Sólo texto | Texto con Imágenes

Test Foro de elhacker.net SMF 2.1

Seguridad Informática => Análisis y Diseño de Malware => Mensaje iniciado por: hervasiop12345 en 13 Junio 2011, 20:48 PM

Título: Supuesto troyano
Publicado por: hervasiop12345 en 13 Junio 2011, 20:48 PM
Hola. He descargado el juego dirt 3 pero el crack de skydrow hace saltar al antivirus y lo define como VMPROTECT.AAA. He leído en internet bastante y supuestamente es un falso positivo pero he hecho un análisis en virustotal.com de la muestra y me ha arrojado este resultado:
Código [Seleccionar]

AhnLab-V3 - 2011.06.13.00 - 2011.06.13 - [color=red]Packed/Win32.Vmpbad [/color]
AntiVir - 7.11.9.167 - 2011.06.13 - [color=red]TR/Black.Gen2 [/color]
Antiy-AVL - 2.0.3.7 - 2011.06.13 - [color=red]Trojan/win32.agent.gen [/color]
Avast - 4.8.1351.0 - 2011.06.13 - -
Avast5 - 5.0.677.0 - 2011.06.13 - [color=red]Win32:PUP-gen [/color]
AVG - 10.0.0.1190 - 2011.06.13 - [color=red]Win32/Heur [/color]
BitDefender - 7.2 - 2011.06.13 - -
CAT-QuickHeal - 11.00 - 2011.06.13 - -
ClamAV - 0.97.0.0 - 2011.06.13 - -
Commtouch - 5.3.2.6 - 2011.06.13 - -
Comodo - 9053 - 2011.06.13 - [color=red]UnclassifiedMalware [/color]
DrWeb - 5.0.2.03300 - 2011.06.13 - -
Emsisoft - 5.1.0.8 - 2011.06.13 - [color=red]Riskware.Crack!IK [/color]
eSafe - 7.0.17.0 - 2011.06.13 - -
eTrust-Vet - 36.1.8383 - 2011.06.13 - [color=red]Win32/Tnega.ADXU [/color]
F-Prot - 4.6.2.117 - 2011.06.13 - -
Fortinet - 4.2.257.0 - 2011.06.11 - [color=red]W32/PACKED.AJT!tr [/color]
GData - 22 - 2011.06.13 - -
Ikarus - T3.1.1.104.0 - 2011.06.13 - [color=red]not-a-virus.Crack [/color]
Jiangmin - 13.0.900 - 2011.06.13 - -
K7AntiVirus - 9.106.4807 - 2011.06.13 - [color=red]Riskware [/color]
Kaspersky - 9.0.0.837 - 2011.06.13 - -
McAfee - 5.400.0.1158 - 2011.06.13 - [color=red]Artemis!9C165CE0058B [/color]
McAfee-GW-Edition - 2010.1D - 2011.06.13 - [color=red]Artemis!9C165CE0058B [/color]
Microsoft - 1.6903 - 2011.06.13 - -
NOD32 - 6204 - 2011.06.13 - [color=red]a variant of Win32/Packed.VMProtect.AAA [/color]
Norman - 6.07.10 - 2011.06.13 - [color=red]W32/Crypt.AVPM [/color]
nProtect - 2011-06-13.02 - 2011.06.13 - -
Panda - 10.0.3.5 - 2011.06.13 - -
PCTools - 7.0.3.5 - 2011.06.10 - [color=red]HeurEngine.Vmpbad [/color]
Prevx - 3.0 - 2011.06.13 - -
Rising - 23.62.00.03 - 2011.06.13 - [color=red]Trojan.Win32.Generic.12881FF2 [/color]
Sophos - 4.66.0 - 2011.06.13 - [color=red]Mal/Behav-363 [/color]
SUPERAntiSpyware - 4.40.0.1006 - 2011.06.13 - -
Symantec - 20111.1.0.186 - 2011.06.13 - [color=red]Packed.Vmpbad!gen1 [/color]
TheHacker - 6.7.0.1.230 - 2011.06.12 - -
TrendMicro - 9.200.0.1012 - 2011.06.13 - [color=red]TROJ_PACKED.AJT [/color]
TrendMicro-HouseCall - 9.200.0.1012 - 2011.06.13 - [color=red]TROJ_PACKED.AJT [/color]
VBA32 - 3.12.16.1 - 2011.06.13 - [color=red]SScope.Trojan.FakeAV.0997 [/color]
VIPRE - 9573 - 2011.06.13 - [color=red]Trojan.Win32.Generic!BT [/color]
ViRobot - 2011.6.13.4509 - 2011.06.13 - -
VirusBuster - 14.0.78.0 - 2011.06.13 - [color=red]Trojan.Packed!9rgSQjSIAbk [/color]



Espero vuestra respuesta
Título: Re: Supuesto troyano
Publicado por: jackgris en 14 Junio 2011, 02:30 AM
O simplemente puede ser una proteccion:
Código [Seleccionar]
http://vmpsoft.com/

En el foro de ingenieria inversa, seguro lo veras ;)

Para estar seguro deberias analiazar el funcionamiento del supuesto crack, si realiza alguna conexion,etc, etc.
Título: Re: Supuesto troyano
Publicado por: Died en 14 Junio 2011, 23:05 PM
Cita de: jackgris en 14 Junio 2011, 02:30 AM
O simplemente puede ser una proteccion:
Código [Seleccionar]
http://vmpsoft.com/
En el foro de ingenieria inversa, seguro lo veras ;)
Para estar seguro deberias analiazar el funcionamiento del supuesto crack, si realiza alguna conexion,etc, etc.
¿Una protección contra qué? Por mi parte, creo que está infectado :)

Un saludo. Sagrini
Título: Re: Supuesto troyano
Publicado por: jackgris en 14 Junio 2011, 23:47 PM
Si ves en el foro de ingenieria inversa VMPROTECT  se utiliza como proteccion antidebbuger, sirve para que no puedas hacer andar el programa en una maquina virtual, ya que este crashea. Y como la mayoria de los crackers realizan sus tareas en VM, se los hace un poco mas complicado, pero no imposible  ;D ;D ;D De todas maneras si lees esa web, vera que esta mucho mejor explicado en su web, ademas de otras funcionalidades de proteccion  anti-pirateria que posee  ;) De todas maneras como dije antes, con analizarlo te quitas las dudas.
Título: Re: Supuesto troyano
Publicado por: Died en 15 Junio 2011, 16:59 PM
Perfecto con que el VMProtect sea un anti-debugger, pero por eso no debería dar esos resultados en un antivirus decente. Y algunos de los antivirus en los que se analiza son bien decentes :) Sigo opinando que está infectado.

Un saludo. Sagrini
Título: Re: Supuesto troyano
Publicado por: hervasiop12345 en 15 Junio 2011, 22:46 PM
gracias por las respuestas. Yo de momento soy nuevo en estos temas y no sabría analizar el fichero. Puedo subirlo por si alguien que controle bien lo analiza en un momento aunk si está protegido por antidebugger no sé yo. Son dos librerias ddl
Título: Re: Supuesto troyano
Publicado por: satu en 18 Junio 2011, 16:09 PM
Hola

Yo no entiendo mucho de estos temas pero hace tiempo leí que las compañías que desarrollan software, juegos, etc pagan a las empresas de antivirus para que marquen los cracks/keygens como malware, no se si será cierto pero mira el resultado que te tira el Ikarus:

Citar
Ikarus - T3.1.1.104.0 - 2011.06.13 - not-a-virus.Crack

Saludos
Sólo texto | Texto con Imágenes