¿Por qué es detectada la aplicación?

Gato Negro · 11 Febrero 2008, 21:47 PM

No estoy seguro de si esto debe ir aquí o en seguridad. La cosa es que me aburria y me puse a programa un Fake del Windows Live Messenger para capturar las contraseñas (si, ya se que es un poco lammer, pero me parecía curioso y lo hice como reto personal para ver si conseguía hacerlo, y fue fácil

) y el kaspersky me lo detecta como IM-Worm y me gustaría saber que parte del código detecta como tal y por qué lo detecta como virus. ¿Cómo puedo averiguarlo?

Desde ya muchas gracias!

~~ · 11 Febrero 2008, 22:52 PM

Pues sin ver algo de codigo dificil q lo sepamos xD posilemente se autocopiará en el form load o se añadirá al reg o algo por el estilo.. pones el form load al menos

Gato Negro · 15 Febrero 2008, 13:22 PM

El problema es que ya no tengo el código porque tuve que formatear y lo perdí, tan solo conservo el ejecutable.
El fake lo hice tomando imágenes del MSN original y lo único que hace es guardar en un archivo de texto lo que se escribe en los cuadros de texto de contraseña y cuenta, abre las páginas que aparecen en la parte de abajo del MSN original si se pulsa sobre ellas y cuando se intenta iniciar sesión muestra un mensaje de error, se cierra y abre el MSN original.

Si hace falta algo mas trataré de reescribir el código y lo pongo, gracias!

juancho77 · 15 Febrero 2008, 18:17 PM

jaja perdiste el codigo amigo?

Gato Negro · 15 Febrero 2008, 19:19 PM

Así es

. Ya se que puede parecer que no he sido yo el que ha creado el Fake, pero que le vamos a hacer

. Lo hice bastante chapucero porque apenas sé programar en VB, estoy aprendiendo, y lo que hice fue tomar capturas de cada botón del MSN original por ej: botón iniciar sesión, botón iniciar sesión con el mouse encima (Evento MouseMove) y botón iniciar sesión pulsado (Evento MouseDown) y así con todos

.
Puedo volver a escribir el código, pero a parte de que es bastante laborioso por lo de tomar cada imágen y tal (no sé hacerlo aún de otra forma, que supongo que la habrá), no quiero el programa para nada y me parece una pérdida de tiempo.
Respecto al tema principal, lo de por qué es detectada, ¿alguien tiene idea de por qué lo detecta como IM-Worm? ¿Puede ser porque el programa al "iniciar sesión" y saltar el mensaje de error, ejecuta el MSN original?

De nuevo, muchas gracias por vuestra ayuda.

~~ · 15 Febrero 2008, 19:33 PM

Pues ni idea, por lo q dices q tiene no deberia ser detectado, por q lo unico q haces es guardar el contenido de 2 textbox en un archivo y luego ejecutar otro... eso no deberia ser detectado, a no ser q se lo hayas pasado a MUCHA gente y lo hayan usado mucho y los av's lo hayan detectado..

Gato Negro · 15 Febrero 2008, 19:45 PM

Tan solo se lo pasé a un amigo para comprobar si funcionaba bien, lo usó unas 5 veces y después lo eliminé. Podría ser ese el motivo, pero lo dudo porque lo usó eso, 5 veces y no lo detecto su AV (Nod32). Además el Nod32 no es el AV que lo detecta, el que lo detecta es el KIS7. ¿Puede ser porque guarda el contenido de un textbox que muestra asteriscos cuando se escribe en él?

EDITO: ¿Subo el programa para que lo veais?

Ahora que lo pienso, ¿es posible que estando en el ordenador de mi amigo algun virus lo haya modificado y por eso ponga lo de IM-Worm?

~~ · 15 Febrero 2008, 20:07 PM

No, xD mira un ejemplo simple q no es detectado:

Código [Seleccionar]

Private Sub Command1_Click()
Open "C:\log.txt" For Binary As #1
 Put #1, , Text1.Text & Text2.Text
Close #1
msgbox ' El mensaje de error
shell ' Ejecutas el msn
End Sub

Private Sub Form_Load()
Text2.PasswordChar = "*"
End Sub

Ala, eso es todo lo q hay q hacer, si el code es tan simple como eso no te lo deberian detectar

Si no podemos ver el code, pues no vamos a adivinar q le pasa xD

Salu2

juancho77 · 15 Febrero 2008, 20:10 PM

IM-Worm significa Instant Messaging (o messenger) Worm, por lo que supongo que el comportamiento de software como el que vos creaste ya ha sido estudiado y clasificado. Es decir, Por ser una accion comun entre estos virus, te la bloquea y reconoce como IM-Worm. Hay mas, pero basicamente es eso.
Aca tenes informacion (ingles): http://www.wormblog.com/im_worms/
Y aca algo mas http://www.viruslist.com/sp/spam/analysis?pubid=189349406
Saludos

Gato Negro · 16 Febrero 2008, 20:56 PM

Pero, ¿qué propiedad debe tener la aplicación para que sea detectada como IM-Worm?
El fake que yo he hecho no hace nada fuera de lo normal, tan solo guarda el contenido de 2 textbox, abre las páginas de la parte de abajo, ejecuta el MSN original al terminar con su cometido, y tiene un montón de imágenes del MSN para todos los botones

.
Lo único que creo que puede hacer que sea detectado es lo de que ejecute el MSN original, ya que no modifica el registro ni hace nada, no se que podrá ser.