Механизм автоскрипта в Universal Virus Sniffer

отредактировано September 2017 Раздел: Новости и объявления
В разделы безопасности по лечению систем от вирусных заражений на форумах #компьютерной помощи# ежедневно помещаются десятки новых тем. Кажется, что этот поток неиссякаем, и зачастую работу хелперов можно сравнить с вычерпыванием воды из дырявой лодки. Cегодня мы справились с лечением, но завтра уже приходят новые пользователи с аналогичными проблемами, или те же, кто пренебрегает принципами безопасной работы в сети по беспечности, по неведению, а так же в силу изобретательности вирусо_писателей, атаки которых все чаще превосходят броню, создаваемую антивирусной индустрией.

Решение каждой из проблем на форуме требует анализа логов, создаваемых различными инструментами. Чаще всего, хелпер создает скрипт для выполнения в одной из программ: AVZ, uVS, hj. В связи с этим актуальна частичная или полная автоматизация написания скрипта, что заметно облегчает работу хелпера.

Автор uVS (Universal Virus Sniffer) значительно развил режим автоскрипта. Прежде всего, благодаря продуманной информационной структуре образа автозапуска, который является результатом анализа автозапуска системы. Каждый вновь создаваемый образ автозапуска ценен тем, что содержит информацию для последующего улучшения анализа новых образов. Это могут быть новые сигнатуры для детектирования вредоносных программ, критерии поиска для фильтрации подозрительных файлов и вирусов, хэши для создания исключений или пополнения списка безопасных файлов.

В предыдущих выпусках uVS была автоматизирована реакция на детектирование файлов сигнатурами. Данная реакция настраивается через параметры работы uVS (settings.ini). В результате при проверке списка файлов, при детектировании объектов автозапуска сигнатурами в скрипт автоматически могут быть добавлены несколько команд:
addsign, zoo, bl
например:
zoo %SystemDrive%\USERS\123\DOCUMENTS\APPLICATION DATA\EXPLORER.EXE
addsgn A7679BF0AA02E4824BD4C635A2881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C7F70C49F75C4C32EF4CA04E314DA3BE4AC965B2FC706AB7E 8 Worm:Win32/Dorkbot.AS [Microsoft]
bl 5148B17FDD5F59A46FA5120DF0DA2FE9 77824
в v.3.80 была добавлена возможность создавать критерии по списку установленных программ, благодаря чему стало возможным автоматически формировать команды для деинсталляции нежелательных или устаревших программ.

пример критерия:
Software detected: Ask Toolbar
[UNINSTALL.ASK TOOLBAR] (↓UNINSTALL↓ ~ ASK TOOLBAR)(1)
пример автоматически созданной команды
; Ask Toolbar
exec RUNDLL32 C:\PROGRA~1\ASKTBAR\BAR\1.BIN\ASKTBAR.DLL,O
В v 3.81 добавлены новые элементы автоматизации.
1. автоматическое добавление в скрипт твиков, которые исправляют проблему с блокированием диспетчера задач, редактора реестра, свойств папок и др.;

2. автоматическое добавление команд очистки отдельных записей hosts, попавших под ранее созданные критерии;

3. автоматическое добавление команд деинсталляции нежелательных или устаревших программ;

4. автоматическое добавление команд удаления объектов автозапуска со статусом ?ВИРУС?, который присваивается на основе анализа в uVS, проверки файлов на Virustotal/Jotti или детектов внешних критериев поиска.

Данная реакция настраивается через параметры:

o Новый параметр в settings.ini
[Settings]
; Значение управляет методом удаления файлов со статусом "?ВИРУС?" в функции
; автоскрипта.
ImgAutoDelMethod1 (по умолчанию 1)
0 - игнорировать
1 - применить delall
2 - применить delref
3 - применить delref+del

o Новый параметр в settings.ini
[Settings]
; Значение управляет методом удаления файлов со статусом "?ВИРУС?" в функции
; автоскрипта с виртуализацией реестра.
ImgAutoDelMethod2 (по умолчанию 3)
0 - игнорировать
1 - применить delall
2 - применить delref
3 - применить delref+del
в 3.86 добавлена возможность настроить действия: del/delall/delref/deldirex/deldir непосредственно в самом критерии из snms. При этом, если в настройки критерия добавлен тригер авто, в этом случае действие над объектом выбирается согласно указанным выше настройкам из settings.ini.
если объект детектируется несколькими критериями, в этом случае действие в автоскрипт будет выбрано из критерия с максимально установленным приоритетом. (0-3).
-----------

Т.о. если предварительно исключить из списка подозрительных и вирусов ложные детекты сигнатур и критериев, а так же добавить (если необходимо) новые сигнатуры, то становится возможным полностью автоматизировать создание скрипта.

пример:
;uVS v3.81 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\USERS\123\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A7F8B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 16 Praetorian

zoo %SystemDrive%\USERS\123\DOCUMENTS\APPLICATION DATA\EXPLORER.EXE
addsgn A7679BF0AA02E4824BD4C635A2881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C7F70C49F75C4C32EF4CA04E314DA3BE4AC965B2FC706AB7E 8 Worm:Win32/Dorkbot.AS [Microsoft]
bl 5148B17FDD5F59A46FA5120DF0DA2FE9 77824

;------------------------autoscript---------------------------

chklst
delvir

; Ask Toolbar
exec RUNDLL32 C:\PROGRA~1\ASKTBAR\BAR\1.BIN\ASKTBAR.DLL,O

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
(c), chklst.ru
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Тэги темы:
Войдите или Зарегистрируйтесь чтобы комментировать.