Win32/AutoRun.Agent.PG , Ложное срабатывание

Еще давно нашел такой баг в антивирусе, только сегодня о нем вспомнил. Вообщем если создать обычный текстовый файл, и внести в него текст:
[Autorun]
open=1.exe
то антивирус определяет его как Win32/AutoRun.Agent.PG. Весь прикол в том, что самого файла 1.exe нет. Просто текстовый (даже не inf) файл. Сегодня отправлю разработчикам - пускай исправят. Кто не верит - можете попробовать. Компу никакого вреда не принесет. Просто создайте текстовый документ и пропишите в нем
[Autorun]
open=1.exe
файл 4.txt
внутри
[Autorun]
open=1.exe
реакция на вирустотал
http://www.virustotal.com/analisis/c7ab63ce64507eb7933bd5f21e2fdc62075c8c7be6bfaf5­6e475134ca6fcf9d7-1271006129

файл 4.txt
внутри
[Autorun]
open=2.exe
http://www.virustotal.com/analisis/b3785acfdc674475e9ac1db2249af2797d158a086c93b33­346c70406c6a5bd8b-1271006106

Может этот вирус так распространяется? Хотя хз, напишите потом что вирлаб ответил, интересно стало.
Цитата
zloyDi пишет:
файл 4.txt
внутри
[Autorun]
open=1.exe
реакция на вирустотал
http://www.virustotal.com/analisis/c7...1271006129

файл 4.txt
внутри
[Autorun]
open=2.exe
http://www.virustotal.com/analisis/b3...1271006106

Может этот вирус так распространяется? Хотя хз, напишите потом что вирлаб ответил, интересно стало.
Так ты не понял - это просто текст. Я не спорю что вирус так размножается - но факт в том, что самого-то файла, который прописывается - XXX.exe - его то нет)))
Цитата
ORION пишет:
Так ты не понял - это просто текст. Я не спорю что вирус так размножается - но факт в том, что самого-то файла, который прописывается - XXX.exe - его то нет)))

не важно есть файл или нет, файл txt или inf - все равно скрипт(в обычный скрипт на php тоже можно пару строчек внести и вирус будет), а вот эта строчка [Autorun] как я понимаю служит командой для запуска чего либо, судя потому что реакция есть только на 1.exe то данный тип вируса так и распространяется, хотя хотелось бы услышать мнение вирлаба.
Изменено: zloyDi - 11.04.2010 21:35:04
Цитата
zloyDi пишет:
Цитата
ORION пишет:
Так ты не понял - это просто текст. Я не спорю что вирус так размножается - но факт в том, что самого-то файла, который прописывается - XXX.exe - его то нет)))

не важно есть файл или нет, файл txt или inf - все равно скрипт(в обычный скрипт на php тоже можно пару строчек внести и вирус будет), а вот эта строчка [Autorun] как я понимаю служит командой для запуска чего либо, судя потому что реакция есть только на 1.exe то данный тип вируса так и распространяется, хотя хотелось бы услышать мнение вирлаба.
Для сравнения - вместо слова авторан представим пистолет, вместо слова open= - обойму, вместо файла, который должен открыться - пуля. Допустим, вирус называет себя 1.exe, и прописывает себя на флеш носитель. - Ты вставляешь флеш, система видит авторан - по нему открывает ексешник - пуля настоящая, выстрел может принести вред. Случай номер 2 - тоже самое, но файла(пули нет) - нажимаем на курок - челчок бойка... и ничего - потому что пули (файла xxx.exe) нет.
Изменено: ORION - 11.04.2010 21:40:59
Цитата
ORION пишет:
Для сравнения - вместо слова авторан представим пистодет, вместо слова open= - обойму, вместо файла, которые должен открыться - пуля. Допустим, вирус называет себя 1.exe, и прописывает себя на флеш носитель. - Ты вставляешь флеш, система видит авторан - по нему открывает ексешник - пуля настоящая, выстрел может принести вред. Случай номер 2 - тоже самое, но файла(пули нет) - нажимаем на курок - челчок бойка... и ничего - потому что пули (файла xxx.exe) нет.

Как говорят в народе - лучше перебдеть чем недобдеть :))))))
Ну так то оно так конечно... но факт остается фактом. Незнающего пользователя можна так ввести в замешательство.
Да и вот еще, описалово по вирлабу
http://www.eset.eu/encyclopaedia/win32-autorun-agent-pg-trojan-dropper-mudrop-bnj-trojan-downloader-dogkild-o
ну понятно почему оно так определяет)) файл пишет себя под именем 1.exe. Но ругается даже если того файла нет
Цитата
ORION пишет:
ну понятно почему оно так определяет)) файл пишет себя под именем 1.exe. Но ругается даже если того файла нет

Допустим ситуацию, на флешке есть авторан и вирус, на Пк разрешен автозапуск, нод знает файл Autorun.inf и ловит его но не знает exe файла, таким образом файл автозапуска вируса удалиться, а сам вирус не должен проникнуть на ПК. Вроде так, если нет то поправьте, не варит у меня сеня "котелок"....
Изменено: zloyDi - 11.04.2010 22:02:55
Читают тему (гостей: 1)