Win32/AutoRun.Agent.PG - Форум технической поддержки ESET NOD32

Сообщений: 264

Баллов: 211

Регистрация: 02.04.2010

Размещено 11.04.2010 20:43:20

Еще давно нашел такой баг в антивирусе, только сегодня о нем вспомнил. Вообщем если создать обычный текстовый файл, и внести в него текст:
[Autorun]
open=1.exe
то антивирус определяет его как Win32/AutoRun.Agent.PG. Весь прикол в том, что самого файла 1.exe нет. Просто текстовый (даже не inf) файл. Сегодня отправлю разработчикам - пускай исправят. Кто не верит - можете попробовать. Компу никакого вреда не принесет. Просто создайте текстовый документ и пропишите в нем
[Autorun]
open=1.exe

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 11.04.2010 21:18:54

файл 4.txt
внутри
[Autorun]
open=1.exe
реакция на вирустотал
http://www.virustotal.com/analisis/c7ab63ce64507eb7933bd5f21e2fdc62075c8c7be6bfaf56e475134ca6fcf9d7-1271006129

файл 4.txt
внутри
[Autorun]
open=2.exe
http://www.virustotal.com/analisis/b3785acfdc674475e9ac1db2249af2797d158a086c93b33346c70406c6a5bd8b-1271006106

Может этот вирус так распространяется? Хотя хз, напишите потом что вирлаб ответил, интересно стало.

Сообщений: 264

Баллов: 211

Регистрация: 02.04.2010

Размещено 11.04.2010 21:27:24

Цитата
zloyDi пишет: файл 4.txt внутри [Autorun] open=1.exe реакция на вирустотал http://www.virustotal.com/analisis/c7...1271006129 файл 4.txt внутри [Autorun] open=2.exe http://www.virustotal.com/analisis/b3...1271006106 Может этот вирус так распространяется? Хотя хз, напишите потом что вирлаб ответил, интересно стало.

Цитата

zloyDi пишет:
файл 4.txt
внутри
[Autorun]
open=1.exe
реакция на вирустотал
http://www.virustotal.com/analisis/c7...1271006129

файл 4.txt
внутри
[Autorun]
open=2.exe
http://www.virustotal.com/analisis/b3...1271006106

Может этот вирус так распространяется? Хотя хз, напишите потом что вирлаб ответил, интересно стало.

Так ты не понял - это просто текст. Я не спорю что вирус так размножается - но факт в том, что самого-то файла, который прописывается - XXX.exe - его то нет)))

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 11.04.2010 21:33:56

Цитата
ORION пишет: Так ты не понял - это просто текст. Я не спорю что вирус так размножается - но факт в том, что самого-то файла, который прописывается - XXX.exe - его то нет)))

не важно есть файл или нет, файл txt или inf - все равно скрипт(в обычный скрипт на php тоже можно пару строчек внести и вирус будет), а вот эта строчка [Autorun] как я понимаю служит командой для запуска чего либо, судя потому что реакция есть только на 1.exe то данный тип вируса так и распространяется, хотя хотелось бы услышать мнение вирлаба.

Изменено: zloyDi - 11.04.2010 21:35:04

Сообщений: 264

Баллов: 211

Регистрация: 02.04.2010

Размещено 11.04.2010 21:40:08

Цитата

zloyDi пишет:

Цитата
ORION пишет: Так ты не понял - это просто текст. Я не спорю что вирус так размножается - но факт в том, что самого-то файла, который прописывается - XXX.exe - его то нет)))

не важно есть файл или нет, файл txt или inf - все равно скрипт(в обычный скрипт на php тоже можно пару строчек внести и вирус будет), а вот эта строчка [Autorun] как я понимаю служит командой для запуска чего либо, судя потому что реакция есть только на 1.exe то данный тип вируса так и распространяется, хотя хотелось бы услышать мнение вирлаба.

Для сравнения - вместо слова авторан представим пистолет, вместо слова open= - обойму, вместо файла, который должен открыться - пуля. Допустим, вирус называет себя 1.exe, и прописывает себя на флеш носитель. - Ты вставляешь флеш, система видит авторан - по нему открывает ексешник - пуля настоящая, выстрел может принести вред. Случай номер 2 - тоже самое, но файла(пули нет) - нажимаем на курок - челчок бойка... и ничего - потому что пули (файла xxx.exe) нет.

Изменено: ORION - 11.04.2010 21:40:59

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 11.04.2010 21:42:17

Цитата
ORION пишет: Для сравнения - вместо слова авторан представим пистодет, вместо слова open= - обойму, вместо файла, которые должен открыться - пуля. Допустим, вирус называет себя 1.exe, и прописывает себя на флеш носитель. - Ты вставляешь флеш, система видит авторан - по нему открывает ексешник - пуля настоящая, выстрел может принести вред. Случай номер 2 - тоже самое, но файла(пули нет) - нажимаем на курок - челчок бойка... и ничего - потому что пули (файла xxx.exe) нет.

Цитата

ORION пишет:
Для сравнения - вместо слова авторан представим пистодет, вместо слова open= - обойму, вместо файла, которые должен открыться - пуля. Допустим, вирус называет себя 1.exe, и прописывает себя на флеш носитель. - Ты вставляешь флеш, система видит авторан - по нему открывает ексешник - пуля настоящая, выстрел может принести вред. Случай номер 2 - тоже самое, но файла(пули нет) - нажимаем на курок - челчок бойка... и ничего - потому что пули (файла xxx.exe) нет.

Как говорят в народе - лучше перебдеть чем недобдеть

)))))

Сообщений: 264

Баллов: 211

Регистрация: 02.04.2010

Размещено 11.04.2010 21:44:04

Ну так то оно так конечно... но факт остается фактом. Незнающего пользователя можна так ввести в замешательство.

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 11.04.2010 21:44:50

Да и вот еще, описалово по вирлабу
http://www.eset.eu/encyclopaedia/win32-autorun-agent-pg-trojan-dropper-mudrop-bnj-trojan-downloader-dogkild-o

Сообщений: 264

Баллов: 211

Регистрация: 02.04.2010

Размещено 11.04.2010 21:47:25

ну понятно почему оно так определяет)) файл пишет себя под именем 1.exe. Но ругается даже если того файла нет

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 11.04.2010 22:02:07

Цитата
ORION пишет: ну понятно почему оно так определяет)) файл пишет себя под именем 1.exe. Но ругается даже если того файла нет

Допустим ситуацию, на флешке есть авторан и вирус, на Пк разрешен автозапуск, нод знает файл Autorun.inf и ловит его но не знает exe файла, таким образом файл автозапуска вируса удалиться, а сам вирус не должен проникнуть на ПК. Вроде так, если нет то поправьте, не варит у меня сеня "котелок"....

Изменено: zloyDi - 11.04.2010 22:02:55

Win32/AutoRun.Agent.PG , Ложное срабатывание