Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| |
См. внутрь.. 27.06.01 13:12 Число просмотров: 1141
Автор: Stas Статус: Незарегистрированный пользователь
|
Ну за кого ты меня принимаешь ;-))!?!?!
В чем весь и прикол - это нормальный AVI фаил, его даже смотреть можно... НО!!!! При просмотре фаила каким-то образом исполняеться вложеный в фаил исполняемый код, который может сделать все, что угодно... Я свой фаил не запускал, так что не знаю, что произойдет... Говорят, он что-то из Инета выкачает и запустит у меня на тачке...
Вот тебе начало фаила -
RIFFф
G AVI LIST+� hdrlavih8 k�� _� �� �� � � 4" Ё ¦
LIST¦ strlstrh@ vidsiv50 k�� @B¤ �� 4 �§
strf( ( Ё ¦ � � IV50d� strd0 xV4� �
LISTЖ strlstrh@ auds � � ��
+� � �' � strf2 � � �+ �� �� Ї�� � � _ + @
Ё ¦�0_И��_JUNK>� ROMPT=$p$g winbootdir=C:\WINDOWS COMSPEC=C:\WINDOWS\COMMAND
COM MIDI=SYNTH:1 MAP:E MODaў+!с3И&�'�!Ф¦ё+ P-{h-iи -И�ПМe�Йm_йзf¦;_рь¦йЩ�ЬP-
++ЮУ-Pu2-+¦+Я�pl#С� 3л+°+���П¦¦ku+%#_)+'/�fO�Ьа+Ы+~\
_C"-ЁА¦СЭ"¦гС|ц9+ /_k+
iР ЇWz2+d6Ю¦.UяYПx.¶+%8и¦��р�ЦыGD+Ё
¦зУ]Лёж+��УН¦ 9-bZоКuО~0ПЬ#=гяё_¦G?+kfдЭ¦�+�-�#J�o+уП+_Е_}+г•с�+�_s��N&-Г¦+_•r4
-p"CИСsВ_ю Р"VT��цЯ¦CЯ_:_{Щ+¦�+dПё�_ ��@{¦�ЙDv+x�rx_В__¦-�Ы;4ЙjdФ�ЪD-! чv�S
q_п_¤-+�р+Ъ?rЯ]ф+&-8+^-У№z зЬО�FЖ=x+$MSЦИ++n��g!+ч81IRщ]dTJь}-jЫ+¦эї��Aю{Р
Как это работает и почему так происходит - я не знаю... Может данный фаил и не содержит вирус, но тогда не понятен смысл строк "ROMPT=$p$g winbootdir=C:\WINDOWS COMSPEC=C:\WINDOWS\COMMAND
COM MIDI=SYNTH:1 MAP:E MOD"...
|
|
<miscellaneous>
|
Вирус в AVI! 26.06.01 19:04
Автор: Stas Статус: Незарегистрированный пользователь
|
Попалась мне недавно AVI`шка... И что странно - в самом начале фаила стоят какие-то bootdir=c:\windows и т.п... Полному дебилу ясно, что такого в НОРМАЛЬНОЙ AVI`шке быть не должно ;-))..
Собственно вопрос - кто-нить знает как сабжевый вирус работает и с чем его едят (т.е. почему это вдруг в AVI можно запихать исполняемый фаил)?
P.S. Многие антивири этот вирус уже научились ловить...
P.P.S. Вирус имеет несколько названий Serbian-Badman.Trojan, Downloader и Serbian.Trojan...
|
|
А после avi там в имени никаких козябров не написано? 27.06.01 04:22
Автор: Zef <Alloo Zef> Статус: Elderman
|
|
0
|
| |
См. внутрь.. 27.06.01 13:12
Автор: Stas Статус: Незарегистрированный пользователь
|
Ну за кого ты меня принимаешь ;-))!?!?!
В чем весь и прикол - это нормальный AVI фаил, его даже смотреть можно... НО!!!! При просмотре фаила каким-то образом исполняеться вложеный в фаил исполняемый код, который может сделать все, что угодно... Я свой фаил не запускал, так что не знаю, что произойдет... Говорят, он что-то из Инета выкачает и запустит у меня на тачке...
Вот тебе начало фаила -
RIFFф
G AVI LIST+� hdrlavih8 k�� _� �� �� � � 4" Ё ¦
LIST¦ strlstrh@ vidsiv50 k�� @B¤ �� 4 �§
strf( ( Ё ¦ � � IV50d� strd0 xV4� �
LISTЖ strlstrh@ auds � � ��
+� � �' � strf2 � � �+ �� �� Ї�� � � _ + @
Ё ¦�0_И��_JUNK>� ROMPT=$p$g winbootdir=C:\WINDOWS COMSPEC=C:\WINDOWS\COMMAND
COM MIDI=SYNTH:1 MAP:E MODaў+!с3И&�'�!Ф¦ё+ P-{h-iи -И�ПМe�Йm_йзf¦;_рь¦йЩ�ЬP-
++ЮУ-Pu2-+¦+Я�pl#С� 3л+°+���П¦¦ku+%#_)+'/�fO�Ьа+Ы+~\
_C"-ЁА¦СЭ"¦гС|ц9+ /_k+
iР ЇWz2+d6Ю¦.UяYПx.¶+%8и¦��р�ЦыGD+Ё
¦зУ]Лёж+��УН¦ 9-bZоКuО~0ПЬ#=гяё_¦G?+kfдЭ¦�+�-�#J�o+уП+_Е_}+г•с�+�_s��N&-Г¦+_•r4
-p"CИСsВ_ю Р"VT��цЯ¦CЯ_:_{Щ+¦�+dПё�_ ��@{¦�ЙDv+x�rx_В__¦-�Ы;4ЙjdФ�ЪD-! чv�S
q_п_¤-+�р+Ъ?rЯ]ф+&-8+^-У№z зЬО�FЖ=x+$MSЦИ++n��g!+ч81IRщ]dTJь}-jЫ+¦эї��Aю{Р
Как это работает и почему так происходит - я не знаю... Может данный фаил и не содержит вирус, но тогда не понятен смысл строк "ROMPT=$p$g winbootdir=C:\WINDOWS COMSPEC=C:\WINDOWS\COMMAND
COM MIDI=SYNTH:1 MAP:E MOD"...
|
| | |
См. внутрь.. 27.06.01 18:38
Автор: NiFi... <NiFiGaSebe!> Статус: Member
|
A ne mog bi ti prislat mne polnostju file na web@uinc.ru?
> Ну за кого ты меня принимаешь ;-))!?!?!
>
> В чем весь и прикол - это нормальный AVI фаил, его даже
> смотреть можно... НО!!!! При просмотре фаила каким-то
> образом исполняеться вложеный в фаил исполняемый код,
> который может сделать все, что угодно... Я свой фаил не
> запускал, так что не знаю, что произойдет... Говорят, он
> что-то из Инета выкачает и запустит у меня на тачке...
>
>
> Вот тебе начало фаила -
>
> RIFFф
> G AVI LIST+� hdrlavih8 k�� _� �� ��
� 4" Ё
> ¦
> LIST¦ strlstrh@ vidsiv50 k�� @B¤ �� 4
> �§
> strf( ( Ё ¦ � � IV50d� strd0
> xV4� �
> LISTЖ strlstrh@ auds
>
� ��
> +� � �' � strf2 � � �+ �� ��
> Ї�� � � _ + @
> Ё ¦�0_И��_JUNK>� ROMPT=$p$g winbootdir=C:\WINDOWS
> COMSPEC=C:\WINDOWS\COMMAND
> COM MIDI=SYNTH:1 MAP:E MODaў+!с3И&�'
!Ф¦ё+ P-{h-iи
> -И�ПМe�Йm_йзf¦;_рь¦йЩ�ЬP-
> ++ЮУ-Pu2-+¦+Я�pl#С� 3л+°+��
П¦¦ku+%#_)+'/�fO�Ьа+Ы+~\
> _C"-ЁА¦СЭ"¦гС|ц9+ /_k+
> iР ЇWz2+d6Ю¦.UяYПx.¶+%8и¦��р�ЦыGD+Ё
> ¦зУ]Лёж+��УН¦
> 9-bZоКuО~0ПЬ#=гяё_¦G?+kfдЭ¦�+�-�#J�o+уП+_Е_}+г•с�+�_s��N&-Г
> ¦+_•r4
>-p"CИСsВ_ю Р"VT��цЯ¦CЯ_:_{Щ+¦�+dПё�_
> ��@{¦
ЙDv+x�rx_В__¦-�Ы;4ЙjdФ�ЪD-! чv�S
> q_п_¤-+
р+Ъ?rЯ]ф+&-8+^-У№z
> зЬО�FЖ=x+$MSЦИ++n��g!+ч81IRщ]dTJь}-jЫ+¦эї��Aю{Р
>
>
> Как это работает и почему так происходит - я не знаю...
> Может данный фаил и не содержит вирус, но тогда не понятен
> смысл строк "ROMPT=$p$g winbootdir=C:\WINDOWS
> COMSPEC=C:\WINDOWS\COMMAND
> COM MIDI=SYNTH:1 MAP:E MOD"...
|
| | | |
Est takaia util riffwalk.exe v SDK win95 27.06.01 22:32
Автор: + <Mikhail> Статус: Elderman
|
Est takaia util riffwalk.exe v SDK win95
Ona to sve i pokazhet
|
| | | | |
A potochnee??? 28.06.01 18:42
Автор: NiFi... <NiFiGaSebe!> Статус: Member
|
> Est takaia util riffwalk.exe v SDK win95
>
> Ona to sve i pokazhet
potochnee ne podskazhesh?...
a to ja zaebsi iskat entot file v sdk raznix...
|
| | | | | |
Поточнее (внутри) 28.06.01 20:12
Автор: babay <Andrey Babkin> Статус: Elderman
|
Platform SDK
RIFF Walk
Windows 95/98
The RIFF Walk tool (RIFFWALK.EXE) "walks" the structure of a RIFF file and displays the RIFF chunks contained in the file. It can verify the structure of .AVI and .WAV files.
The following is the command-line syntax for RIFF Walk:
riffwalk [-dx] [-fx] [-j] [-m] [-x] RiffFile
-d x
Specifies the maximum depth to descend.
-f x
Specifies the level of detail to use when expanding chunks.
-j
Indicates that "junk" chunks should be listed.
-m
Expand .AVI "movi" LIST chunks.
-x
Provide a hex dump of chunks that are not expanded.
RiffFile
Specifies the RIFF file.
|
| | | | | | |
Не понял? (см внутрь)... 28.06.01 23:19
Автор: Stas Статус: Незарегистрированный пользователь
|
Это все, конечно, хорошо... Но, насколько я понял, эта прога только анализирует AVI фаил! А как испоняемый код внутрь засунуть то?
> Platform SDK
>
> RIFF Walk
> Windows 95/98
>
> The RIFF Walk tool (RIFFWALK.EXE) "walks" the structure of
> a RIFF file and displays the RIFF chunks contained in the
> file. It can verify the structure of .AVI and .WAV files.
>
> The following is the command-line syntax for RIFF Walk:
>
> riffwalk [-dx] [-fx] [-j] [-m] [-x] RiffFile
> -d x
> Specifies the maximum depth to descend.
> -f x
> Specifies the level of detail to use when expanding chunks.
> -j
> Indicates that "junk" chunks should be listed.
> -m
> Expand .AVI "movi" LIST chunks.
> -x
> Provide a hex dump of chunks that are not expanded.
> RiffFile
> Specifies the RIFF file.
|
| | | | | | | |
Не понял? (см внутрь)... 28.06.01 23:27
Автор: NiFi... <NiFiGaSebe!> Статус: Member
|
> Это все, конечно, хорошо... Но, насколько я понял, эта
> прога только анализирует AVI фаил! А как испоняемый код
> внутрь засунуть то?
По моему, я тебе уже говорил свое мнение, на всякий случай повторюсь:
для начала необходимо проанализировать зараженные файлы, где и поможет эта программа, а вот потом уже оттудовать нада начинать рыть, основываясь на результатах исследований.
В асе тебя чего-то нету....
|
| | | | | | | | |
Не понял? (см внутрь)... 29.06.01 12:25
Автор: Stas Статус: Незарегистрированный пользователь
|
> По моему, я тебе уже говорил свое мнение, на всякий случай
> повторюсь:
> для начала необходимо проанализировать зараженные файлы,
> где и поможет эта программа, а вот потом уже оттудовать
> нада начинать рыть, основываясь на результатах
> исследований.
> В асе тебя чего-то нету....
Насчет анализа - тут ты прав...
В асе я есть, но не всегда...
|
| | | | | | |
Ты меня не понял... 28.06.01 23:15
Автор: NiFi... <NiFiGaSebe!> Статус: Member
|
Нафига мне это если я ссылку дал, там это указано?????????
Мне было интересно совсем другое, подробности того, на каком диске можно найти этот файл...
Дело в том, что у меня MSDN есть, при чем все старые штуки, SDK, DDK, итд ....все это есть, вот только за@#ался я в таком количестве компактов нужный искать....
> Platform SDK
>
> RIFF Walk
> Windows 95/98
>
> The RIFF Walk tool (RIFFWALK.EXE) "walks" the structure of
> a RIFF file and displays the RIFF chunks contained in the
> file. It can verify the structure of .AVI and .WAV files.
>
> The following is the command-line syntax for RIFF Walk:
>
> riffwalk [-dx] [-fx] [-j] [-m] [-x] RiffFile
> -d x
> Specifies the maximum depth to descend.
> -f x
> Specifies the level of detail to use when expanding chunks.
> -j
> Indicates that "junk" chunks should be listed.
> -m
> Expand .AVI "movi" LIST chunks.
> -x
> Provide a hex dump of chunks that are not expanded.
> RiffFile
> Specifies the RIFF file.
|
| | | | |
Est takaia util riffwalk.exe v SDK win95 27.06.01 23:42
Автор: Stas Статус: Незарегистрированный пользователь
|
> Est takaia util riffwalk.exe v SDK win95
>
> Ona to sve i pokazhet
Нихрена не понял... Что эта прога то делает?
|
| | | | | |
A nazvanie tebe ni ochem ne govorit? 28.06.01 00:35
Автор: + <Mikhail> Статус: Elderman
|
|
|
| | | | | | |
Честно говоря нет... О такой проге нихрена не слышал... Что она делает-то? 28.06.01 14:25
Автор: Stas Статус: Незарегистрированный пользователь
|
|
аа
|
| | | | | | | |
Davai email kinu progu. esli interesut konechno. 28.06.01 23:07
Автор: + <Mikhail> Статус: Elderman
|
Voobcheto kogda ustanofish SDK i directorii:
c:\Program Files\Microsoft Platform SDK\Bin\Win95
lezhit eta proga.
|
| | | | | | | | |
Vsem Komu nuzhen RiffWalk... 29.06.01 13:13
Автор: NiFi... <NiFiGaSebe!> Статус: Member
|
Skachat mozhno zdes:
http://www.uinc.ru/files/Riff_Stuff.zip
Tam v arxive eshe est
RIFFADD:
This is an utility that can be used to add text information
or Bitmaps to RIFF files.
====================================
> Voobcheto kogda ustanofish SDK i directorii:
>
> c:\Program Files\Microsoft Platform SDK\Bin\Win95
>
> lezhit eta proga.
|
| | | | | | | | | |
Спасибо (-)!!! 29.06.01 13:49
Автор: Stas Статус: Незарегистрированный пользователь
|
|
|
| | | | | | | | |
Интересует... 28.06.01 23:14
Автор: Stas Статус: Незарегистрированный пользователь
|
> Voobcheto kogda ustanofish SDK i directorii:
>
> c:\Program Files\Microsoft Platform SDK\Bin\Win95
>
> lezhit eta proga.
На asfiles@nm.ru кинь плз...
|
|
|
подробно о проекте
Анализ криптографических сетевых...
