Puede el antivirus detectar como virus algo que no lo es?

Iniciado por CatomartineZ, 29 Mayo 2010, 23:05 PM

0 Miembros y 2 Visitantes están viendo este tema.

CatomartineZ

 Hola, he estado leyendo mucho a cerca de liberar moviles, flashearlos, etc y por ello me he descargado un curso de telefonia movil. La cuestion es que le he pasado el AVG para ver si esta "sano" y me ha encontrado un monton de infecciones, de hecho me indica como que son "Troyanos Generic, blablabla" y "objetos potencialmente dañinos". Pero la cosa es que he leido que en lo que esta relacionado a este tipo de cuestiones los antivirus lo detectan como "amenazas" cuando en realidad no lo son (de hecho me paso antes con un soft para liberar moviles que instale y me saltaba el AVG, pero segun me informé eso pasa porque a las compañias de telecomunicaciones no les conviene y lo reportan a las compañias de antivirus como "sofware ilegal", por lo cual lo desactive y en realidad no era nada peligroso. En fin mi pregunta es si estas cosas realmente pasan, si será que mi curso esta realmente infectado o que el antivirus me lo presenta como amenaza porque asi funcionan las cosas en este mundo?...
Entenderia que no puedan responder honestamente a mi pregunta porque talvez se comprometan las normas del foro, pero agradeceria si alguien me contesta a mi dir de correo electronico, eso si, espero respuestas sinceras, si no, prefiero no obtener ninguna. Gracias.

winroot

se llaman falsos  positibos, es similar con lo que ocurre con algunos cracks/keygens.
la única manera de saber si es malware o no, es  analisando la muestra.
si puedes manda el archivo a mu o rapidshare, y pon el link aquí.
saludos!
Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com

SpuTniK.

Un ejemplo de falso positivo muy conocido, y que se usa para ver si tu AV funciona es la prueba Eicar

Citarhttp://como-hacer.wikia.com/wiki/Como_hacer_la_prueba_EICAR

Saludos!
Change Your Mind


CatomartineZ

 Vale!, muchas gracias por sus respuestas,  ;-) aqui esta el link para bajarlo del mu, a mi lo que me detecto el AVG fue todo del modulo 5
http://www.megaupload.com/?d=P7NOTCST
agradeceria si pudieras analizar la muestra, como has dicho winroot o que me explicaras como hacerlo yo.
Saludos, y espero sus respuestas!

winroot

#4
Cita de: CatomartineZ en 30 Mayo 2010, 14:33 PM
Vale!, muchas gracias por sus respuestas,  ;-) aqui esta el link para bajarlo del mu, a mi lo que me detecto el AVG fue todo del modulo 5
http://www.megaupload.com/?d=P7NOTCST
agradeceria si pudieras analizar la muestra, como has dicho winroot o que me explicaras como hacerlo yo.
Saludos, y espero sus respuestas!
DESCARGANDO !
:P
EN MEDIA HORA POSTEO EL  ANÁLISIS.
SALUDOS!
edito:
no sabía que eran 600 mb, la descarga me demora como 1 h y media, asique en 2 horas mas o menos
:huh:
saludos!
Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com

SpuTniK.

Sube el archivo a No Virus Thanks o a Virus Total, hay te sale según los AV's más conocidos del mercado te dirán si es un virus o no

Saludos!
Change Your Mind


winroot

me podrías decir cuales son los archivos que detecta el antivirus?
es que son mas de 100 ejecutables y  librerías dinámicas, y si me pongo a analisar todo termino  en octubre :D
decime cuales son los archivos sospechosos, y los analiso.
saludos!
Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com

CatomartineZ

 Mira, todas las infecciones que encuentra estan en:
Celus\Autoplay\Docs\Modulo 5\Programas, Cables y Bases de Datos
son 15 en total y aqui te las especifico:

1)Unlok_t110.zip:\altrium.exe
2)Unlok_t110.zip
3)siemens_a55_unloker.zip:\Siemens_a55_unloker.exe
4)siemens_a55_unloker.zip
5)samsung_unloker_by_cerberos_v1.5.zip\samsung_unloker_by_cerberos_v1.5.exe
6)samsung_unloker_by_cerberos_v1.5.zip
7)philips_savvy_universal_tools_v2.0_by_ghost.zip:\Philips_savvy_universal_tools_v2.0_by_ghost\philips_savvy_universal_tool
8)philips_savvy_universal_tools_v2.0_by_ghost.zip:\Philips_savvy_universal_tools_v2.0_by_ghost\philips_savvy_universal_tool
9)philips_savvy_universal_tools_v2.0_by_ghost.zip
10)
philips_ozeo_xenium_unloker.zip:\Philips_ozeo_xenium_unloker\philips_ozeo_xenium_unloker.zip:\Xenium & Ozeo Unloker b
11)
philips_ozeo_xenium_unloker.zip:\Philips_ozeo_xenium_unloker\philips_ozeo_xenium_unloker.zip:\Xenium & Ozeo Unloker b
12)philips_ozeo_xenium_unloker.zip:\Philips_ozeo_xenium_unloker\philips_ozeo_xenium_unloker.zip
13)philips_ozeo_xenium_unloker.zip
14)Oxygen_Phone_Manager_Symbian_Official_Register_v2.0.1.zip:\Oxygen_Phone_Manager_Symbian_Official_Register_v2.0.1\SymbianO
15)Oxygen_Phone_Manager_Symbian_Official_Register_v2.0.1.zip

Veras que el 7 con 8 y el 10 con el 11 son iguales, pero asi me lo pone el antivirus.
Ademas encuentra como Spyware 2 mas:
Tambien en Celus\Autoplay\Docs\Modulo 5\Programas, Cables y Bases de Datos:

1)div62cracked.zip:\DIV62cracked\DIV62_ok.exe
2)div62cracked.zip

Y tres advertencias, tambien en Celus\Autoplay\Docs\Modulo 5\Programas, Cables y Bases de Datos:

1)philips_savvy_and_ozeo_by_martech.zip:\Philips_savvy_and_ozeo_by_martech\philips_savvy_and_ozeo_by_martech.zip:\Savvy.exe
2)philips_savvy_and_ozeo_by_martech.zip:\Philips_savvy_and_ozeo_by_martech\philips_savvy_and_ozeo_by_martech.zip
3)philips_savvy_and_ozeo_by_martech.zip

Bueno, eso es todo, saludos y aqui espero...

winroot

Cita de: CatomartineZ en 30 Mayo 2010, 17:29 PM
Mira, todas las infecciones que encuentra estan en:
Celus\Autoplay\Docs\Modulo 5\Programas, Cables y Bases de Datos
son 15 en total y aqui te las especifico:

1)Unlok_t110.zip:\altrium.exe
2)Unlok_t110.zip
3)siemens_a55_unloker.zip:\Siemens_a55_unloker.exe
4)siemens_a55_unloker.zip
5)samsung_unloker_by_cerberos_v1.5.zip\samsung_unloker_by_cerberos_v1.5.exe
6)samsung_unloker_by_cerberos_v1.5.zip
7)philips_savvy_universal_tools_v2.0_by_ghost.zip:\Philips_savvy_universal_tools_v2.0_by_ghost\philips_savvy_universal_tool
8)philips_savvy_universal_tools_v2.0_by_ghost.zip:\Philips_savvy_universal_tools_v2.0_by_ghost\philips_savvy_universal_tool
9)philips_savvy_universal_tools_v2.0_by_ghost.zip
10)
philips_ozeo_xenium_unloker.zip:\Philips_ozeo_xenium_unloker\philips_ozeo_xenium_unloker.zip:\Xenium & Ozeo Unloker b
11)
philips_ozeo_xenium_unloker.zip:\Philips_ozeo_xenium_unloker\philips_ozeo_xenium_unloker.zip:\Xenium & Ozeo Unloker b
12)philips_ozeo_xenium_unloker.zip:\Philips_ozeo_xenium_unloker\philips_ozeo_xenium_unloker.zip
13)philips_ozeo_xenium_unloker.zip
14)Oxygen_Phone_Manager_Symbian_Official_Register_v2.0.1.zip:\Oxygen_Phone_Manager_Symbian_Official_Register_v2.0.1\SymbianO
15)Oxygen_Phone_Manager_Symbian_Official_Register_v2.0.1.zip

Veras que el 7 con 8 y el 10 con el 11 son iguales, pero asi me lo pone el antivirus.
Ademas encuentra como Spyware 2 mas:
Tambien en Celus\Autoplay\Docs\Modulo 5\Programas, Cables y Bases de Datos:

1)div62cracked.zip:\DIV62cracked\DIV62_ok.exe
2)div62cracked.zip

Y tres advertencias, tambien en Celus\Autoplay\Docs\Modulo 5\Programas, Cables y Bases de Datos:

1)philips_savvy_and_ozeo_by_martech.zip:\Philips_savvy_and_ozeo_by_martech\philips_savvy_and_ozeo_by_martech.zip:\Savvy.exe
2)philips_savvy_and_ozeo_by_martech.zip:\Philips_savvy_and_ozeo_by_martech\philips_savvy_and_ozeo_by_martech.zip
3)philips_savvy_and_ozeo_by_martech.zip

Bueno, eso es todo, saludos y aqui espero...
gracias, ahora me pongo a analisar :P
saludos!
Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com

winroot

estoy terminando de montar el lab
sacando los ejecutables, hay un archivo llamado  < regkey.key, que no es un archivo de registro normal.
lo que me preocupa es que virustotal, ningun av detecta nada raro...
me imagino que es un archivo que lo  usa la aplicación  alltrium.exe.
pongo el  contenido del archivo:

vqRo4+eSt1lK7s/b8XMFWNLbKEQD1fDftzVWQkplHK6+OcXwFXNISsgC6fmZSIbh/tntTX3FOhvPxqYAjKmJTKaG4OQxoPUXbMGZlHFc8Vth/7FAnEMKZjs1/Vq9Rj5c/Y28/Y9evGKn4s8TGgfY1jJxsV8mNT0DigYzjboGszTT5tXNyMNapLQYHyUi7uP1ujqUUoHHOws5OwO+IkfgS0vIZkh+XBBdQL2YrR9eRoWKvScMr0O+/8UUjHBXn3JJeKyGaUf9gkOrA+Pw38Efb0JGT5MTOAVHo6dBwaQzIb9w/AicR34siK3AEsygXhFpHDmDVUSe4LxammbzjPaVBw
-----KEY-----
AAHBRULWnOrJxXPlZhTy52F7JBOGWQylGxc4TkeiXt9ksIZACF8q05GvQnnl1HowbL1RT/SoKyLWqu9SWJ3LRBEbkPSQK2VdavIbp+kJLrDTXqP91/i0RSdS4Ns/pBVJzC0EWOuOJfjtezHJRfqdTPREgxQlJkq+6BjW5eTcT3ESkq7jAWLhAL49JYE4jCrOxcZ2DPMPdv1BVeAfSjNZn0KrfibHFygefsAxHdzQLtpsspAmi9aJbjrmsJ+5kiMfIat8D6IAB8NNgv0WcQsAjgU5FyLUGpOhFPXWBDKx+T4js4E1vzZRJ68PJKu3l5d00IthPX1cfDB5OaWKvNfr67VbAQADA

pero bueno, estoy terminando de montar el lab, asique creo que en unas horas (mas o menos 3 o 4) terminare todo el analisis.
saludos!
Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com