B1762AF831D9DC22B0B91772A5E49120D8E158DF4220D642DFCA4C72357DF8C 8 Win32/CoinMiner 7 zoo %SystemDrive%\USERS\КОСТЯН\APPDATA\ROAMING\MACROMEDIA\CODEXI\STEAM addsgn A7659219B9728B762FD6AEB1643707C541D8FC1EED07E087D04A203FBCDED0B44745C39EC1B5FBD97E09611CAA1EE822198DE8BBAA3A20BC78FE41AC2B1EE577 64 Win32/BitCoinMiner 7 chklst delvir delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC apply deltmp delref %SystemDrive%\PROGRAMDATA\NVIDIA\NVCONTAINERUSER%D.LOG delref %SystemDrive%\PROGRAMDATA\NVIDIA\DISPLAYSESSIONCONTAINER%D.LOG delref %SystemDrive%\PROGRAM FILES\ACER INCORPORATED\HID MONITOR\HIDMONITOR.EXE delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID] delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref {FE285C8C-5360-41C1-A700-045501C740DE}\[CLSID] delref {9CDA66BE-3271-4723-8D35-DD834C58AD92}\[CLSID] delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL delref {06DA0625-9701-43DA-BFD7-FBEEA2180A1E}\[CLSID] delref {5AA199A0-1CED-43A5-9B85-3226086738A3}\[CLSID] delref {EA9155A3-8A39-40B4-8963-D3C761B18371}\[CLSID] delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID] delref {EBF00FCB-0769-4B81-9BEC-6C05514111AA}\[CLSID] delref {E51DFD48-AA36-4B45-BB52-E831F02E8316}\[CLSID] delref {FF87090D-4A9A-4F47-879B-29A80C355D61}\[CLSID] delref {45F26E9E-6199-477F-85DA-AF1EDFE067B1}\[CLSID] delref {7CCA6768-8373-4D28-8876-83E8B4E3A969}\[CLSID] delref {BF6C1E47-86EC-4194-9CE5-13C15DCB2001}\[CLSID] delref {1B1F472E-3221-4826-97DB-2C2324D389AE}\[CLSID] delref %Sys32%\AUTOWORKPLACE.EXE delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID] delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %SystemDrive%\USERS\КОСТЯН\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6816.0313\AMD64\FILESYNCSHELL64.DLL delref %SystemDrive%\USERS\КОСТЯН\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6816.0313\FILESYNCSHELL.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL delref %Sys32%\IGFXSRVC.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL delref %Sys32%\IGFXDO.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL delref %Sys32%\IGFXTMM.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL delref %Sys32%\IGFXDEV.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL delref %Sys32%\IGFXCFG.EXE delref %Sys32%\TETHERINGSETTINGHANDLER.DLL delref %Sys32%\QUICKACTIONSPS.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL delref %Sys32%\IGFXSRVC.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL delref %Sys32%\CHTADVANCEDDS.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE delref %SystemRoot%\SYSWOW64\TAPILUA.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MCAFEE\PLATFORM\PLATFORMSERVICEFWPS.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\IME\SHARED\IMEROAMING.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\AUTHHOST.EXE delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL delref %SystemRoot%\SYSWOW64\RSTRUI.EXE delref %SystemRoot%\SYSWOW64\LISTSVC.DLL delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT DC\ACROBATINFO.EXE delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\PLATFORM\MCSVCHOST\MCSVHVER.DLL delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\INSTALLER2\INSTALLER.{C500FA82-BB4C-4CF2-87F8-761A448EE9AD}\NVI2.DLL delref %SystemRoot%\SYSWOW64\GPSVC.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\USERS\КОСТЯН\APPDATA\LOCAL\TEMP\TEMP2_HPUSBFW_SPECIAL.ZIP\HPUSBFW_SPECIAL.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL ;------------------------------------------------------------- restartМожно я тогда с вопросов начну?
OFFSGNSAVE - отключаем сохранение сигнатур. А зачем? Я думал наоборот, лучше базу побольше набить. Ведь за счет нее автоскрипт работает? Или я что-то путаю?
Почему первый файл просто удаляется, а остальные карантинятся и удаляются по сигнатуре? Пока меня учили работать с AVZ, с меня постоянно требовался полный карантин всех удаляемых файлов.
chklst - это что вообще за команда? В документации к uVS такое скудное описание, что аж теряюсь после документации по AVZ.
Дальше, как я понимаю, идет уже не борьба со зловредами, а просто чистка системы?
Сигнатуры при выполнении скрипта, который содержит команды ADDSGN, сохраняются на стороне пользователя.
Сигнатуры опасны ложным определением\срабатыванием.
Сигнатуры хранятся в файле: sgnz
Пример: Оператор добавляет сигнатуры > проверяет список > при необходимости корректирует длину сигнатуры.
Ложных определений\срабатываний нет.
Сигнатура не опасна для легитимных файлов и её можно добавить в скрипт.
Сигнатура сохранилась в базе...
Через пол года человек вновь обращается за помощью...
За это врем система обновилась; были установлены новые программы...
А старые сигнатуры по прежнему в базе... и никто их на ложное срабатывание не проверял.
Как итог - возможно удаление чистых\легитимных файлов.
Карантин нужен для пополнения антивирусных баз.
Поэтому и говорили о необходимости сбора новых образцов.
chklst - проверка списка по базе сигнатур.
т.е. это просто проверка - без удаления.
Это нужно для контроля за сигнатурным определением.
Чтобы увидеть, что и как определяется.
В каталоге uVS есть папка Doc
с документацией.
Здесь решение за оператором и только.
Если вы работаете как хелпер, или scriptMakeR, то вы заинтересованы в создании своей, выверенной базы сигнатур. их можно собирать разными способами: из своих образов, из других образов (и скриптов) на других форумах, просто из вредоносных файлов. В данном случае этот флаг автоматически попадает в скрипт, когда скрипт передается от хелпера к пользователю, с целью предупреждения накопления сигнатур в файле sgns. (Мы ведь не контролируем в дальнейшем, как пользователь будет обходиться с uVS, а сигнатуры могут фолсить, и если пользователь недостаточно готов к работе с uVS, то может навредить своей системе.)
т.е. в вашем случае он (флаг OFFSGNSAVE) был необязателен, поскольку вы заинтересованы в накоплении сигнатур, и можете контролировать фолсы, прежде чем применить сигнатуры функцией автоскрипта.
по первому файлу не получилось создать сигнатуру, для MSIL файлов сигнатуры сильно фолсят. а автоматически ZOO для команды delall у меня не настроено. (К тому же я стремился написать скрипт идеально эффективно, а не идеально правильно
update: сигнатуру таки сейчас создал нормально. детекта не было на VT, потому решил просто через delall удалить файл. Что не есть хорошо. (Файл без детекта антивирусами на VT, и не был закарантинен).
при создании же сигнатуры для детектирования можно настроить, чтобы команда ZOO автоматически карантинила детектируемый файл, прежде чем он будет удален.
(потому по вторым файлам применилось ZOO. в конце скрипта можно еще указать команду CZOO, чтобы все что добавлено в папку ZOO автоматически было заархивировано в файл ZOO_дата_время.7z (или rar)
да, команда chklst - это по сути процедура, которая проверяет весь список объектов автозапуска, (который был получен в uVS) по загруженной сигнатурной базе и + новым добавленным сигнатурам из скрипта, и в случае детектирования части объектов присваивает им статус ВИРУС с добавлением в статус имени сигнатуры по которой будет максимальное совпадение.
все что было после deltmp - это автоматическая очистка системы от ссылок на недостающие_отсутствующие файлы. Раньше, это действие в скрипте было показано одной командой delnfr, но в новой версии 4.* разработчик реализовал идею с очередью команд, и теперь все удаляемые ссылки отображаются визуально, могут быть скорректированы в очереди и затем попадают в скрипт.
(формат файла exe со встроенным видеоплейером, файл создан в программе uVScreenCamera.)
https://www.sendspace.com/file/74aed1
https://www.virustotal.com/en/file/256ffd1b83f13d7869ae51e67dfacacc1efb58328de787667d6e9c1f4db61654/analysis/1504968613/
Спасибо за видео. К нему бы еще добавить озвучивание действий с их пояснением. И можно смело считать готовым учебным материалом.
По предложенному Вами образу у меня получился такой скрипт:
;uVS v4.0.9 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE zoo %SystemDrive%\USERS\SOBAKEVICH09\APPDATA\ROAMING\IDENTITIES\CTFHOST\CTFHOST.EXE chklst delvir deltmp ;------------------------autoscript--------------------------- delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\ПРОГРАММКИ\GARENA PLUS\ROOM\SAFEDRV.SYS delref %Sys32%\DRIVERS\MBAMSWISSARMY.SYS delref %Sys32%\DRIVERS\VBOXNETFLT.SYS delref %Sys32%\PSXSS.EXE delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\DAO\DAO350.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL delref G:\LG_PC_PROGRAMS.EXE delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\OBLIVION\OBSE_LOADER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\OBLIVION\UNINSTALL.EXE delref F:\DIRECTX\DXSETUP.EXE delref F:\DIRECTX\VCREDIST_X86.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\DIABLO III\MANUAL.URL delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\DIABLO III\TECHSUPPORT.URL delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\DIABLO III\BATTLENETACCOUNT.URL delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\DUNGEON OF THE ENDLESS\DUNGEONOFTHEENDLESS.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\COMMANDOS\COMM2.EXE apply ;------------------------------------------------------------- czoo restartЕсли честно, то я сейчас как ёжик в тумане. Все делаю методом научного тыка.
Так и не понял, как добавить в скрипт команду addsgn. При нажатии =Добавить сигнатуру файла в скрипт и вирусную базу=, мне пишет, что сигнатура уже есть в базе, а в скрипт не добавляет.
попробую попозже добавить звук, микрофон есть, установлю поудобнее, и сделаю новую запись. (или запись по тестовому образу.)
по вашему тестовому скрипту:
1. сигнатура по майнеру не добавлена в скрипт, поэтому он не будет удален из системы командами chklst/delvir
ZOO здесь только вспомогательная команда, добавляет в карантин файл, что предполагается к удалению.
(так должно быть.)
2. помимо майнера есть еще объекты, которые желательно удалить из системы.
отладчик,
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCleaner64.exe\Debugger
его можно обнаружить с помощью критерия:
(ССЫЛКА ~ \IMAGE FILE EXECUTION OPTIONS\)(1) OR (ССЫЛКА ~ .EXE\DEBUGGER)(1) [auto (0)]
удалять в данном случае через delref нельзя запись отладчика, поскольку при этом будут удалены и полезные ссылки в реестре. но можно использовать в данном случае твики:
а так же есть левые расширения в Chrome, детектирую их правилом (критерием):
(СТАТУС ~ CHROME)(1) AND (ССЫЛКА ~ \UPDATE_URL)(1) [delref (1)]
почему сигнатурное удаление (chklst/delvir) предпочтительнее чем просто delall/del.
потому что сигнатура - это по сути правило, и оно еще не раз сработает при анализе других образов, хотя с какой то вероятностью может выйти и фолс.
просто delall/del - это разовая очистка в текущем образе, которая не добавляет новые правила для анализа других образов.
Такой вопрос.
Где-то натыкался на информацию, что uVS сам сортирует команды в скрипте при его выполнении и сортировка команд не так критична, как в AVZ.
Так ли это?
https://www.sendspace.com/file/6uyt1k
https://www.virustotal.com/en/file/1214a4b520b2a91c7601afbe11e03add2f548df2f4c622d5ec8b41901094d6cd/analysis/1504968227/
сигнатура теперь при добавлении добавлении в базу автоматически не добавляется в скрипт.
Сделано это совсем недавно с тем, чтобы в скрипт не попадали ложные детекты.
В этом есть некоторый минус, то что мы не видим как последовательно формируется скрипт при добавлении каждой новой сигнатуры.
Плюс есть в том, что исключаются ложные детекты, и они автоматически не попадают в скрипт.
Предполагаю, что вы скрипт записали не через функцию автоскрипта.
эта часть скрипта записана после того как вы вручную сформировали команды.
1. добавили сигнатуру в базу,
2. добавили ZOO на удаляемый файл.
3. выполнили команду "убить все вирусы".
4. выполнили действие "очистить корзину"
5. и далее нажали автоскрипт.
сигнатуры же в скрипт добавляются при проверке списка объектов, которая инициируется в функции автоскрипта.
если вы нажимаете на кнопку - "проверить список", то вы увидите только детект объектов, но при этом сигнатуры не будут добавлены в скрипт.
!!!
сигнатуры в скрипт добавляются при действии "проверить список", которое инициируется функцией автоскрипт.
!!!
т.е. правильная последовательность действий здесь, на мой взгляд такая:
1. добавляете нужные сигнатуры,
2. проверяете список,
3. исключаете ложные детекты,
4. добавляете нужные правила_критерии, настраиваете действие (команду), которое будет добавлено в скрипт.
5. исключаете ложные объекты со статусом ?ВИРУС? через shift+space
6. запускаете функцию автоскрипта и далее уже в редакторе поправляете скрипт, если есть в этом необходимость.
сортировка действий выполняется при обработке очереди команд.
Я думаю вначале идет выгрузка_завершение процессов, затем очистка ссылок.
update:
при сигнатурном удалении последовательность действий думаю такая:
выгрузка процессов, очистка ссылок, удаление файлов.
при удалении delall:
выгрузка процесса и удаление ссылок добавляются в очередь команд, а удаление файла выполняется сразу.
А можно как-нибудь название добавленной сигнатуры сменить?
да сам сейчас и проверю
вообще то чисто,
и можете сравнить хэши того, что вы скачали c sendspace.com, и то что попало на VT:
https://www.virustotal.com/en/file/1214a4b520b2a91c7601afbe11e03add2f548df2f4c622d5ec8b41901094d6cd/analysis/1504968227/
но замечаю, что sendspace.com не всегда получается скачать.
Верю, что чисто. Самого удивила его реакция.
по всем следующим видео буду добавлять линк проверки на VT.
статус ?ВИРУС? объекты получают, если попадают под детект критериев. (эти правила сохраняются в файл snms). теперь уже завтра, покажу как создавать правила_критерии.
да, имя сигнатуры после ее создания можно изменить. надо открыть список сигнатур вирусов.
Вот как мой антивирус на видео ругается