Icon changer

[sadfud]

Hola, os dejo este icon changer que hice hace un par de meses



Filename: IconChanger 1.00.exe
Type: File
Filesize: 794624 bytes
Date: 10/03/2015 - 22:23 GMT+2
MD5: 6476a723503ae363393c7831306fae82
SHA1: 71bad36f3552395dab9b1792b21e3abc26227944
Status: Infected
Result: 11/35

AVG Free - Trojan horse Generic_vb.HJV
Avast - Win32:Malware-gen
AntiVir (Avira) - OK
BitDefender - Gen:Variant.Sirefef.942
Clam Antivirus - OK
COMODO Internet Security - OK
Dr.Web - OK
eTrust-Vet - OK
F-PROT Antivirus - OK
F-Secure Internet Security - Gen:Variant.Sirefef.942
G Data - Gen:Variant.Sirefef.942
IKARUS Security - OK
Kaspersky Antivirus - Trojan.Win32.Inject.uazj
McAfee - OK
MS Security Essentials - OK
ESET NOD32 - Trojan.Win32/Injector.BSWP
Norman - Gen:Variant.Sirefef.942
Norton Antivirus - OK
Panda Security - OK
A-Squared - OK
Quick Heal Antivirus - OK
Solo Antivirus - OK
Sophos - OK
Trend Micro Internet Security - OK
VBA32 Antivirus - infected TScope.Trojan.VB
Zoner AntiVirus - OK
Ad-Aware - Gen:Variant.Sirefef.942
BullGuard - Gen:Variant.Kazy.533354
FortiClient - OK
K7 Ultimate - OK
NANO Antivirus - OK
Panda CommandLine - OK
SUPERAntiSpyware - OK
Twister Antivirus - OK
VIPRE - OK

Scan Result: http://v2.scan.majyx.net/?page=results&sid=472182
Scan by MaJyx Scanner

Código (url) [Seleccionar] Expandir

http://www71.zippyshare.com/v/zdovYjBT/file.html
Mod: Reportes de posible malware, usar con precaución.

EDIT: Puedes usar una herramienta gratuita y libre de virus, ResourceHacker:
http://www.angusj.com/resourcehacker/

[Shell Root]

INFECTED!
ALYac    Gen:Variant.Sirefef.942    20150312
AVG    Generic_vb.HJV    20150312
Ad-Aware    Gen:Variant.Sirefef.942    20150312
Avast    Win32:Malware-gen    20150312
BitDefender    Gen:Variant.Sirefef.942    20150312
ESET-NOD32    a variant of Win32/Injector.BSWP    20150312
Emsisoft    Gen:Variant.Sirefef.942 (B)    20150312
F-Secure    Gen:Variant.Sirefef.942    20150312
GData    Gen:Variant.Sirefef.942    20150312
Jiangmin    Trojan/Inject.bknq    20150311
Kaspersky    Trojan.Win32.Inject.uazj    20150312
MicroWorld-eScan    Gen:Variant.Sirefef.942    20150312
VBA32    TScope.Trojan.VB    20150312

[sadfud]

no me digas? deberias aprender la diferencia entre infectado y detectado. Una cosa es que detecte firmas cosa que se explica tan simple como que esa version esta pasada por un crypter y perdi el binario original y pir tanto esa tiene las firmas del crypter, cosa muy diferente a que este infectado que no lo esta, pero claro molestarse en mirar eso es demasiado trabajo, es mucho mas facil comentar esa tonteria cuando ya adjunte yo un scan donde salen las firmas.. en fin... parguela

[engel lex]

no me digas? deberias aprender la diferencia entre infectado y detectado. Una cosa es que detecte firmas cosa que se explica tan simple como que esa version esta pasada por un crypter y perdi el binario original y pir tanto esa tiene las firmas del crypter, cosa muy diferente a que este infectado que no lo esta, pero claro molestarse en mirar eso es demasiado trabajo, es mucho mas facil comentar esa tonteria cuando ya adjunte yo un scan donde salen las firmas.. en fin... parguela

explícate en detalle la diferencia entre infectado y detectado según muestra el análisis de Shell Root? por otro lado... para qué un icon changer necesita crypter? por otro lado, como sabemos que no está infectado si no hay codigo fuente?

[xxxposeidonxxx]

@SeadFud Tienes que tener un poco mas de Ojo al decir según que cosas, no todo el mundo  sabe de malware... Podrías haber explicado tu mismo a el para que lo entendiera.

Y como dice @angel Lex, para que Coj*nes encryptas una herramienta? Porque lo único que haces es levantar sospechas...  Porque herramientas de estas, pegas una patada a una carpeta y salen 10.
Saludos

[.:UND3R:.]

Cómo un programa que solo edita la sección Resource (.RES) de un ejecutable puede ser considerado un malware? y para que cifrar una aplicación que no debe por qué ser cifrada? Y la otra pregunta del millón:

¿Por qué siempre creen que le pueden mentir a un pirata sobre el mar? Hay tantos foros de juegos, para compartir archivos e intentan aquí. ¿Cual será el nuevo desafío? Enviarle un mail a la brigada de delitos informáticos un supuesto programa que cambie iconos? O mejor aun vender reloj pintados de dorado a un relojero?

[sadfud]

Os lo explico de nuevo que parece que no lo habeis entendido.
al hacerlo tenia dos firmas y queria que no tuviera ninguna (siempre es mas bonito un verde) asi que le pase un crypter y obviamente el crypter despues de mes y pico que he tardado en publicarlo pues se ha quemado un poco... que es lo que pasa ? que al guardar el fud reemplace el original y por eso he subido el archivo con firmas. Creo que ahora es facil entender la diferencia entre detectado e infectado, para saber si esta onfectado es tan facil como que el moderador venga y lo analice, como bien decis a quien se le ocurriria venir a un sitio donde todos sabemos algo aunque sea poco de esto... ni que esto fuese taringa.. en fin, no, no soy idiota. Ya explique porque tien e firmas al contrario de ustedes que no sois capaces de justificar que este "infectado" . sin mas que decir que venga el moderador lo analice y os chape la boca. no mancheis mi nick y mas sin motivos. se que la tool no es nada nuevo pero se ve que en este foro todo son expertos que no agradecen.

[engel lex]

el problema es que con frecuencia no se por qué (supongo que reto) llega gente publicando herramientas, extensiones, u otros, maliciosos o infectados...

tu herramienta es algo que no debería levantar alertas, ni debería tener la necesidad de haberle pasado un crypter

ahora, traes una herramienta que no es tan compleja, sin codigo fuente y con firma de virus... no es convincente y como es un caso tan tipico no se van a dar la tarea de hacerle forencia...

[sadfud]

creo que lo deje claro arriba, si no os convence podeis analizarlo, podeis seguir echando bilis o podeis cerrar el post, pero mejor no deis mas por culo, y sin bases fundamentadas mas que "es raro" me podeis banear, no mereceis mi respeto despues de tanta tonteria

[79137913]

HOLA!!!

Estuve viendo el ejecutable, lo corri en una sandbox y el mismo no dumpea ningun archivo y es mas, da risa, esta tan mal hecho que ni siquiera lo empaqueto con sus ocx  !

Luego mire el binario y veo que hay algo cifrado dentro y que el programa usa las siguientes funciones: 

Código [Seleccionar] Expandir

__vbaStrI2    _CIcos    _adj_fptan    __vbaVarMove    __vbaFreeVar    __vbaAryMove    __vbaLenBstr    __vbaStrVarMove   __vbaEnd    __vbaFreeVarList    _adj_fdiv_m64   _adj_fprem1   __vbaStrCat   __vbaSetSystemError   __vbaHresultCheckObj    _adj_fdiv_m32   __vbaAryVar   __vbaAryDestruct    __vbaOnError    __vbaObjSet   _adj_fdiv_m16i    __vbaObjSetAddref   _adj_fdivr_m16i   __vbaVargVar    _CIsin    __vbaErase    __vbaChkstk   __vbaFileClose    EVENT_SINK_AddRef   __vbaGenerateBoundsError    __vbaGet3   __vbaStrCmp   __vbaObjVar   DllFunctionCall   _adj_fpatan   EVENT_SINK_Release    _CIsqrt   EVENT_SINK_QueryInterface   __vbaExceptHandler    _adj_fprem    _adj_fdivr_m64    __vbaFPException    __vbaUbound   __vbaStrVarVal    _CIlog    __vbaErrorOverflow    __vbaFileOpen   __vbaVar2Vec    __vbaNew2   _adj_fdiv_m32i    _adj_fdivr_m32i   __vbaStrCopy    __vbaFreeStrList    __vbaDerefAry1    _adj_fdivr_m32    __vbaR8Var    _adj_fdiv_r   __vbaVarSetVar    __vbaLateMemCall    __vbaAryLock    __vbaStrToAnsi    __vbaVarDup   __vbaFpI4   __vbaVarCopy    __vbaVarLateMemCallLd   __vbaVarSetObjAddref    __vbaLateMemCallLd    _CIatan   __vbaAryCopy    __vbaStrMove    _allmul   _CItan    __vbaUI1Var   __vbaAryUnlock    _CIexp    __vbaMidStmtBstr    __vbaFreeObj    __vbaFreeStr __vbaVargVar    __vbaVarSetObjAddref    __vbaLateMemCall __vbaMidStmtBstr    __vbaLenBstr __vbaStrToAnsi  __vbaUI1Var __vbaGenerateBoundsError VBA6.DLL    __vbaObjSetAddref   __vbaFreeStr    __vbaStrCmp __vbaFreeObj    __vbaFreeStrList    __vbaHresultCheckObj     __vbaStrCat __vbaStrMove    __vbaNew2   __vbaObjSet   CallWindowProcA __vbaAryDestruct    __vbaStrVarVal  __vbaVar2Vec    __vbaAryMove    __vbaAryUnlock     __vbaAryLock    __vbaDerefAry1  __vbaFreeVarList    __vbaVarDup __vbaAryVar __vbaAryCopy        __vbaFreeVar    __vbaStrVarMove 4   S c r i p t i n g . F i l e S y s t e m O b j e c t     G e t F i l e   S i z e     __vbaLateMemCallLd  __vbaR8Var  __vbaVarLateMemCallLd   
   f t \ S e       __vbaObjVar __vbaVarSetVar  __vbaVarCopy    __vbaFileClose  __vbaGet3   __vbaFpI4    __vbaFileOpen        __vbaVarMove    __vbaEnd    __vbaStrI2      __vbaStrCopy    __vbaErrorOverflow  __vbaErase  __vbaUbound __vbaOnError    __vbaSetSystemError


Ademas como si fuera poco (si funcionara bien):
Dumpea en :

Código [Seleccionar] Expandir

\WINDOWS\SYSTEM32\SHELL32
\WINDOWS\SYSTEM32\USER32
Con un nombre similar a:

Código [Seleccionar] Expandir

"\   q 3 f 4 5 g 6 7 4 w 2 5 7 h j 2 4 w 5 3 g f 2 o 8 4 7 b t o q 8 3 6 w y 4 t g 5 q 4 5 y j h           . e x e

Y chequea si estos son verdaderos:

Código [Seleccionar] Expandir

IsUserAnAdmin     U A C   

Por ende a mi parecer es un malware MUY MAL  cifrado y empaquetado.

No quiero presumir pero si hay algo que se es VB6 y eso esta infectado nada de pavadas de "esta detectado".

Mod si te parece correcto bloquea el post y elimina el link de descarga.

GRACIAS POR LEER!!!