Интересный файлик

[gost2]

Не ПРОФИ сразу предупреждаю не нужно скачивать прикреплённый файл, и тем более распаковывать. Это может быть опасным!

А у профи прошу совета.
История такая. Пришло письмо с текстом для лохов, что мой комп заражен и используется как прокси . А во вложении мол, инструкции как от этого вылечится.

Я рассудил так, что во вложении как раз и лежит зараза. Но мой антивирусник ничего не обнаружил в этом файле. И три антитроянера тоже. WinRar отказывается распаковывать, говорит, что файл битый.

Теперь вопрос. Это такой совсем новый троян(вирус, червь), что его никто не видит? Или файл действительно битый? не верится, что хацкер вложил битый файл. Или это какая-то моя прога, что-то сделала с этим вложением, что его теперь распаковать и проверить невозможно?

Мне очень важно разобраться в этом вопросе , профи, помогите пожалуйста . Файлик я приложил.
Спасибо!

[y3k]

С чего ты решил что это должен быть именно вирус\троян, прикольнулись может над тобой просто а ты и испугался=) вполне может быть что сервер твоего мыла обезвредил этот вирус и теперь он не открывается

[leon534]

Впечатление, что в этом битом архиве был скрипт (.scr). Не исключаю, что с деструктивными функциями. Ну и хрен с ним ...

А почему его скачивать и распаковывать опасно-то ? Не запускай его сдуру и будет всё ОК. От того, что в папке XYZ будет у тебя лежать что-либо потенциально опасное какой вред-то ? Главное, чтобы этот файл не выполнился посредством каких-либо действий !

А насчет глупых ошибок, которые могут сделать вирусописатели (не стоит путать их с хакерами), так это запросто может случиться с каждым. Человеку вообще свойственно ошибаться

[gost2]

y3k, у меня есть все основания пологать, что это не прикол. См. ниже.

Цитата:

вполне может быть что сервер твоего мыла обезвредил этот вирус и теперь он не открывается

Что-то я не слышал про такие сервера. Если нахоят вирус, то письмо убивают, и иногда отсылают, что "не может быть доставлено так, как...". А ты про такие слышал? Или придумал?

leon534

Цитата:

А почему его скачивать и распаковывать опасно-то ?

Ну надо же как-то полных чайников предупредить, а то позаразятся.

Цитата:

А насчет глупых ошибок, которые могут сделать вирусописатели (не стоит путать их с хакерами),

Это писмьмо как раз на совести хакера, который сломал чужой сайт и рассылает такую дрянь во все стороны.

[leon534]

Цитата:

Сообщение от gost2

Это писмьмо как раз на совести хакера, который сломал чужой сайт и рассылает такую дрянь во все стороны.

Я честно говоря, не понял причем тут хакер и с чего Вы взяли, что он сломал еще какой-то сайт для того, чтобы рассылать какую-то дрянь. Сейчас полно возможностей для организации анонимных рассылок, но это другая тема ...
Хакеры не занимаются рассылкой вирусов. Вы путаетесь в терминологии.
Вот тут, например, прочитайте кто такие хакеры:
h*tp://www.computerra.ru/think/35350/

[rockin]

Архив битый.
Структура такая.
readme.zip
-readme.zip
--readme.scr - исполняемый файл (а никакой не скрипт), насчёт деструктивных функций ничего сказать не могу Вообще, разрешение scr имеют заставки в винде.
--может быть, что-то ещё и было, но в архиве следов не осталось.

Короче, этот архив вроде можно скачивать и запускать сколько вздумается...

[gost2]

Цитата:

и с чего Вы взяли, что он сломал еще какой-то сайт для того, чтобы рассылать какую-то дрянь.

С чего не скажу. Просто знаю.

Цитата:

Вот тут, например, прочитайте кто такие хакеры

Вы мне ещё ссылочку на букварь подкиньте, пожалуйста, а то я вдруг не все буквы понимаю.

rockin, "*.scr" часто используют во вложениях, надеясь, что лохи боятся только exe, а такой е побоятся запустить.
Но почему он битый - для меня загадка. Сам этот хакер доморощенный настолько лох, что умудрился рассылать вирус в битых архивах? Или наоборот хитёр и это что-то типа "пробы сил"?
Хрен поймёшь.

[S3TUP]

Просьба на хакиров не наезжать. Пинайте спамеров =)
Майдум разсылает все в зипе. Судя по всему, это он. Однако, существует уязвимость в WinZIP - переполнение буффера в обработке MIME. Позволяет запустить произвольные комманды на вашем компьютере, при открытии данного файла. Такс?!

http://www.idefense.com/application/...shstatus=false

[gost2]

SeTuP, т.е. архив не просто битый, а заточенный, чтобы через WinZIP в систему пролезать?

[S3TUP]

gost2
Неизвестно, но возможно =)

[leon534]

Цитата:

Сообщение от rockin

--readme.scr - исполняемый файл (а никакой не скрипт),

Конечно !Посыпаю голову пеплом. Видать перегрелся я, все от жары

2 SeTup Спасибо! Прелюбопытная ссылочка. Я не знал, что такие подлянки можно получить. А кстати, не знаете, у WinRar таких болезней не замечено ?

[S3TUP]

Хотя....

Цитата:

iDEFENSE has confirmed the existence of this vulnerability in WinZip 8.1 SR-1 (the latest stable version) and the latest beta release of Winzip 9.0. It is suspected that earlier versions are vulnerable as well.

Но может еще есть баги =) Во всем есть баги. Только не везде их ищут.

[rockin]

Интересный хакер-спамер какой-то Посылает всем якобы битые архивы, которые обязательно следует открывать винзипом, причём 9й версии :Р
Завязывайте
И в винраре подобное есть... Только в 3.10...

[gost2]

Вот эта зараза http://www.antivirus.lv/news.asp?l=r...7.2004&n=3&w=1

[GuRman]

Мне тоже такое письмо прислали, типа от Яндекса, правда вложили туда bat'ник. Если хотите могу выложить, я его не запускал.

[leon534]

Цитата:

Сообщение от GuRman

Мне тоже такое письмо прислали, типа от Яндекса, правда вложили туда bat'ник. Если хотите могу выложить, я его не запускал.

А Яндекс хвалился, что проверяет всю почту и на вирусы и спам душит, аки тигра ... Или всё-таки это на самом деле не почта Яндекса ?
Кидать сюда это вряд-ли стоит, если только кто-нибудь для себя персонально попросит

[GuRman]

Самое интересное, что у меня антивири тож молчали

[IrWert]

А вообще получив такой прикол, лучше всего послать его письмом на соответствующий ящик производителя своего антивируса, по крайней мере если и не ответят, то в базу внесут...

[helldomain]

Pohoje na wisheukazannuju zatochku pod winzip.

[SinClaus]

Надо же горе-то какое, а у меня ни на одной машине WinZIPа нету....
Бедные хакеры-спамеры...

Насчет серверов, убивающих вирей - у любой приличной компании как раз такой и стоит. ClamAV честно убивает виря в письме, а письмо может и доходить до адресата - как настроить. А админам, настраивающим свои сервера на рассылку предупреждений по адресу отправителя в заголовке нужно медленно отвинчивать руки и вставлять их в задницу за создание паразитного трафика.