Сообщение от :
[AutoRun]
;eCet dsseOGmoLBAxVfb
;
SheLl\opeN\cOMmAnd=pdyt.exe
;AqIWmc SpIvIumTfw hrcdrHegRoa
shell\OPeN\DefaulT=1
;nErSivfnQeVyUHsJNnVGphpAfednNb cdiuJnWh fKwxTsrysoacBMQH
SheLL\eXploRe\COMMAnD =pdyt.exe
OpeN= pdyt.exe
;JLag
shelL\Autoplay\COmmANd=pdyt.exe

Типичный пример autorun.inf файла от вируса.
Вопрос - зачем нужны строки выделенные жирным? [Ответ]

возможно куски кода от вируса.. хотя врятли..
мб для усложнения идентификации вируса антивирусами - строчки эти мб генерироваться автоматически при заражении ( склоняюсь к этому варианту )

мб коментарии в гуковской кодировке =)
вариантов куча.... [Ответ]

1) полюбас не
2) Думал над этим, но анализатор подобных файлов пишется не сложно...этож каким антивирус должен быть чтоб пропустить
3) изык хакироф

хотелось бы не варианты, а правильный ответ [Ответ]

тогда тебе надо обращаться к афтору вируса. только он точно знает что это за крякозябры.

хотя.. второй вариант посмотри получше - там даж пути написаны в различном регистре. не для понта же.. [Ответ]

Искал данные по существу вопроса. Набрел на форум негодяев-вирусописателей.
Тема была такая:
- Антивирус определяет ахтунг в autorun.inf
- ... куча советов ...
- А вот попробуй с камментами и регистром символов поприкалываться
- Супер! Помогло!

Сделал для себя вывод что механизм анализа некоторых антивирей неидеален. То ли они по имеющейся базе известных "inf" работают, и прочее не определяют...
Или вот поутру подключаю флешку, НОД обнаруживает ахтунг и стирает авторан. Но два экзешника, которые оный должен был запустить, остаются невредимыми. Это ли нормальное лечение?? Это ли анализ? [Ответ]

builder, поддержу. Не боясь показаться старым ламером, задам вопрос: А как эти exeшники найти? А то тоже сношу авторан, чищу реестр, папку выношу, со страшным названием resycled. Всё вроде. Ан нет. Антивирь молчит. Перезагружаешься однажды, и начинается по новой)) [Ответ]

builder, ну а я про что в предыдущих сообщениях =)
а вообще давно уже пора писать самомодифицирующиеся и распаковывающиеся вирусы... а-то както по старинке пишут и их антивири с полпинка ловят [Ответ]

zeroserg, уже давно пора тем, кто пишет вирусы, яйца отрывать [Ответ]

builder, странно весьма, такой анализатор написать пара пустяков: комменты игнорить, остальные строки к общему регистру, проверять на какие файлы ссылаются комманды, и анализировать эти файлы, в случае ахтунга, удалять и эезешники и инф файл.
Ну а поведению нода не удивлюсь, от него приколов много видел

Сообщение от Recycle:
уже давно пора тем, кто пишет вирусы, яйца отрывать

не низя! Вирусы одно из немногих что способно поддерживать "IT потенцию" Нормальный вирус без антивируса лечить этокак головоломку решать [Ответ]

X0R, у меня уже собралась коллекция совершенно безобидных текстовых файлов, которые нод четко определяет как вирусы, причем не какие-нть там "вероятно вирусы", а самые что ни на есть реальные, с названиями. Так что, не все так просто с анализом и поиском...

Сообщение от X0R:
вирус без антивируса лечить

Тупая и неинтересная головоломка, как, собственно, и большинство вирусоавторов. А серьезный вирус без антивиря не вылечить. Трояны всякие - легко, а вот именно вирусы - хрен. [Ответ]

Сообщение от Part!zan:
X0R, у меня уже собралась коллекция совершенно безобидных текстовых файлов, которые нод четко определяет как вирусы, причем не какие-нть там "вероятно вирусы", а самые что ни на есть реальные, с названиями. Так что, не все так просто с анализом и поиском...

и все же вопрос не закрыт, что дают эти странные строки? Затрудняют анализ или еще что? По идее алгоритм анализатора inf файлов в антивирусах должен быть схож с алгоритмом по которому винда выполняет записанные в inf файле команды и просто тупо игнорировать комментарии.

Сообщение от Part!zan:
Трояны всякие - легко, а вот именно вирусы - хрен.

Согласен, был не точен в формулировке. Вирусы которые так или иначе пристыковывают себя к исполнимым файлам без антивиря не вылечить, черви, трояны, некоторые руткиты это да.

Сообщение от Part!zan:
Тупая и неинтересная головоломка

ну на вкус и цвет...) [Ответ]

Сообщение от X0R:
что дают эти странные строки

Да то и дают, типа, полиморфность. Хотя, при грамотном анализе они не должны влиять. А анализаторы обычно по сигнатурам работают, но это от авторов антивиря зависит. Вообще, они (авторы антивирусов) не особо распространяются об алгоритмах обнаружения, дабы не упрощать жизни вирусописателям.

Сообщение от X0R:
ну на вкус и цвет

Ну, разве что, очень скучно... Убив пяток-другой авторанов-троянов, быстро понимаешь, что ниче интересного уже не будет, меняются только имена файлов, а способы внедрения, места обитания и способы маскировки - практически один в один. Редко когда что-то необычное попадается. [Ответ]