Mensajes

pues, lo que es claro, es que no es un instalador de un pluggin de minecraft
se asocia al concepto de malware, o programa mal intencionado, no mas, no menos
si quieres llamarle virus, dejemoslo que es como virus, para tu pc, lo desinstalas y con un buen firewall, no deberia darte problemas.

Saludos Cordiales
Apuromafo
Pd: posiblemente podriamos estudiar con dnspy esta herramienta y ver mas en una maquina virtual, pero claramente no es lo que aparenta ser...(setup de programas con buen sentido), sino mas bien un instalador base de videos que abren tiempo o espacio a ejecutar comandos de cdm, msi y mas...

Hay alguna forma de que los links (ya séa .js, autenticaciones u otros src) de facebook carguen sin problemas desde la página descargada que está en el escritorio?

Ejemplo, descargo este iframe de un juego: https://stickman-combats.com/tdp4/iframe/facebook_local

Supongamos que solo descargo el código de la página como está y lo corro en el navegador, pero cuando va a cargar las cosas de facebook no carga nada, es como que ajuro hay que estar en la página de facebook para que carguen



Alguna forma?

Facebook detectó que TDP4 Team Battle no usa una conexión segura para transferir información.

no dejará jugar ese juego hasta que los desarrolladores revisen

ese codigo ejecuta codigo en html y php bajando información de la pagina, no hay interacción del componente cdn o cache que usa facebook

sugerencias mas viables, buscar un gestor de descargas online, hay muchos, bajarlo el link como hd o sd, o bien usar tools como idm, o bien usar gestores de descarga en un lenguaje de programación como python, por cierto facebook usa sdk, asi que hay que respetar el protocolo,no es llegar y bajar de la pagina

un ejemplo seria
https://pythontips.com/2018/04/23/reverse-engineering-facebook-video/#more-1576
https://github.com/LarbiBekka34/fb-video-dl/blob/master/README.md
entre otros

asi que si logras ver de la pagina que bajas, luego debes extraer todos los links de la pagina que contengan ejemplo mp4

Saludos Apuromafo

en general es un programa con muchas condiciones, no infecta asi sin más, debe tener acceso a regedit, una ruta de cmd y haber estado mas menos sincronizado con la falsa de 12 posibles buenas herramientas de seguridad

si usas google  "wemonetize"  , podras tener informacion de lo que es su intención de fondo

1) tiene comportamiento de malware
2) basta cerrar en la x de arriba y no hará nada, es un setup, necesita terminar el proceso para instalar
3) es ideal no fastidiar tanto, tiene capacidad de escribir en regedit, ejecutar webclientes para conectarse segun la información que le permita, cifrado en base64 + algo similar a aes/rc4
4) tiene mas menos 2 flujos, cuando lo atachean y cuando no, hay que leer bien el programa, tiene  mas menos 3 flujos posibles , (posiblemente uno de esos 3 funciona como rat, el otro como bajador de publicidad y el otro como una tool de ayuda a gestionar links mas alguna cosa de más)


Saludos Cordiales Apuromafo

pd: para analizarlo sugiero uso de any.run, uso de dnspy, no está cifrado
pd2: de los setup, tiene todas las imagenes de los setup, pensarás que estás instalando el setup correcto, pero estarás gestionando lo del programa..cuidado con eso...
pd3: es interesante que tiene interaccion de pregunta y respuesta, manejo de bajar un programa abrirlo y además eliminarlo...te parece un comportamiento normal?

Con VB Decompiler PRO, mejora un poco.

Saludos.

cierto no me di cuenta del titulo del decompiler...

la gran mayoria de las veces uno encuentra programas crackeados  o lekeados por la red, hay una version que tengo guardada, pero la tengo en telegram, si gustas me contactas via telegram y te lo mando la tool filtrada, saludos
Apuromafo
(t.me/apuromafo)

el analizado, si es seguro,

la tool ni idea, de seguro tiene todos los puertos en escucha

por otro lado, intenta ver videos de ghidra en sitios de internet, hoy en dia hay bastante material, hasta analizando malware, saludos
Apuromafo

1) ver el código fuente de la aplicación no creo que exista a tal nivel, quizas el decompilado lo exploras con esa herramienta, pero si no entiendes lo que ves, pues no es mucho para guiarte
2) es mas viable que tomes un depurador y intentes modificar el programa en vias de ver hasta donde llegas
3) eso no es .net, no requieres dnspy
4) hay otra tool que te puede ayudar vb reformer, pero solo tendrá un impacto similar a vb decompiler, por cierto exporta los map, importa los map, analiza las strings, ve donde está el mensaje, intenta agregar conocimiento

5) hay un faq...a explorarlo, son porfiados xD, ya podrian facilmente lograr cosas mínimas.hay que empezar , saludos
Apuromafo

solo para acotar o agregar mas a lo que escribe @EdePC

cuando un proceso se inyecta a otro ,suele llamarse que infecta o se ejecuta a partir de un proceso abierto se transmiten mensajes, esto es conocido como payload, o un stream, o runpe etc, algunos llaman virus, bots, es segun el accionar del mismo hay muchos conceptos posibles, herramientas conocidas para analizar aquello suelen ser pesieve, o pestudio de  winitor.com, para analizar por encima algun ejecutable solamente, para comportamientos aveces hay que hacer algunas snapshot y capturas

por otro lado el tema de autoruns es algo que lleva años por la red y los recycler igual

casi  siempre es bueno tener algun firewall o antivirus de apoyo, para un correcto uso del pc
Si quieres analizar malware, puedes intentar aprender ingenieria inversa, hay foro para ello

en general, muchas cosas se pueden estudiar solo con dedicación y haciendo pequeños laboratorios de estudio es una forma práctica de ver programas y comportamientos extraños, hay sistemas sandbox como any.run que te registras y mandar la muestra para ser analizada, con analisis de trafico y más, hasta puedes interactuar..pero un paso a la vez, hay que primero entender que tienes..

https://www.osi.es/es/servicio-antibotnet/info/ramnit

Saludos Cordiales Apuromafo
pd: no estoy interesado en estudiar malware, pasaba por ahi leyendo a EdePC..y dije voy a escribir algo poco.
Advertencia - mientras estabas escribiendo, una nueva respuesta fue publicada. Probablemente desees revisar tu mensaje.

aqui tienes mas información , no eres el único.

https://foro.elhacker.net/ingenieria_inversa/resurrection_californiappk-t499450.0.html

si la idea es aprender, ve las chinchetas, comienza a ver como funcionan las cosas, y de tools y herramientas hay muchisimas, y de muchos temas, de seguro servirá como lección.


Saludos Apuromafo

pd: si fuera algun moderador visitando, de seguro a cerrar el thread, el fin de este grupo es aprender de ing inversa , y las reglas de la sección son claras

explorar las opciones del programa, solo son firmas
*)Exeinfo PE
http://exeinfo.atwebpages.com/
http://www.exeinfo.xn.pl/
*) Rdg Packer Detector
http://www.rdgsoft.net/

*)Detect it easy
https://ntinfo.biz/

por otro lado un compresor como upx, suele colocar las secciones como .upx, comenzar con pushad y terminar con popad al menos en x86

para x64 es el mismo principio, guarda registros restaura registros y salta al oep

Saludos Cordiales Apuromafo