Возник такой вопрос:
Опасен ли вирус без расширения?
Например файл test.exe
и убрать у него расширение .exe
просто название останется.
Опасен ли этот файл?
Да, в нем содержится вредоносный код, но без расширения он же не опасен?
Или я не прав?
Printable View
Возник такой вопрос:
Опасен ли вирус без расширения?
Например файл test.exe
и убрать у него расширение .exe
просто название останется.
Опасен ли этот файл?
Да, в нем содержится вредоносный код, но без расширения он же не опасен?
Или я не прав?
[QUOTE='Greenge;761387']без расширения он же не опасен?[/QUOTE]
Можно считать так. Запустить его в таком виде надо очень постараться.
[QUOTE=Bratez;761411]Можно считать так. Запустить его в таком виде надо очень постараться.[/QUOTE] Цитирую сам себя :O
[QUOTE]rav, Зайцев Олег сказал, что это "известная дурка" , поэтому с чистой совестью могу и Вам сообщить. Дурка работает из-за странной работы парсера. При обработки путей вида %SystemRoot%\system32\svchost -k rpcss (заметьте, без расширения. Это в XP службы Browser и RpcSs), сперва ищется файл svchost без расширения, а потом уже *.exe.
Алгоритм атаки прост. Копируем файл, он исполняется с правами службы, исполняется его код, потом правит путь запуска на нормальный (или удаляет себя). Фсе.[/QUOTE]
А дело было тут: [url]http://virusinfo.info/archive/index.php/t-82557.html[/url]
Если брать общий случай (активное заражение, и ядро винды пропатчено), то запускаться на исполнение может что угодно.
[QUOTE='antanta;761460']Если брать общий случай (активное заражение, и ядро винды пропатчено), то запускаться на исполнение может что угодно.[/QUOTE]
Да, несомненно...
Функциям Win API - WinExec и ShellExecute ничего не известно про расширения - запустят исполняемый файл хоть с расширением .exe, хоть .txt, хоть совсем без расширения.
[QUOTE='Iron Monk;761656']Функциям Win API - WinExec и ShellExecute ничего не известно про расширения - запустят исполняемый файл хоть с расширением .exe, хоть .txt, хоть совсем без расширения.[/QUOTE]
Это понятно. Только для этого придется специально программку писать.
Имелось ввиду, что удалив расширение, пользователь может не опасаться, что случайно запустит файл при неосторожном обращении - вопрос ведь об этом был, как я понял.
[QUOTE='Bratez;761661']Имелось ввиду, что удалив расширение, пользователь может не опасаться, что случайно запустит файл при неосторожном обращении - вопрос ведь об этом был, как я понял.[/QUOTE]В посте 3 - 4 был рассмотрен вопрос при активном заражении. А вирус - это и есть
[QUOTE='Bratez;761661']придется специально программку писать.[/QUOTE] специальная программка.
Момент есть такой:
Все прекрасно знают, что исполняемые файлы это exe,com,pif и еще некоторые. Если есть права Администратора, то вполне можно в реестр вписать кусочек и файл с безобидным расширением aaa станет исполняемым. Как это работает можно нпосмотреть на примере одной широко известной утилиты.