uVS как стать опытными пользователем этой программы. , Обучение пользования программой uVS

Добрый день. Недавно столкнулся с одним сильным вирусом майнером, который блокировал установку антивируса Nod32. Благодаря теме на форуме в разделе:установка антивируса, мне помогли решить эту проблему с помощью программы uVS, скидывая скрипты и инструкции пошаговоые. Хотелось бы самому разобраться в этой программе и как ней пользоваться, подробнее прочитать что делает каждый ее раздел. Буду рад любому ответу по поводу этой программы!) Всем добра)
Добрый день.

Постараемся помочь :)
1) Для работы майнера  ему требуется активное сетевое подключение.
Иначе создатель\дистрибьютор зловреда не сможет на нём заработать.
Отключить сеть - нагрузка на Процессор/видеокарту падает - верный признак майна.
Значит смотрим какой файл работает с сетью.
в uVS есть: Категории ( по умолчанию программа отображает категорию: Подозрительные и вирусы )
Нужно переключиться на категорию: Сетевая Активность.

2) Есть календарь = отсев по дате создания файла.
Появилась проблема - значит это новая проблема и отсев по дате самое то.
* Следует учесть, что некоторые вирусы маскируются и подменяю время своего создания на более раннюю дату. ( на любую )
Юмор в том, что датой создания может быть указан 1998 год и т.д.
Такой явный косяк позволяет найти угрозу... Однако злокодеры не так часто радуют своими багами ( ошибками )

3) Применяем чек бокс ( фильтр ) не только по дате но можно применить: Скрыть известные [V]

4) Смотрим в Инфо. ( Информацию по файлу ) и уровень нагрузки на ЦП ( CPU ) и Графического Ускорителя\Видеокарты ( GPU )
Информацию можно посмотреть как по одному файлу, так и по всем активным файлам.
Подключаем сеть ( чтобы спровоцировать вирус на активность )
В меню: Запустить >  Просмотр активности процессов ( Alt+D )
Запустите и понаблюдайте.

5) Смотрим имя файла. Часто это имя задаётся рандомно ( произвольно )
В древности это помогало уйти от обнаружения антивирусами ( как один из элементов, чтобы затруднить обнаружение )
Пример:
$I48QTLY.EXE
HNSH4936.TMP
JVAPZCHZVRFVHF1SVKP.EXE
EQTV3AROPWXS17X8VQ.EXE

Как правило производителю программ\софта и в голову не придёт так называть исполняемый файл своей программы ( хотя и такое бывает если автору\разработчику лень самому придумывать наименования ) так, что внимание ! внимание ! ахтунг !

Сейчас чаще дают имена похожие на имена системных файлов. ( или на имена папок каталогов )
Оригинал: svchost.exe; lsass.exe ; csrss.exe
Вирус: svchоst.exe; lsаss.exe ; сsrss.exe
На первый взгляд одно и тоже ?
На самом деле ( как известно ) есть Кириллические символы и есть Латиница.
И есть _визуально общие символы: a; c; o; p; e;...
Или с именем всё нормально но файл запускается не из системного каталога.
C:\PROGRAMDATA\RWDSLANPROJ\lsass.exe
Соответственно рандомное наименование может быть не только у файла но и у папки.
6) Файл должен как-то запускаться.
Вариантов много.
Через модифицированный ярлык от любой программы. ( например Браузера )
В параметрах ярлыка просто прописывается соответствующая команда.
Через назначенные задания - категория: Задачи.
Путём закидывания ярлыков или самих исполняемых файлов в папки автозапуска.
\PROGRAMS\STARTUP\
\START MENU\PROGRAMS\STARTUP\ и т.д.
Через десятки ключей реестра
и прочее.

7) Подозрительный путь до файла:
например одна из папок \TEMP\
или C:\$RECYCLE.BIN\S-1-5-21-739754699-733959739-896284075-1000\$I590790.EXE
т.е. левый путь.
\$RECYCLE.BIN\
\APPDATA\LOCAL\
\APPDATA\ROAMING\
\APPDOWNLOADS\
\APPLICATION DATA\

8) Левое ( неизвестное ) расширение файла.
Двойное расширение файла типа:
.pdf.exe
.EXE.LNK
.LNK.EXE
.COM.EXE
.TMP.EXE
.exe.exe
.TXT.EXE
.ZIP.EXE
.RAR.EXE
.msi.exe
.sys.exe
.pdf.exe

9) Отсутствие у файла ЭЦП ( Электронно Цифровой подписи ) подписи
Либо левая подпись.
типа:
подписано """Ask-Integrator"", Ltd."
подписано "Search Results, LLC"
* Цифровая подпись ( ЭЦП ) в uVS проверяется по: F6  ( при доступе к сети проверка занимает больше времени - но более эффективна )
НЕ нужно доверять всем ЭЦП - есть тысячи левых\рекламных\вирусных.
Типа:
Действительна, подписано Ask.com
Действительна, подписано Babylon Ltd.
и т.д.
Нужно создать свой белый список ( безопасные ЭЦП )
Для этого в файл настроек\конфигурации: settings.ini  ( в папке с uVS ) Прописать

; Включить поддержку белого списка ЭЦП. (по умолчанию 0)
; Список хранится в файле wdsl, который представляет собой обычный текстовый файл в unicode ; ;  ; ; кодировке.
; Одна строка - одно имя, регистр важен.
bUseWDSList = 1
Дальше зайти в свойства файла найти строку  и добавить в белый список ( список сохраняется в файл: wdsl  )

10) Левая программа - Вы её не устанавливали - но в списке установленных она есть... ( просочилась)
Программу проверяем - ищем отзывы в сети, файлы проверяем на V.T https://www.virustotal.com/gui/home/upload


И если на диске не должно быть таких файлов то... ( хлопните правой лапой мыши по записи и откроется меню с командами... )
После чего нажмите: Принять изменения ( Клавиша в меню окна )
Изменено: RP55 RP55 - 10.03.2020 10:51:13
11) Главные принципы вирусоборца ( 25 правил волшебника :)
Не можешь помочь НЕ навреди.
Не уверен не влезай\не трогай
Информации не бывает мало: Ищи её в сети, спрашивай себя, спрашивай пациента, спроси другого хелпера.
Убедись, что вся информация по файлу\объекту тобой изучена.
Не следует торопиться: "Поспешишь..."
Экспериментировать только тогда, когда не работает стандартная схема обнаружения\лечения.
Экспериментировать только на своём PC и только тогда, когда уверен, что сможешь исправить последствия.
а) Иметь несколько копий системного реестра. б) Желательно работать на виртуальной машине в) Иметь ( на отдельном) носителе резервную копию\образ системы г) Иметь установочный диск системы ( лучше два - три диска --- одна царапина и диску хана ) д) Иметь Live CD диски с полезными системными инструментами.
-------------------

Если какой пункт слишком сложен для изучения\понимания пропускаем и усваиваем то, что доступно )

-------------------

12) Раньше Баннеры для своего запуска часто использовали ветку реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­Run

В активной системе она выглядит так:
HKEY_USERS\S-1-5-21-117609710-484763869-842925246-1003\Software\Microsoft\Windows\CurrentVersion\Run   virus.exe
Где S-1-5-21 идентификатор безопасности группы администратора.

Можно безбоязненно очищать:
Временные ключи автозапуска (например, RunOnce и RunOnceEx).
По идее такой ключ должен использоваться как одноразовый. ( например для обновления программы ) ( до перезагрузки PC  и потом удаляться )
Сам по себе такой временный ключ подозрительная штука...

13) пара старых тем:
http://pchelpforum.ru/f26/t94635/
http://pchelpforum.ru/f26/t141222/


14) При обнаружении вируса обращаем внимание на число файлов в папке.
У нормальной программы файлов много,а у вируса как правило 1-3

15) По поиску вирусов: http://datadump.ru/virus-detection/
16) Файл может иметь " не нужный " статус: Скрытый\Системный.
Это способ ухода от _визуального обнаружения.
Человек ищет но не видит. А вот программы типа uVS видят...

17) Нормальный файл должен взаимодействовать с пользователем - отображать меню, показывать иконки\значки, текстовые комментарии.
Вирусу как правило это не нужно т.е. файл не будет содержать лишней нагрузки\информации.
Смотрим Инфо. в uVS
Или работаем с доп программой типа: Resource Hacker
Чем больше вирус содержит информации тем проще антивирусу его опознать - зацепиться за некий повторяющийся от вируса к вирусу ресурс.
Да и вес вируса важен. ( быстрее можно загрузить\запустить )

18) Вирус старается работать\запускаться с максимальными правами - чтобы иметь возможность вносить изменения в работу системы.
Может сам себя защищать от удаления\изменения\выгрузки из оперативной памяти\защищает ключи реестра. ( что не типично для обычной программы )
Файл вируса как правило упакован - чтобы затруднить его анализ. ( есть бесплатные программы с открытым исходным кодом которые легко читаются )

19) Должен производиться _комплексный анализ.
т.е. каждое отдельно взятое значение возможно не несёт угрозы...
Но определённое их сочетание...
по сути А+В+С = угроза.

20) Скопирую часть своей статьи с pchelpforum.ru

Поговорим о проверке файла.
------

Как проверить файл...
На первый взгляд это просто.
Как правило файл проверяется на сервисе: https://www.virustotal.com/
Вот вы нашли файл и проверили...
Файл судя по результату проверки чист...
Но так, ли это на самом деле ?
-------
После проверки файла откройте вкладку: Дополнительные сведения.
Найдите:
First submission 2015-09-18 06:48:14 UTC (2 недель, 4 дней назад) ( впервые файл загружен\проверен дата... )
Last submission 2015-10-03 08:28:23 UTC (3 дней, 9 часов назад)

По этой записи\дате вы можете видеть проверяли, ли файл раньше, или нет.
О файле говорит его история...
Если файл проверяли месяц, или год назад и проверили сейчас - и по результату проверки чисто...
то и сам файл с вероятностью близкой к 100% чист.
Файлы проверяют в антивирусных компаниях, а на это нужно время...
--------
Также важное значение имеют поля:
Publisher ( Издатель\производитель продукта )
Например это Nero AG
и
поле Signature verification ( Проверка электронно цифровой подписи ) ( ЭЦП ) )
на вкладке: Сведения о файле.
Такому _подписанному _известным поставщиком файла\у - также можно доверять.
--------
Но когда файл подписан неизвестным вам издателем стоит задуматься и найти доп. информацию.
Что модно сделать ?
Для примера возьмём файл программы Nero: NeroStartSmart.exe

Проверка на V.T: https://www.virustotal.com/gui/file/417b7c070eb8feeca5026deba6fd09de774ca87bb21ed37­dfb1432809ec1c208/detection
Но нам этого показалась мало и мы решили получить дополнительные сведения.
На вкладке: Дополнительные сведения
копируем данные по SHA1 файла ( к примеру) это: 7b5ea21e40c30879a129045978e3b0a5f089eaee

------------------------------
Часто бывает так, что часть файлов производителя чисты, а часть представляют ( могут представлять ) опасность.
Вот и получается, что паренёк то хороший...
но вот его семейство плохое...
Поэтому стоит задуматься о целесообразности присутствия паренька на вашем PC.
Изменено: RP55 RP55 - 10.03.2020 12:06:16
21) Атрибуты.
R - Атрибут "Только чтение".
A - Атрибут "Архивный".
S - Атрибут "Системный".
H - Атрибут "Скрытый".

Следует помнить, что и легальные\известные файлы могут иметь такие атрибуты.
Ведь системный файл должен быть защищён от случайного\преднамеренного повреждения\изменения\заражения\подмены.
Изменено: RP55 RP55 - 10.03.2020 12:18:12
22) Пример венерического заболевания. ( как известно венерические заболевания придумали итальянские врачи :) и стали хорошо на этом зарабатывать. ;)

Полное имя                  C:\USERS\NO0N3PRO\APPDATA\ROAMING\IDENTITIES\CODEXI\STEAM
Имя файла                   STEAM
Тек. статус                   ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
www.virustotal.com          2019-08-20

ESET-NOD32                  a variant of Win32/CoinMiner.BF potentially unwanted
Kaspersky                   not-a-virus:RiskTool.Win32.BitCoinMiner.ykd

                           
Удовлетворяет критериям   ****
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
File_Id                     54900BD6152000
Linker                      2.22
Размер                      1437836 байт
Создан                      23.12.2014 в 19:13:21
Изменен                     23.12.2014 в 19:13:21
                           
TimeStamp                   16.12.2014 в 10:39:18
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
CmdLine                     OVERBTC123.
SHA1                        4047DADA8D8734A2C49548A6FD3A59DEFD305DBA
MD5                         F9E9386140565D3D9FA41B04563F57C9
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\STEAM_X64-S-2-106-91
                           
Что должно насторожить ?
а) Имя файла - у файла нет видимого расширения.
это просто: STEAM
не STEAM.exe
б) Рандомное\произвольное наименование каталога: \NO0N3PRO\
в) Объект  в автозапуске т.е. не просто валяется на диске.
г) Проверка на V.T. показывает, что это майнер. ( или, что вернее переделка легального файла для майнинга )
д) Обращает на себя внимание время создания ( хотя файл реально старый )
ж)Работа с командной строкой и обращение к другому неизвестному\подозрительному файлу без расширения к OVERBTC123.
з)Запуск через задачу в планировщике заданий: TASKS
и)Подозрительный путь: \APPDATA\ROAMING\

Полное имя                  OVERBTC123.
Имя файла                   OVERBTC123.
Тек. статус                  ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    ***
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                           
Доп. информация             на момент обновления списка
CmdLine                     OVERBTC123.
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\STEAM_X64-S-2-106-91
Изменено: RP55 RP55 - 10.03.2020 14:45:22
23) Битые файлы.
т.е. вес файла 0 БАЙТ
Если таких файлов много это может привести к торможению системы.

24) Малый вес файла например всего: 45 - 400 килобайт. Какая у такого файла может быть полезная нагрузка ?

25) Повреждённые системные файлы - возможно файл повреждён, или его заменили на вирус, или модифицировали\изменили

26) Избыточно длинное имя файла\каталога. ( и\или рандомное имя )

27) AUTORUN -  AUTORUN.INF  и связанные с ним файлы. ( могут быть и легальные программы )

28) Легальные шпионы\программы\службы. К этим требуется особый подход.
Спасибо. Я уже вроде начал немного лучше в природе вирусов. Очень полезная для меня информация.
Цитата
RP55 RP55 написал:
Иметь установочный диск системы ( лучше два - три диска --- одна царапина и диску хана ) д) Иметь Live CD диски с полезными системными инструментами.
у меня ноутбук без ОД( В таком случае нормально будет создать несколько загрузочных флешек?)) По поводу копий системного реестра, не разбираюсь, щас пойду гуглить) Всего хорошего)
Цитата
Александр Sherr написал:
нормально будет создать несколько загрузочных флешек?
Главное это успешная реанимация пациента.
Так, что на ваше усмотрение.
29) Короткие имена. В расчёте на плохое зрение\невнимательность\усталость\неопытность оператора проводящего лечение.
В расчёте на недоработки антивирусов\сканеров.
..exe
_.exe
Имена с пробелами:
.                                                                                                                                                                                                                                       ..exe
_                                                                                                                                                                                                                                      .exe

Имена содержащие сцец. символы: https://ru.wikipedia.org/wiki/Alt-%D0%BA%D0%BE%D0%B4

► .exe
◄ .exe
☻ .exe
◙ .exe

Или имя в одну букву.
l.exe
A.EXE
S.RAR
Читают тему (гостей: 2)