Перейти к содержанию
Vadym.O

Какие типы (РАСШИРЕНИЯ) файлов можно не проверять ?

Recommended Posts

Vadym.O

Какие типы (РАСШИРЕНИЯ) файлов можно не проверять ????

Купил себе НОД32 и пытаюсь спросить у вас какие типы файлов можно безопасно исключить из списка сканирования? Например, фотографии, видео и т.д.????

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Я всегда задаю проверять все файлы и вам советую. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black Angel
Я всегда задаю проверять все файлы и вам советую. :)
Аналогично.

При полной проверке системы всегда ставлю проверять все файлы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Пессимист - умудренный опытом оптимист.

26-02-2008 23:15:19 Virus records: 31141226-02-2008 23:15:1926-02-2008 23:15:19 Engine Version: 4.44 (4.44.1.10150)26-02-2008 23:15:19 Core API Version: 2.0226-02-2008 23:15:1926-02-2008 23:15:19 Scanning processes: 27 processes and 359 unique modules26-02-2008 23:15:1927-02-2008 08:47:52 [CL] E:\Install\_Software_\_Vir_\xpl.wmf - infected with Exploit.MS05-05327-02-2008 08:47:52 [CL] E:\Install\_Software_\_Vir_\xpl.wmf - cured

http://www.microsoft.com/rus/security/bull...1/ms05-053.mspx

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Ещё совсем недавно часть файлов можно было исключить из проверки, как очень редкозаражаемые - например, txt, mp3. Но прошедший год показал, что для вирусописателей нет ничего "святого" - и заразить можно практически всё - была бы "точка опоры", т.е. цель и смысл.

Появивишийся прошлым летом вирус-червь заражал письма, при открытии которых повсюду вместо пользовательских данных были зубы с клыками.

Он заражал файлы с расширениями txt, doc, rtf и пр. и уничтожал текст в них, оставляя два предложениями "Здесь могла быть ваша реклама. По вопросам размещения в следующей волне." (Кажется так).

Он заражал и файлы с музыкальными расширениями mp3 и пр. - файлы тоже становились одного размера, а сам проигрыватель вместо обычного оформления оформлялся картинкой с клыками и играл одну и ту же мелодию.

И, наконец, он заражал все виды картинок и фотографий - всюду была одна и та же картинка с клыками и фразой и одного размера. Но у всех заражённых, вернее уничтоженных, файлов оставались свои названия.

Пострадали пользователи, у которых или не было антивируса или он не обновлялся.

Сделав своё дело вирус-червь вероятно самоуничтожался.

Так стоит ли рисковать? Пусть уж лучше хотя бы при сканировании проверяются все файлы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Вирус с клыками не имеет никакого отношения к теме вопроса. Из-за того что он внутрь txt писал мусор - сами эти txt вредоносными не становились.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Как ни крути, txt не заразишь. Но вот если:

1. Присвоить телу зловреда расширение txt

2. И в реестре сделать такие изменения, чтобы txt обрабатывался системой как exe

...то вполне может быть весело.

Если сие невозможно в принципе - прошу ногами не бить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent
Как ни крути, txt не заразишь. Но вот если:

1. Присвоить телу зловреда расширение txt

2. И в реестре сделать такие изменения, чтобы txt обрабатывался системой как exe

...то вполне может быть весело.

Если сие невозможно в принципе - прошу ногами не бить.

Даже если это и возможно - какой смысл для вредоноса заниматься такими действиями?

1. Если вредонос уже запустился, то он и так может с системой делать все, что хочет (в рамках прав пользователя, естессна)

2. Распространиться таким образом он не может - на других-то компах с ассоциацией файлов все в порядке

3. Какого-либо сокрытия своего присутствия в системе не будет, скорее наоборот - .txt в автозагрузке будет в первую очередь привлекать к себе внимание.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Какие типы (РАСШИРЕНИЯ) файлов можно не проверять ????

Купил себе НОД32 и пытаюсь спросить у вас какие типы файлов можно безопасно исключить из списка сканирования? Например, фотографии, видео и т.д.????

---

поставить в настройках монитора, сканеров расширения для сканирования по умолчанию, Нод вам покажет файлы с каким расширением надо проверять.

Есть такая возможность как в версии 2.7 так и в 3.0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

dot_sent, это мысля на тему безопасных расширений

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Не бывает "безопасных" расширений.

Единственное на чем можно сыграть - это проверка по форматам файлов. Но для этого антивирус должен иметь в себе базу форматов, уметь распознавать, что вот это RTF файл, а это PDF.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vidocq89

а чем вы невзлюбили "проверку по содержимому" ???

кстати, по дефолту в системе только вот эти файлы исполняемые вроде:

com exe bat pif cmd scr

а так можно ассоциировать любое расширение с ехефилес... можете его и сами придумать...

это или простой записью в соответствующую ветку реестра делается или командой assoc например...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Разрешите я предоставлю список расширений из справки KIS 7.

com - исполняемый файл программы размером не более 64 КБ.

exe - иcполняемый файл, самораспаковывающийся архив.

sys - системный файл.

prg - текст программы dBase, Clipper или Microsoft Visual FoxPro, программа пакета WAVmaker.

bin - бинарный файл.

bat - файл пакетного задания.

cmd - командный файл Microsoft Windows NT (аналогичен bat-файлу для DOS), OS/2.

dpl - упакованная библиотека Borland Delphi.

dll - библиотека динамической загрузки.

scr - файл-заставка экрана Microsoft Windows.

cpl - модуль панели управления (control panel) в Microsoft Windows.

ocx - объект Microsoft OLE (Object Linking and Embedding).

tsp - программа, работающая в режиме разделения времени.

drv - драйвер некоторого устройства.

vxd - драйвер виртуального устройства Microsoft Windows.

pif - файл с информацией о программе.

lnk - файл-ссылка в Microsoft Windows.

reg - файл регистрации ключей системного реестра Microsoft Windows.

ini - файл инициализации.

cla - класс Java.

vbs - скрипт Visual Basic.

vbe - видеорасширение BIOS.

js, jse - исходный текст JavaScript.

htm - гипертекстовый документ.

htt - гипертекстовая заготовка Microsoft Windows.

hta - гипертекcтовая программа для Microsoft Internet Explorer.

asp - скрипт Active Server Pages.

chm - скомпилированный HTML-файл.

pht - HTML-файл со встроенными скриптами PHP.

php - скрипт, встраиваемый в HTML-файлы.

wsh - файл Microsoft Windows Script Host.

wsf - скрипт Microsoft Windows.

the - файл заставки для рабочего стола Microsoft Windows 95.

hlp - файл справки формата Win Help.

eml - почтовое сообщение Microsoft Outlook Express.

nws - новое почтовое сообщение Microsoft Outlook Express.

msg - почтовое сообщение Microsoft Mail.

plg - почтовое сообщение.

mbx - расширение для сохраненного письма Microsoft Office Outlook.

doс* – документ Microsoft Office Word, например: doс – документ Microsoft Office Word, docx – документ Microsoft Officе Word 2007 с поддержкой языка XML, docm – документ Microsoft Officе Word 2007 с поддержкой макросов.

dot* – шаблон документа Microsoft Office Word, например, dot – шаблон документа Microsoft Office Word, dotx – шаблон документа Microsoft Office Word 2007, dotm – шаблон документа Microsoft Office Word 2007 с поддержкой макросов.

fpm - программа баз данных, стартовый файл Microsoft Visual FoxPro.

rtf - документ в формате Rich Text Format.

shs - фрагмент Shell Scrap Object Handler.

dwg - база данных чертежей AutoCAD.

msi - пакет Microsoft Windows Installer.

otm - VBA-проект для Microsoft Office Outlook.

pdf - документ Adobe Acrobat.

swf - объект пакета Shockwave Flash.

jpg, jpeg - файл графического формата хранения сжатых изображений.

emf - файл формата Enhanced Metafile. Следующее поколение метафайла операционной системы Microsoft Windows. Файлы EMF не поддерживаются 16-разрядной Microsoft Windows.

ico - файл значка объекта.

ov? - исполняемые файлы MS DOC.

xl* – документы и файлы Microsoft Office Excel, такие как: xla – расширение Microsoft Office Excel, xlc – диаграмма, xlt – шаблон документов, xlsx – рабочая книга Microsoft Officе Excel 2007, xltm – рабочая книга Microsoft Officе Excel 2007 с поддержкой макросов, xlsb – рабочая книга Microsoft Officе Excel 2007 в бинарном (не XML) формате, xltx – шаблон Microsoft Officе Excel 2007, xlsm – шаблон Microsoft Officе Excel 2007 с поддержкой макросов, xlam – надстройка Microsoft Officе Excel 2007 с поддержкой макросов.

pp* – документы и файлы Microsoft Office PowerPoint, такие как: pps – слайд Microsoft Office PowerPoint, ppt – презентация, pptx – презентация Microsoft Officе PowerPoint 2007, pptm – презентация Microsoft Officе PowerPoint 2007 с поддержкой макросов, potx – шаблон презентации Microsoft Officе PowerPoint 2007, potm – шаблон презентации Microsoft Officе PowerPoint 2007 с поддержкой макросов, ppsx – слайд-шоу Microsoft Officе PowerPoint 2007, ppsm – слайд-шоу Microsoft Officе PowerPoint 2007 с поддержкой макросов, ppam – надстройка Microsoft Officе PowerPoint 2007 с поддержкой макросов.

md* - документы и файлы Microsoft Office Access, такие как: mda - рабочая группа Microsoft Office Access, mdb - база данных и т.д.

sldx – слайд Microsoft Officе PowerPoint 2007.

sldm – слайд Microsoft Officе PowerPoint 2007 с поддержкой макросов.

thmx – тема Microsoft Officе 2007.

А Вы уже сами посмотрите то, что реально можно запустить и это практически всегда заработает на ПК пользователя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Antal

Возможно, ихмо исключать из проверки расширения (dt1-dt5 и nx1-nx5) баз программы Консультант Плюс ни разу не слышал, чтобы они были заражены.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vidocq89
Разрешите я предоставлю список расширений из справки KIS 7.

ну лично я видел это...

думаю все это видели...

А что вы хотите этим сказать кстати?

Возможно, ихмо исключать из проверки расширения (dt1-dt5 и nx1-nx5) баз программы Консультант Плюс ни разу не слышал, чтобы они были заражены.

и все-таки лучше не надо их исключать, сделать их исполняемыми совсем несложно...

assoc .dt1=exefile

вроде так...

и все - теперь под этим расширением у нас будет скрываться наш ехе'шник...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

vidocq89

кстати, по дефолту в системе только вот эти файлы исполняемые вроде:

com exe bat pif cmd scr

Вот это и хотел сказать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vidocq89
Вот это и хотел сказать.

а я в свою очередь этим хотел сказать, что обычному ехешнику (допустим пе-файл) на обычной оси (допустим хрю) можно безболезненно переименовать расширение на любое из приведенных мною и при этом работа самого ехешника не будет нарушена...

а в приведенном вами листинге просто перечислены расширения файлов которые в теории могут быть опасными (на той же самой обычной оси)

рассмотрим к примеру расширение dwg ... если не поставлен автокад и небыло танцев с бубном (см. мой предыдущий пост), то ничего опасного системе он сделать никак не сможет...

если вам хочется поспорить, то вы напишите с ЧЕМ ИМЕННО вы не согласны... и желательно привидите примеры...

А Вы уже сами посмотрите то, что реально можно запустить и это практически всегда заработает на ПК пользователя.

с тем, что те файлы нельзя запустить и они могут нанести вред я не спорил...

... а лишь рассказал что можно делать с обычным ехешником...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

vidocq89

Я совершенно не спорил. Мы говорим об одном, но разными словами. ;) Давайте переместимся в личку. Отпишите, пожалуйста, чем я сбил Вас с толку, а я уже, после рабочего дня, попробую перефразировать или растолковать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Размышлял тут немного над расширениями исполняемых файлов и придумал небольшой эксплоит роняющий родительский процесс (обычно им становится експлоер):

Microsoft Windows XP [Version 5.1.2600]© Copyright 1985-2001 Microsoft Corp.C:\>type test.url[internetShortcut]URL=file:///C:/test.urlC:\>test.url

Вот вам и незаметный такой безобидный url-файл. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Я бы рекомендовал проверять все файлы независимо от их расширения. Каждый день находят кучу уязвимостей в различных программах, для которых можно подготовить эксплойт, например, загружающий свежего трояна из интернет.

На памяти показательный случай с обнаружением бреши в wmf-файлах. Эксплойт запускался при банальном предпросмотре вредоносного файла в проводнике винды. После этого все антивирусы стали их проверять. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Я тоже поддерживаю такую рекомендацию, но с поправкой на мощность компьютера, т.е. лично я рекомендую проверять на вирусы все файлы, но при условии, что компьютер имеет достаточную мощность, иначе надо находить компромисное решение, например, проверка файлов по формату.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

А что делать с файлами без расширения? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

А разве их можно запустить? ;)

И, как я сказал выше, в общем случае лучше проверять на вирусы все файлы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
А разве их можно запустить? ;)
C:\XP\system32>copy %SystemRoot%\NOTEPAD.EXE \*.       1 file(s) copied.C:\XP\system32>assoc .File association not found for extension .C:\XP\system32>assoc .=exefile.=exefileC:\XP\system32>start \NOTEPAD

:D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
JIABP

Vadym.O, лучше никакие типы файлов из провери не исключать, т.к. есть такая штука, джойнер называется, грубо говоря к лиценхионной программе скачаной с офф. сайта и в которой нет виря, прикрепляется вирус, т.е. их как бы склеивают. Поэтому лучше ничего не отключать = )

А что делать с файлами без расширения?

Как что?! Прям как маленький! Расширить до нужных размеров и использовать. Но при расширянии, смотри не порви файл!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×