Tengo un problema
Estaba buscando un mod para un juego llamado Minecraft, y encontré un link con un archivo .exe que supuestamente era para descargar el mod, pero cuando terminó la descarga no me apareció nada y estoy preocupado
Probé algunos programas para analizar para malwares y cosas así y no encontró nada, pero quería asegurarme
Este es el link que abrí para descargar
hxxps://modsfire.download/mo-creatures.html
Mejor no lo abran por si acaso, pero quería ver si alguien que sepa del asunto pueda analizar el programa o algo :(
PD: Tengo un pc portatil windows 10
He probado el link, y me genera un .jar, que es para Android. Lo cual es rarete que me de una versión para Android de un mod para PC de minecraft. No me lo he descargado para mirarlo porque estoy sin datos.
https://cdndownloadsf.com/dl/?z=4189&name=MoCreatures&file=https://modsfire.download/files/uploads/DrZharks%2BMoCreatures%2BMod-12.0.5.jar
Cuanto menos es raro. Cuanto pesa el .exe? Deberías subir exactamente el .exe que te descargaste tú. Aunque una vez ejecutado, vete tu a saber si se autoremplazó. No creo que fuesen tan listos o se tomasen tanta molestia.
Desde VM no se deja descargar, redirecciona a ésta URL:
hxxp://trafficbounce.net/?sub=68475&aut=p_senc569&amc=1
Desde windows 10 si que se descarga el ejecutable, pesa 2 MB:
hxxps://installgrizzly.net/shell/get/down.php?&vrs=ten&file=&qs1=MoCreatures
Desde windows 7:
hxxps://installgrizzly.net/shell/get/down.php?&vrs=three&file=&qs1=MoCreatures
VT: https://www.virustotal.com/gui/file/13bd3a012937989dacb44858b121c028261136f89c4de17ccb6f4572a35e6536/detection
Bajo VM con XP da error de aplicación valida, mañana miraré de ejecutarlo en un pc con windows 7, a ver como se comporta...
El RDG y PEiD da positivo en Visual.net, aPLib y detecta debugger.
Saludos.
en general es un programa con muchas condiciones, no infecta asi sin más, debe tener acceso a regedit, una ruta de cmd y haber estado mas menos sincronizado con la falsa de 12 posibles buenas herramientas de seguridad
si usas google "wemonetize" , podras tener informacion de lo que es su intención de fondo
1) tiene comportamiento de malware
2) basta cerrar en la x de arriba y no hará nada, es un setup, necesita terminar el proceso para instalar
3) es ideal no fastidiar tanto, tiene capacidad de escribir en regedit, ejecutar webclientes para conectarse segun la información que le permita, cifrado en base64 + algo similar a aes/rc4
4) tiene mas menos 2 flujos, cuando lo atachean y cuando no, hay que leer bien el programa, tiene mas menos 3 flujos posibles , (posiblemente uno de esos 3 funciona como rat, el otro como bajador de publicidad y el otro como una tool de ayuda a gestionar links mas alguna cosa de más)
Saludos Cordiales Apuromafo
pd: para analizarlo sugiero uso de any.run, uso de dnspy, no está cifrado
pd2: de los setup, tiene todas las imagenes de los setup, pensarás que estás instalando el setup correcto, pero estarás gestionando lo del programa..cuidado con eso...
pd3: es interesante que tiene interaccion de pregunta y respuesta, manejo de bajar un programa abrirlo y además eliminarlo...te parece un comportamiento normal?
Cita de: apuromafo en 15 Febrero 2020, 07:46 AM
en general es un programa con muchas condiciones, no infecta asi sin más, debe tener acceso a regedit, una ruta de cmd y haber estado mas menos sincronizado con la falsa de 12 posibles buenas herramientas de seguridad
si usas google "wemonetize" , podras tener informacion de lo que es su intención de fondo
1) tiene comportamiento de malware
2) basta cerrar en la x de arriba y no hará nada, es un setup, necesita terminar el proceso para instalar
3) es ideal no fastidiar tanto, tiene capacidad de escribir en regedit, ejecutar webclientes para conectarse segun la información que le permita, cifrado en base64 + algo similar a aes/rc4
4) tiene mas menos 2 flujos, cuando lo atachean y cuando no, hay que leer bien el programa, tiene mas menos 3 flujos posibles , (posiblemente uno de esos 3 funciona como rat, el otro como bajador de publicidad y el otro como una tool de ayuda a gestionar links mas alguna cosa de más)
Saludos Cordiales Apuromafo
pd: para analizarlo sugiero uso de any.run, uso de dnspy, no está cifrado
pd2: de los setup, tiene todas las imagenes de los setup, pensarás que estás instalando el setup correcto, pero estarás gestionando lo del programa..cuidado con eso...
pd3: es interesante que tiene interaccion de pregunta y respuesta, manejo de bajar un programa abrirlo y además eliminarlo...te parece un comportamiento normal?
Es que no sé mucho de estas cosas :(
Eso significa que podría ser un virus?
pues, lo que es claro, es que no es un instalador de un pluggin de minecraft
se asocia al concepto de malware, o programa mal intencionado, no mas, no menos
si quieres llamarle virus, dejemoslo que es como virus, para tu pc, lo desinstalas y con un buen firewall, no deberia darte problemas.
Saludos Cordiales
Apuromafo
Pd: posiblemente podriamos estudiar con dnspy esta herramienta y ver mas en una maquina virtual, pero claramente no es lo que aparenta ser...(setup de programas con buen sentido), sino mas bien un instalador base de videos que abren tiempo o espacio a ejecutar comandos de cdm, msi y mas...