Парсер логов gmer [версия drongo] 4.52 - 12.11.2016

[thyrex]

Сань вообще нет упоминаний о clb.dll

В коллекции логов gmer, которую я тебе как-то засылал, есть образец с clbdriver
В нем должно быть упоминание этого файла

 

[Drongo]

Программа обновилась. Переписана логика работы по определению заражений. По существу внешне всё осталось как и было за исключением того что теперь убрана галочка "Показать ROOTKIT", вместо неё вверху видно дополнительное второе окно, в котором будут выводиться все подозрительные строки в логе. Возможно некоторые не попадут в скрипт, но консультант на них сможет акцентировать внимание самостоятельно.

Также добавлен ряд детектов:
1. KIDO
2. TDSS
3. Virut (модификации u, av, q, ce)
4. Kates
5. ZAccess
6. Necurs
7. Bootkit
8. Вывод информации об неопределённом активном рутките, который есть, но информации для его детекта не достаточно.

В остальных случаях при наличии в логах вредоносных записей, парсер просто перерабатывает лог и составляет скрипт независимо оттого что в нём.

Внутри архива также есть файл ParserGmer.chm, если вам нужно будет дать готовую рекомендацию на форум по определённому типу заражения, все необходимые готовые шаблоны ответов вы найдёте там.

P.S. Не могу залить файл в файловое хранилище форума.

 

[Drongo]

Немножко обновили парсер.

1. Добавлен ещё один вариант детекта ZAccess
2. Убраны ложные удаления служб на логах снятых с виртуальных машин. (в большинстве случаев успешно игнорирует, в случае ложного срабатывания, лог в студию и можете самостоятельно добавить службу в исключения).
3. Немного мелких незначительных штрихов.

 

[regist]

P.S. Не могу залить файл в файловое хранилище форума.

Ссылка в первом посте исправлена, на FTP свежая версия парсера .

 

[mike 1]

Попался интересный лог GMER, где некорректно отображается служба. После некоторых поисков удалось понять от чего эта служба.

Service ??????????????????????????" (*** hidden *** ) [AUTO] <-- ROOTKIT !!!

(из лога GMER)

До конвертации

楗敳潂瑯獁楳瑳湡t¦"

(из лога TDSSKiller)

WiseBootAssistant

- после конвертации

 

[regist]

mike 1, извиняюсь, а к парсеру это какое отношение имеет?

 

[mike 1]

Ну может можно как-то сделать так чтобы отображалась верно кодировка в Парсере логов.

 

[regist]

1) Кодировку нельзя восстановить по этому логу Gmer, а так у Gmer похожий косяк и с русскими буквами.
2) Тут проблема даже не в Gmer, а в разработчике той программы, так как это его косяк, что в реестр пишется в такой кривой кодировке.
3) Если бы даже Drongo, взялся писать универсальный декодер, то добавление такого функционала увеличило бы время обработки логов Gmer. А это разовый случай и можно воспользоваться сторонными онлайн или офлайн сервисами.

 

[mike 1]

В примере этого лога парсер сносит похоже легальную службу.

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe

gmer.exe -del service zaomvqf
gmer.exe -del file "C:\WINDOWS\system32\zheqogap.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ASP.NET_2.0.50727"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\zaomvqf"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ASP.NET_2.0.50727"
gmer.exe -reboot

 

[Arbitr]

майк вы до сих пор не можете отличить 100% легитим от не легитима?

сносит похоже легальную службу.

далее мы видим по скрипту удаление ключей реестра в которых записано имя службы
что произойдет если зловред сам оставить а удалить лишь запись в реестре о нем
чем отличаются CurrentControl и CurrentControlSet, когда создаются ветки типа ControlSet001 002 и т.д и что в них записывается?
и наконец а для чего вы? если бы сканеры парсеры и прочие утилиты АВ могли сами все правильно проанализировать и удалить то хелперы и не нужны

 

[mike 1]

и наконец а для чего вы? если бы сканеры парсеры и прочие утилиты АВ могли сами все правильно проанализировать и удалить то хелперы и не нужны

Хотя бы для того чтобы проверять корректность выводимого результата.

 

[Arbitr]

 

[regist]

В примере этого лога парсер сносит похоже легальную службу.

Парсер сколько лет назад обновляли последний раз?

 

[Drongo]

Подтверждаю, версия, которой вы проверили этот лог - старая.

 

[mike 1]

Подтверждаю, версия, которой вы проверили этот лог - старая.

Где можно скачать новую? Версия в которой я проверял 4.50. Еще будет небольшое пожелание можно сделать так чтобы утилита самостоятельно по версии ОС определяла сервер это или нет и раз сервер автоматом убирала команду перезагрузки.

 

[regist]

Где можно скачать новую?

глаза в шапку подыми.

Версия в которой я проверял 4.50

Видно когда с ресурсом склеивали остался номер от старой, хотя даже скрин с номером новой версии стоит . Поправлю номер.

 

[mike 1]

глаза в шапку подыми.

Перекачал архив с парсером теперь он не предложил удалить библиотеку и службу от Kido. Старая версия почему-то увидела.

 

[regist]

Парсер полностью переписан, чуть ли не с нуля + добавлено определения типа заражения.
Так что со старым сравнивать его не совсем правильно. Эвристика разумеется тоже улучшена.

Старая версия почему-то увидела.

потому что для начала надо разобраться с буткитом который вероятно там есть, а потом уже лечить кидо. При активном бутките нет смысле лечить кидо (да и тдсскиллер скорее всего и кидо пролечит).

 

[mike 1]

Парсер полностью переписан, чуть ли не с нуля + добавлено определения типа заражения.
Так что со старым сравнивать его не совсем правильно. Эвристика разумеется тоже улучшена.
потому что для начала надо разобраться с буткитом который вероятно там есть, а потом уже лечить кидо.

С буткитом я решил позднее разобраться.

да и тдсскиллер скорее всего и кидо пролечит

Сомневаюсь.

 

[Drongo]

Пользователь Drongo обновил ресурс Парсер логов GMER [версия Drongo] новой записью:

Обновление

Небольшое обновление, в большей степени заточка для англоязычных пользователей(если таковые есть или будут), парсер имеет две локализации: русская и английская. Нужную можно выбрать в раскрывающемся списке или запустить ярлык с ключом, регистр роли не играет:

• ru или rus
• en или eng

Также в архиве есть справочних по шаблонам для быстрого ответа, как английский, так и русский.
И добавлено несколько детектов:

• Agent.BTZ (Turla, Uroburos)...

Узнать больше об этом обновлении...