Перейти к содержимому


Фото
- - - - -

Где прочесть описание вируса Adware.Babylon.8?


  • Please log in to reply
36 ответов в этой теме

#21 VVS

VVS

    Guru

  • Moderators
  • PipPipPipPipPipPip
  • 7 992 Сообщений:

Отправлено 19 Май 2013 - 13:02

Как вам удалось скачать?

Отключил SpIDer Guard и SpIDer Gate.
Скачал.

--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#22 johnRykov

johnRykov

    Member

  • Posters
  • PipPip
  • 173 Сообщений:

Отправлено 19 Май 2013 - 15:35

 

Как вам удалось скачать?

Отключил SpIDer Guard и SpIDer Gate.
Скачал.

 

Спасибо!

 

В IE10 скачивался прямо в окно браузера ехе файл MZ...

В FF21 скачивался на диск, но в начале пара тегов HTML и потом MZ...

ReGet Deluxe не находил этот файл вообще(404 ошибка), хотя линк правильный



#23 l.e.e.

l.e.e.

    Партизан

  • Posters
  • PipPipPipPipPipPip
  • 4 145 Сообщений:

Отправлено 19 Май 2013 - 16:31

В IE10 скачивался прямо в окно браузера ехе файл MZ...
В FF21 скачивался на диск, но в начале пара тегов HTML и потом MZ...
ReGet Deluxe не находил этот файл вообще(404 ошибка), хотя линк правильный

У вас явно какие то проблемы. Что такое MZ и где теги HTML ? Может с ассоциациями файлов не порядок ? Хоть скрин покажите.


Сообщение было изменено lazarev.ee: 19 Май 2013 - 16:33

drweb.png


#24 pig

pig

    Бредогенератор

  • Helpers
  • PipPipPipPipPipPip
  • 8 819 Сообщений:

Отправлено 19 Май 2013 - 21:35

MZ - это волшебные буквы в начале каждого EXE, если его попытаться интерпретировать как текст. Я присоединяюсь к предположению о наличии сторонних глюков. Возможно, даже не на компьютере у пана, а где-то в прокси/NAT провайдера.
Почтовый сервер Eserv тоже работает с Dr.Web

#25 П_Сергей

П_Сергей

    Newbie

  • Posters
  • Pip
  • 62 Сообщений:

Отправлено 21 Май 2013 - 09:13

MZ - это волшебные буквы в начале каждого EXE, если его попытаться интерпретировать как текст. Я присоединяюсь к предположению о наличии сторонних глюков. Возможно, даже не на компьютере у пана, а где-то в прокси/NAT провайдера.

а так же

LE, LX, NE, PE

 

 

MZP (если fsx - zip.rar.exe), MZђ (8bf.api.dll.cab.exe),  ZM (синоним MZ)



#26 l.e.e.

l.e.e.

    Партизан

  • Posters
  • PipPipPipPipPipPip
  • 4 145 Сообщений:

Отправлено 21 Май 2013 - 09:19

А теги HTML это манифест ? Но зачем открывать файлы HEX редактором ?


drweb.png


#27 userr

userr

    The Master

  • Moderators
  • PipPipPipPipPipPipPipPip
  • 16 310 Сообщений:

Отправлено 21 Май 2013 - 09:24

 

MZ - это волшебные буквы в начале каждого EXE, если его попытаться интерпретировать как текст.

а так же
LE, LX, NE, PE

 

то есть у вас есть примеры EXE-файлов, где первые символы LE и тд ? или что значит "а так же"?



#28 pig

pig

    Бредогенератор

  • Helpers
  • PipPipPipPipPipPip
  • 8 819 Сообщений:

Отправлено 21 Май 2013 - 11:15

Но зачем открывать файлы HEX редактором ?

Кто сказал "HEX"? Было сказано, что файл вместо сохраниться открывается в браузере аки plain text.

А теги HTML это манифест ?

Манифест обычно ближе к концу файла хранится, в ресурсах. А не перед сигнатурой EXE.
Почтовый сервер Eserv тоже работает с Dr.Web

#29 Borka

Borka

    Забанен за флуд

  • Moderators
  • PipPipPipPipPipPipPipPip
  • 19 512 Сообщений:

Отправлено 21 Май 2013 - 11:35

А теги HTML это манифест ?

Манифест обычно ближе к концу файла хранится, в ресурсах. А не перед сигнатурой EXE.

Тэги HTML это таки HTML. Манифест это XML. Что до манифеста, то он иожет быть и отдельным файлом, например, WindowsShell.Manifest
С уважением,
Борис А. Чертенко aka Borka.

#30 DoC

DoC

    Добрый Э-э-х

  • Posters
  • PipPipPipPip
  • 1 392 Сообщений:

Отправлено 21 Май 2013 - 12:13

 

MZ - это волшебные буквы в начале каждого EXE, если его попытаться интерпретировать как текст. Я присоединяюсь к предположению о наличии сторонних глюков. Возможно, даже не на компьютере у пана, а где-то в прокси/NAT провайдера.

а так же

LE, LX, NE, PE

 

 

MZP (если fsx - zip.rar.exe), MZђ (8bf.api.dll.cab.exe),  ZM (синоним MZ)

 

Чего-то не видел ни одного exe/dll и т.п. с сигнатурой в начале НЕ MZ

А все перечисленное - это формат самого файла и никак не связывается с первичной сигнатурой...


А все так хорошо начиналось...

#31 Borka

Borka

    Забанен за флуд

  • Moderators
  • PipPipPipPipPipPipPipPip
  • 19 512 Сообщений:

Отправлено 21 Май 2013 - 12:23

Кстати, относительно недавно в гостях у Доктора была легенда, которой exe-файлы обязаны сигнатурой "MZ". :)
С уважением,
Борис А. Чертенко aka Borka.

#32 П_Сергей

П_Сергей

    Newbie

  • Posters
  • Pip
  • 62 Сообщений:

Отправлено 21 Май 2013 - 13:08

 

 

MZ - это волшебные буквы в начале каждого EXE, если его попытаться интерпретировать как текст.

а так же
LE, LX, NE, PE

 

то есть у вас есть примеры EXE-файлов, где первые символы LE и тд ? или что значит "а так же"?

 

Те которые не MZ (из перечисленных) - старинные, может и не включаются уже (у меня нет таких)



#33 П_Сергей

П_Сергей

    Newbie

  • Posters
  • Pip
  • 62 Сообщений:

Отправлено 21 Май 2013 - 13:15

 

 

MZ - это волшебные буквы в начале каждого EXE, если его попытаться интерпретировать как текст. Я присоединяюсь к предположению о наличии сторонних глюков. Возможно, даже не на компьютере у пана, а где-то в прокси/NAT провайдера.

а так же

LE, LX, NE, PE

 

 

MZP (если fsx - zip.rar.exe), MZђ (8bf.api.dll.cab.exe),  ZM (синоним MZ)

 

Чего-то не видел ни одного exe/dll и т.п. с сигнатурой в начале НЕ MZ

А все перечисленное - это формат самого файла и никак не связывается с первичной сигнатурой...

 

Если MZP, то правой кнопкой мыши - открыть в ВинРар, или извлечь в текущую папку, и программа-установщик покажет свое содержимое, а если MZђ, то это cab-архив, или 8bf.api.dll, не обязательно exe. Поменяв у некоторых библиотек dll на exe, можете получить красивый значек файла (зачем они туда лепят?)

 

Но не отвлекайтесь. Тема не об этом



#34 П_Сергей

П_Сергей

    Newbie

  • Posters
  • Pip
  • 62 Сообщений:

Отправлено 21 Май 2013 - 13:20

Кстати, относительно недавно в гостях у Доктора была легенда, которой exe-файлы обязаны сигнатурой "MZ". :)

Я не здесь, но слышал, что это инициалы Марка Збиковского - одного из создателей MS-DOS



#35 Borka

Borka

    Забанен за флуд

  • Moderators
  • PipPipPipPipPipPipPipPip
  • 19 512 Сообщений:

Отправлено 21 Май 2013 - 13:26

Если MZP, то правой кнопкой мыши - открыть в ВинРар, или извлечь в текущую папку, и программа-установщик покажет свое содержимое, а если MZђ, то это cab-архив, или 8bf.api.dll, не обязательно exe. Поменяв у некоторых библиотек dll на exe, можете получить красивый значек файла (зачем они туда лепят?)

Вапще-та

00-01 0x4d, 0x5a. This is the "magic number" of an EXE file. The first byte of the file is 0x4d and the second is 0x5a.
02-03 The number of bytes in the last block of the program that are actually used. If this value is zero, that means the entire last block is used (i.e. the effective value is 512).
...


С уважением,
Борис А. Чертенко aka Borka.

#36 userr

userr

    The Master

  • Moderators
  • PipPipPipPipPipPipPipPip
  • 16 310 Сообщений:

Отправлено 21 Май 2013 - 13:51

Но не отвлекайтесь. Тема не об этом

сначала ляпнуть какую-то ерунду, заглянув левым глазом в википедию, а когда люди обратят на это внимание, их же и одёрнуть.

Ай маладца!



#37 П_Сергей

П_Сергей

    Newbie

  • Posters
  • Pip
  • 62 Сообщений:

Отправлено 21 Май 2013 - 14:14

 

Если MZP, то правой кнопкой мыши - открыть в ВинРар, или извлечь в текущую папку, и программа-установщик покажет свое содержимое, а если MZђ, то это cab-архив, или 8bf.api.dll, не обязательно exe. Поменяв у некоторых библиотек dll на exe, можете получить красивый значек файла (зачем они туда лепят?)

Вапще-та

00-01 0x4d, 0x5a. This is the "magic number" of an EXE file. The first byte of the file is 0x4d and the second is 0x5a.
02-03 The number of bytes in the last block of the program that are actually used. If this value is zero, that means the entire last block is used (i.e. the effective value is 512).
...

 

00-01 0x4d, 0x5A. Это "магическое число" исполняемому файлу. Первый байт файла 0x4d а второй 0x5A.
02-03 число байтов в последнем блоке программы, которые действительно используются. Если это значение равно нулю, что означает, что весь последний блок используется (то есть эффективное значение 512).

 

Да, умные аналитики, опираясь на такой подход к анализу, розковыряют любую программу. У мня просто програмка есть, которая по первой строке файла показывает возможные его расширения. Указанный Вами путь ей не по зубам, она не бегает по смещениям в файле

 

(мои сообщения действительно как то отвлекают от темы. Извиняюсь. Прекращаю)






Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых