Supuesto troyano

Iniciado por hervasiop12345, 13 Junio 2011, 20:48 PM

0 Miembros y 1 Visitante están viendo este tema.

hervasiop12345

Hola. He descargado el juego dirt 3 pero el crack de skydrow hace saltar al antivirus y lo define como VMPROTECT.AAA. He leído en internet bastante y supuestamente es un falso positivo pero he hecho un análisis en virustotal.com de la muestra y me ha arrojado este resultado:

AhnLab-V3 - 2011.06.13.00 - 2011.06.13 - [color=red]Packed/Win32.Vmpbad [/color]
AntiVir - 7.11.9.167 - 2011.06.13 - [color=red]TR/Black.Gen2 [/color]
Antiy-AVL - 2.0.3.7 - 2011.06.13 - [color=red]Trojan/win32.agent.gen [/color]
Avast - 4.8.1351.0 - 2011.06.13 - -
Avast5 - 5.0.677.0 - 2011.06.13 - [color=red]Win32:PUP-gen [/color]
AVG - 10.0.0.1190 - 2011.06.13 - [color=red]Win32/Heur [/color]
BitDefender - 7.2 - 2011.06.13 - -
CAT-QuickHeal - 11.00 - 2011.06.13 - -
ClamAV - 0.97.0.0 - 2011.06.13 - -
Commtouch - 5.3.2.6 - 2011.06.13 - -
Comodo - 9053 - 2011.06.13 - [color=red]UnclassifiedMalware [/color]
DrWeb - 5.0.2.03300 - 2011.06.13 - -
Emsisoft - 5.1.0.8 - 2011.06.13 - [color=red]Riskware.Crack!IK [/color]
eSafe - 7.0.17.0 - 2011.06.13 - -
eTrust-Vet - 36.1.8383 - 2011.06.13 - [color=red]Win32/Tnega.ADXU [/color]
F-Prot - 4.6.2.117 - 2011.06.13 - -
Fortinet - 4.2.257.0 - 2011.06.11 - [color=red]W32/PACKED.AJT!tr [/color]
GData - 22 - 2011.06.13 - -
Ikarus - T3.1.1.104.0 - 2011.06.13 - [color=red]not-a-virus.Crack [/color]
Jiangmin - 13.0.900 - 2011.06.13 - -
K7AntiVirus - 9.106.4807 - 2011.06.13 - [color=red]Riskware [/color]
Kaspersky - 9.0.0.837 - 2011.06.13 - -
McAfee - 5.400.0.1158 - 2011.06.13 - [color=red]Artemis!9C165CE0058B [/color]
McAfee-GW-Edition - 2010.1D - 2011.06.13 - [color=red]Artemis!9C165CE0058B [/color]
Microsoft - 1.6903 - 2011.06.13 - -
NOD32 - 6204 - 2011.06.13 - [color=red]a variant of Win32/Packed.VMProtect.AAA [/color]
Norman - 6.07.10 - 2011.06.13 - [color=red]W32/Crypt.AVPM [/color]
nProtect - 2011-06-13.02 - 2011.06.13 - -
Panda - 10.0.3.5 - 2011.06.13 - -
PCTools - 7.0.3.5 - 2011.06.10 - [color=red]HeurEngine.Vmpbad [/color]
Prevx - 3.0 - 2011.06.13 - -
Rising - 23.62.00.03 - 2011.06.13 - [color=red]Trojan.Win32.Generic.12881FF2 [/color]
Sophos - 4.66.0 - 2011.06.13 - [color=red]Mal/Behav-363 [/color]
SUPERAntiSpyware - 4.40.0.1006 - 2011.06.13 - -
Symantec - 20111.1.0.186 - 2011.06.13 - [color=red]Packed.Vmpbad!gen1 [/color]
TheHacker - 6.7.0.1.230 - 2011.06.12 - -
TrendMicro - 9.200.0.1012 - 2011.06.13 - [color=red]TROJ_PACKED.AJT [/color]
TrendMicro-HouseCall - 9.200.0.1012 - 2011.06.13 - [color=red]TROJ_PACKED.AJT [/color]
VBA32 - 3.12.16.1 - 2011.06.13 - [color=red]SScope.Trojan.FakeAV.0997 [/color]
VIPRE - 9573 - 2011.06.13 - [color=red]Trojan.Win32.Generic!BT [/color]
ViRobot - 2011.6.13.4509 - 2011.06.13 - -
VirusBuster - 14.0.78.0 - 2011.06.13 - [color=red]Trojan.Packed!9rgSQjSIAbk [/color]



Espero vuestra respuesta

jackgris

O simplemente puede ser una proteccion:
http://vmpsoft.com/

En el foro de ingenieria inversa, seguro lo veras ;)

Para estar seguro deberias analiazar el funcionamiento del supuesto crack, si realiza alguna conexion,etc, etc.

Died

Cita de: jackgris en 14 Junio 2011, 02:30 AM
O simplemente puede ser una proteccion:
http://vmpsoft.com/
En el foro de ingenieria inversa, seguro lo veras ;)
Para estar seguro deberias analiazar el funcionamiento del supuesto crack, si realiza alguna conexion,etc, etc.
¿Una protección contra qué? Por mi parte, creo que está infectado :)

Un saludo. Sagrini

jackgris

Si ves en el foro de ingenieria inversa VMPROTECT  se utiliza como proteccion antidebbuger, sirve para que no puedas hacer andar el programa en una maquina virtual, ya que este crashea. Y como la mayoria de los crackers realizan sus tareas en VM, se los hace un poco mas complicado, pero no imposible  ;D ;D ;D De todas maneras si lees esa web, vera que esta mucho mejor explicado en su web, ademas de otras funcionalidades de proteccion  anti-pirateria que posee  ;) De todas maneras como dije antes, con analizarlo te quitas las dudas.

Died

Perfecto con que el VMProtect sea un anti-debugger, pero por eso no debería dar esos resultados en un antivirus decente. Y algunos de los antivirus en los que se analiza son bien decentes :) Sigo opinando que está infectado.

Un saludo. Sagrini

hervasiop12345

gracias por las respuestas. Yo de momento soy nuevo en estos temas y no sabría analizar el fichero. Puedo subirlo por si alguien que controle bien lo analiza en un momento aunk si está protegido por antidebugger no sé yo. Son dos librerias ddl

satu

Hola

Yo no entiendo mucho de estos temas pero hace tiempo leí que las compañías que desarrollan software, juegos, etc pagan a las empresas de antivirus para que marquen los cracks/keygens como malware, no se si será cierto pero mira el resultado que te tira el Ikarus:

Citar
Ikarus - T3.1.1.104.0 - 2011.06.13 - not-a-virus.Crack

Saludos
Breakbeat como forma de vida