autorun.inf

[X0R]

Цитата:

[AutoRun]
;eCet dsseOGmoLBAxVfb
;
SheLl\opeN\cOMmAnd=pdyt.exe
;AqIWmc SpIvIumTfw hrcdrHegRoa
shell\OPeN\DefaulT=1
;nErSivfnQeVyUHsJNnVGphpAfednNb cdiuJnWh fKwxTsrysoacBMQH
SheLL\eXploRe\COMMAnD =pdyt.exe
OpeN= pdyt.exe
;JLag
shelL\Autoplay\COmmANd=pdyt.exe

Типичный пример autorun.inf файла от вируса.
Вопрос - зачем нужны строки выделенные жирным?

[zeroserg]

возможно куски кода от вируса.. хотя врятли..
мб для усложнения идентификации вируса антивирусами - строчки эти мб генерироваться автоматически при заражении ( склоняюсь к этому варианту )

мб коментарии в гуковской кодировке =)
вариантов куча....

[X0R]

1) полюбас не
2) Думал над этим, но анализатор подобных файлов пишется не сложно...этож каким антивирус должен быть чтоб пропустить
3) изык хакироф

хотелось бы не варианты, а правильный ответ

[zeroserg]

тогда тебе надо обращаться к афтору вируса. только он точно знает что это за крякозябры.

хотя.. второй вариант посмотри получше - там даж пути написаны в различном регистре. не для понта же..

[builder]

Искал данные по существу вопроса. Набрел на форум негодяев-вирусописателей.
Тема была такая:
- Антивирус определяет ахтунг в autorun.inf
- ... куча советов ...
- А вот попробуй с камментами и регистром символов поприкалываться
- Супер! Помогло!

Сделал для себя вывод что механизм анализа некоторых антивирей неидеален. То ли они по имеющейся базе известных "inf" работают, и прочее не определяют...
Или вот поутру подключаю флешку, НОД обнаруживает ахтунг и стирает авторан. Но два экзешника, которые оный должен был запустить, остаются невредимыми. Это ли нормальное лечение?? Это ли анализ?

[Recycle]

builder, поддержу. Не боясь показаться старым ламером, задам вопрос: А как эти exeшники найти? А то тоже сношу авторан, чищу реестр, папку выношу, со страшным названием resycled. Всё вроде. Ан нет. Антивирь молчит. Перезагружаешься однажды, и начинается по новой))

[zeroserg]

builder, ну а я про что в предыдущих сообщениях =)
а вообще давно уже пора писать самомодифицирующиеся и распаковывающиеся вирусы... а-то както по старинке пишут и их антивири с полпинка ловят

[Recycle]

zeroserg, уже давно пора тем, кто пишет вирусы, яйца отрывать

[X0R]

builder, странно весьма, такой анализатор написать пара пустяков: комменты игнорить, остальные строки к общему регистру, проверять на какие файлы ссылаются комманды, и анализировать эти файлы, в случае ахтунга, удалять и эезешники и инф файл.
Ну а поведению нода не удивлюсь, от него приколов много видел

Цитата:

Сообщение от Recycle

уже давно пора тем, кто пишет вирусы, яйца отрывать

не низя! Вирусы одно из немногих что способно поддерживать "IT потенцию" Нормальный вирус без антивируса лечить этокак головоломку решать

[Part!zan]

X0R, у меня уже собралась коллекция совершенно безобидных текстовых файлов, которые нод четко определяет как вирусы, причем не какие-нть там "вероятно вирусы", а самые что ни на есть реальные, с названиями. Так что, не все так просто с анализом и поиском...

Цитата:

Сообщение от X0R

вирус без антивируса лечить

Тупая и неинтересная головоломка, как, собственно, и большинство вирусоавторов. А серьезный вирус без антивиря не вылечить. Трояны всякие - легко, а вот именно вирусы - хрен.

[X0R]

Цитата:

Сообщение от Part!zan

X0R, у меня уже собралась коллекция совершенно безобидных текстовых файлов, которые нод четко определяет как вирусы, причем не какие-нть там "вероятно вирусы", а самые что ни на есть реальные, с названиями. Так что, не все так просто с анализом и поиском...

и все же вопрос не закрыт, что дают эти странные строки? Затрудняют анализ или еще что? По идее алгоритм анализатора inf файлов в антивирусах должен быть схож с алгоритмом по которому винда выполняет записанные в inf файле команды и просто тупо игнорировать комментарии.

Цитата:

Сообщение от Part!zan

Трояны всякие - легко, а вот именно вирусы - хрен.

Согласен, был не точен в формулировке. Вирусы которые так или иначе пристыковывают себя к исполнимым файлам без антивиря не вылечить, черви, трояны, некоторые руткиты это да.

Цитата:

Сообщение от Part!zan

Тупая и неинтересная головоломка

ну на вкус и цвет...)

[Part!zan]

Цитата:

Сообщение от X0R

что дают эти странные строки

Да то и дают, типа, полиморфность. Хотя, при грамотном анализе они не должны влиять. А анализаторы обычно по сигнатурам работают, но это от авторов антивиря зависит. Вообще, они (авторы антивирусов) не особо распространяются об алгоритмах обнаружения, дабы не упрощать жизни вирусописателям.

Цитата:

Сообщение от X0R

ну на вкус и цвет

Ну, разве что, очень скучно... Убив пяток-другой авторанов-троянов, быстро понимаешь, что ниче интересного уже не будет, меняются только имена файлов, а способы внедрения, места обитания и способы маскировки - практически один в один. Редко когда что-то необычное попадается.