MCShield

1

MCShield

offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 24 Jul 2007
  • Poruke: 12280
  • Gde živiš: Höganäs, SE


MCShield


Trenutna verzija: 2.x



Napomena: tema o aktuelnoj verziji 2 je na donjem linku:

http://www.mycity.rs/MyCity-Laboratorija/MCShield-v2.html



MCShield je antimalware program zamišljen da spreči infekcije crvima putem prenosivih diskova (USB flash uređaji, memorijske kartice, eksterni hard diskovi, itd.).

U pitanju je "domaći proizvod" u najužem smislu tog pojma; programirali su ga članovi AMF tima, a testiranje su odradili AMF-ovi, Stručna lica i moderatori MC foruma (na čemu sam im veoma zahvalan).


Komponente MCShielda

MCShield - skener i monitoring komponenta;

MCShieldTray - Tray Controller za upravljanje programom i pristup ostalim komponentama iz traya;

CPanel : služi za podešavanja programa, pristup karantinu i upravljanje skenerom;

QManager : služi za rad sa stavkama u karantinu;

Updater : služi za proveru ažuriranja programa i baze.




Opcije dostupne u Start meniju i trayu te CPanel i QManager:


__________ __________ __________


Sam skener ne sadrži GUI funkcionalnost; on će samo da daje obaveštenja tokom rada (pri pokretanju, zatvaranju, nakon skeniranja).






Premda konfigurabilan, MCShield će optimalno da radi bez ikakvih dodatnih podešavanja.

Pri samom pokretanju program će izvršiti brzo skeniranje svih diskova (fiksnih i prenosivih) i zatim će se prebaciti u monitoring mode (čekanje na nove uređaje).

Tipičan log bi mogao da izgleda slično ovome:

<<<MCShield>>> Monitoring started at 10.4.2010 13:39:27

10.4.2010 13:39:27 > Checking C: (WD_1 ~100 GB, NTFS HDD )...

10.4.2010 13:39:27 > Checking D: (WD_2 ~100 GB, NTFS HDD )...

10.4.2010 13:39:27 > Checking E: (WD_3 ~396 GB, NTFS HDD )...

10.4.2010 13:39:27 > Checking G: (KINGSTON ~1 GB, FAT32 flash drive )...

10.4.2010 13:39:28 > Checking R: (System ~15 GB, NTFS HDD )...

10.4.2010 13:39:28 > Checking S: (Clean ~25 GB, NTFS HDD )...

10.4.2010 13:39:28 > Checking T: (Video ~65 GB, NTFS HDD )...

10.4.2010 13:39:28 > Checking U: (The_V_Disk ~9 GB, NTFS HDD )...



Kao što se da primetiti, inicijalno skeniranje čistih diskova je kratkotrajno i obično traje 1-2 s.


MCShield uvek radi u auto removal modu što znači da će da poduzme odgovarajuće akcije (u zavisnosti od podešavanja) kada proceni da je to potrebno bez da prethodno postavlja upit u vezi toga.

MCShield deli datoteke i fascikle na tri grupe:

- legitimni (koji će biti ignorisani);
- maliciozni (koji će biti kopirani u karantin i obrisani);
- sumnjivi (kojima će biti dodata ekstenzija ".vir" kako bi se onesposobili).

Svaki autorun.inf file je sumnjiv i biće preimenovan sem u slučaju da program utvrdi da je isti legitimnog porekla.

Svaki drugi sumnjivi file će biti preimenovan - na vama je da odredite da li je file maliciozan.
Možete to uraditi uploadom na http://www.virustotal.com/ .

Ukoliko je file doista maliciozan (ili ste prosto u dilemi u vezi njegove legitimnosti), poželjno je da uploadujete primerak file-a preko ovog linka ili da ga upakujete u rar arhivu i pošaljete na mcshield.support|AT|gmail.com (zameniti |AT| sa @) kako bih ga mogao dodati u definicije malware - time pomažete sebi, meni i svim ostalim korisnicima programa.



Primer inficiranog flash drive-a; ubrzo nakon priključenja se pojavi ovakav upit:



Klik na Yes ili prosto čekanje daje log skeniranja:


10.4.2010 17:17:41 > Checking G: (KINGSTON ~1 GB, FAT32 flash drive )...

>>> G:\autorun.inf > Renamed.

>>> G:\diapiif.exe - Worm > Deleted. (10.04.10. 17.17 diapiif.exe.178936)

>>> G:\AutoRun.exe - Worm > Deleted. (10.04.10. 17.17 AutoRun.exe.751869)

>>> G:\diapiif.scr - Worm > Deleted. (10.04.10. 17.17 diapiif.scr.626546)


Da se primetiti da je autorun.inf preimenovan (u autorun.vir).

>>> G:\diapiif.exe - Worm > Deleted. (10.04.10. 17.17 diapiif.exe.178936)

G:\diapiif.exe - file na kome je izvršena neka akcija;

Deleted. - izvršena akcija (brisanje)

(10.04.10. 17.17 diapiif.exe.178936) - datum i vreme brisanja, naziv file-a u karantinu:




Generalno govoreći, MCShield je veoma precizan i oprezan pri vršenju bilo kakvih akcija - verovatnoća da neki file/folder bude obrisan greškom je izuzetno mala.
Verovatnoća da legitiman file bude obeležen kao sumnjiv (i da bude preimenovan) jeste nešto veća, no praksa pokazuje da je to veoma retko.

Nemojte se olako odlučiti na pokretanje file-ova koje MCShield preimenuje - uvek postoji dobar razlog zašto je program procenio da je neki file sumnjiv i to ne treba ignorisati sem ako ste 100% sigurni da je file legitiman.



Primer višestruko inficiranog diska:

10.4.2010 18:35:08 > Checking G: (KINGSTON ~1 GB, FAT32 flash drive )...

>>> G:\autorun.inf > Renamed.

---> Note: Win32.Rimecud has been identified!

>>> G:\pozuda\malena.exe - Worm > Deleted. (10.04.10. 18.35 malena.exe.401791)

>>> G:\pozuda.exe - Worm > Deleted. (10.04.10. 18.35 pozuda.exe.278480)

>>> G:\New Folder.exe - Worm > Deleted. (10.04.10. 18.35 New Folder.exe.835363)

>>> G:\AutoRun.exe - Worm > Deleted. (10.04.10. 18.35 AutoRun.exe.164713)

> G:\pozuda
> G:\pozuda\Desktop.ini
>>> G:\pozuda - Worm.Traces > Deleted. (10.04.10. 18.35 pozuda.425931)

> Restoring defaults: G:\New Folder


Ovo gore je za rezultat imalo čist drive:




Naravno, neće svaki put MCShield da odradi tako dobar posao, no kao što pomenuh, vi možete pomoći u tome slanjem sumnjivih (preimenovanih) file-ova i onih koje program uopšte nije detektovao.

Poželjno je da preostali zaštitni softver koji koristite podesite da ignoriše bilo kakve aktivnosti programa MCShield - na ovaj način postižete maksimalnu brzinu skeniranja, najviši nivo detekcije i optimalne akcije oporavka/restauracije legitimnih file-ova koji su izmenjeni od strane crva (npr. otkrivanje foldera, promenu imena i atributa legitimnih file-ova, itd.).

Imati na umu da trajanje skeniranja na prenosivim diskovima zavisi od broja file-ova na skeniranom disku i u retkim slučajevima može da potraje 2-3 minuta (npr. flash drive na kome je Lupo Pen Suite sa ~ 10 000 file-ova). Uvek sačekajte da program prikaže obaveštenje da se disk čini čist ili da su poduzete određene akcije na njemu.



Licenca, disclaimer & copyright...

Licenca: MCShield je besplatan samo za privatnu, ne komercijalnu upotrebu. U svim ostalim slučajevima potrebno je tražiti dodatnu dozvolu od autora programa.

Zabranjeno je dekompajliranje ili bilo kakva druga izmena instalacionog paketa i/ili komponenti programa kao i bilo koji vid redistribucije i/ili držanja programa na drugim internet stranama.

Odricanje od odgovornosti: MCShield se licencira na korišćenje bez ikakvih garancija. Korišćenje programa MCShield podrazumeva da autor(i) programa ne mogu biti odgovorni za bilo kakvu štetu nastalu kao posledica rada programa.



MCShield (c) Borislav Šurbat i Bogdan Tepavac, sva prava zadržana.

MCShield koristi komponente koje su razvili:

- Belus Technology Inc. (XChecksum Module)

- Ken Saunders, MouseRunner.com (icons)



Home page: http://amf.mycity.rs/programs/mc/mcshield/

E-mail: mcshield.support|AT|gmail.com



MCShield radi na Windows XP, Vista, Windows 7.




Komentari, predlozi i pitanja su dobro došli.

Ukoliko prijavljujete false positive (pogrešnu detekciju), potreban mi je primerak file-a i log skeniranja.

Ukoliko prijavljujete bug, proverite da li je neželjeno ponašanje moguće reprodukovati (u suprotnom ništa nije moguće uraditi) i detaljno opišite kako to može da se uradi.



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • diarno  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 15 Jun 2007
  • Poruke: 5572

Za korisnike Avast Pro i Internet Security verzije : Prilikom instalacije desice se da se oglasi Avastov Script Shield modul. MCShield je prijavljen kao false positive i ocekujemo da za dva tri update-a stave MCShield na whitelistu. Ukoliko se to ne desi prijavicemo ga na zvanicnom forumu u odgovarajucoj sekciji.



offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 24 Jul 2007
  • Poruke: 12280
  • Gde živiš: Höganäs, SE

diarno, da li je ovo sređeno? avast!-ov predstavnik kaže da već jutros nije bilo detekcije.



Inače, primećen je jedan manji bug u v1.0. Kada se Tray Controller pokrene sa Windows-om, ne rade CPanel i QManager stavke u tray meniju (programi rade, ali ih se ne može pokrenuti iz tray menija).

Ovo je sređeno u verziji 1.0.1 koja će biti uploadovana za dan ili dva.

Citat:Imati na umu da trajanje skeniranja na prenosivim diskovima zavisi od broja file-ova na skeniranom disku i u retkim slučajevima može da potraje 2-3 minuta (npr. flash drive na kome je Lupo Pen Suite sa ~ 10 000 file-ova). Uvek sačekajte da program prikaže obaveštenje da se disk čini čist ili da su poduzete određene akcije na njemu.

Moram da se demantujem/dopunim.

Kod ekstremno inficiranih diskova, skeniranje može da traje dosta duže.

Kao primer, sledi log skeniranja (stres-test verzije 1.0.1) flash drive-a na kome je pomenuti Lupo Pen Suite koji je bio priključen na računar gde je aktivno nekoliko crva.

Skeniranje je trajalo ~ 12 minuta, obrisano je 756 file-ova, a dva su preimenovana.


https://www.mycity.rs/must-login.png



Neka vas ne zavaraju nazivi file-ova - MCShield nije napravio nijednu pogrešnu detekciju tokom tog skeniranja. Svi detektovani file-ovi su bili maliciozni.

offline
  • Pridružio: 12 Feb 2005
  • Poruke: 17

Citat:MCShield uvek radi u auto removal modu što znači da će da poduzme odgovarajuće akcije (u zavisnosti od podešavanja) kada proceni da je to potrebno bez da prethodno postavlja upit u vezi toga.

Ovaj deo mi se bas i ne svidja, bojim se da bi mogao da mi obrise i ponesto sto ja ne zelim Sad

Citat:da li je ovo sređeno? avast!-ov predstavnik kaže da već jutros nije bilo detekcije.

Jeste malopre sam proverio na virustotal i rezultat je 1/40

Citat: File MCShield-Setup_2_.exe received on 2010.04.13 16:44:19 (UTC)
Current status: finished
Result: 1/40 (2.50%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.04.13 -
AhnLab-V3 5.0.0.2 2010.04.13 -
AntiVir 7.10.6.68 2010.04.13 -
Antiy-AVL 2.0.3.7 2010.04.13 -
Authentium 5.2.0.5 2010.04.13 -
Avast 4.8.1351.0 2010.04.13 -
Avast5 5.0.332.0 2010.04.13 -
AVG 9.0.0.787 2010.04.13 -
BitDefender 7.2 2010.04.13 -
CAT-QuickHeal 10.00 2010.04.13 (Suspicious) - DNAScan
ClamAV 0.96.0.3-git 2010.04.13 -
Comodo 4588 2010.04.13 -
DrWeb 5.0.2.03300 2010.04.13 -
eSafe 7.0.17.0 2010.04.13 -
eTrust-Vet 35.2.7423 2010.04.13 -
F-Prot 4.5.1.85 2010.04.13 -
F-Secure 9.0.15370.0 2010.04.13 -
Fortinet 4.0.14.0 2010.04.12 -
GData 19 2010.04.13 -
Ikarus T3.1.1.80.0 2010.04.13 -
Jiangmin 13.0.900 2010.04.13 -
Kaspersky 7.0.0.125 2010.04.13 -
McAfee 5.400.0.1158 2010.04.13 -
McAfee-GW-Edition 6.8.5 2010.04.13 -
Microsoft 1.5605 2010.04.13 -
NOD32 5026 2010.04.13 -
Norman 6.04.11 2010.04.13 -
nProtect 2009.1.8.0 2010.04.06 -
Panda 10.0.2.7 2010.04.13 -
PCTools 7.0.3.5 2010.04.13 -
Prevx 3.0 2010.04.13 -
Rising 22.43.01.01 2010.04.13 -
Sophos 4.52.0 2010.04.13 -
Sunbelt 6170 2010.04.13 -
Symantec 20091.2.0.41 2010.04.13 -
TheHacker 6.5.2.0.260 2010.04.13 -
TrendMicro 9.120.0.1004 2010.04.13 -
VBA32 3.12.12.4 2010.04.09 -
ViRobot 2010.4.13.2274 2010.04.13 -
VirusBuster 5.0.27.0 2010.04.13 -

offline
  • diarno  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 15 Jun 2007
  • Poruke: 5572

Napisano: 13 Apr 2010 19:15

dr_Bora ::diarno, da li je ovo sređeno? avast!-ov predstavnik kaže da već jutros nije bilo detekcije.



Nije.

Detekcija nastaje 5/6 sekundi po instalaciji programa.

Iako vidite da u tray stoji mcshield, ako pokusam isti da startujem(bilo koju komponentu) avast blokira.

I naravno, baza definicija je poslednja izasla.



Dopuna: 13 Apr 2010 19:41

Citat:Ovaj deo mi se bas i ne svidja, bojim se da bi mogao da mi obrise i ponesto sto ja ne zelim

Sanse za to su minimalne zaista Smile

MCShield je testiran na svakojakim primercima malware-a (folder fakerima, file replikatorima(ovo dvoje je u Srba najrasprostranjenije), klasicnim crvima, file infektorima etc, etc. Samo kroz moj racunar i mcshield je proslo brdo ovakvog malware-a, a ako hoces da te utesim svi ti uredjaji su sadrzali veoma bitne(veoma) poslovne datoteke. Naravno, tu je uvek marfijev zakon Mr. Green

Sto se tice Avasta, sam engine ne detektuje nista(ko ima pro ili is nek uradi desni klik na sve mcshield-ove foldere. Problem je taj novi modul koji reaguje pri pokusaju ucitavanja skripte u memoriju.

offline
  • Pridružio: 31 Avg 2009
  • Poruke: 234
  • Gde živiš: Republika Srpska

Nadam se da će ovi problemčići biti brzo ispravljeni,a želim da pohvalim i pozdravim sve ljude koji su uključeni u ovaj projekat,i koji nama ostalima nastoje obezbjediti kakvu-takvu sigurnost na netu, a nadam se,u dogledno vrijeme,da će se pojaviti i prvi sprski antivirusni program!

offline
  • Pridružio: 12 Feb 2005
  • Poruke: 17

Koju bazu definicija koristite tj. program?

offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 24 Jul 2007
  • Poruke: 12280
  • Gde živiš: Höganäs, SE

Goran_M ::Citat:MCShield uvek radi u auto removal modu što znači da će da poduzme odgovarajuće akcije (u zavisnosti od podešavanja) kada proceni da je to potrebno bez da prethodno postavlja upit u vezi toga.

Ovaj deo mi se bas i ne svidja, bojim se da bi mogao da mi obrise i ponesto sto ja ne zelim Sad



Gorane, veruj mi da ovo nije prvi put da čujem ovako nešto. Razmišljah o tome dosta i što više razmišljam, sve sam sigurniji u ispravnost odluke da MCShield sam vrši procenu potrebnih akcija.


Osvrnimo se na log koji sam ranije postavio. Pretpostavimo da MCShield odradi skeniranje i prikaže sledeće (mali deo onoga što je prikazano u gornjem logu):


Files detected:

>>> G:\Slike.exe
>>> G:\Lupo_PenSuite_v2010.02_Full\Apps\FileZilla\FileZilla.exe
>>> G:\Lupo_PenSuite_v2010.02_Full\Apps\Notepad++\Notepad++.exe


Pretpostavimo i sledeće:

- korisnik zna da on na tom flashu ima folder pod nazivom "Slike" (folder doista postoji);
- korisnik zna da na tom flashu ima portable verzije programa Notepad++ i FileZilla koji on pokreće dvoklikom na file "FileZilla" i na file "Notepad++".

Ove pretpostavke su više no realne.

Uzmimo u obzir sledeće:

- 99,9 % korisnika ne razume pojam file ekstenzija;
- 99,9 % korisnika ne zna da primeti razliku između foldera "Slike" i file-a "Slike" (zato što ne znaju da je file "Slike" u stvari "Slike.exe").



Šta bi prosečan (pa i napredan) korisnik od ponuđenoga obeležio za uklanjanje?

Ništa. Zašto? Zato što se ti file-ovi čine legitimni na prvi pogled.

Zašto MCShield mora da koristi auto mode? Zato što ti file-ovi nisu legitimni, već su u pitanju varijante dva crva.


Kao što rekoh ranije, MCShield je prilično oprezan pri brisanju file-ova i verovatnoća pogrešnog brisanja je veoma mala. Čak i ako se to dogodi, kopija file-a / foldera se nalazi u karantinu.


Goran_M ::Koju bazu definicija koristite tj. program?

Vlastitu. Trenutna veličina je ispod 2 KB.

MCShield nije pokušaj još jednog AV programa koji će da koristi tuđe definicije ili da se hvali time što u bazi ima definicije za 5 000 000 virusa (od kojih ~ 4 990 000 ne postoji in the wild već godinama).

Ciljna grupa infekcija su autorun crvi / USB infektori. Većina detekcija je generičkog karaktera, a baza služi samo kao pomoć gen. / heur. rutinama, tj. za pokrivanje malware-a koji na drugi način ne može biti detektovan sem preciznim matematičkim otiskom.



@ jezeranac, hvala. Problemčići još nisu ispravljeni, no biće najkasnije sutra.

avast-u sam opet prijavio FP (ovaj put uz detaljnu analizu šta njihov program radi mom programu, pošto to oni izgleda ne mogu da skontaju). Ne reše li ga oni do sutra, rešiću ga ja izmenama programa.
Zbog popularnosti avast-a kod nas, odlučio sam da privremeno sklonim MCShield sa servera; nema potrebe da se ljudi štrecaju zbog ovog FP-a.
Stay tuned... Smile

offline

A, zašto ovaj link koji ste ponudili ne radi???

Not Found

The requested URL /programs/mc/mcshield/MCShield-Setup.exe was not found on this server.


Pardon, nisam vidio šta piše na kraju teksta...

offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 24 Jul 2007
  • Poruke: 12280
  • Gde živiš: Höganäs, SE

v 1.0.1 je dostupna za download.

Izmene:

- (ispravka) stavke u tray meniju ne rade ako je Tray Controller startovan sa Windowsom;
- (izmena) novi scan indikator.



MCShield Setup


Napomena: pre instalacije nove verzije zaustaviti skener i zatvoriti tray controller kako bi se izbegla potreba za restartovanjem Windowsa.

17 Mar 2012 12:55 dr_Bora Zaključavanje topica Razlog: Objavljena je verzija 2 i otvorena je nova tema.  
Ko je trenutno na forumu
 

Ukupno su 634 korisnika na forumu :: 9 registrovanih, 2 sakrivenih i 623 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: -[CoA]-, Battlehammer, cikadeda, gorantrojka, HrcAk47, Kenanjoz, Kruger, sovanova95, Vitomir