Mensajes

Sólo diré algunos puntos a tomar en cuenta al momento de analizar un archivo:

1) En este caso ya que es un programa que contiene modulos/plugins con funcionabilidades no es posible hacer un analisis concreto con servicios de Sandbox en internet que aceptan un solo archivo. Como una posible solución a esto, uno puede programar una especie de Loader que contenga todos los archivos que serán cargados al momento de ejecutar y extraer de si el ejecutable(s) y los modulos. Sí, Elektro consideró el punto 1, mirar punto 2.

2) En este caso ya que es una aplicación con interface botones y demás controles, no es posible saber con exactitud con simpemente ejecutar y esperar, se debe ejecutar todas las funcionabilidades que tenga la aplicación al usar los controles. En el caso del Loader que mencione en el punto 1, tambien es posible enviar mensajes a los controles de la aplicación desde el Loader para ejecutar las funcionabilidades, enviar todos los mensajes posibles incluso algunos como WM_MOUSEMOVE que podría ser usado para detectar si realmente está siendo usada por un usuario o manipulada por algun otro programa, hay muchisimos mensajes.

3) Servicios de Sandbox como Anubis son extremadamente faciles de detectar, solo en el caso de Anubis es posible detectarlo por medio de información del hardware, procesos, modulos o una combinación de ellos, este punto incluye Maquinas Virtuales y programas como Process monitor ( Por medio de nombre de clases de ventana, controles, etc ) de esta manera es posible que al detectar este tipo de herramientas un programa puede ocultar sus acciones maliciosas y no mostrar algún comportamiento extraño.

4) Las aplicaciones puede tener funciones que se ejecutarán en un futuro, algunos les llaman bombas logicas: por ahora no muestran ningun comportamiento extraño pero luego quien sabe.

5) La única manera de saber con exactitud todas las acciones de una aplicación es teniendo el código fuente o haciendo un analisis muy extenso usando tecnologia avanzada para analisis como un Hipervisor, estoy actualmente terminando uno espero tenerlo en unos meses.

6) Podría listar más puntos, creo que mi punto acerca de esto quedo claro.

Quiero aclarar que yo nunca dije que el programa era maliciosos, no, no estoy huyendo de lo que yo dije, sino que alguien me cite el texto donde especificamente dije que el programa era malicioso/infectado incluyendo todos los Posts que engel lex me borro de los temas.

el-brujo, admins, moderadores quiero hacer una sugerencia para mejorar y 'actualizar' la sección de Analisis y Diseño de Malware. Mis principales sugerencias serian cambiar las reglas de la sección respecto al permiso del contenido de los Posts y así darle una mejor apariencia a la sección a realmente analisis y desarrollo de malware.

- Permitir la publicación de Malware, me refiero a ejecutables maliciosos y no por ejemplo a herramientas de administración remota como muestras para analisis.

- La publicación de Antivirus, Anti-Rootkit o cualquier tipo de programa de seguridad sin el código fuente deberian ir en la sección de Programas o en Seguridad, a menos que sea un tema de analisis pero en ese caso el programa se trataria como una 'muestra' para analizar en busca de algún tipo de vulnerabilidad y no para usarse. El analisis de programas de seguridad tendriá relación con el desarrollo de Malware, depurando y analizando motores de Antivirus o funcionabilidades de Anti-Rootkit es posible escribir contra medidas para ellos.

De ser posible lo anterior, sugerencia: cambiar el texto "Antes llamado Troyanos y Virus" por una advertencia para el usuario antes de descargar algun ejecutable de la sección o crear algún tipo de mensaje en la sección. La descarga de malware para analisis en archivos comprimidos con contraseña (Las posibles contraseñas por defecto estarian escritas en el tema con chincheta, el mismo que contrendria las reglas para evitar de descargar y ejecutar antes de leer las reglas) así para evitar marcar el foro con contenido malicioso por escaneres.

Mi punto no es que alguien lo tome a mal por la posible manera en que sugerí este tema, talvez parece como que algo detallado (?), dí detalles ya que creo que esto sería nuevo en el foro, pensé en los que solo vienen a leer las sugerencias y/o que sus intereses son distintos al tema relacionado y al leer algo como: "permitir la descarga de programas maliciosos" puede que lo vean con otras intenciones.

Para los que están familiarizados sólo es una sugerencia

el-brujo, si hubo problemas anteriormente entre otros usuarios yo dí mi punto sobre la herramienta que él publico, fue negativo, ya que él sólo viene a publicar sus herramientas sin descripción, sin enlace directo y luego desaparece es por eso que puede lucir como que cada que vez que él publica yo arremeto contra sus publicaciones.

Agrego:
El tema de la reglas encontre varios Posts sobre el asunto, desde el 2008:
http://foro.elhacker.net/analisis_y_diseno_de_malware/nox_crypt_mod_by_rudeboy1991_100_fud_xpvista7-t314654.0.html
http://foro.elhacker.net/analisis_y_diseno_de_malware/poliformic_small_joiner_11v-t255382.0.html
http://foro.elhacker.net/analisis_y_diseno_de_malware/scb_labs_proffessionall_malware_tool-t273461.0.html
http://foro.elhacker.net/analisis_y_diseno_de_malware/scanner_malware-t423677.0.html
http://foro.elhacker.net/analisis_y_diseno_de_malware/como_cambiar_la_etension_de_mi_troyano_con_el_extension_creator-t314520.0.html;msg1027686#msg1027686

Y si.. marchate es lo mejor que puedes hacer. ya que te equivocaste de Software.

Estos usuarios Reflejan el nivel del foro! y de los moderadores ni hablar. Una lastima

Muy creible que un usuario de 15 Posts se preocupe por el foro.

x64core:
           sin lugar a dudas el joven eres tú, primero: pues no espero nada, pero hay que remarcar e intentar respaldar las normas de educación, cualquiera pide (sin vergüenza ni descaros), sin el menor esfuerzo por resolver el problema y sin la educación de agradecer, esperar todo servido y no agradecer a quien sea es un síntoma de lo bajo que están los valores sociales.

tincopasan, te falta vivir mucho, esta es la internet no esperes siempre que todos te agradezcan por algo que hiciste alguna vez, esto es así incluso en la vida real.

segundo: no exijo nada de los que entran, ahora si descargan cualquier cosa para probar sin tener conocimientos ¿de quién es la culpa? Pero con el post anterior te pusiste de Robin Hood (defensor de pobres y ausentes) gratuitamente. ¿acaso analizaste la herramienta y encontraste efectos secundarios dañinos? como dice mcksys tu encono personal contra rdg es evidente.

Con o sin conocimientos no deberia de dañar nada del usuario, incluso si descargas algun programa de administración remota no pasa nada siempre y cuando no este infectado, pero te explicaré abajo.

ahhh al próposito ¿eres el autor del debugger de 64 bits? por que si es así no veo el código en ningún lado y ¿cómo se que no es malware? no estoy obligado a saber usar ni tener VM.

(?)

-

Creo que el lenguaje es irrelevante también. Además, dudo que esté implementado 100% en VB6: seguro posee muchas partes hechas en ASM.

Incluso aunque tenga partes en "ASM" como ustedes le llaman a eso de ejecutar unos bytes como "asm inline" en VB6, no lo hace un mejor programa. [sarcasm]Seguro van a alguna compañia Antivirus para trabajar como programador y mencionan que saben programar en VB6 con "asm inline", seguro los contratan en seguida.[/sarcasm]

Eso te sonará así, pero no lo es. Como puse, no pude hallar la regla que obliga a publicar los fuentes en la sección de Análisis y Diseño de Malware. Ni en el CAREN ni en las del subforo.

Entonces te invito a leer todas la reglas del foro.

tincopasan, MCKSys Argentina:
Para ambos que pretender saber como este tipo de programas funcionan o deberian funcionar.
Escribir un tipo de Antivirus implica leer todos los archivos del usuario con o sin su consentimiento <- es por esto que todos los programas Antivirus o detección de malware como un Anti-Rootkit decentes tienen algun tipo de EULA que advierten al usuario antes de usarlo. Los antivirus mayormente se basan en patrones estaticos y sabemos que requiren de actualizaciones de la base de datos, si el programa de RDGMax lo hace o no lo hace por el momento pero simplemente podria haber escrito una simple condición para poder hacerlo en un futuro nadie lo sabrá con certeza sin el código fuente. Para los que tiene algun tipo de Heuristica es más critico, ya que estos algoritmos se basan en ciertas acciones de programas o condiciones del sistema por ejemplo algun programa agregado a la clave del registro para ejecutarse al iniciar la sesion que tenga un hash desconocido en la base de datos del Antivirus muy problamente el Antivirus lo tome y lo envie para analizarlo y podria describir muchos situaciones como esas.

Además también los Antivirus no son magicos, en la sección de Analisis y Diseño de malware he visto a varios publicar o pedir por un escaneo de antivirus en VirusTotal para justificar si esta "limpio" o no, y cuando es detectado por al menos por un Antivirus argumentan que muy probable está infectado al veces es gracioso que terminan intentado analizar el archivo y cuando miran que lee algun archivo del sistema aseguran que si está infectado. Se ha desmotrado que este tipo de programas comunmente tienden a mostrar falsos positivos e incluso grandes compañias como Kaspersky lo hacen y ahora me intetan decir que un programa de algun script-kiddie no lo hace, por favor.

Y podria continuar pero ustedes que saben de diseño de software, no saben nada. saber abrir, desempacar y analizar un ejecutables en un nivel novato no funciona aqui.

-

Agregado:
Acerca de la regla, existe, estoy muy seguro de haberla leido y hablaba especificamente sobre la sección de Analisis y Diseño de Malware. No estaba en la sección de Analisis y Diseño de malware, si mal no recuerdo estaba en las reglas generales del foro a menos que lo hayan borrado/modificado era un tema con chincheta.

[no es]

Lo de usar Malwarebytes debe ser porque él lo usa y no porque el programa sea Open Source (lo cual no es, por cierto).

(?)

Lo de que es mejor, habría que ver. Es probable que lo sea, pero eso no es lo importante en este tema.

Simplemente con saber en qué lenguaje fue programado (VB6) es suficiente, sino menciona cual del TOP 10 de los mejores Anvitirus que existen hasta ahora ( Kaspersky, Bitdefender, Avast, Norton, etc ) es programado en VB6? ninguno.

Lo de arriesgarse a que borre programas o que haga cosas indeseables, tampoco es importante: si tienes dudas, analízalo en un ambiente controlado y listo; o bien, no lo descargues. Nadie obliga a descargar el software.
Lo de publicar el código fuente: No pude encontrar en las reglas del subforo o en el CAREN el apartado que obligue a publicar el source de los programas posteados en esta sección.

Eso suena como que ahora RDGMax puede publicar programas infectados y la gente que los descargue desde el foro debe primero analizarlos para saber si no estan infectados. Existe la regla, al menos yo la leí hace años.

Por último, la decisión de bloquear el post de Elektro, me parece que ha sido un exceso. No le permite al autor el derecho a réplica, ni a los demás usuarios el derecho a opinar (creo que es el origen de este post).

Es evidente que el conflicto es entre x64Core y RDGMax, no con las herramientas que ha posteado el último.
En el pasado ya se ha visto esto en la sección de Ing. Inversa y es un tema totalmente infructífero.

Por lo pronto, mi único reclamo es para con Elektro y su proceder.

Eso es todo.

Saludos!

Elektro hizo lo correcto, aunque lo mejor hubiese sido haber elimiado el tema de una vez. La vez anterior RDGMax publico el mismo programa, le mencione lo mismo y al final el tema fue eliminado o movido, no estoy seguro creo que fue eliminado ya que no pude encontrar mis Posts del tema en mi historial.

lei el post en el que RDG sube una aplicación para detectar malware y se le acusa de cosas que no sé ni me importa si son reales o no, es entre él y los moredadores, pero.. supongo que las reglas de públicación del code está, aunque no he visto ni un code de nada. citando a x64core "¿es en serio?" y bla bla bla mejores. supongo que cada uno es libre de considerar que cada soft y su publicación es en serio y sobre lo que es mejor siempre depende de cada uno y no por eso está bueno menospreciar cualquier otra aplicación. "Se arriesga a que le haga..." está es la sección de análisis y diseño de malware, supongo que quien entra debería tener conocimientos mínimos sobre el tema, como para poder probar soft en entornos controlados, por lo tanto cada cual sabe a lo que se arriesga con cualquier soft(las grandes empresas usan spyware y no hablo de malware porque desconozco todo el soft que circula), de última si no tienen idea no lo bajen y listo!.

Pues no, no todos los que entran a la sección tiene un conocimiento sobre analisis y diseño de malware, ni siquiera el minimo, apesar de que el nombre es "Analisis y diseño de Malware" siempre hay preguntas que no tiene nada que ver, además no podes exigirles a todo el mundo que entra en la sección que tenga maquinas virtuales y pueda analizar malware ya que para eso existe esta sección, aunque no hay muchos temas acerca de eso en realidad, e incluso mucha gente viene a pedir ayuda para desinfectar la PC. Y por si no lo notaste, este es un foro publico.

La censura de algo que no es una agresión directa,(bah todas las censuras) me parece muy tiránico, pero eso es lo bueno que da el poder, cada cual cree y hace lo que quiere.
Además me parece indignante no poder contestar en el mismo post.
Si van a censurar, haganlo con los que piden solución a problemas que no tienen la menor idea y cuando reciben la respuesta no aparecen ni para agradecer. ahhhh menos mal que no soy moderador, por que no los censuraría, los elimino del sitio.  

Yo no veo abuso de "poder", veo incluso intenciones de Marketing para ese crypter basurita que vende, pudo simplemente haber puesto un enlace a la descarga directa y tincopasan, pareces como si apenas comienzas a vivir o eres muy joven en la vida, en la internet hay todo tipo de personas, no esperes a que todo el mundo te agradezca porque le ayudaste en algo, de hecho eso no sirve absolutamente de nada.

Entonces lo mas apropiado es un crypter,¿esas paginas son seguras? me refiero a que me da miedo pagar en un sitio asi.

Ni idea, no sé a qué paginas te refieres, hay miles de paginas y servicios de obfuscación en la internet.

el mejor método es usar un crypter? la mayoría que son buenos son de pago si no me equivoco.

En Ambos, un crypter o manualmente, si sólo remueves firmas lo único que conseguiras es lo que dije. Es obvio que nadie estaria creando un crypter de gratis para obfuscar algún malware y que haga completamente indetectable a todos los Antivirus de gratis, un crypter require que se actualize cada vez que el Antivirus logra poner una firma o actualiza/mejorar su motor de detección.

con este método se hacer un troyano in detectable a todos los antivirus? si es asi tendrías que estar cogiendo la firma de todos los antivirus verdad?.


Gracias de antemano.

Removiendo firmas sólo evitas que al escanear no sea detectado, eso está bien para los Antivirus que sólo escanean, pero para otros que utilizan otros metodos como emulación/virtualización no servirá de nada, hoy en día son más los Antivirus que utilizan esos metodos.