Primer scan del archivo main:
Virulator 1.0c- 18/06/2012
CitarSHA256: 4a99d68c76d7f9d7812c4360294148805f0d70622a25e330277b7dece8c5d68d
SHA1: e23ffba2a2ad7bba7b52ac76e3fc334d0ba2f1a6
MD5: 48bb0d3b6f23dbc1ffece80e42ec3612
Tamaño: 109.7 KB ( 112372 bytes )
Nombre: virulator.bat
Tipo: unknown
Detecciones: 4 / 40
Fecha de análisis: 2012-07-18 19:45:53 UTC ( hace 1 minuto )
CitarAhnLab-V3 - 20120718
AntiVir - 20120718
Antiy-AVL - 20120717
Avast VBS:QHost-D [Trj] 20120718
AVG Hosts 20120718
BitDefender - 20120718
ByteHero - 20120716
CAT-QuickHeal - 20120718
ClamAV Trojan.Qhost-264 20120718
Commtouch - 20120718
Comodo - 20120718
DrWeb - 20120718
Emsisoft - 20120718
ESET-NOD32 - 20120718
F-Prot - 20120718
F-Secure - 20120718
Fortinet - 20120718
GData VBS:QHost-D 20120718
Ikarus - 20120718
Jiangmin - 20120718
K7AntiVirus - 20120718
Kaspersky - 20120718
McAfee - 20120718
McAfee-GW-Edition - 20120718
Microsoft - 20120718
Norman - 20120718
nProtect - 20120718
PCTools - 20120718
Rising - 20120718
Sophos - 20120718
SUPERAntiSpyware - 20120718
Symantec - 20120718
TheHacker - 20120717
TotalDefense - 20120717
TrendMicro - 20120718
TrendMicro-HouseCall - 20120718
VBA32 - 20120718
VIPRE - 20120718
ViRobot - 20120718
VirusBuster - 20120718
*Notas: Buscar información acerca de Qhost y sus funciones.
Se irán añadiendo las modificaciones y los respectivos escaneos.
2-
----------
CitarSHA256: d5895764cd489edf0b9699de3f9ac90c6c82e69687fea95f7d68a13b53097992
SHA1: f1c20e88816f33fc1c29ec0308ff66a69928ea43
MD5: 7a5f29c59317841d1c91dac118b56482
Tamaño: 8.2 KB ( 8367 bytes )
Nombre: virulator.bat
Tipo: unknown
Detecciones: 1 / 44
Fecha de análisis: 2012-10-10 18:35:29 UTC ( hace 0 minutos )
CitarAgnitum - 20121010
AhnLab-V3 - 20121010
AntiVir - 20121010
Antiy-AVL - 20121009
Avast - 20121010
AVG - 20121010
BitDefender - 20121010
ByteHero - 20121009
CAT-QuickHeal - 20121010
ClamAV - 20121010
Commtouch - 20121010
Comodo - 20121010
DrWeb BATCH.Virus 20121010
Emsisoft - 20120919
eSafe - 20121009
ESET-NOD32 - 20121010
F-Prot - 20121010
F-Secure - 20121003
Fortinet - 20121010
GData - 20121010
Ikarus - 20121010
Jiangmin - 20121009
K7AntiVirus - 20121010
Kaspersky - 20121010
Kingsoft - 20121008
McAfee - 20121010
McAfee-GW-Edition - 20121010
Microsoft - 20121010
MicroWorld-eScan - 20121010
Norman - 20121010
nProtect - 20121010
Panda - 20121010
PCTools - 20121010
Rising - 20121009
Sophos - 20121010
SUPERAntiSpyware - 20121010
Symantec - 20121010
TheHacker - 20121009
TotalDefense - 20121010
TrendMicro - 20121010
TrendMicro-HouseCall - 20121010
VBA32 - 20121009
VIPRE - 20121010
ViRobot - 20121010
Sorprendente-mente ahora solo es detectado por dr.web :S
Bueno, por lo visto o el código a cambiado o los antivirus han cambiado.
Esto era para ver como los antivirus lo detectaban más cada vez y ir viendo en que se fijaban.
Visto que les da igual en general lo que ejecuta el archivo tan solo con cambiar el orden y rellenar muy posiblemente dr.web saldría de la lista. Otra posibilidad es que sea una funcion especifica de batch o una implementacion de la propia aplicación, en cuyo caso se verá cuando pruebe la parte de batch del ofuscador que preparo.
Si la próxima prueba que hago dr.web sale y queda totalmente limpio dejaré de postear aquí escaneos ya que tendré la función que hace saltar dr.web(en caso que no sea por checksum o algun tipo de firmas) y se incluira como la parte de batch del ofuscador que preparo.
Si no pues se ira viendo a ver que hacen los antivirus.
Advertencia:Esto es un experimento, cualquier parecido con algo profesional es pura casualidad.
Es muy extraño que un AV detecte un script batch.
Si lo hace, es en su mayoría por algún código VBS que tiene metido por ahí o algunos datos que incorpora el código que son muy típicos de los malware (es decir, en este caso, todas las páginas que se añaden a hosts).
Fuera de eso, es prácticamente imposible que se haga detectado. Se cuentan con los dedos de una mano los virus en batch que tienen su firma añadida a la database de algún AV, y de ser así, añadiendo una pequeña rutina de polimorfismo ya está salvada la dificultad.
Yo también lo pensaba, pero es detectado por 4 por lo que se ve.
Mi idea era incorporar un código que ofrezca ofuscación en primer lugar y tal vez se le pueda poner alguna cifrado con algún invento xD, todo en plan casero y batch.
Ya veremos. Quizá si la herramienta continua si que otros antivirus la detecten más adelante. Ya veréis en las próximas versiones (eso si con el permiso de EleKtro H@cker, al quien ya he consultado).
Saludos.
Pues no estaría mal ofuscar el código.