я в шоке! что это за гадость!?

JAW · 31.05.2008

Ответ: я в шоке! что это за гадость!?

Да... Чтобы было понятно.
Со времён DOS Мелкомягкие системы вели себя не совсем честно...
т.е. педполагалось, что конкретному типу файлов (т.е. расширению) соответстствует конкретный исполнитель, однако если переименовать .exe файл в .com (а это принципиально разные форматы файлов и совершенно по разному должны обрабатываться), то он запустится и корректно отработает.
(иногда это даже помогает, т.к. вирусописатели про .com забыли напрочь

)

В Винде тоже разного типа исполняемые файлы (а количество исполняемых увеличилось) определяются не по расширению а по реальному типу (заголовок файла содержащийся в теле).

Кстати... Судя по всему контент сайта удалён...
Автор идеи похоже просёк, что его обнаружили...
Вероятно благодаря моему посту, т.к. форум с высоким уровнем цитирования и организовав подобную штуку я бы точно проверял все упоминаня сайта в поисковиках.

xm · 31.05.2008

Ответ: я в шоке! что это за гадость!?

JAW
спасибо

ch_alex · 01.06.2008

Ответ: я в шоке! что это за гадость!?

TRANTOR сказал(а):
Выкинуть нафиг.

Кстати, вирус MilDrop превосходно залезает в автозапуск флешки.
Предупреждать заказчика и мочить (вирус, естественно!

). Заодно выключить автозапуск со всех носителей!

У меня коллега заразил свою хрень вирусом. Мы все компы позакрывали от удалённого админовского управления и поставили файрволы, так что остальные не пострадали. Пришлось ему поднимать из прошлогоднего имиджа свою систему и маялся он примерно неделю, прежде чем принял решение поднять имидж. Заодно снёс телефонную базу на своём Асусе (по идиотскому замыслу программистов удаление профиля в софте синхронизации приводит к обнулению телефонной базы самого пада).

ch_alex · 01.06.2008

Ответ: я в шоке! что это за гадость!?

JAW сказал(а):
однако если переименовать .exe файл в .com (а это принципиально разные форматы файлов и совершенно по разному должны обрабатываться), то он запустится и корректно отработает.

Точно? А если при этом программа в памяти занимает более 1 сегмента? Проверял? Я - нет.

В Винде тоже разного типа исполняемые файлы (а количество исполняемых увеличилось) определяются не по расширению а по реальному типу (заголовок файла содержащийся в теле).

Если расширение попало в множество исполняемых файлов...

SINL · 01.06.2008

Ответ: я в шоке! что это за гадость!?

Неа, не всё так радостно

ren notepad.exe text.txt
start text.txt

ch_alex · 01.06.2008

Ответ: я в шоке! что это за гадость!?

Это если писать батч. А просто так кликнуть мышкой? Тоже запуститься как файл? Только переименовывать нужно или копию, или другой экзешник.

JAW · 01.06.2008

Ответ: я в шоке! что это за гадость!?

ch_alex сказал(а):
Точно? А если при этом программа в памяти занимает более 1 сегмента? Проверял? Я - нет.

Проверял неоднократно...
Последний раз приползла какая-то ерунда, которая в том числе не давала запустить .exe Переименовал его в COM и запустил AVZ...
А дальше ело техники...

Кстати, может глючу, но кажется с .BAT та же история (но проверять нужно...)

ch_alex · 01.06.2008

Ответ: я в шоке! что это за гадость!?

JAW сказал(а):
Кстати, может глючу, но кажется с .BAT та же история (но проверять нужно...)

Та же история. На флешках уже встречал исполняемый файл (заголовок MZ), имеющий название autorun.bat. Вирус, мать его...

JAW · 01.06.2008

Ответ: я в шоке! что это за гадость!?

А вот в .com батники переименовывать не стоит...
т.к. .com и .bat не имеют сигнатур указывающих какой именно это тип файла...
В общем запустится, зараза, как .com с, кажется, 100-го адреса...
Давно было всё... вспоминается с трудом.

TRANTOR · 02.06.2008

Ответ: я в шоке! что это за гадость!?

ch_alex сказал(а):
Предупреждать заказчика и мочить

А лучше мочить его сразу, без предупреждения, чтоб больше не подсовывал завирусованные флешки. '))'

Заодно выключить автозапуск со всех носителей!

Это почти первое, что надо сделать после установки Винды.

xm · 02.06.2008

Ответ: я в шоке! что это за гадость!?

=Заодно выключить автозапуск со всех носителей! =

Это почти первое, что надо сделать после установки Винды.

автозапуск чего?

и ваще столько заумного наговорено - что я еще в большем шоке

Samsonov · 03.06.2008

Ответ: я в шоке! что это за гадость!?

JAW сказал(а):
Прежде чем идти по какой-либо ссылке, нужно убедиться в том, что корреспондент ещё «жив».

Это всё ерунда.

Во-первых, вирус может послать собственное сообщение, вклинив его в сокет, открытый ICQ, минуя пользовательский интерфейс. Если вирус не глупый, он сделает это во время вашей беседы, а не в свободное время. Естественно, спросив друга, жив ли он, вы получите положительный ответ.

Во-вторых, лично видел на форуме (не этом) вирусную ссылку, внедрённую как подпись в сообщение обычного пользователя. Естественно, вирус блокировал отображение этой ссылки самому отправителю, поэтому человек долго не мог понять, за что его матерят. Хотя на вопрос «Чьё сообщение — твоё?» он, конечно же, ответил бы «Да!».

TRANTOR · 03.06.2008

Ответ: я в шоке! что это за гадость!?

xm__ сказал(а):
автозапуск чего?

Всего.

Нужно запретить автозапуск для всех съемных носителей. Подробнее на эту тему можно, я думаю, погуглить.

JAW · 04.06.2008

Ответ: я в шоке! что это за гадость!?

Samsonov
Это да... Но я почему-то живу лет 6 на одной системе не закрытой антивирусами и файерволами, и пока не одного вируса...
Хотя и по разным allkeys.хрю тоже лажу...
Да и порносайты по приколу изредка, но посещаю (не чаще раза в год, т.к. после профилактического посещения мне становится ну очень скучно)

Тут вопрос сложный. Я обычно хожу по одним проторенным тропкам и довольно аккуратно. Некоторые лезут везде... В прочем я сижу за NAT (маршрутизатор).
Но на работе те, кто ловят приключения, тоже за ним сидят...

Правда есть один фактор... Тот, человек, который имеет больше всех, в случае тормозов машины и различных проблем начинает лихорадочно давить на все кнопки, которые знает порой промахиваясь

Да и... Как съездит в отпуск, сразу бегом к венерологу

Наверное это связано

JAW · 04.06.2008

Ответ: я в шоке! что это за гадость!?

TRANTOR сказал(а):
Всего. Нужно запретить автозапуск для всех съемных носителей. Подробнее на эту тему можно, я думаю, погуглить.

Ой... Как это сделать в XP?
Они, заразы, все лезут... Приводы то можно отрубить, а флэшки, так и не нашёл как...

ch_alex · 04.06.2008

Ответ: я в шоке! что это за гадость!?

JAW сказал(а):
Ой... Как это сделать в XP?

gpedit.msc
А потом смотри на превью.

TRANTOR · 04.06.2008

Ответ: я в шоке! что это за гадость!?

ch_alex сказал(а):
gpedit.msc

Кажется (хотя могу и ошибаться), что этого недостаточно. Нужно еще в каком-то месте в реестре запрещать. Точно не помню...

qsedftghk · 04.06.2008

Ответ: я в шоке! что это за гадость!?

Всё легко лечится при использовании данного инструмента

JAW · 04.06.2008

Ответ: я в шоке! что это за гадость!?

Данный инструмент помогает только в руках опытного шамана

xm · 05.06.2008

Ответ: я в шоке! что это за гадость!?

а проявился ж вражина
сегодня - ушел обедать
и ничего из инета включено не было
прихожу - здрасти
красный нодовский аларм

и я не то искал
нод его обнаружил как демедж архив chief[1].zip
вот я лох - конечно же с инета всё под цифиркой качается
и в нем как и обещали chief.src сидел

удалил конечно его - но конечно не помогло
TrojanDownloader.Wigon продолжает сыпаться
но при каждом запуске компа нод очередной uxp33.sys (cjr55, khl77...) кидает в карантин

дальше с айтишником будем боротся
а на край всегда есть хороший акронисовский образ

Поиск

я в шоке! что это за гадость!?

JAW

xm

иксэ́м

ch_alex

Погулять вышел.

ch_alex

Погулять вышел.

SINL

Registered User

ch_alex

Погулять вышел.

JAW

ch_alex

Погулять вышел.

JAW

TRANTOR

Son of a Gun

xm

иксэ́м

Samsonov

Участник

TRANTOR

Son of a Gun

JAW

JAW

ch_alex

Погулять вышел.

Вложения

TRANTOR

Son of a Gun

qsedftghk

фея

Вложения

JAW

xm

иксэ́м