Descargué un virus?

Iniciado por Aesio92, 15 Febrero 2020, 00:23 AM

0 Miembros y 2 Visitantes están viendo este tema.

Aesio92

Tengo un problema
Estaba buscando un mod para un juego llamado Minecraft, y encontré un link con un archivo .exe que supuestamente era para descargar el mod, pero cuando terminó la descarga no me apareció nada y estoy preocupado

Probé algunos programas para analizar para malwares y cosas así y no encontró nada, pero quería asegurarme
Este es el link que abrí para descargar
hxxps://modsfire.download/mo-creatures.html

Mejor no lo abran por si acaso, pero quería ver si alguien que sepa del asunto pueda analizar el programa o algo :(

PD: Tengo un pc portatil windows 10

@XSStringManolo

He probado el link, y me genera un .jar, que es para Android. Lo cual es rarete que me de una versión para Android de un mod para PC de minecraft. No me lo he descargado para mirarlo porque estoy sin datos.
https://cdndownloadsf.com/dl/?z=4189&name=MoCreatures&file=https://modsfire.download/files/uploads/DrZharks%2BMoCreatures%2BMod-12.0.5.jar

Cuanto menos es raro. Cuanto pesa el .exe? Deberías subir exactamente el .exe que te descargaste tú. Aunque una vez ejecutado, vete tu a saber si se autoremplazó. No creo que fuesen tan listos o se tomasen tanta molestia.

r32

Desde VM no se deja descargar, redirecciona a ésta URL:
hxxp://trafficbounce.net/?sub=68475&aut=p_senc569&amc=1

Desde windows 10 si que se descarga el ejecutable, pesa 2 MB:
hxxps://installgrizzly.net/shell/get/down.php?&vrs=ten&file=&qs1=MoCreatures

Desde windows 7:
hxxps://installgrizzly.net/shell/get/down.php?&vrs=three&file=&qs1=MoCreatures

VT: https://www.virustotal.com/gui/file/13bd3a012937989dacb44858b121c028261136f89c4de17ccb6f4572a35e6536/detection

Bajo VM con XP da error de aplicación valida, mañana miraré de ejecutarlo en un pc con windows 7, a ver como se comporta...

El RDG  y PEiD da positivo en Visual.net, aPLib y detecta debugger.

Saludos.

apuromafo CLS

en general es un programa con muchas condiciones, no infecta asi sin más, debe tener acceso a regedit, una ruta de cmd y haber estado mas menos sincronizado con la falsa de 12 posibles buenas herramientas de seguridad

si usas google  "wemonetize"  , podras tener informacion de lo que es su intención de fondo

1) tiene comportamiento de malware
2) basta cerrar en la x de arriba y no hará nada, es un setup, necesita terminar el proceso para instalar
3) es ideal no fastidiar tanto, tiene capacidad de escribir en regedit, ejecutar webclientes para conectarse segun la información que le permita, cifrado en base64 + algo similar a aes/rc4
4) tiene mas menos 2 flujos, cuando lo atachean y cuando no, hay que leer bien el programa, tiene  mas menos 3 flujos posibles , (posiblemente uno de esos 3 funciona como rat, el otro como bajador de publicidad y el otro como una tool de ayuda a gestionar links mas alguna cosa de más)


Saludos Cordiales Apuromafo

pd: para analizarlo sugiero uso de any.run, uso de dnspy, no está cifrado
pd2: de los setup, tiene todas las imagenes de los setup, pensarás que estás instalando el setup correcto, pero estarás gestionando lo del programa..cuidado con eso...
pd3: es interesante que tiene interaccion de pregunta y respuesta, manejo de bajar un programa abrirlo y además eliminarlo...te parece un comportamiento normal?




Aesio92

Cita de: apuromafo en 15 Febrero 2020, 07:46 AM
en general es un programa con muchas condiciones, no infecta asi sin más, debe tener acceso a regedit, una ruta de cmd y haber estado mas menos sincronizado con la falsa de 12 posibles buenas herramientas de seguridad

si usas google  "wemonetize"  , podras tener informacion de lo que es su intención de fondo

1) tiene comportamiento de malware
2) basta cerrar en la x de arriba y no hará nada, es un setup, necesita terminar el proceso para instalar
3) es ideal no fastidiar tanto, tiene capacidad de escribir en regedit, ejecutar webclientes para conectarse segun la información que le permita, cifrado en base64 + algo similar a aes/rc4
4) tiene mas menos 2 flujos, cuando lo atachean y cuando no, hay que leer bien el programa, tiene  mas menos 3 flujos posibles , (posiblemente uno de esos 3 funciona como rat, el otro como bajador de publicidad y el otro como una tool de ayuda a gestionar links mas alguna cosa de más)


Saludos Cordiales Apuromafo

pd: para analizarlo sugiero uso de any.run, uso de dnspy, no está cifrado
pd2: de los setup, tiene todas las imagenes de los setup, pensarás que estás instalando el setup correcto, pero estarás gestionando lo del programa..cuidado con eso...
pd3: es interesante que tiene interaccion de pregunta y respuesta, manejo de bajar un programa abrirlo y además eliminarlo...te parece un comportamiento normal?





Es que no sé mucho de estas cosas :(
Eso significa que podría ser un virus?

apuromafo CLS

pues, lo que es claro, es que no es un instalador de un pluggin de minecraft
se asocia al concepto de malware, o programa mal intencionado, no mas, no menos
si quieres llamarle virus, dejemoslo que es como virus, para tu pc, lo desinstalas y con un buen firewall, no deberia darte problemas.

Saludos Cordiales
Apuromafo
Pd: posiblemente podriamos estudiar con dnspy esta herramienta y ver mas en una maquina virtual, pero claramente no es lo que aparenta ser...(setup de programas con buen sentido), sino mas bien un instalador base de videos que abren tiempo o espacio a ejecutar comandos de cdm, msi y mas...