Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Выбрать дату в календареВыбрать дату в календаре

поговорить о uVS, Carberp, планете Земля
Вот например удаление по имени файла принято и используется.
Что такое имя ?
Это набор символов их определённая последовательность.
Что такое "параметр производитель" - тот же набор символов.
Прочитали имя - удалили файл.
Прочитали производителя и удалили...
Имя файла может измениться...
Да и наименование производителя тоже...
Однако - от удаления по имени в связи с этим не отказываются...  

Кстати говоря дальше рассуждать будем или всё затираю - в силу невостребованности ?
поговорить о uVS, Carberp, планете Земля
[QUOTE]santy пишет:
А в чем принципиальная разница в удалении известного файла по сигнатуре или по прямому пути? ты ведь все равно видишь все файлы в списке подозрительные и вирусы. И должен проанализировать - ложное это срабатывание, или действительно файл заражен. В каком случае это (предполагаемое нововведение) может сработать?[/QUOTE]

Я на данный момент уже говорю о комплексном применении и работе с сигнатурой !
Тема - развивается...
В возможности точечного наведения на цель - при том, что сигнатура сработала на 2-ва файла.
*Один из них системный, а второй вирус.
И нет возможности увеличить длину сигнатуры - "сигнатуры идентичны"
Если задать доп.параметр ( например размер файла 570 )
То из двух файлов - будет удалён  только файл = 570kb ! = вирус !
А системный будет цел !
И это при том, что он изначально попадал под действие сигнатуры...
Иначе говоря УЖЕ можно как удалять файл по доп.критериям  - так и спасти его от ложного срабатывания.
" Мы добавили сигнатуру > отдали команду delvir > и при этот ограничили её действие ( в данном случае это был размер файла )
> ликвидировали вирус.
Двойное наведение на цель...

В меню uVS опция:
"Задайте файл исключение по имени;размеру;хешу;дате создания;производителю;подписи;пути;
В общем я размышляю...  :oops:   8)
Изменено: RP55 RP55 - 04.02.2012 22:16:04
поговорить о uVS, Carberp, планете Земля
[QUOTE]santy пишет:
что значит есть идеи? ты предлагаешь идею, ты ее аргументируй, как она должна работать в случае разных если.[/QUOTE]
А поддержать !!!  :cry:

[QUOTE]
santy пишет:
А если системный файл полностью подменен, как в случае Winlock - перезаписан userinit.exe, taskmgr.exe и обнаруживается это заражение только по сигнатуре локера?  [/QUOTE]
Значит ЭТОГО системного файла уже нет... и беспокоиться о нём нет необходимости ( в определённом смысле )
Но - под данную сигнатуру, могут попасть и другие файлы...

Здесь ключевое слово: [COLOR=#006600]Обнаруживается[/COLOR]...
Речь же идёт об удалении...
Детект/определение зловреда по сигнатуре - а удаление ?...
Значит, удаление будет на основе [U]комплекса[/U] критериев - имя; размер; дата создания ; производитель;версия.
т.е возвращаюсь к своему же "старому" предложению  - "удаление объектов по ряду критериев"
uVS - сравнивает заданные параметры ( + путь до файла ) - считывает у всех файлов директории ? параметры - сопоставляет/сравнивает с  
заданным критерием ( или группой критериев ) и приводит удаление.

Или комплексный подход: Сигнатура + "удаление объектов по ряду критериев"
т.е. ОДНОВРЕМЕННОЕ совпадение группы критериев.
И если сигнатура находит 2-ва файла/объекта и по одному из них есть дополнительное совпадение - ( по заданным параметрам ) -
 например точный размер& дата создания )
Тогда удаляется только один файл.
+ Эвристический  анализ - например язык программирования на котором написан объект.
т.е. Добавить "фактор контроля исполнения"

Что еще пропустил?

И потом несколько от темы отклонились...
Есть ли смысл "Производить маркировку добавляемой в базу сигнатуры - то типу расширения".
В качестве параметра позволяющего более надёжно идентифицировать объект и вероятно избежать проведения некорректных действий
в отношении данного объекта.
поговорить о uVS, Carberp, планете Земля
[QUOTE]santy пишет:
А если системный файл полностью подменен, как в случае Winlock - перезаписан userinit.exe, taskmgr.exe и обнаруживается это заражение только по сигнатуре локера?[/QUOTE]

Есть идеи ?
поговорить о uVS, Carberp, планете Земля
[QUOTE]Арвид пишет:
ну просто чтоб программа проверяла есть ли у файла цифровая подпись - если да, то под сигнатуру чтоб не попадало [/QUOTE]
Куча системных файлов не имеет подписи...
Так, что номер не пройдёт...
Да и после лечения от:Win32/Expiro; Win32/Jeefo.A; Neshta
Цифровая подпись будет нарушена.

Праеториан - не вирус а защитник.
Но вред от него есть - а вот польза сомнительна ( но это уже не по теме )
---------
Что можно предложить - это полный отказ от удаления системных файлов по сигнатуре.
И опора на тезис - "Удаление возможно только по прямому пути "
Где анализируется - путь и имя файла ( по принципу: какой у файла статус - есть ли файл в списке известных;цифр.подпись)
А вообще - есть вариант - Это база с сигнатурами в которую включены сигнатуры всех известных/системных файлов.*
*Я так понимаю, частично это реализовано.
Но с образами не работает...
И при совпадении сигнатур - команда на удаление не будет приниматься.
Желательно иметь данную функцию и при работе/разборе образов.
Значит, нужна изолированная база: sys.sgnz - которая будет входить в комплект поставки uVS
Без возможности добавления в неё своих/левых файлах.
Или же данная возможность будет подключаться опционально !
** Возможно стоит добавить функцию проверки - т.е. перед "реальным" выполнением скрипт прогоняется в тестовом режиме и оператор
видит результат/следствие его выполнения - какие файлы "реально" были затронуты при его выполнении.
*** Или же требовать/выдавать спец.запрос на выполнение операции по типу:
В скрипт добавлена команда: uidel "C:\MERCURY-8\UNINS000.EXE"
С требованием подтверждения. Да/Нет
Подходит предварительная проверка - с выводом возможного/вероятного результата.

Так как ?
поговорить о uVS, Carberp, планете Земля
[QUOTE]Арвид пишет:
ну а если вирусная библиотека приняла другое расширение?[/QUOTE]
Ясно, что данное предложение не панацея - но в ряде случаев можно будет отследить явное не соответствие.
Да и потом - речь прежде всего идёт о стандартных/известных расширениях.

[QUOTE]Арвид пишет:
Лучше немного по другому сделать - чтоб под сигнатуру не попадали сертифицированные системные файлы[/QUOTE]
А как именно ?
Какие можешь предложить варианты контроля ?
поговорить о uVS, Carberp, планете Земля
Есть предложение по uVS.
Какие будут мнения ?
Альтернативные предложения/варианты ?

1. При работе с uVS в ряде случаев имеет место ложное срабатывание/определеннее по сигнатуре.
Принципиально решить вопрос нельзя - однако какие могут быть варианты решения ?

Предлагаю к наименованию вируса - или в раздел комментария к нему - Автоматически- добавлять отметку/комментарий
с информацией по типу расширения - файла: exe; dll; sys...
Что это даёт ?
При срабатывание/определение по сигнатур - появляется возможность сделать сравнение - из какого Типа файлов она была извлечена.
Например:

addsgn A7679B19B96E1B24380669F498C812052501A10ADA921F7885C39FEE9793­8D4C2317C3DC63A9CEB63E04F4DF46B598EB3ADF527355DAB07E9777A42F­C78DF820 8 Vir.Spy.77.EXE

А сработала она к примеру на  Giraffa.SYS
Таким образом, мы практически с вероятность в 100% имеем дело с ложным обнаружением !
Значит - мы получили нужную информацию - и теперь можем уверенно принять решение по данному файлу < > сигнатуре.

А то пишу отсебятину...
А так глядишь будет не отсебятина.  :D
поговорить о uVS, Carberp, планете Земля
По теме uVS; Д. и лечения.
Применение AVZ и uVS.

4pda.ru/forum/index.php?showuser=590295

sonikelf.com/virusy-i-spyware/

adminplanet.ru/f62/

И кстати говоря - если будут попадаться форумы, где применяется программа - то можно здесь оставлять ссылки и затем их просматривать.
Обсуждать ничего не будем.
прошу помощи не работают браузеры, NOD в журнале пишет вирус в оперативной памяти
Цитата
1000karat пишет:
по новой сканирую и что нажимать , а скрипт получается не нужен был или как?
Лог сканирования прикрепите к теме !
Скрипт был нужен - это был вирус - Руткит.
Изменено: RP55 RP55 - 03.02.2012 13:07:30
Webalta в качестве домашней страницы
[QUOTE]Арвид пишет:
Надо посмотреть лог uVS для начала[/QUOTE]
Причём новой uvs_v374 версией !