pecet: Re: atxoff.com

Re: atxoff.com

Autor: Andrzej P. Wozniak (uszer_at_poczta.onet.pl.invalid)
Data: Sat 21 Jun 2003 - 02:34:27 MET DST

Następna wiadomość: sPIN: "Re: temp. procka na MSI 6380 i 6570"
Poprzednia wiadomość: ex_runner_at_NOSPAM.gazeta.pl: "Re: Jaka nagrywarka CD?"
W odpowiedzi na: Marsjanin: "Re: atxoff.com"
Następna w wątku: Marsjanin: "Re: atxoff.com"
Odpowiedz: Marsjanin: "Re: atxoff.com"
Wiadomości sortowane wg: [ datay ] [ wątku ] [ tematu ] [ autora ] [ załącznik ]

Osoba podpisana jako Marsjanin <06.2003.usenet_at_marsjanin.tk> w artykule
<news:nif6fvshqp86901fegj3psp2ecvc86e5kq_at_4ax.com> pisze:
> Usenetowy bot Andrzej P. Wozniak pod wpływem
> zwarcia wygenerował aż 18-liniowego posta:
>
>>> Wystaw. Może ktoś jeszcze skorzysta...
>>
>> Proszę bardzo, adres jak w sygnaturce ;-)
>> http://www.harbour.pl.eu.org/usenet/pecet/atxoff.zip
>
> Super, dzięx! No i oto, co mi pokazuje AVP (pliki COM z zipa):
>
> /DOS/60byte/atxoff.com --> OK
> /DOS/40byte/atxoff.com --> Trojan.Rebootpc.b
> /DOS/19byte/ATXOFF.COM --> OK
> /DOS_Netware/atxoff/atxoff.com --> Trojan.Rebootpc.b
> /DOS_Netware/atxoffsh/atxoff.com --> Trojan.Rebootpc.b
>
> Heh, ciekawe... IMHO program rozpoznaje trojana, ale chyba jest to
> "nadopiekuńczość" Kasperskiego... :-)

Żle rozpoznaje :-P
Ten 40 bajtowy kod naprawdę nie robi reboot, tylko shutdown. Serio. I moim
zdaniem działa najkuteczniej z wszystkich trzech.
Kasperski wykrywa sygnaturę trojana, którą w tym przypadku jest akurat
kilkubajtowa sekwencja występująca również w tym programiku. Fałszywy
alarm to skutkek uboczny - albo pogoni za skróceniem sygnatury, albo
wysokiego poziomu metamorficzności kodu tego trojana.
Sprawdziłem w zabytkowym MkS-ie, że najkrótsze wirusy (23, 26, 45, 46
bajtów) potrafią się tylko rozmnażać zamazując pliki *.com.
Mam też programik dosowy - żart, który odwraca ekran do góry nogami. Jeden
ze starych dosowych wirusów (chyba Flip) ma wbudowaną tę sam procedurę. No
i wyobraź sobie, że jej fragment służy MkS_Virowi jako sygnatura wirusa, a
mnie ten program służy do najprostszego sprawdzania MkS-a.

PS. Możesz przesłać do Kasperskiego ten plik, niech poprawią sygnatury.

-- 
Andrzej P. Woźniak  usher_at_poczta.onet.pl  (z->h w adresie z nagłówka)
http://www.harbour.pl.eu.org/clipper/clipper_mini_faq.html
Harbour - 32-bitowy kompilator Clippera - już v.0.42 free software
Strona www nieaktualna, pliki na ftp://ftp.harbour.pl.eu.org/harbour/

Następna wiadomość: sPIN: "Re: temp. procka na MSI 6380 i 6570"
Poprzednia wiadomość: ex_runner_at_NOSPAM.gazeta.pl: "Re: Jaka nagrywarka CD?"
W odpowiedzi na: Marsjanin: "Re: atxoff.com"
Następna w wątku: Marsjanin: "Re: atxoff.com"
Odpowiedz: Marsjanin: "Re: atxoff.com"
Wiadomości sortowane wg: [ datay ] [ wątku ] [ tematu ] [ autora ] [ załącznik ]

To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 10:29:44 MET DST