> [18] Игорь Шевченко ©   (10.10.08 23:06)

Реальный случай...
Год наверное 2000....
Комп под Win NT4....
Стоит антивирус, кстати касперского :)
Дискета заведомо с вирусами (я об этом знал) ее мой соработник собирал... т.е. коллекционеровал вирусы, собирал их на данную дискету, сколько их там было и каких - я не в курсе...
А я в то время вообще и в рыло не видел вирусов.... вообщем загорело меня "зазырить" эту дискету....
А что, подумал я, антивирь-то установлен...

И что.... сунул я ее в флоповёрт... Открыл... Смотрю.... ничего не запускал с нее это точно....
Буквально несколько секунд... мне показалось что-то подозрительно.... и решил я проверить дискету "каспером"
Запускаю с его ярлычка на рабстоле, а ось мне говорит -"файла-то такого нетути"... Я в шоке. Не долго думая делаю ребут, причем Пуск-Завершение раб... Это было все напрасно.... больше комп не загрузился :(

> {RASkov} ©   (10.10.08 23:18) [20]

Попробуй хоть приблизительно объяснить механизм того, о чем говоришь. Не бывает так.

> [21] Kerk ©   (10.10.08 23:28)

Ну скажем, пользуясь некоей дырой в парсере ресурса VERSIONINFO, передать управление на исполнимый код. Чем чёрт не шутит?

> Kerk ©   (10.10.08 23:28) [21]

Если резидент уже на 21 INT висит - то, в принципе, именно дискета должна подвегнуться опасности. Но если она не загрузочная - то пока не запустишь чего - ничего и не получишь. А если память "чиста", то ИМХО никакой просмотр не приведёт к заражению. Как-то так в DOS было...

{RASkov} ©   (10.10.08 23:18) [20]

Я понимаю, легенды и мифы, это дело такое, живучее и все дела. Но ни одна система не выполняет никакого кода при просмотре файлов или их атрибутов. Ни одна.


> И что.... сунул я ее в флоповёрт... Открыл... Смотрю....
>  ничего не запускал с нее это точно....
> Буквально несколько секунд... мне показалось что-то подозрительно.
> ... и решил я проверить дискету "каспером"
> Запускаю с его ярлычка на рабстоле, а ось мне говорит -"файла-
> то такого нетути"... Я в шоке. Не долго думая делаю ребут,
>  причем Пуск-Завершение раб... Это было все напрасно....
>  больше комп не загрузился :(


Или ты намеренно сказки рассказываешь или ты что-то оттуда выполнил. Ну типа ткнул проводником на файл а никакой видимой реакции не увидел. А оно тихо выполнилось.

> Игорь Шевченко ©   (11.10.08 00:09) [24]

Я щас подумал, всетки есть вариант. Винда может автоматически выполнять JS- или VB-код при открытии папки. Оно по-хорошему нужно для всяких умных прибамбасов в Explorer'е, забыл как имя того скрытого файла.

> ИМХО никакой просмотр не приведёт к заражению

Просмотр - это и хождение по папкам(каталогам) на дискете был...
Вот не помню.... помоему резидент каспера начал ругаться сначало, но был сразу отключен.... дабы не мешал знакомству с вирусами)
И после отключения монитора каспера, винт начал шуршать..... вот тут подозрения и возникли.... дальше - как в сказке :)

Kerk ©   (11.10.08 00:13) [25]

Только это не в NT4 да и это не просмотр файлов и их атрибутов, как ты сам понимаешь.  файл даже как-то называется типа htaccess или что-то в этом духе.

> Вот не помню.... помоему резидент каспера начал ругаться
> сначало, но был сразу отключен....


Ну ты сам понимаешь разницу между твоими словами "глазами очевидца" и далеко идущими выводами в посте [17] - "Так вот и на дискетах были вирусы, для заражения которыми было достаточно обратится к самой дискете... например у любого файла свойства посмотреть..."

Самому не смешно ? :)

> [24] Игорь Шевченко ©   (11.10.08 00:09)
> Но ни одна система не выполняет никакого кода при просмотре
> файлов или их атрибутов. Ни одна.

А как же антивирусы "видят" на какой файл указатель мышки передвинулся в проводнике?
Т.е., например в ХР, подводишь указатель мыши на значек файла, всплывает подсказка, а в мониторе антивируса появился новый проверенный объект....

> [28] Игорь Шевченко ©   (11.10.08 00:16)

Противоречия нет вроде бы :)
Согласен, в НТ небыло всплывающих подсказок, но думаю свойства файлов я смотрел, а уж AVмонитор должен наверное был узреть такой момент...
Я так думаю...

{RASkov} ©   (11.10.08 00:16) [29]

> А как же антивирусы "видят" на какой файл указатель мышки
> передвинулся в проводнике?
> Т.е., например в ХР, подводишь указатель мыши на значек
> файла, всплывает подсказка, а в мониторе антивируса появился
> новый проверенный объект....


А тебя не удивляет, что когда открываешь папку в проводнике, то отображается ее содержимое ? Тоже ведь шаманство, откуда проводник, зараза, знает, какие там файлы ? Не иначе, магия...

Антивирус - это программа, работающая по своим, антивирусным законам. Например, перехватывающая обращения к файловой системе.

Но код из файла при этом никакой не выполняется, заметь. И никого не заражает.

{RASkov} ©   (11.10.08 00:20) [30]


> Согласен, в НТ небыло всплывающих подсказок, но думаю свойства
> файлов я смотрел, а уж AVмонитор должен наверное был узреть
> такой момент...
> Я так думаю...


А тя так думаю, что ты просто ткнул в какой-то файл на запуск, а теперь вертишься, пытаясь списать на злобных вирусов :)

> [32] Игорь Шевченко ©   (11.10.08 00:21)

:)
Ладно, давно это было... Рассказал, как помню. Возможно помню не правильно - моя вина.
Со мной присутствовал еще один человек. Видел все вместе со мной.... Но столько времени уже прошло.... если я его где встречу - спрошу, может он что вспомнит... Но мы вместе были до безобразия удивлены произошедшим тогда интеденте :)

> [27] Игорь Шевченко ©   (11.10.08 00:14)


> файл даже как-то называется типа htaccess

desktop.ini )

> > файл даже как-то называется типа htaccess
>
> desktop.ini )

в 98 они вроде появились
еще с ним на пару folder.<не помню, но наверно тоже ини>.... Эх.... дай бог памяти.... хотяб несколько мегабайт :(

> не помню, но наверно тоже ини

Хотя нет.... там значок по умолчанию с "шистеренками" был... а у десктопа - "блокнотик". Но оба скрытые)

> Игорь Шевченко ©   (10.10.08 23:06) [18]

+1
Уж извини, {RASkov}

Эх, а идею линча авторанщиков мало кто поддержал... несправедливость!..

Ух ты. А я прочитав [17] и [18] и дав свой ответ даже и не подозревал, что далее последует столь подробное обсуждение [17]. :)