Mensajes

Ambos dos tienen sus ventajas, lo que ocurre es que para el hijackthis no necesito el ejecutable

Pero bueno, he estado revisando el .DAT y me parece realmente muy completo, así que por el momento no se me ocurren más nada.

Saludos

[bin]

Claro, si he entendido entonces
La diferencia es que con un custom también recibo notificación de otras extensiones, como los bin que usa el zeus

Lo que es significativo es la creación del fichero AUTORUN.INF, el contenido no es relevante ya que el fichero al que apunta será reportado por una de las reglas casi con toda seguridad ya que será un archivo ejecutable.

La carpeta RECYCLER puede añadirse al grupo de [Custom_Folders_Entries]. De todas formas lo más probable es que si se mete algún fichero ahí dentro ya exista una regla que lo contemple y por lo tanto avise de su presencia.

Eso es verdad, ocurre en casi todos los casos, lo comentaba desde el punto de vista de marcar como peligroso un archivo por el hecho de crear un autorun.inf, esta claro que si analizamos un archivo es porque no le tenemos confianza, pero creo que es algo que puede pesar en cuanto al nivel de riesgo.

Esto lo comento porque hay algún "antivirus" para usb que se encuentra en la red, que entre otras cosas reporta como virus (muestra alerta) a un notepad.exe si lo pones como destino de un autorun.inf, es decir, un archivo legítimo te lo muestra como virus por estar ahí

Pero ya, entiendo que parte de esta tool no es la de funcionar como un AV, sino por sobre todo alertar sobres los cambios y que luego alguien pueda evaluar.

Saludos

[Avira]

A mí para desinfectar en este momento el que más me gusta es el DrWeb CureIt!

Baaaa, en ese caso Avira o Avira Rescue cd , lo que ocurre es que estos son AV completos y las otras que he dejado antes son tools específicas para el "bicho"

Saludos

[path]

Ya, algo había leído, pero no tanto como para ponerme a editar ese archivo

Sugerencias:
Parsear el contenido de los AUTORUN.INF para ver el path al que apuntan
Supervisar la carpeta RECYCLER. Esto último quizás es porque no me teremina de quedar clara la diferencia entre [File_Types_Created_Modified] y [Custom_Folders_Entries].

El primero busca en todas las carpetas la creación de solamente los tipos de archivos que se seleccionen, y el segundo busca todos los archivos "tocados" dentro de la carpeta? O es que solamente se monitoriza un cierto número de carpetas, y determinadas carpetas como RECYCLER hay que ponerlas en el Custom?

Saludos

Pequeño fallo que he notado.

user\current\software\microsoft\windows\currentversion\explorer\advanced\hidefileext = seguridad

Eso debería de haber marcado un error en el virus y no se como es que no le ha ocurrido, pero los valores posibles para esa llave son 0 o 1 , un programa que pone eso a 0 también es marcado como peligroso?

Y sobre esto?

El análisis es como lo que he dejado, pero seguro que esto ha llevado mucho menos tiempo y revisión

Pequeño fallo que he notado.

user\current\software\microsoft\windows\currentversion\explorer\advanced\hidefileext = seguridad

Eso debería de haber marcado un error en el virus y no se como es que no le ha ocurrido, pero los valores posibles para esa llave son 0 o 1 , un programa que pone eso a 0 también es marcado como peligroso?
La carpeta RECYCLED también canta, la de verdad termina en R, pero en realidad es como has dicho, con las cosas que hace más claro echarle agua

Me gusta

Saludos

[muy bien]

No hay dudas, si lo que se quería era un título "manipulador" lo han hecho muy bien, lo único que se busca es confundir a los usuarios, se podría haber dicho "editor de textos", no Word 2010 que todo el mundo asocia a Ms Word, y que además sabemos esta al caer la versión final y la gratuita online

Saludos

Gracias por el aporte

Ruby tuvo un auge en algún momento, pero con el pasar del tiempo ha ido en bajada, y si no lo ha tenido más debe de ser por "Ruby on rails".

:http://www.tiobe.com/index.php/paperinfo/tpci/Ruby.html

Quizás por eso es que es difícil encontrar material al respecto y si se encuentran muchas comparativas, porque son muchos los que se deciden por Perl o Python antes que este.

Saludos

[Induc]

El Induc! la noticia sobre ese virus apareció en una cantidad de medio

Efectivamente ya llevo unos meses con el proyecto y en este momento se encuentra muy avanzado. Ya casi no se me ocurren cosas que añadir. Si tienes alguna sugerencia (comportamientos sospechosos que deberían ser tenidos en cuenta) te la agradecería.

Es lo que tiene, muchas veces no se puede pedir más fuera de a lo mejor pulir algún error que pueda haber.
A ver si luego le puedo meter algún "bicho" conocido, como este de aquí, por si se me pudiese ocurrir algo

Saludos

Yo lo hago a mano

Creo que en algún momento ya me había topado con esta tool e incluso la había descargado, pero no había llegado a probarla.

Como podrás imaginar aquí somos un poco paranoicos con los archivos que cuelgan usuarios no "conocidos", así que lo primero que he hecho es verificar que fueras quién dices ser y probar la tool, yyyyy ... puedo ver que es un proyecto que llevas desde hace varios meses y cumple muy bien con su objetivo, incluso con la configuración básica

Una herramienta más para tener a mano

Saludos