Подмена одного из файла торрента на зловреда

[Suren]

Позавчера переустановил систему. До этого качал торрентом фильмы и программки.

Сегодня поставил на ночь на углублённый поиск руткитов. И почему-то кис нашёл в файле AVI

кучу зловредов  . 

 

 

Скачанный архив адоб фотошоп портабле , скачан давно и был перемещён в другую папку.

Теперь вообще удалён. Док.фильмы начал качать позже.  

Суть вопроса в том, как произошла подмена именно одной серии фильма? Или это фолс? 

 

 

Пока писал, обратил внимание, что ещё пару серий пропало  Непонятки какие-то

 

 

Как может такое быть? Кто-нибудь сталкивался?

В остальном система чистая...

Изменено 15 марта, 2010 пользователем Suren

[Stopvirus]

обратите внимание на расширение файла Файл .!ut создается при добавлении в торрент-клиент новой закачки. Если данный файл не удален, то закачка может быть возобновлена после паузы, остановки или перезапуска программы.

Что этим можно сказать в формате этого файла может быть что угодно, так как это своеобразный переходный файл между качающимся файлом и его конечным видом. Склонен предположить что это руткит с распространение в P2P сетях, с заражением опред расширений

[Invisible]

 случаем качаешь не с Удалено! многие жаловались что в последнее время с него почему то вирусы поползли...

 

Строгое предупреждение от модератора vasdas

Предупреждение! Запрещено выкладывать ссылки на варезные сайты.

 

 извиняюсь, не знал, вообщем с рутрекера у тебя скачка идет?

[Stopvirus]

Большую роль еще играет с какого трекера ты это скачал, от туда и все заражение так что следующий раз смотрите внемательный и ищите альтернативы ...

[Suren]

обратите внимание на расширение файла Файл .!ut создается при добавлении в торрент-клиент новой закачки.

Дело в том, что после переустановки системы я запустил торрент по новой, что естественно.

Ну и только потом в его настройках поставил галку "добавлять для не завершённых":

 

 

Почему и озадачился, может опять какая-то новая бяка всплыла?

Ведь раньше ни разу такого не было. Чтоб файл, качающийся со многих компов, подменялся какой-то шнягой.

Звоночек? Охо-хо...

[Stopvirus]

Почему и озадачился, может опять какая-то новая бяка всплыла?

Все может быть вирусы появляются каждый день сотнями, как новые так и модификации ...

[Roman Merkushin]

многие жаловались что в последнее время с него почему то вирусы поползли

извиняюсь, не знал, вообщем с рутрекера у тебя скачка идет?

Я вот за полмесяца накачал оттуда уже порядка 50 гигов (записи спорт. трансляций в основном) - благо фрилич))) в действии - и что-то никаких вирусов в видео не вижу))) Да и чем зараженный avi-файл может быть опасен, что-то я не пойму? Ну откроешь ты его - и дальше? Он же не в cmd.exe у тебя откроется и не запустится аки приложение))) а будет сделана просто попытка его открыть в плеере. Как эти "вирусы" то ваще запустились у топикстартера?)) Скорее всего у него уже сидела какая-то хрень, перезаражавшая и поудалявшая видеофайлы))) Изменено 16 марта, 2010 пользователем Roman Merkushin

[Suren]

Как эти "вирусы" то ваще запустились у топикстартера?))

Они не запускались.

Скорее всего у него уже сидела какая-то хрень, перезаражавшая и поудалявшая видеофайлы)

Да, архив был на компе. Почему и спросил, может-ли недокачанный файл собою подменить?.

И почему не все, а только один? Интересно просто...

 

До этого КИС его не видел как угрозу. Видимо базы обновились и начал видеть.

 

Да что-ж такое-то?! Теперь в другом файле нашёл Может фолс?

 

[Stopvirus]

Да что-ж такое-то?! Теперь в другом файле нашёл Может фолс?

здорово его кто-то перелопатил ...

[Suren]

Удалил все файлы, запустил торрент по новой, жду когда начнёт закачиваться 122 серия и 116-я...

Потом проверю. Странно это всё

[strat]

У меня появилась маловероятная версия но все же. Существуют ошибки файловой системы, исправляются запуском chkdsk, часто видел ошибки типа сцепленныых (cross-linked) файлов. Это означает что на один сектор диска ссылаются два и более файла. Т.е. в вашем случае пересечение закачки торрента и архива фотошопа = вирус в торренте.

 

Остановите все закачки, запустите chkdsk с параметрами /f /r и проверьте все диски

[Stopvirus]

Т.е. в вашем случае пересечение закачки торрента и архива фотошопа = вирус в торренте.

Помоему это бред ...

[Omnividente]

Suren а может проблема не в закаченых файлах а в том что зловред сидит у вас на компе и заражет то что уже имеется?) подмена недокаченного файла... кхм это как? Если пользователь выкладывающий торрент сначала запустит здоровый файл, затем заменит его на зараженый, то его торрент клиент просто не начнет раздачу так как не пройдет хеширование, в то же самое время если он пересоздаст торрент, и переложит его на трекер, то связь с файлом потреряете вы. и чтобы продолжит закачку вам потребуется уже скачать торрент по новой. В любом случае про незаметную подмену файла в процессе закачки я слышу впервые и сомневаюсь что это вообще возможно)

[Suren]

а может проблема не в закаченых файлах а в том что зловред сидит у вас на компе и заражет то что уже имеется?)

Дык я в первом посте написал, что полная проверка компьютера поизвелась. Нашёл архив и файл 122(серия)... удалил их.

Через 2 дня каспер уже 116-ю серию файл увидел заражённой... Вот поэтому и не понятки

Тоже первый раз такое вижу

В любом случае про незаметную подмену файла в процессе закачки я слышу впервые и сомневаюсь что это вообще возможно)

Ну сейчас вроде пока молчит Ибо:

Удалил все файлы, запустил торрент по новой, жду когда начнёт закачиваться 122 серия и 116-я

 

Подожду, пока начнут качаться все, правда с моей скоростью это долго ждать

 

Пока тишина, только странно... Почему-то 117-й и 127-й серии в закачках уже нет

 

Изменено 18 марта, 2010 пользователем Suren

[Omnividente]

Дык я в первом посте написал, что полная проверка компьютера поизвелась

 

К сожалению полная проверка касперским это далеко не гарантия отсутствия вирусов в системе. Проверьтесь по правилам

 

Через 2 дня каспер уже 116-ю серию файл увидел заражённой.

 

т.е. тут два варианта либо зловред уже у вас в системе, либо произошла подмена здорового на зараженый файл у того кто раздает. Второй вариант это скорее из области фантастики(почему описано выше).

PS может быть и конечно третий вариант что файл изначально был с вирусом и антивирус его просто не определил. Но думаю в этом случае на трекерре бы сильно ругались)

Изменено 18 марта, 2010 пользователем Omnividente