!Вирусы!, Achtung! Опции

[-=CHE@TER=-]

Блин!!!
Поймал ещё один вирус. Прямо хрень какая-то в последнее время с этими вирусами!

Всем в срочном порядке сохранить к себе на комп и запустить такой вот NoAutoRun.reg файл, после чего обязательно перезагрузить компьютер:

CODE

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:03ffffff


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:03ffffff

Он запрещает обработку "AutoRun.inf" для ВСЕХ дисков, даже если вы кликаете через эксплорер по ним, чтобы открыть (проверял на CD-ROM, жёстком диске и флэшке) - обработка "AutoRun.inf" ПОЛНОСТЬЮ игнорируется.

Появился какой-то зверский вирус - вот тут как его выковыривать (на китайском): Original article (перевод на инглиш).

Кому нужно - вот в этом посте: пост №26 находится код .BAT файла, который полностью удаляет вирус с компьютера.
If you need - this post contains batch file - Virus Removal Tool.

Кстати, если кому-нибудь что-нибудь об этом вирусе известно, а также известно, что он портит, и что нужно потом восстановить, или есть утилита от какого-нибудь производителя антивирусного софта, которая его автоматически херит, а если уже похерен, то фиксит следы его "деятельности" - обязательно пишите тут.

Отличительной характеристикой данного вируса является наличие файла AutoRun.inf в корне диска следующего содержания:

CODE

[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=??(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=??(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif

Вместо ?? - какие-то непонятные символы.
А также скрытого каталога "autorun..", который так просто не схеришь (см. как это делают в Removal-скрипте).

На данный момент:
- Symantec с последними базами не видит этот вирус видит его (с базами за 09.09.2007 и старше)
- кашпировский с последними базами не видит этот вирус
- на форуме кашпировского прочитал, что, вроде бы, NOD32 блокирует работу вируса


Вот ещё что - если вам притащили флэшку с файлом "AutoRun.inf" - то:
1) Открывайте его блокнотом или FAR'ом.
2) Смотрите на какие файлы он ссылается и херьте как их, так и сам этот файл.

И постарайтесь, чтобы НИКТО НЕ ПИХАЛ СВОИ FLASH'КИ В ВАШ КОМП В ВАШЕ ОТСУТСТВИЕ!

[xkL0#J]

[OffTopic]

...для подсчёта/проверки md5...

Доброго времени суток . Объясни незнающему, зачем нужен этот "md5", я знаю, что это вроде для проверки CRC, вроде...

[-=CHE@TER=-]

[OffTopic]

Доброго времени суток . Объясни незнающему, зачем нужен этот "md5", я знаю, что это вроде для проверки CRC, вроде...

Ну, MD5 в отличие от CRC32 генерит не 4-х байтный (8*4=32 бита), а 16-ти байтный код. Я так понимаю вероятность появления ошибки сокращается.
Я сразу скажу, что слабо в этом разбираюсь (и могу сморозить какую-нибудь глупость, так что поправьте, если что), но давай представим такую ситуацию: 4 байта (8*4=32 бита) могут хранить число 2 в 32 степени (2^32) - т.е. числа от 0 до 4294967295 - итого 4.294.967.296 возможных комбинаций. Что такое по сути хэш или контрольная сумма? Это некоторое число, которое по какому-то алгоритму сопоставляется входным данным. Когда у тебя на входе данных, для примера CRC32, меньше либо равно чем 4 байта - то у тебя каждой последовательности байт можно сопоставить уникальную CRC32 контрольную сумму. Хотя бы даже по номеру - например:
0 - соответствует 0
1 - соответствует 1
...
4294967295 - соответствует 4294967295 (FF FF FF FF)
в случае с CRC32 у тебя левый столбец так и будет от 0 до 4294967295 , а правый будет раскидан по некоторому алгоритму.
Но что делать, когда у тебя не 4 байта, а 200 Мб? В такой ситуации сочиняется некоторый алгоритм, который позволяет вычислить контрольную сумму в зависимости от содержания этих 200 Мб. Скажу сразу - если размер этих данных увеличить/уменьшить - то контрольная сумма может быть легко подделана (но чтобы она получилась такая же как у оригинального файла "случайно" - это... очень маловероятно). Но, предположим, что скачиваем какой-нибудь, "Genesis - Land of Confusion [AABBCCDD].mp3", где [AABBCCDD] - это его CRC32 контрольная сумма в HEX (шестнадцатеричном представлении). Т.к. файл при скачивании (когда нет ошибок с сетевыми пакетами) всегда у всех имеет один и тот же размер, то в случае повреждения какого-либо байта или блока байт это тут же отразится на контрольной сумме. Но! Почему же MD5 лучше CRC32?.. Давайте посмотрим:
200 Мб = это 200*1024*1024 = 209.715.200 байт. А теперь делим на 4 байта (размер CRC32):
209715200/4 = 52 428 800 - т.е. CRC32 умещается целиком в таком файле 52 миллиона раз! Т.е. существует 52 миллиона варинатов файла размером 200 Мб, у которых CRC32 будет одинаковый, а содержимое - разным! Конечно, случайное (именно случайное!) изменение байт таким образом, чтобы CRC32 совпало, довольно маловероятно (где-то даже вероятность читал, кажется в той же Wiki), но тем не менее, в случае MD5 (16 байт!) - эта вероятность в 4 раза меньше.
Надеюсь, что понятно объяснил. (*улыбается*)

Сразу предупреждаю, что глубоко в MD5/CRC32 не копал - возможно у них могут повторяться контрольные суммы чаще, чем их длинна - например, могут быть совпадающие CRC32 у файла размером в 4 байта. Ещё раз говорю - это только предположение! - честно говоря лень читать все мат.выкладки этих алгоритмов.