modify_registry_to_bypass_firewall(regexp)
|
Возвращает количество совпадений.
descr_ru:
Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
|
Пример: dr_sandbox.descr_tech.malicious.modify_registry_to_bypass_firewall(/Enabled:taskmg.exe/)
Xpath-запрос:
./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"10\"]/SubItems/TSItem
Пример XML: <TSItem ID="10" Type="LI" Text="[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%TEMP%\taskmg.exe' = '%TEMP%\taskmg.exe:*:Enabled:taskmg.exe'">
|
modify_registry_to_bypass_firewall_num
|
Возвращает количество событий.
|
Пример: dr_sandbox.descr_tech.autorun.modify_registry_to_bypass_firewall_num > 0
|
create_and_exec(regexp)
|
Возвращает количество совпадений.
descr_ru:
Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
|
Пример: dr_sandbox.descr_tech.malicious.create_and_exec(/Total Commander/)
Xpath-запрос:
./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"30\"]/SubItems/TSItem
Пример XML: <TSItem ID="10" Type="LI" Text="'%HOMEPATH%\...\total commander\backup.exe' %HOMEPATH%\...\Total Commander\">
|
create_and_exec_num
|
Возвращает количество событий.
|
Пример: dr_sandbox.descr_tech.autorun.create_and_exec_num > 0
|
exec(regexp)
|
Возвращает количество совпадений.
descr_ru:
Техническая информация
Вредоносные функции:
Запускает на исполнение:
|
Пример: dr_sandbox.descr_tech.malicious.exec(/netsh.exe/)
Xpath-запрос:
./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"35\"]/SubItems/TSItem
Пример XML: <TSItem ID="10" Type="LI" Text="'<SYSTEM32>\netsh.exe' firewall add allowedprogram "%TEMP%\system.exe" "system.exe" ENABLE">
|
exec_num
|
Возвращает количество событий.
|
Пример: dr_sandbox.descr_tech.autorun.exec_num > 0
|
inject_to_system_proc(regexp)
|
Возвращает количество совпадений.
descr_ru:
Техническая информация
Вредоносные функции:
Внедряет код в
следующие системные процессы:
|
Пример: dr_sandbox.descr_tech.malicious.inject_to_system_proc(/RegAsm.exe/)
Xpath-запрос:
./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"40\"]/SubItems/TSItem[@ID=\"10\"]/SubItems/TSItem
Пример XML: <TSItem ID="10" Type="LI" Text="%WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegAsm.exe">
|
inject_to_system_proc_num
|
Возвращает количество событий.
|
Пример: dr_sandbox.descr_tech.autorun.inject_to_system_proc_num > 0
|
inject_to_user_proc(regexp)
|
Возвращает количество совпадений.
descr_ru:
Техническая информация
Вредоносные функции:
Внедряет код в
следующие пользовательские процессы:
|
Пример: dr_sandbox.descr_tech.malicious.inject_to_user_proc(/^iexplore.exe$/)
Xpath-запрос:
./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"40\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem
Пример XML: <TSItem ID="10" Type="LI" Text="iexplore.exe">
|
inject_to_user_proc_num
|
Возвращает количество событий.
|
Пример: dr_sandbox.descr_tech.autorun.inject_to_user_proc_num > 0
|
hook_keyboard_all_processes(regexp)
|
Возвращает количество совпадений.
descr_ru:
Техническая информация
Вредоносные функции:
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
Библиотека-обработчик для всех процессов: (?LibraryPath)
|
Пример: dr_sandbox.descr_tech.malicious.hook_keyboard_all_processes(/OQKWHP\BJX.01/)
Xpath-запрос:
./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"45\"]/SubItems/TSItem[@ID=\"10\"]/SubItems/TSItem[@ID=\"10\"]
Пример XML: <TSItem ID="10" Type="LI" Text="Handler library for all processes: %ALLUSERSPROFILE%\Application Data\OQKWHP\BJX.01">
|
hook_keyboard_all_processes_num
|
Возвращает количество событий.
|
Пример: dr_sandbox.descr_tech.autorun.hook_keyboard_all_processes_num > 0
|
hook_keyboard_concrete_processes(regexp)
|
Возвращает количество совпадений.
descr_ru:
Техническая информация
Вредоносные функции:
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
Библиотека-обработчик для процесса '(?HookedProcess.Name)': (?LibraryPath)
|
Пример: dr_sandbox.descr_tech.malicious.hook_keyboard_concrete_processes(/IMDCSC.exe/)
Xpath-запрос:
./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"45\"]/SubItems/TSItem[@ID=\"10\"]/SubItems/TSItem[@ID=\"20\"]
Пример XML: <TSItem ID="20" Type="LI" Text="Handler library for the 'IMDCSC.exe' processes: %HOMEPATH%\My Documents\DCSCMIN\IMDCSC.exe">
|
hook_keyboard_concrete_processes_num
|
Возвращает количество событий.
|
Пример: dr_sandbox.descr_tech.autorun.hook_keyboard_concrete_processes_num > 0
|
try_to_terminate_system_processes(regexp)
|
Возвращает количество совпадений.
descr_ru:
Техническая информация
Вредоносные функции:
Завершает или пытается завершить
следующие системные процессы:
|
Пример: dr_sandbox.descr_tech.malicious.try_to_terminate_system_processes(/ctfmon.exe/)
Xpath-запрос:
./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"50\"]/SubItems/TSItem[@ID=\"10\"]/SubItems/TSItem
Пример XML: <TSItem ID="10" Type="LI" Text="<SYSTEM32>\cmd.exe">
|
try_to_terminate_system_processes_num
|
Возвращает количество событий.
|
Пример: dr_sandbox.descr_tech.autorun.try_to_terminate_system_processes_num > 0
|
try_to_terminate_user_processes(regexp)
|
Возвращает количество совпадений.
descr_ru:
Техническая информация
Вредоносные функции:
Завершает или пытается завершить
следующие пользовательские процессы:
|
Пример: dr_sandbox.descr_tech.malicious.try_to_terminate_user_processes(/^AVSYNMGR.EXE$/)
Xpath-запрос:
./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"50\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem
Пример XML: <TSItem ID="10" Type="LI" Text="AVGCTRL.EXE">
|
try_to_terminate_user_processes_num
|
Возвращает количество событий.
|
Пример: dr_sandbox.descr_tech.autorun.try_to_terminate_user_processes_num > 0
|
search_password_in_registry(regexp)
|
Возвращает количество совпадений.
descr_ru:
Техническая информация
Вредоносные функции:
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
|
Пример: dr_sandbox.descr_tech.malicious.search_password_in_registry(/MessengerService/)
Xpath-запрос:
./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"60\"]/SubItems/TSItem
Пример XML: <TSItem ID="10" Type="LI" Text="[<HKCU>\Software\Microsoft\MessengerService]">
|
search_password_in_registry_num
|
Возвращает количество событий.
|
Пример: dr_sandbox.descr_tech.autorun.search_password_in_registry_num > 0
|
search_wnd_to_bypass_av(regexp)
|
Возвращает количество совпадений.
descr_ru:
Техническая информация
Вредоносные функции:
Ищет следующие окна с целью
обхода различных антивирусов:
|
Пример: dr_sandbox.descr_tech.malicious.search_wnd_to_bypass_av(/AVP.AlertDialog/)
Xpath-запрос:
./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"70\"]/SubItems/TSItem[@ID=\"10\"]/SubItems/TSItem
Пример XML: <TSItem ID="10" Type="LI" Text="ClassName: 'AVP.Product_Notification' WindowName: ''">
|
search_wnd_to_bypass_av_num
|
Возвращает количество событий.
|
Пример: dr_sandbox.descr_tech.autorun.search_wnd_to_bypass_av_num > 0
|
search_wnd_to_bypass_wfp(regexp)
|
Возвращает количество совпадений.
descr_ru:
Техническая информация
Вредоносные функции:
Ищет следующие окна с целью
обхода системы защиты файлов Windows (WFP):
|
Пример: dr_sandbox.descr_tech.malicious.search_wnd_to_bypass_wfp(/Windows File Protection/)
Xpath-запрос:
./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"70\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem
Пример XML: <TSItem ID="10" Type="LI" Text="ClassName: '' WindowName: 'Windows File Protection'">
|
search_wnd_to_bypass_wfp_num
|
Возвращает количество событий.
|
Пример: dr_sandbox.descr_tech.autorun.search_wnd_to_bypass_wfp_num > 0
|
search_wnd_for_analyzing_soft(regexp)
|
Возвращает количество совпадений.
descr_ru:
Техническая информация
Вредоносные функции:
Ищет следующие окна с целью
обнаружения утилит для анализа:
|
Пример: dr_sandbox.descr_tech.malicious.search_wnd_for_analyzing_soft(/PEiD/)
Xpath-запрос:
./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"70\"]/SubItems/TSItem[@ID=\"30\"]/SubItems/TSItem
Пример XML: <TSItem ID="10" Type="LI" Text="ClassName: '' WindowName: 'PEiD v0.95'">
|
search_wnd_for_analyzing_soft_num
|
Возвращает количество событий.
|
Пример: dr_sandbox.descr_tech.autorun.search_wnd_for_analyzing_soft_num > 0
|
search_wnd_for_programs_and_games(regexp)
|
Возвращает количество совпадений.
descr_ru:
Техническая информация
Вредоносные функции:
Ищет следующие окна с целью
обнаружения различных программ и игр:
|
Пример: dr_sandbox.descr_tech.malicious.search_wnd_for_programs_and_games(/The Wireshark Network Analyzer/)
Xpath-запрос:
./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"70\"]/SubItems/TSItem[@ID=\"40\"]/SubItems/TSItem
Пример XML: <TSItem ID="10" Type="LI" Text="ClassName: 'gdkWindowToplevel' WindowName: 'The Wireshark Network Analyzer'">
|
search_wnd_for_programs_and_games_num
|
Возвращает количество событий.
|
Пример: dr_sandbox.descr_tech.autorun.search_wnd_for_programs_and_games_num > 0
|
set_ssdt_hooks(regexp)
|
Возвращает количество совпадений.
descr_ru:
Техническая информация
Вредоносные функции:
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
|
Пример: dr_sandbox.descr_tech.malicious.set_ssdt_hooks(/NtReadVirtualMemory/)
Xpath-запрос:
./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"85\"]/SubItems/TSItem
Пример XML: <TSItem ID="10" Type="LI" Text="NtReadVirtualMemory, driver-handler: sys.sys">
|
set_ssdt_hooks_num
|
Возвращает количество событий.
|
Пример: dr_sandbox.descr_tech.autorun.set_ssdt_hooks_num > 0
|
modify_explorer_settings(regexp)
|
Возвращает количество совпадений.
descr_ru:
Техническая информация
Вредоносные функции:
Изменяет следующие настройки проводника Windows (Windows Explorer):
|
Пример: dr_sandbox.descr_tech.malicious.modify_explorer_settings(/’NoFolderOptions’ = ‘00000001’/)
Xpath-запрос:
./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"90\"]/SubItems/TSItem
Пример XML: <TSItem ID="10" Type="LI" Text="[<HKLM>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoFolderOptions' = '00000001'">
|
modify_explorer_settings_num
|
Возвращает количество событий.
|
Пример: dr_sandbox.descr_tech.autorun.modify_explorer_settings_num > 0
|
modify_ie_settings(regexp)
|
Возвращает количество совпадений.
descr_ru:
Техническая информация
Вредоносные функции:
Изменяет следующие настройки браузера Windows Internet Explorer:
|
Пример: dr_sandbox.descr_tech.malicious.modify_ie_settings(/Zones\1] ‘1206’ = ‘00000000’/)
Xpath-запрос:
./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"100\"]/SubItems/TSItem
Пример XML: <TSItem ID="10" Type="LI" Text="[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '1206' = '00000000'">
|
modify_ie_settings_num
|
Возвращает количество событий.
|
Пример: dr_sandbox.descr_tech.autorun.modify_ie_settings_num > 0
|
hide_processes(regexp)
|
Возвращает количество совпадений.
descr_ru:
Техническая информация
Вредоносные функции:
Скрывает следующие процессы:
|
Пример: dr_sandbox.descr_tech.malicious.hide_processes(/cscript.exe/)
Xpath-запрос:
./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"105\"]/SubItems/TSItem
Пример XML: <TSItem ID="10" Type="LI" Text="<SYSTEM32>\cscript.exe">
|
hide_processes_num
|
Возвращает количество событий.
|
Пример: dr_sandbox.descr_tech.autorun.hide_processes_num > 0
|
hide_from_view_hidden_files
|
Возвращает 1 если событие произошло, 0 — если нет.
descr_ru:
Техническая информация
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
скрытых файлов
|
Пример: dr_sandbox.descr_tech.malicious.hide_from_view_hidden_files
Xpath-запрос:
./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"10\"]/SubItems/TSItem[@ID=\"10\"]
Пример XML: <TSItem ID="10" Type="LI" Text="hidden files">
|
hide_from_view_file_extensions
|
Возвращает 1 если событие произошло, 0 — если нет.
descr_ru:
Техническая информация
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
расширений файлов
|
Пример: dr_sandbox.descr_tech.malicious.hide_from_view_file_extensions
Xpath-запрос:
./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"10\"]/SubItems/TSItem[@ID=\"20\"]
Пример XML: <TSItem ID="20" Type="LI" Text="filename extensions">
|
block_cmd
|
Возвращает 1 если событие произошло, 0 — если нет.
descr_ru:
Техническая информация
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
Интерпретатора командной строки (CMD)
|
Пример: dr_sandbox.descr_tech.malicious.block_cmd
Xpath-запрос:
./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"10\"]
Пример XML: <TSItem ID="10" Type="LI" Text="Command line interpreter(CMD)">
|
block_taskmgr
|
Возвращает 1 если событие произошло, 0 — если нет.
descr_ru:
Техническая информация
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
Диспетчера задач (Taskmgr)
|
Пример: dr_sandbox.descr_tech.malicious.block_taskmgr
Xpath-запрос:
./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"20\"]
Пример XML: <TSItem ID="20" Type="LI" Text="Task manager(Taskmgr)">
|
block_regedit
|
Возвращает 1 если событие произошло, 0 — если нет.
descr_ru:
Техническая информация
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
Редактора реестра (RegEdit)
|
Пример: dr_sandbox.descr_tech.malicious.block_regedit
Xpath-запрос:
./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"30\"]
Пример XML: <TSItem ID="30" Type="LI" Text="Registry editor (RegEdit)">
|
block_sr
|
Возвращает 1 если событие произошло, 0 — если нет.
descr_ru:
Техническая информация
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
Компонент восстановления системы (SR)
|
Пример: dr_sandbox.descr_tech.malicious.block_sr
Xpath-запрос:
./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"30\"]/SubItems/TSItem[@ID=\"10\"]
Пример XML: <TSItem ID="10" Type="LI" Text="System Restore Component(SR)">
|
block_uac
|
Возвращает 1 если событие произошло, 0 — если нет.
descr_ru:
Техническая информация
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
Средство контроля пользовательских учетных записей (UAC)
|
Пример: dr_sandbox.descr_tech.malicious.block_uac
Xpath-запрос:
./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"30\"]/SubItems/TSItem[@ID=\"30\"]
Пример XML: <TSItem ID="30" Type="LI" Text="User Account Control(UAC)">
|
block_sfc
|
Возвращает 1 если событие произошло, 0 — если нет.
descr_ru:
Техническая информация
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
Cредство проверки системных файлов (SFC)
|
Пример: dr_sandbox.descr_tech.malicious.block_sfc
Xpath-запрос:
./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"30\"]/SubItems/TSItem[@ID=\"40\"]
Пример XML: <TSItem ID="40" Type="LI" Text="System File Checker(SFC)">
|
block_windows_security_center
|
Возвращает 1 если событие произошло, 0 — если нет.
descr_ru:
Техническая информация
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
Центр обеспечения безопасности (Security Center)
|
Пример: dr_sandbox.descr_tech.malicious.block_windows_security_center
Xpath-запрос:
./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"30\"]/SubItems/TSItem[@ID=\"50\"]
Пример XML: <TSItem ID="50" Type="LI" Text="Security Center">
|
inject_to_a_lot_of_user_processes
|
Возвращает 1 если событие произошло, 0 — если нет.
descr_ru:
Техническая информация
Вредоносные функции:
Внедряет код в
большое количество пользовательских процессов.
|
Пример: dr_sandbox.descr_tech.malicious.inject_to_a_lot_of_user_processes
Xpath-запрос:
./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"40\"]/SubItems/TSItem[@ID=\"30\"]
Пример XML: <TSItem ID="30" Type="PT" Text="a high number of user processes">
|
try_to_terminate_a_lot_of_user_processes
|
Возвращает 1 если событие произошло, 0 — если нет.
descr_ru:
Техническая информация
Вредоносные функции:
Завершает или пытается завершить
большое количество пользовательских процессов.
|
Пример: dr_sandbox.descr_tech.malicious.try_to_terminate_a_lot_of_user_processes
Xpath-запрос:
./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"50\"]/SubItems/TSItem[@ID=\"30\"]
Пример XML: <TSItem ID="30" Type="PT" Text="a high number of user processes">
|
remove_ssdt_hooks
|
Возвращает 1 если событие произошло, 0 — если нет.
descr_ru:
Техническая информация
Вредоносные функции:
Устраняет перехваты фукнций в SSDT (System Service Descriptor Table).
|
Пример: dr_sandbox.descr_tech.malicious.remove_ssdt_hooks
Xpath-запрос: ./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"88\"]
Пример XML: <TSItem ID="88" Type="PT" Text="System Service Descriptor Table">
|
force_autorun_for_removable_media
|
Возвращает 1 если событие произошло, 0 — если нет.
descr_ru:
Техническая информация
Вредоносные функции:
Принудительно разрешает автозапуск со съемных носителей.
|
Пример: dr_sandbox.descr_tech.malicious.force_autorun_for_removable_media
Xpath-запрос: ./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"110\"]
Пример XML: <TSItem ID="110" Type="PT" Text="Forces autorun for removable media.">
|
set_homepage_for_ie
|
Возвращает 1 если событие произошло, 0 — если нет.
descr_ru:
Техническая информация
Вредоносные функции:
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
|
Пример: dr_sandbox.descr_tech.malicious.set_homepage_for_ie
Xpath-запрос: ./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"120\"]
Пример XML: <TSItem ID="120" Type="PT" Text="Sets a new unauthorized home page for Internet Explorer.">
|
shut_down_windows
|
Возвращает 1 если событие произошло, 0 — если нет.
descr_ru:
Техническая информация
Вредоносные функции:
Пытается завершить работу операционной системы Windows.
|
Пример: dr_sandbox.descr_tech.malicious.shut_down_windows
Xpath-запрос: ./SubItems/TSItem[@ID=\"20\"]/SubItems/TSItem[@ID=\"130\"]
Пример XML: <TSItem ID="130" Type="PT" Text="Attempts to shut down the Windows operating system.">
|