Обсуждения и предложения на тему создания новых лечащих утилит

wcloser

Активный пользователь
Сообщения
50
Реакции
37
Баллы
318
первый алерт: 'вы нуб или не совсем?'
Предложение о запуске упрощенного интерфейса.
если для хелперов - то сбор лога и скрипты.
такого точно делать не буду. да, типа антисмс, но только для восстановление вконтактика.

а что тогда надо? по каждому конкретному файлу: файл такой то, детект такой то? это значит идти на шаг позади вирусописцев, а смысл в этом есть?
я так полагаю толк будет только, если тулза будет палить и старое, и новое (типо эвристика сделать что то)
если тулза и будет палить малварь, то только конкретную уже известную. основное предназначение - нажать "вконтактик_работой" и чтобы он заработал. все остальное - средство к этому.
 

wcloser

Активный пользователь
Сообщения
50
Реакции
37
Баллы
318
Пароль к вложению:123

Пока версия 0.1бета. Что успел за вечер - то исследовал и накодил.
Пока три способа.
1. Hosts.
Если ОС меньше семерки, то правит путь до etc на дефолтный и сбрасывает содержимое хостса до локалхоста.
Также ищет в автозагрузке ключи распространенных троянцев, которые правят хостс путем прописи cmd.exe с параметрами на его редактирование.
Также переименовывает все таски в *.bak в целях борьбы с аналогом вышеописанному трою (часто такие встречаются).
2. ShipUp.
Путем опытов, было выяснено, что троянец не обращает внимания на наличие чужих записей в этом ключе и тупо все переписывает, а также, он не защищает свой ключ от перезаписи/удаления. Потому в текущей реализации борьба в следующем:
восстановления этих ключей на дефолт и переименовывает все таски в *.bak, т.к именно через таски его ехешник стартует при запуске системы...
На этом борьба закончится и его файлы останутся мертвым грузом на диске.
При этом было проведено мини-исследование на предмет того, какое легитимное ПО использует данный ключ. Я нашел 4 распространенных полезных софтины, которые это делают, поэтому будет предупреждающий алерт, если что...
3. статические маршруты
тут все примитивно - удаляется и заново создается раздел PersistentRoutes

Прошу протестить, предложить улучшения, и составить по возможности тех.задание для будущих функций. Естественно, это могу сделать и один, но у меня уходит время на вытаскивание с хонипота, путем поиска по логам дюжины троянцев, их запуск, ковыряние и предварительное тестирование... все упирается во время.
 

Вложения

  • InetRepair.rar
    277.2 KB · Просмотры: 2

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
И снова здрасте.

буду краток - мне как юзеру ваша тулза не канает.

1. она вычистит мне хостс - а у меня там юзерские записи, которые я по не смогу восстановить по памяти.

2. ShipUp.
4 распространенных полезных софтины
каспер, комодо, криптопро, приблуды типо ловитрипервконтакте и тд итп. - их намного больше. У меня стоит криптопро и я не хочу ломать его записи. Записи из этого ключа можно удалять только те, которые не имеют цифровой подписи. А потом, для чего оставлять экзешник и задание?

3... браузеры у меня работают через проксю, которую ваша тулза также в перспективах выломает. Оха?

А теперь давайте подсчитаем соотношение ущерба и пользы для такого юзера, как я например.
 

wcloser

Активный пользователь
Сообщения
50
Реакции
37
Баллы
318
Вау! Круто, вы не стукнули палец о палец, чтобы составить техзадание, а говорите "и снова здрасьте", словно вы мне сказали как делать, а я сделал наоборот.

Есть предложения как улучшить или сделать ИНАЧЕ - в студию, а иначе - это пустой треп.

1. А как правильно делать?
2. Я закодил поиск каспера и ловивконтакте. Какие записи там от криптопро и комода? я до них еще не добрался.
загрузил снапшот с комодо IS одним из последних - ключ пуст. с каспером - аналогично. это, вроде только у старых версий так...
может будете более конкретно говорить, а не просто открывать поток сознания? в этом и есть отличие ...

Может потому, что я хоть и опытный кодер, но не могу закодить за вечер поиск шипапа по хэшам, не?
Записи из этого ключа можно удалять только те, которые не имеют цифровой подписи.
это вы говорите потому что провели исследование, что перечисленные вами дллки имеют валидную цифровую подпись или просто так говорите лишь бы что-то сказать?

3. В тулзе есть кнопочки - предполагается, что юзер понимает, что нажимает - иначе по другим советам из инета он сделает тоже самое, что и моя тулза. Как правильно очищать этот список?

Проще говоря, любая утилита в неумелых руках является гранатой и предполагается, что юзер или знает, что делает, или им руководят.
Есть кнопка "очистить хостс" - если юзер не знает, что это такое, то он туда ничего и не вписывал... по-моему, логично.
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
Утилиту не тестировал, чисто по описанию.

  1. Несколько раз встречал у юзеров утилиту наподобие Reset_hosts 3.00 к примеру тут. Она меняет путь к файлу на свой, и если что восстанавливает оригинальный hosts. Думаю в таких случаях правильней проверять содержание hosts и если оно не отличается он оригинала, то ничего не делать. И почему путь проверяет только на XP? В указанном примере как раз Windows 7 и путь изменён.
  2. Насчёт ключей в автозагрузке возможно я не правильно вас понял, но через CMD обычно не правят hosts, а тупо его перезаписывают на другой, который обычно лежит в temp. Думаю полезно будет в таких случаях также сделать очистку темповых папок - тогда перезаписать будет нечем.
  3. Насчёт переименования всех тасков в *.bak может стоит сначала парсить XML задания и если там встречается hosts то тогда. Правда в таком случае остаётся проблема с ShipUp но на данный момент все зловреды этого семейства прячутся в папке Мозилы. Можно тупо проверять в какой папке лежит файл и если в папке мозилы, то только тогда. Минус такого метода если появится новый зловред использующий другую папку, то только ради этого надо дорабатывать утилиту.
  4. При этом было проведено мини-исследование на предмет того, какое легитимное ПО использует данный ключ. Я нашел 4 распространенных полезных софтины, которые это делают
    если вы про AppInit_DLLs то по памяти вспоминаются касперский, аутпост и какая-то прога для работы с контактом (кажется лови в контакте).
 
Последнее редактирование:

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
Круто, вы не стукнули палец о палец, чтобы составить техзадание
ну я как бы и не записывался к вам в заказчики))) вы просили подкинуть вам идею - вот пожалуйста.
Да и по моему я один тут из многих, кто тратит время на обсуждение этого с вами)))
1. А как правильно делать?
1. ну например собрать базу троянских записей в хосты и сверяться с ней (соцсети и заточенные под них анонимайзеры). Проверять легитимность ключей, которые вы удаляете. Ну и не забывать про бекапы и откат. Вопросы - а как это сделать - не принимаются))
предполагается, что юзер понимает, что нажимает
я допустим нуб и выбрал упрощенный интерфейс.
иначе по другим советам из инета он сделает тоже самое, что и моя тулза
оха, таких периодически приходится встречать. Многим из них остается только советовать откат системы или переустановку. Речь не о вашей тулзе, а о любителях разводить антивирусный зоопарк.
 
Последнее редактирование:

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
Проще говоря, любая утилита в неумелых руках является гранатой и предполагается, что юзер или знает, что делает, или им руководят.
Есть кнопка "очистить хостс" - если юзер не знает, что это такое, то он туда ничего и не вписывал... по-моему, логично.

Не совсем так. Защитное ПО может писать туда (тот же аутпост) без ведома юзера, антиwpa различные (мы ведь не ставим целью борьбу с пиратством?). Некоторые клиент-банки прописываются там со своим ip, да и мало ли еще чего. Поэтому сносить оттуда все не глядя не нужно. Накрайняк - просто закоментить все записи, но и это не лучший вариант.

Может потому, что я хоть и опытный кодер, но не могу закодить за вечер поиск шипапа по хэшам, не?
Цитата
Записи из этого ключа можно удалять только те, которые не имеют цифровой подписи.
это вы говорите потому что провели исследование, что перечисленные вами дллки имеют валидную цифровую подпись или просто так говорите лишь бы что-то сказать?

Вопрос о корректной чистке этого ключа поднимался еще во время эпидемии маячка 1 (2011 год примерно - самый разгар). Ничего другого, что гарантированно и безопасно удаляло бы только левые записи (и файлы которые там прописаны) придумано не было.

зы. не стоит так бурно реагировать на критику, т к она вам в помощь а не во вред ;)
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
Накрайняк - просто закоментить все записи, но и это не лучший вариант.
лучше просто создать копию старого файла, если что юзер восстановит оттуда нужные ему записи. Комментировать не лучший вариант, т.к. если у юзера до этого стоял Spybot - Search & Destroy то там будет несколько сотен адресов, которые по факту только тормозят работу браузеров.
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
создать копию старого файла
ну желательно не только этого, а всего что будет снесено\исправлено

но собрать базу адресов соцсетей и анонимайзеров к ним я думаю быстрее и проще.

первая партия:

127.0.0.1 localhost hellhead.ru anonimvk.ru anonim.do.am webvpn.org unboo.ru xy4-anonymizer.ru nekontakt2.ru
127.0.0.1 dostyp.ru neklassniki.ru nemir.ru urlbl.ru anonymizer.ru timp.ru workandtalk.ru
127.0.0.1 anonimix.ru webmurk.ru vkanonim.ru dostupest.ru waitplay.ru nezayti.ru
127.0.0.1 v.vhodilka.ru diazoom.ru razblokirovatdostup.ru o.vhodilka.ru raskruty.ru anonim.ttu.su
127.0.0.1 jelya.ru dardan.ru cameleo.ru antiblock.ru websplatt.ru obhodilka.ru pinun.ru spoolls.com
127.0.0.1 adminimus.ru netdostupa.com vhodilka.ru ok-anonimaizer.ru
46.251.249.134 vk.com www.odnoklassniki.ru odnoklassniki.ru m.vk.com m.odnoklassniki.ru wap.odnoklassniki.ru my.mail.ru

Потом еще права на хостс нужно будет сбрасывать по дефолту
 

wcloser

Активный пользователь
Сообщения
50
Реакции
37
Баллы
318
Несколько раз встречал у юзеров утилиту наподобие Reset_hosts 3.00 к примеру тут. Она меняет путь к файлу на свой, и если что восстанавливает оригинальный hosts. Думаю в таких случаях правильней проверять содержание hosts и если оно не отличается он оригинала, то ничего не делать. И почему путь проверяет только на XP? В указанном примере как раз Windows 7 и путь изменён.

ну например собрать базу троянских записей в хосты и сверяться с ней (соцсети и заточенные под них анонимайзеры). Проверять легитимность ключей, которые вы удаляете. Ну и не забывать про бекапы и откат.

В вынь7, если верить технету майкрософта (http://social.technet.microsoft.com...th-registry-value-answers-discussion-welcomed) в вин7 нельзя изменить путь до хостса.
Базу троянских записей не создать, т.к ip в каждом семействе разный. Можно лишь попытаться увидеть смену адресов до популярных соц сетей (мейл, вконтакте, одноклассники) и в таком только случае обнулять файл, предварительно сделав бэкап. Согласны с таким алгоритмом?
Итого приблизительно: кнопка "очистить хостс", алерт о том, что он обнулен и сделан бэкап по такому-то адресу.

CMD обычно не правят hosts, а тупо его перезаписывают на другой, который обычно лежит в temp. Думаю полезно будет в таких случаях также сделать очистку темповых папок - тогда перезаписать будет нечем.
Это понятно, просто по-моему проще грохнуть такую запись из реестра, а очищать темп - имхо не комильфо, мало ли там сейчас есть какие-то файлы из работающих программ. Хотя можно и сделать - посмотрим, что общественность скажет.

Насчёт переименования всех тасков в *.bak может стоит сначала парсить XML задания и если там встречается hosts то тогда.
Можно, в принципе.

если вы про AppInit_DLLs то по памяти вспоминаются касперский, аутпост и какая-то прога для работы с контактом (кажется лови в контакте).
каспер, аутпост и эта прога как раз у меня и захардкожены :)

Правда в таком случае остаётся проблема с ShipUp но на данный момент все зловреды этого семейства прячутся в папке Мозилы. Можно тупо проверять в какой папке лежит файл и если в папке мозилы, то только тогда. Минус такого метода если появится новый зловред использующий другую папку, то только ради этого надо дорабатывать утилиту
можно сделать жесткую заточку под мозиллу.

Итого:
1. По поводу хостс выше описал как делать (если находим в нем соц.сеть или открывалку доступа, то киляем с бэкапом и алертом)
2. Килять ключик и задания если там находим мозиллу (или наоборот: киляем все кроме ... (тогда надо сделать базу этого _кроме_) или наоборот - килять только то, что похоже на шипап - если есть подстрока мозилла)
3. Что изменить с третьим пунктом?
 
Последнее редактирование:

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
Базу троянских записей не создать, т.к ip в каждом семействе разный.
пример в предыдущем посте какие могут быть записи
кнопка "очистить хостс", алерт о том, что он обнулен и сделан бэкап по такому-то адресу.
ну я б не стал, безопаснее всетаки закоментить и забекапить
Можно, в принципе.
да, но если искать по hosts это для одного конкретного случая будет работать
сделать жесткую заточку под мозиллу
опять же, папка может быть и легитимной
 

wcloser

Активный пользователь
Сообщения
50
Реакции
37
Баллы
318
пример в предыдущем посте какие могут быть записи
это имеете в виду? :
1. По поводу хостс выше описал как делать (если находим в нем соц.сеть или открывалку доступа, то киляем с бэкапом и алертом)

ну я б не стал, безопаснее всетаки закоментить и забекапить
что бы вы не стали? мое предложение в том, чтобы найти в хостсе упоминания соц.сетей или открывалок доступа и только В ТАКОМ случае файл обнулять, предварительно сделав рядышком его бэкап на всякий пожарный.

да, но если искать по hosts это для одного конкретного случая будет работать
это будет работать для целого класса малварей, актуальных на сегодняшний день, которые делают правку хостса через таски. так что ищем там подстроку etc\hosts и если находим - делаем бэкап и удаляем. или как? просто все таски бэкапить и удалять? я не знаю как лучше, надо думать. что предалагаете?

опять же, папка может быть и легитимной
с папкой ничего и не собираюсь делать. если в аппинит дллка из папки мозиллы, то тереть такой ключ - вот и все. это обезопасит от затирания хорошего. хотя, можно создать базу легального ПО в этом ключе и тереть все нам неизвестное. по какому пути предлагаете идти?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
опять же, папка может быть и легитимной
папка может быть легитимной, а exe-шник запускаемой из этой папки планировщиком заданий легитимный я ещё не встречал.
Базу троянских записей не создать, т.к ip в каждом семействе разный. Можно лишь попытаться увидеть смену адресов до популярных соц сетей (мейл, вконтакте, одноклассники)
+1
-------------------------
Вспомнил про ещё один способ блокировки сайтов через IPSec policy. Пример можно посмотреть здесь.

Добавлено через 1 минуту 9 секунд
так что ищем там подстроку etc\hosts и если находим - делаем бэкап и удаляем. или как? просто все таски бэкапить и удалять? я не знаю как лучше, надо думать. что предалагаете?
все имхо не стоит, часто много легальных заданий.
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
не ну делайте как хотите уже.

В ТАКОМ случае файл обнулять
ОБНУЛЯТЬ полностью то зачем? Только сторки с соцсетями тереть или коментить никак?

это будет работать для целого класса малварей, актуальных на сегодняшний день
а со второй половиной класса малварей, которая тоже распространяется через таски, но не пишет в хосты что делать?
с папкой ничего и не собираюсь делать. если в аппинит дллка из папки мозиллы, то тереть такой ключ - вот и все. это обезопасит от затирания хорошего
по идее достаточно тереть оттуда все с расширением dll и exe. Но опять же - вирусописец вася слегка поменяет алгоритм - и все.

если в аппинит дллка из папки мозиллы, то тереть такой ключ - вот и все. это обезопасит от затирания хорошего. хотя, можно создать базу легального ПО в этом ключе
ПОЧЕМУ нельзя просто проверить ЦП на валидность а потом тереть?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
с папкой ничего и не собираюсь делать. если в аппинит дллка из папки мозиллы, то тереть такой ключ - вот и все. это обезопасит от затирания хорошего. хотя, можно создать базу легального ПО в этом ключе и тереть все нам неизвестное. по какому пути предлагаете идти?
насчёт проверки папки я предлагал в отношение заданий. Для длл от ShipUp (TROJAN.MODS.1) это также будет справедливо, но ShipUp это не единственные dll-ки, которые прописываются в этот ключ для блокировки сайтов и т.д., просто пока это вроде единственный зловред, который восстанавливает себя через планировщик задач.

Добавлено через 6 минут 21 секунду
ОБНУЛЯТЬ полностью то зачем? Только сторки с соцсетями тереть или коментить никак?
лично я тоже за вариант полного обнуления. Злоред может добавить туда много записей в том числе и сайты антивирусов. Предусмотреть всё не реально. Проще вывести уведомление юзеру, мол если что твой старый файлик лежит здесь можешь взять и добавить из него нужное.
а со второй половиной класса малварей, которая тоже распространяется через таски, но не пишет в хосты что делать?
она блокирует доступ на одноклассник, контакты и etс ? Мы же не создаём универсальную утилиту, которая будет лечить от всего.
по идее достаточно тереть оттуда все с расширением dll и exe.
в предыдущих постах за безопасность и чтоб не удалить лишнее, а тут предлагаешь терять ряд легальных файлов, которые запускаются через планировщик. По-моему ты сам до конца не осознал, что написал.
ПОЧЕМУ нельзя просто проверить ЦП на валидность а потом тереть?
у того же лови в контакте кажись нету цифровой подписи (хотя не помню наизусть), в общем не факт, если dll без цифровой подписи, что это нелегал.
 

wcloser

Активный пользователь
Сообщения
50
Реакции
37
Баллы
318
Только сторки с соцсетями тереть или коментить никак?
а строки блокировки аверов? а строки подделки других сайтов? (банковских каких-нибудь). имхо, если мы обнаруживаем, что хостс заражен, то почему бы его не обнулить полностью и забэкапить?

а со второй половиной класса малварей, которая тоже распространяется через таски, но не пишет в хосты что делать?
а что делать с легальным ПО, которое так работает? а если юзер сам таски делал? тем более, тулза для разблокировки инета и нет задачи искать малварь - цель: разблочить вконтакте. Все.
Или что предлагаете? Вариантов то (имхо) всего два: тереть и бэкапить все таски и тереть и бэкапить только некоторые таски, в которых нашли некие подстроки.

по идее достаточно тереть оттуда все с расширением dll и exe. Но опять же - вирусописец вася слегка поменяет алгоритм - и все.
с файлами я пока вообще не собираюсь ничего делать - работаем только с ключом.

ПОЧЕМУ нельзя просто проверить ЦП на валидность а потом тереть?
потому, что никто не проводил исследование на предмет того, подписаны ли библиотеки у легального ПО. думаете вконтакте качалкина либа подписана?

ЗЫ: если у кого впечатление, что мы с regist сидим в одном кабинете за одним большим столом и списываем друг у друга, то заверяю, что это не так ))))
 
Последнее редактирование:

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
можешь взять и добавить из него нужное
если сообразишь что добавлять. А если я нуб и там у меня тьма записей, которые мне нужныдля работы? Я буду по одной перебирать сам вручную, чтобы проверить, какая из них моя, какая - вирь? А для чего тогда тулза? В таком случае достаточно алерта - "чувак, пошерсти свой хостс сам"
а строки блокировки аверов?
задача стоит разблокировать вконтактик или вылечить от всех болезней? Мое мнение такое - не уверен в зловредности - не трогай.
бэкапить только некоторые таски, в которых нашли некие подстроки.
все тереть однозначно нельзя. я за этот вариант, но искать надо не тjлько по упоминанию hosts

она блокирует доступ на одноклассник, контакты и etс
запускает виря, который блокирует, не? седня это ShipUp, завтра будет другой.
с файлами я пока вообще не собираюсь ничего делать
почему, если это стопроцентная малварь?
тут предлагаешь терять ряд легальных файлов, которые запускаются через планировщик. По-моему ты сам до конца не осознал, что написал.
ты шо? я про папку с мозиллой говорил.
у того же лови в контакте кажись нету цифровой подписи
думаете вконтакте качалкина либа подписана?
а проверить? Тогда какой вариант остается - тереть все, кроме 4 известных вам легальных записей в этим ключе?
 
Последнее редактирование:

wcloser

Активный пользователь
Сообщения
50
Реакции
37
Баллы
318
Итого задачи:

1. Реализация очистки хостс. В добавок к тому, что уже есть: ищем там подстроки (вконтакт, одноклассники, каспер) - при нахождении любой из них - бэкап, обнуление, алерт.

2. Таски: если находим там хостс или мозиллу, то делаем бэкап и удаляем, даем алерт.

3. Ключ аппинит:
3.1. Трем запись в реестре только если находим в ней определенные подстроки, время от времени расширяя базу подстрок (на текущий момент - мозилла).
3.2. Трем все записи кроме тех, которые в вайтлисте (каспер, аутпост, вконтакте-качалка). Тогда нужно расширять базу. Что там прописано у криптопро? Какие еще тулзы?

4. Что с постоянными маршрутами? Насколько высока вероятность потереть нечто важное? У меня сейчас реализован алерт с да/нет перед затиранием. Если юзер сам туда заносил - нажмет нет в теории.


почему, если это стопроцентная малварь?
мы еще тут втроем насчет реестра договориться не можем, а вы уже про удаление файлов пытаетесь что-то предложить. начинаем с простого и понятного.

запускает виря, который блокирует, не? седня это ShipUp, завтра будет другой.
это и есть палка о двух концах - либо мы удаляем уже известную малварь (шипап), либо делаем что-то расширенное, но тогда есть риск потереть нужное.

все тереть однозначно нельзя. я за этот вариант, но искать надо не тjлько по упоминанию hosts
хостс и мозиллу. предлагайте еще.

А если я нуб и там у меня тьма записей, которые мне нужныдля работы? Я буду по одной перебирать сам вручную, чтобы проверить, какая из них моя, какая - вирь?
совсем нубы не правят самостоятельно хостс. а если и правят, то им лучше будет в бэкапе поковыряться, чем не заходить вконтакт. тем более, нет таких сейчас инструментов, которые бы выборочно автоматом правили хостс. либо под корень, либо показывают его юзеру и пусть сам решает, что удалять.
 
Последнее редактирование:
Сверху Снизу