[ Закрыто ] Предложения по дальнейшему развитию функций Universal Virus Sniffer

здесь можно вносить и обсуждать новые предложения по функционалу uVS

Значит процитирую....
накопилось вопросов:
------------------
FILES ENCRYPTED.txt; README.txt; INFO.HTA ; КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT;
Прописать в settings.ini какие файлы нужно добавить в образ. ( FRST видит все файлы - uVS выборочно - если уж чистить, так чистить )
------------------

http://www.tehnari.ru/f183/t267632/
Здесь может быть ошибка разбора.

Полное имя                  CMD\GIT.EXE
Имя файла                   GIT.EXE
Тек. статус                
                                                   
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                         
Доп. информация             на момент обновления списка
Файл                        C:\PROGRAM FILES\GIT\GIT-BASH.EXE
CmdLine                     --HIDE --NO-NEEDS-CONSOLE --COMMAND=CMD\GIT.EXE UPDATE-GIT-FOR-WINDOWS --QUIET --GUI
                         
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\GIT FOR WINDOWS UPDATER
                         
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EF8EDE4A-2075-4801-B3D0-61A2FB1CB41E}\Actions
Actions                     "C:\Program Files\Git\git-bash.exe" --hide --no-needs-console --command=cmd\git.exe update-git-for-windows --quiet --gui
                         
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{EF8EDE4A-2075-4801-B3D0-61A2FB1CB41E}\
                         
-----------------------------
Task: {48C470AA-9D1F-48F5-8A33-1CCB20E75F26} - C:\Windows\system32\pcalua.exe -a "C:\Users\SataLink\Downloads\MegaCasino_Setup (1).exe" -d C:\Users\SataLink\Downloads

-------------------------------
https://forum.kasperskyclub.ru/index.php?s=de86ae4c08a9c12b6ecee6ca4ec79a2a&showtopic=64818

Исполняемый файл: LS0BK2_payload.exe втречается 13 раз.
Хотелось бы удалить его одной командой - без сигнатур.

-------------------------------
Фиксирует ли uVS
CHR HKLM-x32\...\Chrome\Extension: [ehfanjejklfmnldbbclpocdbceaeemkn] - <no Path/update_url>
CHR HKLM-x32\...\Chrome\Extension: [hdjacnejoohiamgmaciljlpniffgkojd] - <no Path/update_url>

CHR HKLM\...\Chrome\Extension: [hdjacnejoohiamgmaciljlpniffgkojd] - <no Path\update_url>
CHR HKLM\...\Chrome\Extension: [jifflliplgeajjdhmkcfnngfpgbjonjg] - <no Path\update_url>

-------------------------------
Видит ли это:

HKLM\...\batfile\DefaultIcon: %SystemRoot%\System32\shell32.dll,-153 <==== ATTENTION
HKLM\...\cmdfile\DefaultIcon: %SystemRoot%\System32\shell32.dll,-153 <==== ATTENTION
Видимо в том числе речь может идти о отображении иконки чужого файла, как своего.
Очевидно, что эта информация будет полезна в Инфо.

--------------------------------
https://forum.esetnod32.ru/forum4/topic15783/
Фиксирует  uVS, чистит ли ?
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\ESET
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\COMODO
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Cezurity
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\AVG
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus

--------------------------------
SHA-2 Системы Windows
https://support.microsoft.com/ru-ru/help/4472027/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus

https://support.microsoft.com/ru-ru/help/4474419/sha-2-code-signing-support-update

---------------------------------

А это: http://www.tehnari.ru/f35/t267839/
HKLM Group Policy restriction on software: C:\USERS\Я\APPDATA\ROAMING\CPPREDISTX86.EXE <==== ATTENTION
HKLM Group Policy restriction on software: C:\USERS\Я\APPDATA\ROAMING\CPPREDISTX86.EXE <==== ATTENTION

----------------------------------
А это:
HKU\S-1-5-21-282081067-1870339625-3958985120-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
----------------------------------
А это:
Lsa: [Authentication Packages] msv1_0 SshdPinAuthLsa
-----------------------------------
Нет доступа к файлу, возможно файл защищен [ E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMON.SYS._3FD92C0224DE69048FD8F7D06BE85709F25D6573 ]
Доступ к файлу получен [E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMON.SYS._3FD92C0224DE69048FD8F7D06BE85709F25D6573]
Нет доступа к файлу, возможно файл защищен [ E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMONFS.SYS._C0619FA97488838522E23181B80DBE8B25BF45AB ]
Доступ к файлу получен [E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMONFS.SYS._C0619FA97488838522E23181B80DBE8B25BF45AB]
Очевидно, что это лишнее действие.
-----------------------------------
Поддержка перехода _программ на стандарт цифровой подписи SHA2
-----------------------------------
HKU\S-1-5-18\...\RunOnce: [Application Restart #2] => C:\Program Files\Internet Explorer\iexplore.exe -restart /WERRESTART <==== ATTENTION

Предложения по новым функциям в Universal Virus Sniffer

1. в настройки критерия (в базе snms) добавить команды deltsk, delwmi для автоматического исполнения
------------
2. установить возможность приоритета ( в случае, когда чистый (системный) файл используется в деструктивных целях) критерия перед цифровой и безопасным хэшем.

Как это сделать:
2.1. либо программно, согласно алгоритму разработчика (по определению деструктивных действий), автоматически присваивается (и сохраняется) статус «подозрительные» (или ?ВИРУС?), даже, если файл с белой цифровой и чистым хэшем.

2.2. либо через категории критериев:
добавить возможность разбить все критерии по категориям.
Категория — «потенциально деструктивные».
Допустим список объектов автозапуска сканируется по базе критериев. Если файл попал под критерий из группы «потенциально деструктивные действия», добавляется к статусу файла - «потенциально деструктивный»+статус «подозрительный» (или ?ВИРУС?) в этом случае. файл в дальнейшем проверяется по цифровым и безопасным хэшам, но для определения результирующего статуса файла «подозрительный»(или ?ВИРУС?) или «проверенный» приоритетом является детект по критерию.
--------------
3. выполнить запрос по горячей клавише. Из списка объектов автозапуска. Поле для запроса — поисковая строка. «+» «выполнить». Фильтрация работает поиском введенной подстроки по всему списку полей Инфо
--------------
4. выполнить комбинированный запрос: из формы инфо.
По горячей клавише: вводим значение и работают опции "+", и "выполнить". Если "+", в этом случае формируется второе условие связанное с первым оператором И
Результат выполнения запроса добавить в категорию «текущий запрос», (все простые и комбинированные запросы выводить в данную категорию).

При каждом новом запросе переписывается данная категория на новый список. Не путать запрос  с уже реализованным фильтрующим поиском.
--------------
5. добавить пункт категории данных по образу автозапуска: файлы с цифровой, не входящей в белый список

Сейчас в каждой второй теме по лечению фиксят записи типа:
FirewallRules: [{700AF8EB-DFC9-4B3E-830C-92BB1A9AA978}] => (Block) LPort=***

FirewallRules: [{B10722AC-3E9F-4997-A84F-93BE0ADE4EE5}] => (Allow) C:\Program Files (x86)\Core\Core.exe

Может быть заблокировано обновление антивируса, или наоборот добавлено разрешение для нежелательной программы...

Хотелось бы видеть эти записи и нужен твик\ки для сброса параметров:
1) Все FirewallRules (Block)  - Сброс.
2) Все FirewallRules (Allow)  - Сброс.

Вот такое вот разнообразие...

CHR HomePage: Default -> search.ask.com/?gct=hp
CHR StartupUrls: Default -> "hxxps://www.google.com/","hxxps://www.google.com/"
CHR DefaultSearchURL: Default -> hxxp://www.search.ask.com/web?q={searchTerms}
CHR DefaultSearchKeyword: Default -> search.ask.com
CHR DefaultSuggestURL: Default -> hxxp://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms}
HKU\.DEFAULT\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Fanlook\Application\chrome.exe

Добавить информатор ( по выбранным типам обновлений )

Вышла новая версия Firefox 78
Реализован: Push API и Service Workers

Push API дает веб приложениям возможность получать сообщения отправленные с сервера, независимо от того, запущено ли веб приложение в фоне или даже загружено ли оно вообще пользователем. Это позволяет  посылать асинхронные сообщения и обновления.
https://support.mozilla.org/ru/kb/firefox-enterprise-78-release-notes

В uVS есть фильтр - время\дата.
Сейчас нужен фильтр точный вплоть до секунды.
С построением\отображением списка по дате.
Это необходимо для точного определения к какому событию относятся объекты\каталоги т.е. установить связь.
И оператор должен это делать быстро.
Например реализовать команду: "Показать объекты связанные с этим событием "

2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\ProgramData\RunDLL
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\ProgramData\Norton
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\ProgramData\grizzly
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\ProgramData\Doctor Web
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\ProgramData\AVAST Software
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\ProgramData\360safe
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files\SpyHunter
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files\Malwarebytes
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files\Enigma Software Group
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files\COMODO
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files\Cezurity
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files\ByteFence
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files\AVG
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files\AVAST Software
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files (x86)\AVG
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\Program Files (x86)\360
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\KVRT_Data
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 __SHD C:\AdwCleaner
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 ____D C:\WINDOWS\speechstracing
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 ____D C:\ProgramData\System32
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 ____D C:\ProgramData\MB3Install
2020-06-20 16:14 - 2020-06-20 16:14 - 000000000 ____D C:\ProgramData\Malwarebytes

+
CHR Notifications: Default -> hxxps://kupikupon.ru; hxxps://vk.com; hxxps://www.facebook.com; hxxps://www.mos.ru; hxxps://www.reddit.com; hxxps://www.respublica.ru; hxxps://www.web-telegram.ru

Куча параметров и неизвестно, что uVS видит, что не видит.

O7 - IPSec: Name: qianye (2020/06/11) - {d69d3af2-3e85-41c5-8db2-cf923a90b483} - Source: Any IP - Destination: my IP (Port 1?? TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/06/11) - {d69d3af2-3e85-41c5-8db2-cf923a90b483} - Source: Any IP - Destination: my IP (Port 2?? UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/06/11) - {d69d3af2-3e85-41c5-8db2-cf923a90b483} - Source: Any IP - Destination: my IP (Port 3?? TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/06/11) - {d69d3af2-3e85-41c5-8db2-cf923a90b483} - Source: Any IP - Destination: my IP (Port 3?? UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/06/11) - {d69d3af2-3e85-41c5-8db2-cf923a90b483} - Source: Any IP - Destination: my IP (Port 4?? TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/06/11) - {d69d3af2-3e85-41c5-8db2-cf923a90b483} - Source: Any IP - Destination: my IP (Port 5?? UDP) (mirrored) - Action: Block

Может быть заблокировано обновление антивируса...

Хотелось бы видеть эти записи и нужен твик\ки для сброса параметров
+
Автоматически прописывать в Инфо. Справку о назначении порта, чтобы оператор по ошибке не снял ограничения безопасности.
т.е. точно понимал с чем он имеет дело.

https://ru.wikipedia.org/wiki/%D0%A1%D0%BF%D0%B8%D1%81%D0%BE%D0%BA_%D0%BF%D0%BE%D­1%80%D1%82%D0%BE%D0%B2_TCP_%D0%B8_UDP