1.1.0.28
[функционал] Добавлен белый список скриптов.
[функционал] Добавлено детектирование майнеров криптовалюты (лечение только по решению аналитика). Префикс [MINER].
[функционал] Бинарный парсер обучен разбору юникодных секций.
[функционал] Добавлено раскрытие псевдонимов и путей особых ярлыков, чей объект задан через строки-идентификаторы Shell Namespace ::{GUID}, например, Яндекс.Диск, DropBox, Mail.ru Cloud. (пока не работает)
[функционал] Регулярка статических имен ярлыков дополнена: ( - Shortcut)?( - Copy)?
[функционал] Эвристический пост-анализ теперь затрагивает содержимое скриптов.
[баг] Исправлен баг, из-за которого в лог могли не попадать браузерные ярлыки с ложной целью не-скриптового расширения, не имеющие аргументов.
[баг] Не снимался атрибут ReadOnly.
[базы] Внесен браузер Vivaldi
[отчет] В секцию "Debug Info" выводится информация о поврежденных ярлыках (вместо номера ошибки -2147467259 как раньше).
[отчет] Секция "Служебная информация" переименована в "Статистика".
[отчет] Кол-во снятых/найденных атрибутов RO выводится первым в секции "Статистика" или не выводится вообще, если = 0.
[отчет] Кол-во отмеченных для лечения ярлыков отображается в поле "Найдено угроз" секции "Статистика".
[отчет] Контрольная сумма файла отчета записывается в конец лога (CheckSum: ...). Для ее проверки, нужно стереть из лога чексумму вместе со словом CheckSum и использовать любую программу подсчета хеш-суммы файла (например, HashTab).
[отчет] Ярлыки, заподозренные эвристиком, переносятся в подсекцию "Высокий риск".
  • Like
Реакции: machito
1.1.0.27
[функционал] Добавлено отображение маскировки браузерных .URL-файлов.
[функционал] Деобфускация некоторых видов скриптов.
[баг] В версии 1.1.0.26 не работал эвристик для файлов *.URL
[баг] Ошибка в парсере файловых имен (GetFileName), если объект не имел расширения.
[вид] Добавлено выравнивание целей LNK в отчете по интервальной сетке ( /+10 )
[вид] Изменено выравнивание целей URL по фиксированной сетке ( 70/100/+15 )
1.1.0.22 - 1.1.0.26 Beta
[функционал] Полная поддержка юникодных имен файлов и целей ярлыков LNK и URL (заменены интерфейсы системных парсеров) (Спасибо The trick за ревизию кода).
[функционал] Добавлено детектирование маскировки имен браузерных ярлыков. Будут помечены префиксом [MASK]. (Спасибо FraidZZ за перезагрузку мозгов :).
Формат лога для юникодных ярлыков изменен:
"Имя в формате 8.3.LNK" ("Имя в юникоде.LNK") -> "Цель в формате 8.3.ext" ("Цель в юникоде.ext")
Для обратной совместимости с программами, не поддерживающими юникод, формат коротких имен "8.3" также выводится.
[функционал] Эвристик стал более агрессивным.
[функционал] Пересмотрены правила распределения уровней опасности угроз и необходимости в лечении.
[функционал] Если пользователь по ошибке перетянул лог на программу-чекер, будет вызван диалог с просьбой скачать ClearLNK. Ссылка откроется в браузере по-умолчанию.
[функционал] Информация о языке системы и интерфейса (UI) выводится в отчет.
[интерфейс] Добавлен "прогрессбар", перетаскивание и сворачивание окна.
[интерфейс] Предупреждение при попытке запустить 2-ю копию программы.
[анализ] Если цель браузерного ярлыка не существует, но ярлык опознан, как опасный, он отмечается "для лечения".
[баг] Часть ярлыков с дописками вида "копия (2)..." не опознавались как браузерные.
[баг] В некоторых случаях не распечатывалось содержимое скриптов.
[баг] Иногда http не подменялась на hxxp.
[баг] Заменена функция рассчета MD5 хеша, вызывавшая "падение" программы в некоторых случаях.
[баг] Не работала часть "мягких" алгоритмов определения модифицированных ярлыков, если путь цели указывал не на папку в профиля пользователя.
[баг] С ярлыков [RO] ранее снимались все атрибуты, а не только Read Only.
[баг] Файловый редиректор проверял необходимость переадресации по пути %SystemRoot%, а не %SystemRoot%\System32
[совместимость] Запись лога теперь происходит сразу - в 2 этапа: шапка + вся остальная часть (это частично защитит от перехватов функции записи, т.к. перехватывать теперь особо нечего :).
[скорость] Отключены резервные функции для определения существования файла.
[базы] Добавлены CyberFox, QQBrowser. Добавлен Интернет браузер Phoenix (черный список). Пополнены списки безопасных URL.
Errors.log более не создается, если не происходило ошибок.
Множество мелких правок и оптимизаций в главном движке анализатора.
Описание ресурса дополнено FAQ и расшифровками префиксов отчета.
1.1.0.21 Beta
Фикс: программа могла вылететь при чтении некоторых MSI ярлыков.
Улучшена скорость сортировки секций.
1.1.0.20 Beta
Постанализ: "для лечения" помечаются также ярлыки, имеющие общие признаки с зараженными.
Сортировка секций по признаку "для лечения".
Фикс: утечка памяти в функции рассчета хеша при блокировке файла антивирусом.
Выравнивание отчета для интернет-ярлыков (экспериментально).
Работа FTP восстановлена.

1.1.0.19
Добавлено распознавание имен копий ярлыков для браузеров, детектирование которых по части имени запрещено.
Если в пути к ярлыку / цели окажется один из символов \/:*?"<>|, путь будет переведен в формат 8.3.
Фраза "цель на съемном устройстве: NO_ROOT_DIR" заменена на "цель на съемном устройстве: ОТКЛЮЧЕНО"
Смена ссылки в связи с падением FTP сервера.

1.1.0.18 Beta
Пополнение и чистка баз.
1.1.0.17 Beta
Если запуск цели через cmd.exe и в аргументах нет скрипта, будет указан префикс [CMD] вместо [script].
Powershell.exe добавлен к списку скриптовых процессоров.
Добавлен ключ -openLogFile - в конце анализа открывает сам отчет вместо папки с ним.
1.1.0.16 Beta
Правила: модифицированные из секции "цель не существует" - лечим всегда, кроме случаев, когда цель на съемном диске (НО, при дописках лечим даже в этом случае).
Если скрипт пустой - в примечании будет указано "( 0 байт )".
https протокол признавать небезопасным.
Замена https -> hxxps в отчете всегда.

1.1.0.15 Beta
Пополнение баз
Отладочная информация - теперь больше данных в строке с ошибкой (например, на каком файле произошла).

1.1.0.14 Beta
Пополнение баз
Убрал исключение из лога ярлыков с целью с сетевым путем "\\IP\..." (1.1.0.13 Beta).
Убрал исключение из лога ярлыков с целью через GUID папки.
Знак окончания строки в скриптах заменен с \n -> на 0x182 "¶" (как в MS Word).
  • Like
Реакции: Кирилл
Сверху Снизу