Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Всем привет!

Попался мне файл autorun.inf, который Касперский детектирует как Net-Worm.Win32.Kido.ir. В сети есть его описание. Файл autorun.inf содержит обфусцированный текст, перемешивая мусор с "полезным" кодом, чтобы его скрыть.

Но почему винда, обрабатывая этот текст, отбрасывает мусор? Не понимаю, всю голову сломал.

Файл имеет сигнатуру FFFE, то есть говорит о том, что его текст в формате UTF-16 (LE). Но что мусор, что нужный текст вроде как имеют правильный формат. Как это происходит?

Безымянный.png

Опубликовано

Задал ваш вопрос нейросети, получил такой ответ:

Спойлер

Файл `autorun.inf` с сигнатурой `FF FE` действительно является UTF-16 LE (Unicode), и его обработка Windows может показаться загадочной, особенно если он содержит обфусцированный код. Давайте разберёмся, почему Windows корректно обрабатывает такой файл, несмотря на "мусор".  

 

### 1. **Структура `autorun.inf`**  

Файл `autorun.inf` — это обычный текстовый файл, который Windows читает в кодировке **ANSI** (по умолчанию) или **Unicode** (если есть BOM `FF FE`). Его синтаксис очень прост:  

```ini

[autorun]

open=program.exe

icon=icon.ico

```  

Windows парсит этот файл построчно, игнорируя всё, что не соответствует ожидаемому формату.  

 

### 2. **Как Windows обрабатывает "мусор" в UTF-16?**  

Если файл в UTF-16, то каждый символ занимает **2 байта**. Но Windows при чтении `autorun.inf`:  

- Пропускает некорректные символы (например, нечитаемые Unicode-символы).  

- Игнорирует строки, которые не начинаются с `[section]` или `key=value`.  

- Читает **только валидные строки**, а всё остальное (включая "мусор") отбрасывает.  

 

### 3. **Пример обфусцированного `autorun.inf`**  

Допустим, файл выглядит так (в HEX-редакторе):  

```

FF FE 5B 00 61 00 75 00 74 00 6F 00 72 00 75 00 6E 00 5D 00 0D 00 0A 00

DE AD BE EF 0D 00 0A 00

6F 00 70 00 65 00 6E 00 3D 00 70 00 72 00 6F 00 67 00 72 00 61 00 6D 00 2E 00 65 00 78 00 65 00 0D 00 0A 00

```

В UTF-16 это:  

- `[autorun]` (корректная секция)  

- `ޭ��` (мусор, но заканчивается на `\r\n`)  

- `open=program.exe` (корректная директива)  

 

Windows просто проигнорирует `DE AD BE EF` (так как это невалидная строка) и прочитает остальное.  

 

### 4. **Почему антивирусы детектят это как вирус?**  

- **Net-Worm.Win32.Kido.ir** (Conficker) использовал обфускацию `autorun.inf`, чтобы скрыть вредоносные команды.  

- Антивирусы сигнатурно ищут **характерные паттерны**, даже если часть файла — мусор.  

- Вредонос мог вставлять мусор, чтобы затруднить анализ, но Windows всё равно выполняла нужные ему команды.  

 

### 5. **Вывод**  

Windows парсит `autorun.inf` **линейно**, вычитывая только строки в правильном формате, а всё остальное (включая бинарный мусор в UTF-16) просто пропускает. Поэтому вирусописатели добавляли "мусор", чтобы:  

- Замаскировать файл от беглого просмотра.  

- Усложнить анализ антивирусам.  

- Но при этом оставить рабочий код для Windows.  

 

Если у вас такой файл обнаружен — лучше удалить его и проверить систему, так как это может быть следствием заражения.

 

Опубликовано
1 час назад, Ummitium сказал:

Задал ваш вопрос нейросети, получил такой ответ:

  Показать контент

Файл `autorun.inf` с сигнатурой `FF FE` действительно является UTF-16 LE (Unicode), и его обработка Windows может показаться загадочной, особенно если он содержит обфусцированный код. Давайте разберёмся, почему Windows корректно обрабатывает такой файл, несмотря на "мусор".  

 

### 1. **Структура `autorun.inf`**  

Файл `autorun.inf` — это обычный текстовый файл, который Windows читает в кодировке **ANSI** (по умолчанию) или **Unicode** (если есть BOM `FF FE`). Его синтаксис очень прост:  

```ini

[autorun]

open=program.exe

icon=icon.ico

```  

Windows парсит этот файл построчно, игнорируя всё, что не соответствует ожидаемому формату.  

 

### 2. **Как Windows обрабатывает "мусор" в UTF-16?**  

Если файл в UTF-16, то каждый символ занимает **2 байта**. Но Windows при чтении `autorun.inf`:  

- Пропускает некорректные символы (например, нечитаемые Unicode-символы).  

- Игнорирует строки, которые не начинаются с `[section]` или `key=value`.  

- Читает **только валидные строки**, а всё остальное (включая "мусор") отбрасывает.  

 

### 3. **Пример обфусцированного `autorun.inf`**  

Допустим, файл выглядит так (в HEX-редакторе):  

```

FF FE 5B 00 61 00 75 00 74 00 6F 00 72 00 75 00 6E 00 5D 00 0D 00 0A 00

DE AD BE EF 0D 00 0A 00

6F 00 70 00 65 00 6E 00 3D 00 70 00 72 00 6F 00 67 00 72 00 61 00 6D 00 2E 00 65 00 78 00 65 00 0D 00 0A 00

```

В UTF-16 это:  

- `[autorun]` (корректная секция)  

- `ޭ��` (мусор, но заканчивается на `\r\n`)  

- `open=program.exe` (корректная директива)  

 

Windows просто проигнорирует `DE AD BE EF` (так как это невалидная строка) и прочитает остальное.  

 

### 4. **Почему антивирусы детектят это как вирус?**  

- **Net-Worm.Win32.Kido.ir** (Conficker) использовал обфускацию `autorun.inf`, чтобы скрыть вредоносные команды.  

- Антивирусы сигнатурно ищут **характерные паттерны**, даже если часть файла — мусор.  

- Вредонос мог вставлять мусор, чтобы затруднить анализ, но Windows всё равно выполняла нужные ему команды.  

 

### 5. **Вывод**  

Windows парсит `autorun.inf` **линейно**, вычитывая только строки в правильном формате, а всё остальное (включая бинарный мусор в UTF-16) просто пропускает. Поэтому вирусописатели добавляли "мусор", чтобы:  

- Замаскировать файл от беглого просмотра.  

- Усложнить анализ антивирусам.  

- Но при этом оставить рабочий код для Windows.  

 

Если у вас такой файл обнаружен — лучше удалить его и проверить систему, так как это может быть следствием заражения.

 

Спасибо за ответ. В целом понятно.

Видимо, действительно, сначала отбрасываются символы неправильного формата, затем в тексте ищутся символы конца строки 0D 00 0A 00, после которых ожидаются служебные слова. Если их нет, то текст отбрасывается до следующей строки.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • utkeen
      Автор utkeen
      Здравствуйте, постоянно вылезает расширение Адблок в браузерах, возвращается после перезагрузки компьютера, помогите пожалуйста. Антивирус не спасает
    • Moroshka
      Автор Moroshka
      Добрый день.
      Помогите пожалуйста
      Переименовались службы:
       wuauserv_bkp
      UsoSvc_bkp
      BITS_bkp
      WaaSMedicSvc_bkp
      dosvc_bkp.
      Не работал цент обновления, была ошибка "что-то пошло не так"
      Проблема с обновлением ушла после проверки:
       
      Kaspersky Virus Removal Tool; Dr.Web CureIt!.
      Они нашли часть вирусов и снесли их, но остались дубли  служб, описанных выше, это остаточные следы вируса, или просто нарушение работы файлов реестра?   
       
       

      CollectionLog-2026.06.29-14.31.zip
    • Detanatar2
      Автор Detanatar2
      Добрый день
      на этой неделе лечили комп от вирусов
      все прошло успешно, но сегодня обнаружил, что при входе в мозилу, я вышел из всех почтовых аккаунтов
      входить не стал и стразу перегрузил комп и увидел, что система не успела создать файл  прикрепляю изображение
      так же в корне другого диска обнаружил странный текстовый файл, прикрепляю в архиве.

      Подскажите, может грохнуть диск С и поставить вин 11
      или сначала попробовать вылечить комп.

      Почему я написал в тегах Мамонт, часто качаю видео и вот один MOV просто блымнул на экране и ничего...

      topfiles.zip
    • SuperFlanker
      Автор SuperFlanker
      После входа на сайт www.medkv.ru   (по-видимому зараженный) огромное количество файлов оказалось зашифрованным.
      В корне почти всех логических зон появились пронумерованный файлы README1.txt (1,2,3,и т.д.), в которых оказался текст:
          Ваши файлы были зашифрованы.     Чтобы расшифровать их, Вам необходимо отправить код:     D578B51556B1A605148F|0     на электронный адрес files1147@gmail.com или post100023@gmail.com .     Далее вы получите все необходимые инструкции.       Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.   И аналогичный текст на английском.   Никаких действий кроме тех что указаны в методике - "Порядок оформления запроса о помощи" я не делал. Надеюсь на помощь! CollectionLog-2015.07.08-18.43.zip
    • detanatar
      Автор detanatar
      Добрый день
      обнаруживаю, что видеокарта регулярно громко молотит вентиляторами, температура поднимается до 65 градусов.
      перегружал комп все отключал, все равно температура доползает до 65 градусов и когда начинаю мониторить процессы  опускается до 40, а затем опять взлетает 55-65 гадусов.
      Думаю я поймал майнера
      Помогите с лечение компьютера
      CollectionLog-2026.06.20-20.47.zip
×
×
  • Создать...