modify_registry(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Для обеспечения автозапуска и распространения:

           Модифицирует следующие ключи реестра:

Пример: dr_sandbox.descr_tech.autorun.modify_registry(/C:\Users\user\AppData\Roaming\Sample.lnk/)
Xpath-запрос:

./SubItems/TSItem[@ID=\"10\"]/SubItems/TSItem[@ID=\"10\"]/SubItems/TSItem
Пример XML: <TSItem ID="10" Type="LI" Text="[\REGISTRY\USER\S-1-5-21-2922372159-162323534-3872807762-1001\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'sidebar' = 'C:\Users\user\AppData\Roaming\Sample.lnk'">

modify_registry_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.modify_registry_num >= 2

create_or_modify_files(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Для обеспечения автозапуска и распространения:

           Создает или изменяет следующие файлы:

Пример: dr_sandbox.descr_tech.autorun.create_or_modify_files(/YogaGuide.job/)

Xpath-запрос:

./SubItems/TSItem[@ID=\"10\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem

Пример XML: <TSItem ID="10" Type="LI" Text="%WINDIR%\Tasks\YogaGuide.job">

create_or_modify_files_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.create_or_modify_files_num == 1

create_services(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Для обеспечения автозапуска и распространения:

           Создает следующие сервисы:

Xpath-запрос:

./SubItems/TSItem[@ID=\"10\"]/SubItems/TSItem[@ID=\"30\"]/SubItems/TSItem

Пример: dr_sandbox.descr_tech.autorun.create_services(/rsdsys/)

Пример XML: <TSItem ID="10" Type="LI" Text="[&lt;HKLM&gt;\System\CurrentControlSet\Services\rsdsys] 'Start' = '00000002'">

create_services_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.create_services_num > 0

change_system_executable_files(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Для обеспечения автозапуска и распространения:

           Изменяет следующие исполняемые системные файлы:

Xpath-запрос:

./SubItems/TSItem[@ID=\"10\"]/SubItems/TSItem[@ID=\"40\"]/SubItems/TSItem

Пример: dr_sandbox.descr_tech.autorun.change_system_executable_files(/beep.sys/)

Пример XML: <TSItem ID="10" Type="LI" Text="&lt;DRIVERS&gt;\beep.sys">

change_system_executable_files_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.change_system_executable_files_num > 0

replace_system_executable_files(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Для обеспечения автозапуска и распространения:

           Подменяет следующие исполняемые системные файлы:

Xpath-запрос:

./SubItems/TSItem[@ID=\"10\"]/SubItems/TSItem[@ID=\"45\"]/SubItems/TSItem

Пример: dr_sandbox.descr_tech.autorun.replace_system_executable_files(/ir50_qc.dll/)

Пример XML: <TSItem ID="10" Type="LI" Text="&lt;SYSTEM32&gt;\ir50_qc.dll файлом %TEMP%\1.tmp">

replace_system_executable_files_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.replace_system_executable_files_num > 0

infect_executables(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Для обеспечения автозапуска и распространения:

           Заражает следующие исполняемые файлы:

Пример: dr_sandbox.descr_tech.autorun.infect_executables(/eirmayxm/)
Xpath-запрос:

./SubItems/TSItem[@ID=\"10\"]/SubItems/TSItem[@ID=\"47\"]/SubItems/TSItem
Пример XML: <TSItem ID="10" Type="LI" Text="%BOOT_VOL%\eirmayxm\&lt;Malware name&gt;.exe">

infect_executables_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.infect_executables_num > 0

create_files_on_removable_media(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Для обеспечения автозапуска и распространения:

           Создает следующие файлы на съемном носителе:

Пример: dr_sandbox.descr_tech.autorun.create_files_on_removable_media(/10thingscondoms.pdf/)
Xpath-запрос:

./SubItems/TSItem[@ID=\"10\"]/SubItems/TSItem[@ID=\"50\"]/SubItems/TSItem
Пример XML: <TSItem ID="10" Type="LI" Text="&lt;Drive name&gt;:\10thingscondoms.pdf">

create_files_on_removable_media_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.create_files_on_removable_media_num > 0

modify_mbr

Возвращает 1 если запись модифицирована, 0 — если нет.

descr_ru:

   Техническая информация

       Для обеспечения автозапуска и распространения:

           Модифицирует главную загрузочную запись (MBR).

Пример: dr_sandbox.descr_tech.autorun.modify_mbr
Xpath-запрос: ./SubItems/TSItem[@ID=\"10\"]/SubItems/TSItem[@ID=\"60\"]
Пример XML: <TSItem ID="60" Type="PT" Text="Modifies master boot record (MBR).">

modify_registry_to_bypass_firewall(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:

Пример: dr_sandbox.descr_tech.malicious.modify_registry_to_bypass_firewall(/Enabled:taskmg.exe/)

Xpath-запрос:

./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"10\"]/SubItems/TSItem

Пример XML: <TSItem ID="10" Type="LI" Text="[&lt;HKLM&gt;\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%TEMP%\taskmg.exe' = '%TEMP%\taskmg.exe:*:Enabled:taskmg.exe'">

modify_registry_to_bypass_firewall_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.modify_registry_to_bypass_firewall_num > 0

create_and_exec(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Создает и запускает на исполнение:

Пример: dr_sandbox.descr_tech.malicious.create_and_exec(/Total Commander/)

Xpath-запрос:

./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"30\"]/SubItems/TSItem

Пример XML: <TSItem ID="10" Type="LI" Text="'%HOMEPATH%\...\total commander\backup.exe' %HOMEPATH%\...\Total Commander\">

create_and_exec_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.create_and_exec_num > 0

exec(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Запускает на исполнение:

Пример: dr_sandbox.descr_tech.malicious.exec(/netsh.exe/)

Xpath-запрос:

./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"35\"]/SubItems/TSItem

Пример XML: <TSItem ID="10" Type="LI" Text="'&lt;SYSTEM32&gt;\netsh.exe' firewall add allowedprogram &quot;%TEMP%\system.exe&quot; &quot;system.exe&quot; ENABLE">

exec_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.exec_num > 0

inject_to_system_proc(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Внедряет код в

               следующие системные процессы:

Пример: dr_sandbox.descr_tech.malicious.inject_to_system_proc(/RegAsm.exe/)

Xpath-запрос:

./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"40\"]/SubItems/TSItem[@ID=\"10\"]/SubItems/TSItem

Пример XML: <TSItem ID="10" Type="LI" Text="%WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegAsm.exe">

inject_to_system_proc_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.inject_to_system_proc_num > 0

inject_to_user_proc(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Внедряет код в

               следующие пользовательские процессы:

Пример: dr_sandbox.descr_tech.malicious.inject_to_user_proc(/^iexplore.exe$/)

Xpath-запрос:

./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"40\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem

Пример XML: <TSItem ID="10" Type="LI" Text="iexplore.exe">

inject_to_user_proc_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.inject_to_user_proc_num > 0

hook_keyboard_all_processes(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Устанавливает процедуры перхвата сообщений

               о нажатии клавиш клавиатуры:

                   Библиотека-обработчик для всех процессов: (?LibraryPath)

Пример: dr_sandbox.descr_tech.malicious.hook_keyboard_all_processes(/OQKWHP\BJX.01/)

Xpath-запрос:

./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"45\"]/SubItems/TSItem[@ID=\"10\"]/SubItems/TSItem[@ID=\"10\"]

Пример XML: <TSItem ID="10" Type="LI" Text="Handler library for all processes: %ALLUSERSPROFILE%\Application Data\OQKWHP\BJX.01">

hook_keyboard_all_processes_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.hook_keyboard_all_processes_num > 0

hook_keyboard_concrete_processes(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Устанавливает процедуры перхвата сообщений

               о нажатии клавиш клавиатуры:

                   Библиотека-обработчик для процесса '(?HookedProcess.Name)': (?LibraryPath)

Пример: dr_sandbox.descr_tech.malicious.hook_keyboard_concrete_processes(/IMDCSC.exe/)

Xpath-запрос:

./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"45\"]/SubItems/TSItem[@ID=\"10\"]/SubItems/TSItem[@ID=\"20\"]

Пример XML: <TSItem ID="20" Type="LI" Text="Handler library for the 'IMDCSC.exe' processes: %HOMEPATH%\My Documents\DCSCMIN\IMDCSC.exe">

hook_keyboard_concrete_processes_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.hook_keyboard_concrete_processes_num > 0

try_to_terminate_system_processes(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Завершает или пытается завершить

               следующие системные процессы:

Пример: dr_sandbox.descr_tech.malicious.try_to_terminate_system_processes(/ctfmon.exe/)

Xpath-запрос:

./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"50\"]/SubItems/TSItem[@ID=\"10\"]/SubItems/TSItem

Пример XML: <TSItem ID="10" Type="LI" Text="&lt;SYSTEM32&gt;\cmd.exe">

try_to_terminate_system_processes_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.try_to_terminate_system_processes_num > 0

try_to_terminate_user_processes(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Завершает или пытается завершить

               следующие пользовательские процессы:

Пример: dr_sandbox.descr_tech.malicious.try_to_terminate_user_processes(/^AVSYNMGR.EXE$/)

Xpath-запрос:

./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"50\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem

Пример XML: <TSItem ID="10" Type="LI" Text="AVGCTRL.EXE">

try_to_terminate_user_processes_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.try_to_terminate_user_processes_num > 0

search_password_in_registry(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:

Пример: dr_sandbox.descr_tech.malicious.search_password_in_registry(/MessengerService/)

Xpath-запрос:

./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"60\"]/SubItems/TSItem

Пример XML: <TSItem ID="10" Type="LI" Text="[&lt;HKCU&gt;\Software\Microsoft\MessengerService]">

search_password_in_registry_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.search_password_in_registry_num > 0

search_wnd_to_bypass_av(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Ищет следующие окна с целью

               обхода различных антивирусов:

Пример: dr_sandbox.descr_tech.malicious.search_wnd_to_bypass_av(/AVP.AlertDialog/)

Xpath-запрос:

./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"70\"]/SubItems/TSItem[@ID=\"10\"]/SubItems/TSItem

Пример XML: <TSItem ID="10" Type="LI" Text="ClassName: 'AVP.Product_Notification' WindowName: ''">

search_wnd_to_bypass_av_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.search_wnd_to_bypass_av_num > 0

search_wnd_to_bypass_wfp(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Ищет следующие окна с целью

               обхода системы защиты файлов Windows (WFP):

Пример: dr_sandbox.descr_tech.malicious.search_wnd_to_bypass_wfp(/Windows File Protection/)

Xpath-запрос:

./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"70\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem

Пример XML: <TSItem ID="10" Type="LI" Text="ClassName: '' WindowName: 'Windows File Protection'">

search_wnd_to_bypass_wfp_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.search_wnd_to_bypass_wfp_num > 0

search_wnd_for_analyzing_soft(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Ищет следующие окна с целью

               обнаружения утилит для анализа:

Пример: dr_sandbox.descr_tech.malicious.search_wnd_for_analyzing_soft(/PEiD/)

Xpath-запрос:

./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"70\"]/SubItems/TSItem[@ID=\"30\"]/SubItems/TSItem

Пример XML: <TSItem ID="10" Type="LI" Text="ClassName: '' WindowName: 'PEiD v0.95'">

search_wnd_for_analyzing_soft_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.search_wnd_for_analyzing_soft_num > 0

search_wnd_for_programs_and_games(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Ищет следующие окна с целью

               обнаружения различных программ и игр:

Пример: dr_sandbox.descr_tech.malicious.search_wnd_for_programs_and_games(/The Wireshark Network Analyzer/)

Xpath-запрос:

./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"70\"]/SubItems/TSItem[@ID=\"40\"]/SubItems/TSItem

Пример XML: <TSItem ID="10" Type="LI" Text="ClassName: 'gdkWindowToplevel' WindowName: 'The Wireshark Network Analyzer'">

search_wnd_for_programs_and_games_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.search_wnd_for_programs_and_games_num > 0

set_ssdt_hooks(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Перехватывает следующие функции в SSDT (System Service Descriptor Table):

Пример: dr_sandbox.descr_tech.malicious.set_ssdt_hooks(/NtReadVirtualMemory/)

Xpath-запрос:

./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"85\"]/SubItems/TSItem

Пример XML: <TSItem ID="10" Type="LI" Text="NtReadVirtualMemory, driver-handler: sys.sys">

set_ssdt_hooks_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.set_ssdt_hooks_num > 0

modify_explorer_settings(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Изменяет следующие настройки проводника Windows (Windows Explorer):

Пример: dr_sandbox.descr_tech.malicious.modify_explorer_settings(/’NoFolderOptions’ = ‘00000001’/)

Xpath-запрос:

./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"90\"]/SubItems/TSItem

Пример XML: <TSItem ID="10" Type="LI" Text="[&lt;HKLM&gt;\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoFolderOptions' = '00000001'">

modify_explorer_settings_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.modify_explorer_settings_num > 0

modify_ie_settings(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Изменяет следующие настройки браузера Windows Internet Explorer:

Пример: dr_sandbox.descr_tech.malicious.modify_ie_settings(/Zones\1] ‘1206’ = ‘00000000’/)

Xpath-запрос:

./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"100\"]/SubItems/TSItem

Пример XML: <TSItem ID="10" Type="LI" Text="[&lt;HKCU&gt;\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '1206' = '00000000'">

modify_ie_settings_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.modify_ie_settings_num > 0

hide_processes(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Скрывает следующие процессы:

Пример: dr_sandbox.descr_tech.malicious.hide_processes(/cscript.exe/)

Xpath-запрос:

./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"105\"]/SubItems/TSItem

Пример XML: <TSItem ID="10" Type="LI" Text="&lt;SYSTEM32&gt;\cscript.exe">

hide_processes_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.hide_processes_num > 0

hide_from_view_hidden_files

Возвращает 1 если событие произошло, 0 — если нет.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Для затруднения выявления своего присутствия в системе

               блокирует отображение:

                   скрытых файлов

Пример: dr_sandbox.descr_tech.malicious.hide_from_view_hidden_files

Xpath-запрос:

./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"10\"]/SubItems/TSItem[@ID=\"10\"]

Пример XML: <TSItem ID="10" Type="LI" Text="hidden files">

hide_from_view_file_extensions

Возвращает 1 если событие произошло, 0 — если нет.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Для затруднения выявления своего присутствия в системе

               блокирует отображение:

                   расширений файлов

Пример: dr_sandbox.descr_tech.malicious.hide_from_view_file_extensions

Xpath-запрос:

./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"10\"]/SubItems/TSItem[@ID=\"20\"]

Пример XML: <TSItem ID="20" Type="LI" Text="filename extensions">

block_cmd

Возвращает 1 если событие произошло, 0 — если нет.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Для затруднения выявления своего присутствия в системе

               блокирует запуск следующих системных утилит:

                   Интерпретатора командной строки (CMD)

Пример: dr_sandbox.descr_tech.malicious.block_cmd

Xpath-запрос:

./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"10\"]

Пример XML: <TSItem ID="10" Type="LI" Text="Command line interpreter(CMD)">

block_taskmgr

Возвращает 1 если событие произошло, 0 — если нет.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Для затруднения выявления своего присутствия в системе

               блокирует запуск следующих системных утилит:

                   Диспетчера задач (Taskmgr)

Пример: dr_sandbox.descr_tech.malicious.block_taskmgr

Xpath-запрос:

./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"20\"]

Пример XML: <TSItem ID="20" Type="LI" Text="Task manager(Taskmgr)">

block_regedit

Возвращает 1 если событие произошло, 0 — если нет.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Для затруднения выявления своего присутствия в системе

               блокирует запуск следующих системных утилит:

                   Редактора реестра (RegEdit)

Пример: dr_sandbox.descr_tech.malicious.block_regedit

Xpath-запрос:

./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"30\"]

Пример XML: <TSItem ID="30" Type="LI" Text="Registry editor (RegEdit)">

block_sr

Возвращает 1 если событие произошло, 0 — если нет.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Для затруднения выявления своего присутствия в системе

               блокирует:

                   Компонент восстановления системы (SR)

Пример: dr_sandbox.descr_tech.malicious.block_sr

Xpath-запрос:

./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"30\"]/SubItems/TSItem[@ID=\"10\"]

Пример XML: <TSItem ID="10" Type="LI" Text="System Restore Component(SR)">

block_uac

Возвращает 1 если событие произошло, 0 — если нет.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Для затруднения выявления своего присутствия в системе

               блокирует:

                   Средство контроля пользовательских учетных записей (UAC)

Пример: dr_sandbox.descr_tech.malicious.block_uac

Xpath-запрос:

./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"30\"]/SubItems/TSItem[@ID=\"30\"]

Пример XML: <TSItem ID="30" Type="LI" Text="User Account Control(UAC)">

block_sfc

Возвращает 1 если событие произошло, 0 — если нет.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Для затруднения выявления своего присутствия в системе

               блокирует:

                   Cредство проверки системных файлов (SFC)

Пример: dr_sandbox.descr_tech.malicious.block_sfc

Xpath-запрос:

./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"30\"]/SubItems/TSItem[@ID=\"40\"]

Пример XML: <TSItem ID="40" Type="LI" Text="System File Checker(SFC)">

block_windows_security_center

Возвращает 1 если событие произошло, 0 — если нет.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Для затруднения выявления своего присутствия в системе

               блокирует:

                   Центр обеспечения безопасности (Security Center)

Пример: dr_sandbox.descr_tech.malicious.block_windows_security_center

Xpath-запрос:

./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"30\"]/SubItems/TSItem[@ID=\"50\"]

Пример XML: <TSItem ID="50" Type="LI" Text="Security Center">

inject_to_a_lot_of_user_processes

Возвращает 1 если событие произошло, 0 — если нет.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Внедряет код в

               большое количество пользовательских процессов.

Пример: dr_sandbox.descr_tech.malicious.inject_to_a_lot_of_user_processes

Xpath-запрос:

./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"40\"]/SubItems/TSItem[@ID=\"30\"]

Пример XML: <TSItem ID="30" Type="PT" Text="a high number of user processes">

try_to_terminate_a_lot_of_user_processes

Возвращает 1 если событие произошло, 0 — если нет.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Завершает или пытается завершить

               большое количество пользовательских процессов.

Пример: dr_sandbox.descr_tech.malicious.try_to_terminate_a_lot_of_user_processes

Xpath-запрос:

./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"50\"]/SubItems/TSItem[@ID=\"30\"]

Пример XML: <TSItem ID="30" Type="PT" Text="a high number of user processes">

remove_ssdt_hooks

Возвращает 1 если событие произошло, 0 — если нет.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Устраняет перехваты фукнций в SSDT (System Service Descriptor Table).

Пример: dr_sandbox.descr_tech.malicious.remove_ssdt_hooks

Xpath-запрос: ./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"88\"]

Пример XML: <TSItem ID="88" Type="PT" Text="System Service Descriptor Table">

force_autorun_for_removable_media

Возвращает 1 если событие произошло, 0 — если нет.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Принудительно разрешает автозапуск со съемных носителей.

Пример: dr_sandbox.descr_tech.malicious.force_autorun_for_removable_media

Xpath-запрос: ./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"110\"]

Пример XML: <TSItem ID="110" Type="PT" Text="Forces autorun for removable media.">

set_homepage_for_ie

Возвращает 1 если событие произошло, 0 — если нет.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.

Пример: dr_sandbox.descr_tech.malicious.set_homepage_for_ie

Xpath-запрос: ./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"120\"]

Пример XML: <TSItem ID="120" Type="PT" Text="Sets a new unauthorized home page for Internet Explorer.">

shut_down_windows

Возвращает 1 если событие произошло, 0 — если нет.

descr_ru:

   Техническая информация

       Вредоносные функции:

           Пытается завершить работу операционной системы Windows.

Пример: dr_sandbox.descr_tech.malicious.shut_down_windows

Xpath-запрос: ./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"130\"]

Пример XML: <TSItem ID="130" Type="PT" Text="Attempts to shut down the Windows operating system.">

create_files(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Изменения в файловой системе:

           Создает следующие файлы:

Пример: dr_sandbox.descr_tech.filesystem.create_files(/nsArray.dll/)

Xpath-запрос:

./SubItems/TSItem[@ID=\"30\"]/SubItems/TSItem[@ID=\"10\"]/SubItems/TSItem

Пример XML: <TSItem ID="10" Type="LI" Text="%TEMP%\nsb3.tmp\750934895">

create_files_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.create_files_num >= 2

set_hidden(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Изменения в файловой системе:

           Присваивает атрибут 'скрытый' для следующих файлов:

Пример: dr_sandbox.descr_tech.filesystem.set_hidden(/^%TEMP%\~2.cmd$/)

Xpath-запрос:

./SubItems/TSItem[@ID=\"30\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem

Пример XML: <TSItem ID="10" Type="LI" Text="%TEMP%\~2.cmd">

set_hidden_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.set_hidden_num >= 2

remove_files(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Изменения в файловой системе:

           Удаляет следующие файлы:

Пример: dr_sandbox.descr_tech.filesystem.remove_files(/^%TEMP%\7zS1.tmp\GOMPLAYERENSETUP.EXE$/)

Xpath-запрос:

./SubItems/TSItem[@ID=\"30\"]/SubItems/TSItem[@ID=\"30\"]/SubItems/TSItem

Пример XML: <TSItem ID="10" Type="LI" Text="%TEMP%\7zS1.tmp\GOMPLAYERENSETUP.EXE">

remove_files_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.remove_files_num >= 2

move_system_files(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Изменения в файловой системе:

           Перемещает следующие системные файлы:

Пример: dr_sandbox.descr_tech.filesystem.move_system_files(/ir50_qc.dll/)

Xpath-запрос:

./SubItems/TSItem[@ID=\"30\"]/SubItems/TSItem[@ID=\"35\"]/SubItems/TSItem

move_system_files_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.move_system_files_num >= 2

move_files(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Изменения в файловой системе:

           Перемещает следующие файлы:

Пример: dr_sandbox.descr_tech.filesystem.move_files(/%WINDIR%.*CONFIG\security.config.cch/)

Xpath-запрос:

./SubItems/TSItem[@ID=\"30\"]/SubItems/TSItem[@ID=\"40\"]/SubItems/TSItem

move_files_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.move_files_num >= 2

move_self(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Изменения в файловой системе:

           Самоперемещается:

Пример: dr_sandbox.descr_tech.filesystem.move_self(/CreativeAudio/)

Xpath-запрос:

./SubItems/TSItem[@ID=\"30\"]/SubItems/TSItem[@ID=\"60\"]/SubItems/TSItem

move_self_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.autorun.move_self_num >= 2

modify_hosts

Возвращает 1 если файл модифицирован, 0 — если нет.

descr_ru:

   Техническая информация

       Изменения в файловой системе:

           Изменяет файл HOSTS.

Пример: dr_sandbox.descr_tech.filesystem.modify_hosts

Xpath-запрос: ./SubItems/TSItem[@ID=\"30\"]/SubItems/TSItem[@ID=\"50\"]

Пример XML: <TSItem ID="50" Type="PT" Text="Modifies the HOSTS file">

replace_hosts

Возвращает 1 если файл подменен, 0 — если нет.

descr_ru:

   Техническая информация

       Изменения в файловой системе:

           Подменяет файл HOSTS.

Пример: dr_sandbox.descr_tech.filesystem.replace_hosts

Xpath-запрос: ./SubItems/TSItem[@ID=\"30\"]/SubItems/TSItem[@ID=\"55\"]

Пример XML: <TSItem ID="55" Type="PT" Text="Replaces the HOSTS file.">

remove_self

Возвращает 1 если файл удалился, 0 — если нет.

descr_ru:

   Техническая информация

       Изменения в файловой системе:

           Самоудаляется.

Пример: dr_sandbox.descr_tech.filesystem.remove_self

Xpath-запрос: ./SubItems/TSItem[@ID=\"30\"]/SubItems/TSItem[@ID=\"70\"]

Пример XML: <TSItem ID="70" Type="PT" Text="Deletes itself.">

connect_to(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Сетевая активность:

           Подключается к:

Пример: dr_sandbox.descr_tech.network.connect_to(/www.xfo.cn/)

Xpath-запрос:

./SubItems/TSItem[@ID=\"40\"]/SubItems/TSItem[@ID=\"10\"]/SubItems/TSItem

Пример XML: <TSItem ID="10" Type="LI" Text="'www.xfo.cn':80">

connect_to_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.network.connect_to_num >= 2

tcp_http_get(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Сетевая активность:

           TCP:

               Запросы HTTP GET:

Пример: dr_sandbox.descr_tech.network.tcp_http_get(/addurl.html$/)

Xpath-запрос:

./SubItems/TSItem[@ID=\"40\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"10\"]/SubItems/TSItem

Пример XML: <TSItem ID="10" Type="LI" Text="http://www.xfo.cn/addurl.html">

tcp_http_get_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.network.tcp_http_get_num >= 2

tcp_http_post(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Сетевая активность:

           TCP:

               Запросы HTTP POST:

Xpath-запрос:

./SubItems/TSItem[@ID=\"40\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem

Пример XML: <TSItem ID="10" Type="LI" Text="http://findville.xyz/get/">

tcp_http_post_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.network.tcp_http_post_num >= 2

udp(regexp)

Возвращает количество совпадений.

descr_ru:

   Техническая информация

       Сетевая активность:

           UDP:

Пример: dr_sandbox.descr_tech.network.udp(/disk57/)

Xpath-запрос:

./SubItems/TSItem[@ID=\"40\"]/SubItems/TSItem[@ID=\"30\"]/SubItems/TSItem

Пример XML: <TSItem ID="10" Type="LI" Text="DNS ASK disk57.com">

Пример XML: <TSItem ID="20" Type="LI" Text="'localhost':1037">

udp_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.network.udp_num >= 2

search_wnd(regexp)

Возвращает количество совпадений.

descr_ru:

   Другое:

       Ищет следующие окна:

Пример: dr_sandbox.descr_tech.miscellaneous.search_wnd(/MS_WebcheckMonitor/)

Xpath-запрос:

./SubItems/TSItem[@ID=\"50\"]/SubItems/TSItem[@ID=\"10\"]/SubItems/TSItem

Пример XML: <TSItem ID="10" Type="LI" Text="ClassName: 'MS_WebcheckMonitor' WindowName: ''">

search_wnd_num

Возвращает количество событий.

Пример: dr_sandbox.descr_tech.miscellaneous.search_wnd_num == 3

add_root_certificate

Возвращает 1 если сертификат добавлен, 0 — если нет.

descr_ru:

   Другое:

       Добавляет корневой сертификат

Пример: dr_sandbox.descr_tech.miscellaneous.add_root_certificate

Xpath-запрос: ./SubItems/TSItem[@ID=\"50\"]/SubItems/TSItem[@ID=\"30\"]

Пример XML: <TSItem ID="30" Type="PT" Text="Adds a root certificate">

all_detects_here(regexp)

dr_sandbox.detects.all_detects_here(/Virlock/)

detects_of_src(regexp)

dr_sandbox.detects.detects_of_src(/Virlock/)

detects_of_drops(regexp)

dr_sandbox.detects.detects_of_drops(/Virlock/)

detects_of_memdmps(regexp)

dr_sandbox.detects.detects_of_memdmps(/Virlock/)

detects_of_allocs(regexp)

dr_sandbox.detects.detects_of_allocs(/Virlock/)

detects_of_dumps(regexp)

dr_sandbox.detects.detects_of_dumps(/Virlock/)

detects_of_injects(regexp)

dr_sandbox.detects.detects_of_injects(/Virlock/)

detects_of_this_file(regex)

dr_sandbox.detects_of_this_file(/Virlock/) == 0

sb_filetype

Одно из следующих значений:

SB_FILETYPE_SRC

SB_FILETYPE_DROP

SB_FILETYPE_MEMDMP

SB_FILETYPE_ALLOC

SB_FILETYPE_DUMP

SB_FILETYPE_INJECT

dr_sandbox.sb_filetype == dr_sandbox.SB_FILETYPE_SRC

archive_file(regex)

Возвращает количество совпадений

dr_sandbox.andr.archive_files(/pattern/)

archive_file_num

Возвращает количество событий

dr_sandbox.andr.archive_files_num

certificate_sha1(regex)

Возвращает количество совпадений

dr_sandbox.andr.certificate_sha1(/pattern/)

certificate_sha1_num

Возвращает количество событий

dr_sandbox.andr.certificate_sha1_num

resources_digests(regex)

Возвращает количество совпадений

dr_sandbox.andr.resources_digests(/pattern/)

resources_digests_num

Возвращает количество событий

dr_sandbox.andr.resources_digests_num

sha1(regex)

Возвращает количество совпадений

dr_sandbox.andr.sha1(/pattern/)

sha1_num

Возвращает количество событий

dr_sandbox.andr.sha1_num

source_host(regex)

Возвращает количество совпадений

dr_sandbox.andr.source_host(/pattern/)

source_host_num

Возвращает количество событий

dr_sandbox.andr.source_host_num

crypto_dumps(regex)

Возвращает количество совпадений

dr_sandbox.andr.dynamic.crypto_dumps(/pattern/)

crypto_dumps_num

Возвращает количество событий

dr_sandbox.andr.dynamic.crypto_dumps_num

executed_commands(regex)

Возвращает количество совпадений

dr_sandbox.andr.dynamic.executed_commands(/pattern/)

executed_commands_num

Возвращает количество событий

dr_sandbox.andr.dynamic.executed_commands_num

flags(regex)

Возвращает количество совпадений

dr_sandbox.andr.dynamic.flags(/pattern/)

flags_num

Возвращает количество событий

dr_sandbox.andr.dynamic.flags_num

phone_calls(regex)

Возвращает количество совпадений

dr_sandbox.andr.dynamic.phone_calls(/pattern/)

phone_calls_num

Возвращает количество событий

dr_sandbox.andr.dynamic.phone_calls_num

urls(regex)

Возвращает количество совпадений

dr_sandbox.andr.dynamic.urls(/pattern/)

urls_num

Возвращает количество событий

dr_sandbox.andr.dynamic.urls_num

path(regex)

Возвращает количество совпадений

dr_sandbox.andr.dynamic.created_files.path(/pattern/)

path_num

Возвращает количество событий

dr_sandbox.andr.dynamic.created_files.path_num

sha1(regex)

Возвращает количество совпадений

dr_sandbox.andr.dynamic.created_files.sha1(/pattern/)

sha1_num

Возвращает количество событий

dr_sandbox.andr.dynamic.created_files.sha1_num

detect(regex)

Возвращает количество совпадений

dr_sandbox.andr.dynamic.downloaders.detect(/pattern/)

detect_num

Возвращает количество событий

dr_sandbox.andr.dynamic.downloaders.detect_num

sha1(regex)

Возвращает количество совпадений

dr_sandbox.andr.dynamic.downloaders.sha1(/pattern/)

sha1_num

Возвращает количество событий

dr_sandbox.andr.dynamic.downloaders.sha1_num

detect(regex)

Возвращает количество совпадений

dr_sandbox.andr.dynamic.downloads.detect(/pattern/)

detect_num

Возвращает количество событий

dr_sandbox.andr.dynamic.downloads.detect_num

sha1(regex)

Возвращает количество совпадений

dr_sandbox.andr.dynamic.downloads.sha1(/pattern/)

sha1_num

Возвращает количество событий

dr_sandbox.andr.dynamic.downloads.sha1_num

url(regex)

Возвращает количество совпадений

dr_sandbox.andr.dynamic.downloads.url(/pattern/)

url_num

Возвращает количество событий

dr_sandbox.andr.dynamic.downloads.url_num

detect(regex)

Возвращает количество совпадений

dr_sandbox.andr.dynamic.droppers.detect(/pattern/)

detect_num

Возвращает количество событий

dr_sandbox.andr.dynamic.droppers.detect_num

sha1(regex)

Возвращает количество совпадений

dr_sandbox.andr.dynamic.droppers.sha1(/pattern/)

sha1_num

Возвращает количество событий

dr_sandbox.andr.dynamic.droppers.sha1_num

detect(regex)

Возвращает количество совпадений

dr_sandbox.andr.dynamic.dumps.detect(/pattern/)

detect_num

Возвращает количество событий

dr_sandbox.andr.dynamic.dumps.detect_num

path(regex)

Возвращает количество совпадений

dr_sandbox.andr.dynamic.dumps.path(/pattern/)

path_num

Возвращает количество событий

dr_sandbox.andr.dynamic.dumps.path_num

sha1(regex)

Возвращает количество совпадений

dr_sandbox.andr.dynamic.dumps.sha1(/pattern/)

sha1_num

Возвращает количество событий

dr_sandbox.andr.dynamic.dumps.sha1_num

message(regex)

Возвращает количество совпадений

dr_sandbox.andr.dynamic.sms.message(/pattern/)

message_num

Возвращает количество событий

dr_sandbox.andr.dynamic.sms.message_num

number(regex)

Возвращает количество совпадений

dr_sandbox.andr.dynamic.sms.number(/pattern/)

number_num

Возвращает количество событий

dr_sandbox.andr.dynamic.sms.number_num

activities(regex)

Возвращает количество совпадений

dr_sandbox.andr.manifest.activities(/pattern/)

activities_num

Возвращает количество событий

dr_sandbox.andr.manifest.activities_num

app_name(regex)

Возвращает количество совпадений

dr_sandbox.andr.manifest.app_name(/pattern/)

app_name_num

Возвращает количество событий

dr_sandbox.andr.manifest.app_name_num

filters(regex)

Возвращает количество совпадений

dr_sandbox.andr.manifest.filters(/pattern/)

filters_num

Возвращает количество событий

dr_sandbox.andr.manifest.filters_num

home_activity(regex)

Возвращает количество совпадений

dr_sandbox.andr.manifest.home_activity(/pattern/)

home_activity_num

Возвращает количество событий

dr_sandbox.andr.manifest.home_activity_num

is_firmware(regex)

Возвращает количество совпадений

dr_sandbox.andr.manifest.is_firmware(/pattern/)

is_firmware_num

Возвращает количество событий

dr_sandbox.andr.manifest.is_firmware_num

main_activity(regex)

Возвращает количество совпадений

dr_sandbox.andr.manifest.main_activity(/pattern/)

main_activity_num

Возвращает количество событий

dr_sandbox.andr.manifest.main_activity_num

package(regex)

Возвращает количество совпадений

dr_sandbox.andr.manifest.package(/pattern/)

package_num

Возвращает количество событий

dr_sandbox.andr.manifest.package_num

permissions(regex)

Возвращает количество совпадений

dr_sandbox.andr.manifest.permissions(/pattern/)

permissions_num

Возвращает количество событий

dr_sandbox.andr.manifest.permissions_num

receivers(regex)

Возвращает количество совпадений

dr_sandbox.andr.manifest.receivers(/pattern/)

receivers_num

Возвращает количество событий

dr_sandbox.andr.manifest.receivers_num

services(regex)

Возвращает количество совпадений

dr_sandbox.andr.manifest.services(/pattern/)

services_num

Возвращает количество событий

dr_sandbox.andr.manifest.services_num

strings_resources(regex)

Возвращает количество совпадений

dr_sandbox.andr.manifest.strings_resources(/pattern/)

strings_resources_num

Возвращает количество событий

dr_sandbox.andr.manifest.strings_resources_num

version_code(regex)

Возвращает количество совпадений

dr_sandbox.andr.manifest.version_code(/pattern/)

version_code_num

Возвращает количество событий

dr_sandbox.andr.manifest.version_code_num

version_name(regex)

Возвращает количество совпадений

dr_sandbox.andr.manifest.version_name(/pattern/)

version_name_num

Возвращает количество событий

dr_sandbox.andr.manifest.version_name_num

name(regex)

Возвращает количество совпадений

dr_sandbox.andr.manifest.meta_data.name(/pattern/)

name_num

Возвращает количество событий

dr_sandbox.andr.manifest.meta_data.name_num

resource(regex)

Возвращает количество совпадений

dr_sandbox.andr.manifest.meta_data.resource(/pattern/)

resource_num

Возвращает количество событий

dr_sandbox.andr.manifest.meta_data.resource_num

value(regex)

Возвращает количество совпадений

dr_sandbox.andr.manifest.meta_data.value(/pattern/)

value_num

Возвращает количество событий

dr_sandbox.andr.manifest.meta_data.value_num

filename(regex)

Имя файла (в dr_yara — полный путь, в dr_yara_scanner — в зависимости от параметра, который передан на сканирование).

Пример: dr_sandbox.filename(/xtbl/)

autorun_num

Количество событий автозапуска.

autorun_num = autorun.modify_registry_num + autorun.create_or_modify_files_num + autorun.create_services_num + autorun.change_system_executable_files_num + autorun.replace_system_executable_files_num + autorun.infect_executables_num + autorun.create_files_on_removable_media_num + autorun.modify_mbr

Пример: dr_sandbox.descr_tech.autorun_num >= 3

malicious_num

Количество вредоносных событий.

malicious_num = malicious.modify_registry_to_bypass_firewall_num + malicious.create_and_exec_num + malicious.exec_num + malicious.inject_to_system_proc_num + malicious.inject_to_user_proc_num + malicious.hook_keyboard_all_processes_num + malicious.hook_keyboard_concrete_processes_num + malicious.try_to_terminate_system_processes_num + malicious.try_to_terminate_user_processes_num + malicious.search_password_in_registry_num + malicious.search_wnd_to_bypass_av_num + malicious.search_wnd_to_bypass_wfp_num + malicious.search_wnd_for_analyzing_soft_num + malicious.search_wnd_for_programs_and_games_num + malicious.set_ssdt_hooks_num + malicious.modify_explorer_settings_num + malicious.modify_ie_settings_num + malicious.hide_processes_num + malicious.hide_from_view_hidden_files + malicious.hide_from_view_file_extensions + malicious.block_cmd + malicious.block_taskmgr + malicious.block_regedit + malicious.block_sr + malicious.block_uac + malicious.block_sfc + malicious.block_windows_security_center + malicious.inject_to_a_lot_of_user_processes + malicious.try_to_terminate_a_lot_of_user_processes + malicious.remove_ssdt_hooks + malicious.force_autorun_for_removable_media + malicious.set_homepage_for_ie + malicious.shut_down_windows

Пример: dr_sandbox.descr_tech.malicious_num > 5

filesystem_num

Количество событий в файловой системе.

filesystem_num = filesystem.create_files_num + filesystem.set_hidden_num + filesystem.remove_files_num + filesystem.move_system_files_num + filesystem.move_files_num + filesystem.move_self_num + filesystem.modify_hosts + filesystem.replace_hosts + filesystem.remove_self

Пример: dr_sandbox.descr_tech.filesystem_num < 4

network_num

Количество событий сетевой активности.

filesystem_num = network.connect_to_num + network.tcp_http_get_num + network.tcp_http_post_num + network.udp_num

Пример: dr_sandbox.descr_tech.network_num == 3

miscellaneous_num

Возвращает количество других событий.

miscellaneous_num = miscellaneous.search_wnd_num + miscellaneous.add_root_certificate

Пример: dr_sandbox.descr_tech.miscellaneous_num == 2

filesystem_access(regexp)

Функция высокого уровня, которая сопоставляет все операции файловой системы с регулярным выражением.

Пример: dr_sandbox.descr_tech.filesystem_access(/AnnaKournikova\.jpg\.vbs/)

network_access(regexp)

Функция высокого уровня, которая сопоставляет все сетевые операции с регулярным выражением.

Пример: dr_sandbox.descr_tech.network_access(/\.php\?id=[0-9]+&token=[0-9]+/)

check_byte(offset, byte_value)

Проверяет байты по заданному смещению. Может использоваться вместо строк, чтобы не замедлять сканирование.

Пример: dr_sandbox.check_byte(0,0x4d)

check_word(offset, word_value)

Проверяет WORD по заданному смещению. Может использоваться вместо строк, чтобы не замедлять сканирование.

Пример: dr_sandbox.check_word(0,0x5a4d)

check_dword(offset, dword_value)

Проверяет DWORD по заданному смещению. Может использоваться вместо строк, чтобы не замедлять сканирование.

Пример: dr_sandbox.check_dword(0,0x00905A4D)

check_buffer(offset, buffer_asciihex_value)

Проверяет буфер по заданному смещению. Буфер в asciihex. Длина должна быть четной. Может использоваться вместо строк, чтобы не замедлять сканирование.

Пример: dr_sandbox.check_buffer(0,”4d5A”)

filename_boost_regex(string_with_regex)

Ищет регулярное выражение в имени файла, используя boost::regex. Флаги для регулярного выражения: boost::regex::perl. Поиск по boost::regex_search.

Может использоваться, если вы хотите использовать функции регулярного выражения, которые отсутствуют в regex YARA. Например, отрицательное опережающее выражение или обратные ссылки.

Пример: dr_sandbox.filename_boost_regex(“(?<!abc)def”)