INFECTION PROBABLE

Le jeudi 4 février 2010 à 22:25, Cyrius a écrit :

On Thu, 4 Feb 2010 18:36:20 +0100, rm <ramon@opera-fr.invalid> wrote:

Bâh, si tu fais les questions et les réponses, personne ne risque de
comprendre.

Copie calc.exe dans un autre répertoire que system32, renomme-le
en calc.txt.pif et jette un oeil dans l'explorateur windows :)
Le fichier apparait comme calc.txt
Lance le fichier via le double clic, il exécute la calculatrice... tu
auras beau décocher la case "masquer les extensions de fichiers dont
le type est connu" il apparaitra toujours comme calc.txt

hum... http://files.getwebb.org/index.php?mode=view&id=cre66fas

Remplace virus.exe par virus.txt.pif et amuse-toi.

Tu vas trouver que je ne suis pas très joueur... mais j'affiche, sur tous
les Windows que je peux utiliser, toutes les extensions dont les .url,
.pif, .scf, .lnk :-P

@+
--
rm

Le jeudi 4 février 2010 à 23:06, Roland Garcia a écrit :

rm a écrit :

Il y a même dû avoir quelques virus, profitant de cela, pour transformer
[HKEY_CLASSES_ROOTexefileshellopencommand]
@=""%1" %*"
en
[HKEY_CLASSES_ROOTexefileshellopencommand]
@="virus.exe "%1" %*"
non ?

Depuis 2001: "The registry key HKCRexefileshellopencommand is also
changed so that the worm runs before any other executable file is
opened."

La p'tite page de Joke0, http://joke0.free.fr/demarrage.html ,
à laquelle j'avais modestement contribué, n'est peut-être pas si obsolète,
alors :)


@+
--
rm

rm a écrit :

Le jeudi 4 février 2010 à 23:06, Roland Garcia a écrit :

rm a écrit :

Il y a même dû avoir quelques virus, profitant de cela, pour transformer
[HKEY_CLASSES_ROOTexefileshellopencommand]
@=""%1" %*"
en
[HKEY_CLASSES_ROOTexefileshellopencommand]
@="virus.exe "%1" %*"
non ?

Depuis 2001: "The registry key HKCRexefileshellopencommand is also
changed so that the worm runs before any other executable file is
opened."

La p'tite page de Joke0, http://joke0.free.fr/demarrage.html ,
à laquelle j'avais modestement contribué, n'est peut-être pas si obsolète,
alors :)

Ah ! c'est déjà plus sérieux que du radiomachin :-)

--
Roland Garcia

rm a écrit :

Le jeudi 4 février 2010 à 22:25, Cyrius a écrit :

On Thu, 4 Feb 2010 18:36:20 +0100, rm <ramon@opera-fr.invalid> wrote:

Bâh, si tu fais les questions et les réponses, personne ne risque de
comprendre.

Copie calc.exe dans un autre répertoire que system32, renomme-le
en calc.txt.pif et jette un oeil dans l'explorateur windows :)
Le fichier apparait comme calc.txt
Lance le fichier via le double clic, il exécute la calculatrice... tu
auras beau décocher la case "masquer les extensions de fichiers dont
le type est connu" il apparaitra toujours comme calc.txt

hum... http://files.getwebb.org/index.php?mode=view&id=cre66fas

Remplace virus.exe par virus.txt.pif et amuse-toi.

Tu vas trouver que je ne suis pas très joueur... mais j'affiche, sur tous
les Windows que je peux utiliser, toutes les extensions dont les .url,
.pif, .scf, .lnk :-P

Moi aussi: http://cjoint.com/data/cfaABWKgT4.htm

--
Roland Garcia

Roland Garcia nous a raconté (news:4B6B3451.5040407@wanadoo.fr) :

Change MZ par RG dans notepad.exe et vérifie qu'il ne marche
plus, la console se lance et se ferme aussitôt.

'tite question un peu dans le sujet:
Qu'en est-il des rares signatures ZM (spécificité des compilos
Zortech si je me souviens bien) ? Reconnues ou pas par w ?
(bon, j'ai qu'à essayer, je sais ...)

J'ai essayé c'est pareil.

Ok merci

Pour en revenir au pataquès des extensions, le PB a commencé dès
le passage des .COM aux .EXE, je crois (de mémoire) que c'est là
que les MZ sont apparus.

Heu ...

et les 'exe2bin' du dos ne marchaient pas sur un vrai exe qui n'avait
pas eu son org0h, même de moins de 64 ko, y'm semble.
Me semble aussi qu'un *vrai* .com est une image mémoire (dos), du début
à la fin (à 0x100h près), ce qui n'est pas le cas des exe, même sans
parler des overlays.

Command.com n'avait une extension .COM que pour des raisons de
compatibilité alors que c'était en réalité un EXE.

Celui du PC-DOS 2.10 sur mon 5160 est un vrai COM
Celui du MS-DOS 3.3 d'un Amstrad PPC640 aussi
4DOS (version 1992, pas le no sous la main) est un hybride com+exe si
je me souviens bien. Pas de signature MZ.
(le tout vérifié à l'instant)
Rien d'autre sous la main pour le moment


Heu ... d'ailleurs si c'était un exe il ne pourrait pas mapper dans le
premier segment mémoire si je me souviens bien (lointains souvenirs de
'lowfix' en cas d'usage du dos en UMB ...). Donc le dos occuperait
toujours plus de 64 ko ? Me souviens pourtant avoir eu des dos qui ne
prenaient que 11 ko en mémoire basse - avec drivers spécialisés comme
UMB_DRVR et des chipsets qui l'acceptaient.

--
Amicalement

Bernard

On Fri, 05 Feb 2010 00:27:34 +0100, Roland Garcia
<roland-garcia@wanadoo.fr> wrote:

Moi aussi:

Voici ce que je vois : http://cjoint.com/?cfsdYnZurj

Pareil si je copie le fichier sur le bureau, toutes les extensions
sont affichées SAUF les "pif" :-(

XP SP3

A+

bsch a écrit :

Command.com n'avait une extension .COM que pour des raisons de
compatibilité alors que c'était en réalité un EXE.

Celui du PC-DOS 2.10 sur mon 5160 est un vrai COM
Celui du MS-DOS 3.3 d'un Amstrad PPC640 aussi
4DOS (version 1992, pas le no sous la main) est un hybride com+exe si
je me souviens bien. Pas de signature MZ.
(le tout vérifié à l'instant)
Rien d'autre sous la main pour le moment

En 2002 celui de Win98 faisait 94 kO:

http://groups.google.fr/group/fr.comp.securite.virus/msg/74186f87f0dde7b7?hl=fr

Heu ... d'ailleurs si c'était un exe il ne pourrait pas mapper dans le
premier segment mémoire si je me souviens bien (lointains souvenirs de
'lowfix' en cas d'usage du dos en UMB ...). Donc le dos occuperait
toujours plus de 64 ko ? Me souviens pourtant avoir eu des dos qui ne
prenaient que 11 ko en mémoire basse - avec drivers spécialisés comme
UMB_DRVR et des chipsets qui l'acceptaient.

et Pierre Vandevenne confirmait bien qu'il s'agissait d'un .EXE

http://groups.google.fr/group/fr.comp.securite.virus/msg/f3020290d5a6c2f6?hl=fr

--
Roland Garcia

bsch a écrit :

Roland Garcia nous a raconté (news:4B6B3451.5040407@wanadoo.fr) :

Pour en revenir au pataquès des extensions, le PB a commencé dès
le passage des .COM aux .EXE, je crois (de mémoire) que c'est là
que les MZ sont apparus.

Heu ...

Je viens de retrouver un vieux document concernant la "structure of the
EXE header":

offset:0
Size: 2
Name: Signature
Description: These bytes are the characters M and Z in every EXE files
and identify the file as an EXE file. If they are anything else, DOS
will try to treat the file as a COM file.


--
Roland Garcia

Roland Garcia nous a raconté (news:4B6C61DB.9080102@wanadoo.fr) :

bsch a écrit :

Roland Garcia nous a raconté (news:4B6B3451.5040407@wanadoo.fr) :

Pour en revenir au pataquès des extensions, le PB a commencé dès
le passage des .COM aux .EXE, je crois (de mémoire) que c'est là
que les MZ sont apparus.

Heu ...

Je viens de retrouver un vieux document concernant la "structure
of the EXE header":

offset:0
Size: 2
Name: Signature
Description: These bytes are the characters M and Z in every EXE
files and identify the file as an EXE file. If they are anything
else, DOS will try to treat the file as a COM file.

Bonjour / Bonsoir
(rayer la mention inutile)


Faut-il en conclure que les exe Zortech (signature ZM, bien peu
répandus) étaient traités comme des com ?
Bizarre ...

Et en parlant de *vrais* com dépassant les 64 ko il y a au moins un cas
(particulier, j'admets): le 'win.com' de w31. On pouvait le patcher
pour changer l'écran d'accueil, et je me souviens que le mien faisait
environ 70 ko. Bon, c'était le dernier boulot du win.com qui consistait
à charger l'image, donc peut-être moins regardant au lancement ...


--
Amicalement

Bernard