Hola, os dejo este icon changer que hice hace un par de meses
(http://i.imgur.com/UShfPo5.jpg)
Filename: IconChanger 1.00.exe
Type: File
Filesize: 794624 bytes
Date: 10/03/2015 - 22:23 GMT+2
MD5: 6476a723503ae363393c7831306fae82
SHA1: 71bad36f3552395dab9b1792b21e3abc26227944
Status: Infected
Result: 11/35
AVG Free - Trojan horse Generic_vb.HJV
Avast - Win32:Malware-gen
AntiVir (Avira) - OK
BitDefender - Gen:Variant.Sirefef.942
Clam Antivirus - OK
COMODO Internet Security - OK
Dr.Web - OK
eTrust-Vet - OK
F-PROT Antivirus - OK
F-Secure Internet Security - Gen:Variant.Sirefef.942
G Data - Gen:Variant.Sirefef.942
IKARUS Security - OK
Kaspersky Antivirus - Trojan.Win32.Inject.uazj
McAfee - OK
MS Security Essentials - OK
ESET NOD32 - Trojan.Win32/Injector.BSWP
Norman - Gen:Variant.Sirefef.942
Norton Antivirus - OK
Panda Security - OK
A-Squared - OK
Quick Heal Antivirus - OK
Solo Antivirus - OK
Sophos - OK
Trend Micro Internet Security - OK
VBA32 Antivirus - infected TScope.Trojan.VB
Zoner AntiVirus - OK
Ad-Aware - Gen:Variant.Sirefef.942
BullGuard - Gen:Variant.Kazy.533354
FortiClient - OK
K7 Ultimate - OK
NANO Antivirus - OK
Panda CommandLine - OK
SUPERAntiSpyware - OK
Twister Antivirus - OK
VIPRE - OK
Scan Result: http://v2.scan.majyx.net/?page=results&sid=472182
Scan by MaJyx Scanner
http://www71.zippyshare.com/v/zdovYjBT/file.html
Mod: Reportes de posible malware, usar con precaución.
EDIT: Puedes usar una herramienta gratuita y libre de virus, ResourceHacker:
http://www.angusj.com/resourcehacker/ (http://www.angusj.com/resourcehacker/)
INFECTED!
ALYac Gen:Variant.Sirefef.942 20150312
AVG Generic_vb.HJV 20150312
Ad-Aware Gen:Variant.Sirefef.942 20150312
Avast Win32:Malware-gen 20150312
BitDefender Gen:Variant.Sirefef.942 20150312
ESET-NOD32 a variant of Win32/Injector.BSWP 20150312
Emsisoft Gen:Variant.Sirefef.942 (B) 20150312
F-Secure Gen:Variant.Sirefef.942 20150312
GData Gen:Variant.Sirefef.942 20150312
Jiangmin Trojan/Inject.bknq 20150311
Kaspersky Trojan.Win32.Inject.uazj 20150312
MicroWorld-eScan Gen:Variant.Sirefef.942 20150312
VBA32 TScope.Trojan.VB 20150312
no me digas? deberias aprender la diferencia entre infectado y detectado. Una cosa es que detecte firmas cosa que se explica tan simple como que esa version esta pasada por un crypter y perdi el binario original y pir tanto esa tiene las firmas del crypter, cosa muy diferente a que este infectado que no lo esta, pero claro molestarse en mirar eso es demasiado trabajo, es mucho mas facil comentar esa tonteria cuando ya adjunte yo un scan donde salen las firmas.. en fin... parguela
Cita de: sadfud en 13 Marzo 2015, 00:38 AM
no me digas? deberias aprender la diferencia entre infectado y detectado. Una cosa es que detecte firmas cosa que se explica tan simple como que esa version esta pasada por un crypter y perdi el binario original y pir tanto esa tiene las firmas del crypter, cosa muy diferente a que este infectado que no lo esta, pero claro molestarse en mirar eso es demasiado trabajo, es mucho mas facil comentar esa tonteria cuando ya adjunte yo un scan donde salen las firmas.. en fin... parguela
explícate en detalle la diferencia entre infectado y detectado según muestra el análisis de
Shell Root? por otro lado... para qué un icon changer necesita crypter? por otro lado, como sabemos que no está infectado si no hay codigo fuente?
@SeadFud Tienes que tener un poco mas de Ojo al decir según que cosas, no todo el mundo sabe de malware... Podrías haber explicado tu mismo a el para que lo entendiera.
Y como dice @angel Lex, para que Coj*nes encryptas una herramienta? Porque lo único que haces es levantar sospechas... Porque herramientas de estas, pegas una patada a una carpeta y salen 10.
Saludos
Cómo un programa que solo edita la sección Resource (.RES) de un ejecutable puede ser considerado un malware? y para que cifrar una aplicación que no debe por qué ser cifrada? Y la otra pregunta del millón:
¿Por qué siempre creen que le pueden mentir a un pirata sobre el mar? Hay tantos foros de juegos, para compartir archivos e intentan aquí. ¿Cual será el nuevo desafío? Enviarle un mail a la brigada de delitos informáticos un supuesto programa que cambie iconos? O mejor aun vender reloj pintados de dorado a un relojero?
:laugh:
Os lo explico de nuevo que parece que no lo habeis entendido.
al hacerlo tenia dos firmas y queria que no tuviera ninguna (siempre es mas bonito un verde) asi que le pase un crypter y obviamente el crypter despues de mes y pico que he tardado en publicarlo pues se ha quemado un poco... que es lo que pasa ? que al guardar el fud reemplace el original y por eso he subido el archivo con firmas. Creo que ahora es facil entender la diferencia entre detectado e infectado, para saber si esta onfectado es tan facil como que el moderador venga y lo analice, como bien decis a quien se le ocurriria venir a un sitio donde todos sabemos algo aunque sea poco de esto... ni que esto fuese taringa.. en fin, no, no soy idiota. Ya explique porque tien e firmas al contrario de ustedes que no sois capaces de justificar que este "infectado" . sin mas que decir que venga el moderador lo analice y os chape la boca. no mancheis mi nick y mas sin motivos. se que la tool no es nada nuevo pero se ve que en este foro todo son expertos que no agradecen.
el problema es que con frecuencia no se por qué (supongo que reto) llega gente publicando herramientas, extensiones, u otros, maliciosos o infectados...
tu herramienta es algo que no debería levantar alertas, ni debería tener la necesidad de haberle pasado un crypter
ahora, traes una herramienta que no es tan compleja, sin codigo fuente y con firma de virus... no es convincente y como es un caso tan tipico no se van a dar la tarea de hacerle forencia...
creo que lo deje claro arriba, si no os convence podeis analizarlo, podeis seguir echando bilis o podeis cerrar el post, pero mejor no deis mas por culo, y sin bases fundamentadas mas que "es raro" me podeis banear, no mereceis mi respeto despues de tanta tonteria
HOLA!!!
Estuve viendo el ejecutable, lo corri en una sandbox y el mismo no dumpea ningun archivo y es mas, da risa, esta tan mal hecho que ni siquiera lo empaqueto con sus ocx ;-) !
Luego mire el binario y veo que hay algo cifrado dentro y que el programa usa las siguientes funciones: __vbaStrI2 _CIcos _adj_fptan __vbaVarMove __vbaFreeVar __vbaAryMove __vbaLenBstr __vbaStrVarMove __vbaEnd __vbaFreeVarList _adj_fdiv_m64 _adj_fprem1 __vbaStrCat __vbaSetSystemError __vbaHresultCheckObj _adj_fdiv_m32 __vbaAryVar __vbaAryDestruct __vbaOnError __vbaObjSet _adj_fdiv_m16i __vbaObjSetAddref _adj_fdivr_m16i __vbaVargVar _CIsin __vbaErase __vbaChkstk __vbaFileClose EVENT_SINK_AddRef __vbaGenerateBoundsError __vbaGet3 __vbaStrCmp __vbaObjVar DllFunctionCall _adj_fpatan EVENT_SINK_Release _CIsqrt EVENT_SINK_QueryInterface __vbaExceptHandler _adj_fprem _adj_fdivr_m64 __vbaFPException __vbaUbound __vbaStrVarVal _CIlog __vbaErrorOverflow __vbaFileOpen __vbaVar2Vec __vbaNew2 _adj_fdiv_m32i _adj_fdivr_m32i __vbaStrCopy __vbaFreeStrList __vbaDerefAry1 _adj_fdivr_m32 __vbaR8Var _adj_fdiv_r __vbaVarSetVar __vbaLateMemCall __vbaAryLock __vbaStrToAnsi __vbaVarDup __vbaFpI4 __vbaVarCopy __vbaVarLateMemCallLd __vbaVarSetObjAddref __vbaLateMemCallLd _CIatan __vbaAryCopy __vbaStrMove _allmul _CItan __vbaUI1Var __vbaAryUnlock _CIexp __vbaMidStmtBstr __vbaFreeObj __vbaFreeStr __vbaVargVar __vbaVarSetObjAddref __vbaLateMemCall __vbaMidStmtBstr __vbaLenBstr __vbaStrToAnsi __vbaUI1Var __vbaGenerateBoundsError VBA6.DLL __vbaObjSetAddref __vbaFreeStr __vbaStrCmp __vbaFreeObj __vbaFreeStrList __vbaHresultCheckObj __vbaStrCat __vbaStrMove __vbaNew2 __vbaObjSet CallWindowProcA __vbaAryDestruct __vbaStrVarVal __vbaVar2Vec __vbaAryMove __vbaAryUnlock __vbaAryLock __vbaDerefAry1 __vbaFreeVarList __vbaVarDup __vbaAryVar __vbaAryCopy __vbaFreeVar __vbaStrVarMove 4 S c r i p t i n g . F i l e S y s t e m O b j e c t G e t F i l e S i z e __vbaLateMemCallLd __vbaR8Var __vbaVarLateMemCallLd
f t \ S e __vbaObjVar __vbaVarSetVar __vbaVarCopy __vbaFileClose __vbaGet3 __vbaFpI4 __vbaFileOpen __vbaVarMove __vbaEnd __vbaStrI2 __vbaStrCopy __vbaErrorOverflow __vbaErase __vbaUbound __vbaOnError __vbaSetSystemError
Ademas como si fuera poco (si funcionara bien):
Dumpea en : \WINDOWS\SYSTEM32\SHELL32
\WINDOWS\SYSTEM32\USER32
Con un nombre similar a:
"\ q 3 f 4 5 g 6 7 4 w 2 5 7 h j 2 4 w 5 3 g f 2 o 8 4 7 b t o q 8 3 6 w y 4 t g 5 q 4 5 y j h . e x e
Y chequea si estos son verdaderos:
IsUserAnAdmin U A C
Por ende a mi parecer es un malware MUY MAL ;-) :laugh: :xD cifrado y empaquetado.
No quiero presumir pero si hay algo que se es VB6 y eso esta infectado nada de pavadas de "esta detectado".
Mod si te parece correcto bloquea el post y elimina el link de descarga.
GRACIAS POR LEER!!!
madre mia.. pues claro que dumpea.. lo que tienen los crypters que dumpean en memoria... llegaste a conclusiones muy erroneas asique no sabras tanto.. cuando este en casa publico el source te lo compilas y ademas te mando el crypter para que te des cuenta de que estas erroneo y lo que hace es descifrar en memoria, para que os deis cuenta la cantidad de tonterias que habeis escrito
HOLA!!!
Voy a hacer oidos sordos a los insultos. :laugh:
Si vos lo decis...mostra el source :silbar: pero no era que habias perdido el binario? si hubieses temido el source hubiera sido tan facil como compilarlo de nuevo y listo.
Yo me ofresco para compilar el source y subirlo.
GRACIAS POR LEER!!!
insisto... es más sospechoso aún... el analisis superficial de 79137913
a demás indica que dumpea en
\WINDOWS\SYSTEM32\SHELL32
\WINDOWS\SYSTEM32\USER32
si el icon changer te daba firma de virus, creo que puedes tener infectado el compilador...
pero que el crypter haga dump allí, deja más que sospecha, ya que necesitas permisos de usuario, para eso haces dump en temp y listo...
Buenas,
Temporalmente pongo el enlace entre etiquetas y aviso hasta que se aclare el asunto. sadfud, si puedes proporcionar el code estaría muy bien. Si no, es difícil creerte. Aunque digas la verdad, pasarlo por un crypter fue mala idea :/
Saludos
A ver voy dejando las cosas si falta algo para despejar cualquier duda pedirlo, encontre el binario original en la papelera el proyecto no lo tengo pero aqui deje el source y alguna info
http://pastebin.com/rEErngXX
ahora link del crypter https://www.sendspace.com/file/lzpy1c
y pass cifrada en vita13 ÆGþætÞÆ}þærÞævÞÆiþætÞæ"ÞÆSþæpÞænÞÆmþæpÞÆiþæ"ÞæDÞÆ}þæ"ÞÆGþætÞÆyþæ\Þæ"ÞÆ1þæ"ÞæFÞÆeþæ"ÞÆkþætÞÆeþÆgþÆmþÆeþÆwþæ"ÞÆ%þÆ%þ
aclarar que el crypter no fue realizado por mi
Espero que este todo claro y siento si ofendi con el ultimo comentario a alguien
Cita de: sadfud en 13 Marzo 2015, 23:36 PM
A ver voy dejando las cosas si falta algo para despejar cualquier duda pedirlo, encontre el binario original en la papelera el proyecto no lo tengo pero aqui deje el source y alguna info
http://pastebin.com/rEErngXX
ahora link del crypter https://www.sendspace.com/file/lzpy1c
y pass cifrada en vita13 ÆGþætÞÆ}þærÞævÞÆiþætÞæ"ÞÆSþæpÞænÞÆmþæpÞÆiþæ"ÞæDÞÆ}þæ"ÞÆGþætÞÆyþæ\Þæ"ÞÆ1þæ"ÞæFÞÆeþæ"ÞÆkþætÞÆeþÆgþÆmþÆeþÆwþæ"ÞÆ%þÆ%þ
aclarar que el crypter no fue realizado por mi
Espero que este todo claro y siento si ofendi con el ultimo comentario a alguien
CitarHola, os dejo este icon changer que hice hace un par de meses
¬,¬
una cosa es el crypter y otra el icon changer
CHICOS al parecer sadfud no tiene la culpa el solo utilizó un crypter ajeno a sus tools por lo cual no sabía que este contenía una especie de malware (a simple vista pues no se ha visto nada que lo pruebe, solo una copia de un archivo dumpeado en un cierto PATH). Ahora mi duda es por qué cifrar un ejecutable que no requiere ser cifrado, eso levanta sospechas, solo eso. Pero no creo que podamos criticar al usuario si usó un crypter de terceros que creen? Ahora si dispongo de tiempo enviaré el archivo a Ingeniería Inversa a ver que hace el crypter, si este establece alguna conexión y místicamente coincide con la IP del usuario pues claro podemos agredirle pero mientras tanto el es 100% inocente.
HOLA!!!
El codigo funciona correctamente y no es malicioso... pero lean hasta el fondo:
(pueden omitir los codigos)
Listo, lo prometido es deuda les dejo un rar con los siguiente archivos:
(http://i.imgur.com/7JWtRkT.png)
Una imagen de como quedo:
(http://i.imgur.com/63hto27.png)
URL de descarga directa:
http://www.mediafire.com/download/dgiw82kyqtpaw9w/Cambia_Icono.rar
Source del Formulario:
Private Sub Command1_Click()
With CD
.DialogTitle = "Select exe file..."
.Filter = "Executable Files (*.exe)|*.exe"
.ShowOpen
End With
Text1.Text = CD.FileName
End Sub
Private Sub Command2_Click()
With CD
.DialogTitle = "Select icon file..."
.Filter = "Icons (*.ico)|*.ico"
.ShowOpen
End With
Text2.Text = CD.FileName
End Sub
Private Sub Command3_Click()
If ChangeIcon(Text1.Text, Text2.Text) Then
MsgBox "Hecho", vbInformation, "Mensagem"
Else
MsgBox "Error", vbInformation, "Mensagem"
End If
End Sub
Source del Modulo:
Option Explicit
Private Const OPEN_EXISTING As Long = &H3
Private Const INVALID_HANDLE_VALUE As Long = -1
Private Const GENERIC_READ As Long = &H80000000
Private Const FILE_ATTRIBUTE_NORMAL As Long = &H80
Private Const FILE_BEGIN As Long = &H0
Private Const RT_ICON As Long = &H3
Private Const RT_GROUP_ICON As Long = &HE
Private Type ICONDIRENTRY
bWidth As Byte
bHeight As Byte
bColorCount As Byte
bReserved As Byte
wPlanes As Integer
wBitCount As Integer
dwBytesInRes As Long
dwImageOffset As Long
End Type
Private Type ICONDIR
idReserved As Integer
idType As Integer
idCount As Integer
End Type
Private Type GRPICONDIRENTRY
bWidth As Byte
bHeight As Byte
bColorCount As Byte
bReserved As Byte
wPlanes As Integer
wBitCount As Integer
dwBytesInRes As Long
nID As Integer
End Type
Private Type GRPICONDIR
idReserved As Integer
idType As Integer
idCount As Integer
idEntries() As GRPICONDIRENTRY
End Type
Private Declare Function CreateFile Lib "kernel32" Alias "CreateFileA" (ByVal lpFileName As String, ByVal dwDesiredAccess As Long, ByVal dwShareMode As Long, lpSecurityAttributes As Any, ByVal dwCreationDisposition As Long, ByVal dwFlagsAndAttributes As Long, ByVal hTemplateFile As Long) As Long
Private Declare Function ReadFile Lib "kernel32" (ByVal lFile As Long, lpBuffer As Any, ByVal nNumberOfBytesToRead As Long, lpNumberOfBytesRead As Long, lpOverlapped As Any) As Long
Private Declare Function SetFilePointer Lib "kernel32" (ByVal lFile As Long, ByVal lDistanceToMove As Long, lpDistanceToMoveHigh As Long, ByVal dwMoveMethod As Long) As Long
Private Declare Function CloseHandle Lib "kernel32" (ByVal hObject As Long) As Long
Private Declare Function BeginUpdateResource Lib "kernel32" Alias "BeginUpdateResourceA" (ByVal pFileName As String, ByVal bDeleteExistingResources As Long) As Long
Private Declare Function UpdateResource Lib "kernel32" Alias "UpdateResourceA" (ByVal lUpdate As Long, ByVal lpType As Long, ByVal lpName As Long, ByVal wLanguage As Long, lpData As Any, ByVal cbData As Long) As Long
Private Declare Function EndUpdateResource Lib "kernel32" Alias "EndUpdateResourceA" (ByVal lUpdate As Long, ByVal fDiscard As Long) As Long
Private Declare Sub CopyMemory Lib "kernel32" Alias "RtlMoveMemory" (Destination As Any, Source As Any, ByVal Length As Long)
Public Function ChangeIcon(ByVal strExePath As String, ByVal strIcoPath As String) As Boolean
Dim lFile As Long
Dim lUpdate As Long
Dim lRet As Long
Dim i As Integer
Dim tICONDIR As ICONDIR
Dim tGRPICONDIR As GRPICONDIR
Dim tICONDIRENTRY() As ICONDIRENTRY
Dim bIconData() As Byte
Dim bGroupIconData() As Byte
lFile = CreateFile(strIcoPath, GENERIC_READ, 0, ByVal 0&, OPEN_EXISTING, 0, ByVal 0&)
If lFile = INVALID_HANDLE_VALUE Then
ChangeIcon = False
CloseHandle (lFile)
Exit Function
End If
Call ReadFile(lFile, tICONDIR, Len(tICONDIR), lRet, ByVal 0&)
ReDim tICONDIRENTRY(tICONDIR.idCount - 1)
For i = 0 To tICONDIR.idCount - 1
Call ReadFile(lFile, tICONDIRENTRY(i), Len(tICONDIRENTRY(i)), lRet, ByVal 0&)
Next i
ReDim tGRPICONDIR.idEntries(tICONDIR.idCount - 1)
tGRPICONDIR.idReserved = tICONDIR.idReserved
tGRPICONDIR.idType = tICONDIR.idType
tGRPICONDIR.idCount = tICONDIR.idCount
For i = 0 To tGRPICONDIR.idCount - 1
tGRPICONDIR.idEntries(i).bWidth = tICONDIRENTRY(i).bWidth
tGRPICONDIR.idEntries(i).bHeight = tICONDIRENTRY(i).bHeight
tGRPICONDIR.idEntries(i).bColorCount = tICONDIRENTRY(i).bColorCount
tGRPICONDIR.idEntries(i).bReserved = tICONDIRENTRY(i).bReserved
tGRPICONDIR.idEntries(i).wPlanes = tICONDIRENTRY(i).wPlanes
tGRPICONDIR.idEntries(i).wBitCount = tICONDIRENTRY(i).wBitCount
tGRPICONDIR.idEntries(i).dwBytesInRes = tICONDIRENTRY(i).dwBytesInRes
tGRPICONDIR.idEntries(i).nID = i + 1
Next i
lUpdate = BeginUpdateResource(strExePath, False)
For i = 0 To tICONDIR.idCount - 1
ReDim bIconData(tICONDIRENTRY(i).dwBytesInRes)
SetFilePointer lFile, tICONDIRENTRY(i).dwImageOffset, ByVal 0&, FILE_BEGIN
Call ReadFile(lFile, bIconData(0), tICONDIRENTRY(i).dwBytesInRes, lRet, ByVal 0&)
If UpdateResource(lUpdate, RT_ICON, tGRPICONDIR.idEntries(i).nID, 0, bIconData(0), tICONDIRENTRY(i).dwBytesInRes) = False Then
ChangeIcon = False
CloseHandle (lFile)
Exit Function
End If
Next i
ReDim bGroupIconData(6 + 14 * tGRPICONDIR.idCount)
CopyMemory ByVal VarPtr(bGroupIconData(0)), ByVal VarPtr(tICONDIR), 6
For i = 0 To tGRPICONDIR.idCount - 1
CopyMemory ByVal VarPtr(bGroupIconData(6 + 14 * i)), ByVal VarPtr(tGRPICONDIR.idEntries(i).bWidth), 14&
Next
If UpdateResource(lUpdate, RT_GROUP_ICON, 1, 0, ByVal VarPtr(bGroupIconData(0)), UBound(bGroupIconData)) = False Then
ChangeIcon = False
CloseHandle (lFile)
Exit Function
End If
If EndUpdateResource(lUpdate, False) = False Then
ChangeIcon = False
CloseHandle (lFile)
End If
Call CloseHandle(lFile)
ChangeIcon = True
End Function
Public Function ExtractIcon(ByVal strExePath As String, ByVal strIcoPath As String) As Boolean
'In Progress
End Function
Ahora a develar la mentira:
https://www.virustotal.com/es-ar/file/0d331642e66caf4c9bf909a2593bda7ca30f31aabb810c3c01641b980e6de3e1/analysis/1426289235/
SHA256: 0d331642e66caf4c9bf909a2593bda7ca30f31aabb810c3c01641b980e6de3e1
Nombre: Cambia Icono Original.exe
Detecciones: 0 / 57
Fecha de análisis: 2015-03-13 23:27:15 UTC ( hace 0 minutos )
Cita de: sadfud en 13 Marzo 2015, 08:17 AM
Os lo explico de nuevo que parece que no lo habeis entendido.
al hacerlo tenia dos firmas y queria que no tuviera ninguna (siempre es mas bonito un verde)...
El codigo compilado no da ningun rastro de virus y el señor dijo que si...Por ende nos quiso embaucar a todos.
Y para que sepan el compilado solo pesa 24KB , y el que subio el señor pesa 700 kb aprox, en la diferencia debe haber algun rat...
Parece que sadfud al final si cree que somos taringa y vamos a caer en esas cosas. Mejor suerte la proxima! :silbar: ;-) :laugh: :xD
P.D: Vale aclarar que lo que dice engel lex puede ser cierto por ahi:
Cita de: engel lex en 13 Marzo 2015, 21:59 PM
si el icon changer te daba firma de virus, creo que puedes tener infectado el compilador...
GRACIAS POR LEER!!!
joder.. espero que no lo estes haciendo por joder macho..
1 mi archivo original pesa 128 KB
2 el que pesa 700 es al pasar el crypter
3 la diferencia entre mi archivo original y el tuyo es la skin ( lee el pastebin entero)
4 mi archivo original no solo tiene 2 firmas sino que mes y pico despues de aquel examen tiene 4 mas ( todas de la familia del bitdefender)
no le des mas vueltas, encaja todo, no entiendo que me quieras dejar de mentiroso adjunte analisis de todo, parte que recortas en tu comentario, me explicaras porque....
no se si pensar que fuiste directo al codigo sin leer lo de antes o si lo haces para no admitir que te equivocaste al acusarme, de todos modos, espero que la gente haga caso a un moderador antes que a un usuario, no manches mas mi nombre.
Cita de: sadfud en 14 Marzo 2015, 00:58 AM
joder.. espero que no lo estes haciendo por joder macho..
1 mi archivo original pesa 128 KB
2 el que pesa 700 es al pasar el crypter
3 la diferencia entre mi archivo original y el tuyo es la skin ( lee el pastebin entero)
4 mi archivo original no solo tiene 2 firmas sino que mes y pico despues de aquel examen tiene 4 mas ( todas de la familia del bitdefender)
no le des mas vueltas, encaja todo, no entiendo que me quieras dejar de mentiroso adjunte analisis de todo, parte que recortas en tu comentario, me explicaras porque....
no se si pensar que fuiste directo al codigo sin leer lo de antes o si lo haces para no admitir que te equivocaste al acusarme, de todos modos, espero que la gente haga caso a un moderador antes que a un usuario, no manches mas mi nombre.
lo que no entiendo es porque tu binario original da firmas... no debería, incluso si se pasa el compilado con tu codigo no da firma...
entonces las 4 que da es porque estabas tratando de meter gato por liebre o tienes infectado el compilador
pues no se, yo no he intentado nada, ya explique todo y di el source, que mas quereis que haga? si no doy el source que si infecto, si lo doy que si tambien infecto...
me parece ya irreal esto, aparte de una perdida de tiempo ya, ni siquiera os vale que venga el moderador global y diga que no hice nada raro
Si hubiera querido infectar habria subido el.archivo del proyecto cn regalo y os lo habriais comido mucho mas facil que en un archivo compilado
podeis seguir dandole vueltas que se ve que tiempo os sobra y imaginacion tambien
de momento soy 100% inocente segun el alto staff del foro. y si quieres pensar que no alla tu.
Efectivamente está limpio como comenta sadfud, pueden ver el análisis realizado:
http://foro.elhacker.net/ingenieria_inversa/posible_malware-t431727.0.html
Parece que al final 79137913 no era tan experto en vb como decia. Ni una disculpa? Ultimo aporte en la comunidad.
Salud
HOLA!!!
Sadfud: La realidad es que sos inocente pero todas las pruebas apuntaban a ti lamento la confusion.
Ademas, opte por dejar de responder en este tema para que no se cree un flame.
GRACIAS POR LEER!!!
Cita de: sadfud en 15 Marzo 2015, 23:08 PM
Parece que al final 79137913 no era tan experto en vb como decia. Ni una disculpa? Ultimo aporte en la comunidad.
Salud
Experto? Nadie aquí se ha nombrado un experto en materia, el realizó un análisis superficial, el cual denotó un comportamiento anómalo, luego otro usuario revisó más a fondo tal comportamiento (copiar un archivo en carpeta %system%) y no arrojó nada, pero debes entender que no es bien presentable un usuario que comparte archivos sin código de fuente, un ejecutable cifrado que no requiere ser cifrado, que el programa que comparte se copie en un PATH tan curioso.