[Reclamo] Posible virus y el autor sólo responde en forma negativa.

Iniciado por Spectatorem, 29 Junio 2015, 22:14 PM

0 Miembros y 1 Visitante están viendo este tema.

Spectatorem

http://foro.elhacker.net/analisis_y_diseno_de_malware/malware_detector_beta_7_2015-t437759.0.html;msg2023902;topicseen
Descargué el programa entré a la página que informa el usuario, baje el archivo zipeado y subi a virustotal el archivo principal (Porque ya había visto una queja de otra persona) y me encuentro con que 11 antivirus detectaron el malware

acá el enlace https://www.virustotal.com/es/file/d67b79d0d752a641a36c32e72e7789bda702e218c2eabc25e476ededaaac07a5/analysis/1435584061/

No se si realmente sea un virus, pero si sé que la reacción del usuario me hizo dudar más aún de la procedencia de ese software o la intencionalidad de este.

Tengo el software en mi computador de respaldo por si el quiere cambiar las evidencias de los hechos.

Que se hace contra este tipos de usuarios?

MCKSys Argentina

Cita de: Spectatorem en 29 Junio 2015, 22:14 PM
http://foro.elhacker.net/analisis_y_diseno_de_malware/malware_detector_beta_7_2015-t437759.0.html;msg2023902;topicseen
Descargué el programa entré a la página que informa el usuario, baje el archivo zipeado y subi a virustotal el archivo principal (Porque ya había visto una queja de otra persona) y me encuentro con que 11 antivirus detectaron el malware

acá el enlace https://www.virustotal.com/es/file/d67b79d0d752a641a36c32e72e7789bda702e218c2eabc25e476ededaaac07a5/analysis/1435584061/

No se si realmente sea un virus, pero si sé que la reacción del usuario me hizo dudar más aún de la procedencia de ese software o la intencionalidad de este.

Tengo el software en mi computador de respaldo por si el quiere cambiar las evidencias de los hechos.

Que se hace contra este tipos de usuarios?

Tienes la libertad de denunciarlo con el moderador del foro o bien, con algun mod. global.

Ahora, creo que vas a necesitar mas pruebas que la simple deteccion de VirusTotal, para catalogar el software como malware.

Personalmente, veo muy improbable que sea malware. Lo mas probable es que los AVs esten detectando el PECompact como malware.

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


Spectatorem

Cita de: MCKSys Argentina en 29 Junio 2015, 22:21 PM
Tienes la libertad de denunciarlo con el moderador del foro o bien, con algun mod. global.

Ahora, creo que vas a necesitar mas pruebas que la simple deteccion de VirusTotal, para catalogar el software como malware.

Personalmente, veo muy improbable que sea malware. Lo mas probable es que los AVs esten detectando el PECompact como malware.

Saludos!

Gracias por tu respuesta, si por eso digo posible, es que la reacción fue que me causo más sospecha que la detección porque dijo "te equivocaste de software" y no fue así pero bueno , vere que me dicen otros servicios que analizan el comportamiento de un ejecutable y se los pego acá, saludos!.




Debo reconocer que me equivocado de software subi otro este es.

http://rdgsoft.net/downloads/RDG.Malware.Detector.Beta7.2015.zip

No lo he enviado a virustotal, pero ahí esta para que lo revisen de todas formas, disculpen el mal entendido, no fue intencional, saludos.

tincopasan

me parece que hay que tener cuidado con los antivirus también, ya que muchas veces detectan arrays hexa como posibles virus y dan falsos positivos. Estaría bueno para probar los soft usar ambientes controlados.

Eleкtro

#4
El programa de RDG Malware Detector parece estar limpio.

El siguiente análisis fue llevado a cabo en una máquina virtual con Windows 7 x64, con las siguientes herramientas:

  • RegShot 2 (Unicode Mod)
  • Moo0 File Monitor
  • Process Monitor (Sys Internals)
    +

  • Anubis




· Registry Monitor (claves modificadas):
Código (ini) [Seleccionar]
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\CryptSvc]
"Start"=dword:00000003

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CryptSvc]
"Start"=dword:00000003

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\VSS\Diag\System Writer]


Simplemente se modifica el tipo de inicio del servicio criptográfico de Windows.




· File Monitor (archivos expandidos):
C:\Users\Administrador\AppData\Local\Temp\~DF71D986AEB8DF30B4.tmp
Es un archivo temporal binario con nombre único (es decir, variante cada vez que se inicie la aplicación) ccon un tamaño de 64 kilobytes.




· API Monitor:
Todo me parece normal.
http://pastebin.com/6JpNM8ea
(prio32.dll, prio.ini, tienen que ver con una aplicación que tengo instalada para priorizar ciertos parámetros de las aplicaciones)

Faltaría un análisis más avanzado y elaborado sobre esto, un API Spy con otras herramientas que tengo pero me llevaría más tiempo y dedicación.




· Análisis exhaustivo de Anubis:

Empaqueté el programa en un SFX por que de lo contrario el análisis iba a ser en vano al requerir muchos archivos adicionales que no podía subir al mismo tiempo.

Reporte: https://anubis.iseclab.org/?action=result&task_id=1ec19b2f51ea76e948124f41380f4c625

El análisis de procesos activos y conexiones establecidas, es decir, cero y cero, están ahí.

Saludos!








Spectatorem

Gracias por tomarte la molestia Elektro, me imagino que debío ser un poco tedioso.

Saludos!.

x64core

#6
Sólo diré algunos puntos a tomar en cuenta al momento de analizar un archivo:

1) En este caso ya que es un programa que contiene modulos/plugins con funcionabilidades no es posible hacer un analisis concreto con servicios de Sandbox en internet que aceptan un solo archivo. Como una posible solución a esto, uno puede programar una especie de Loader que contenga todos los archivos que serán cargados al momento de ejecutar y extraer de si el ejecutable(s) y los modulos. Sí, Elektro consideró el punto 1, mirar punto 2.

2) En este caso ya que es una aplicación con interface botones y demás controles, no es posible saber con exactitud con simpemente ejecutar y esperar, se debe ejecutar todas las funcionabilidades que tenga la aplicación al usar los controles. En el caso del Loader que mencione en el punto 1, tambien es posible enviar mensajes a los controles de la aplicación desde el Loader para ejecutar las funcionabilidades, enviar todos los mensajes posibles incluso algunos como WM_MOUSEMOVE que podría ser usado para detectar si realmente está siendo usada por un usuario o manipulada por algun otro programa, hay muchisimos mensajes.

3) Servicios de Sandbox como Anubis son extremadamente faciles de detectar, solo en el caso de Anubis es posible detectarlo por medio de información del hardware, procesos, modulos o una combinación de ellos, este punto incluye Maquinas Virtuales y programas como Process monitor ( Por medio de nombre de clases de ventana, controles, etc ) de esta manera es posible que al detectar este tipo de herramientas un programa puede ocultar sus acciones maliciosas y no mostrar algún comportamiento extraño.

4) Las aplicaciones puede tener funciones que se ejecutarán en un futuro, algunos les llaman bombas logicas: por ahora no muestran ningun comportamiento extraño pero luego quien sabe.

5) La única manera de saber con exactitud todas las acciones de una aplicación es teniendo el código fuente o haciendo un analisis muy extenso usando tecnologia avanzada para analisis como un Hipervisor, estoy actualmente terminando uno espero tenerlo en unos meses.

6) Podría listar más puntos, creo que mi punto acerca de esto quedo claro.

Quiero aclarar que yo nunca dije que el programa era maliciosos, no, no estoy huyendo de lo que yo dije, sino que alguien me cite el texto donde especificamente dije que el programa era malicioso/infectado incluyendo todos los Posts que engel lex me borro de los temas.

Eleкtro

#7
Cita de: x64Core en 30 Junio 2015, 14:53 PM2) En este caso ya que es una aplicación con interface botones y demás controles, no es posible saber con exactitud con simpemente ejecutar y esperar, se debe ejecutar todas las funcionabilidades que tenga la aplicación al usar los controles. En el caso del Loader que mencione en el punto 1, tambien es posible enviar mensajes a los controles de la aplicación desde el Loader para ejecutar las funcionabilidades, enviar todos los mensajes posibles incluso algunos como WM_MOUSEMOVE que podría ser usado para detectar si realmente está siendo usada por un usuario o manipulada por algun otro programa, hay muchisimos mensajes.

4) Las aplicaciones puede tener funciones que se ejecutarán en un futuro, algunos les llaman bombas logicas: por ahora no muestran ningun comportamiento extraño pero luego quien sabe.

5) La única manera de saber con exactitud todas las acciones de una aplicación es teniendo el código fuente o haciendo un analisis muy extenso usando tecnologia avanzada para analisis como un Hipervisor, estoy actualmente terminando uno espero tenerlo en unos meses.

Totalmente de acuerdo, bueno, creo que es algo que resulta obvio para cualquiera, aunque de todas formas en la V.M probé casi todas las características de la app (todos los botones, haciendo escaneos y modificando opciones), pero tal vez no debí decir "Está totalmente limpio" ya que cómo tu has comentado, solamente observando ese código fuente que nunca se llegó a compartir podriamos salir de dudas sobre si realmente está infectado o no... ya que el autor del programa podría ejecutar un código malicioso al cumplirse "X" condición en la aplicación, quien sabe lo que realmente hará...

A mi sinceramente me da igual la reputación que una persona tenga si esa persona hace las cosas de esta manera tan... (prefiero no decir nada más), pero es que me mosqueo, estás cosas me mosquean mucho de verdad, por que, para mi, publicar programas gratuitos sin compartir el código fuente no es nada respetable, en absoluto, solo genera negatividad y más cuando se trata de un programa de esta temática.




Cita de: x64Core en 30 Junio 2015, 14:53 PM3) Servicios de Sandbox como Anubis son extremadamente faciles de detectar, solo en el caso de Anubis es posible detectarlo por medio de información del hardware, procesos, modulos o una combinación de ellos, este punto incluye programas como Process monitor ( Por medio de nombre de clases de ventana, controles, etc ) de esta manera es posible que al detectar este tipo de herramientas un programa puede ocultar sus acciones maliciosas y no mostrar algún comportamiento extraño.

Cabe mencionar que además es facilísimo encontrar snippets de diversos anti-sandboxes para muchos lenguajes de programación, esto quiere decir que si el autor del programa quisiera entonces no tendría más que googlear un poco y hacer un copy/paste (o desarrollarlo por si mismo) para añadirle ese tipo de protección o evasión de detección, pero que le vamos a hacer...

De todas formas, también cabe mencionar que generalmente un código anti-sandbox (o packers con características anti-sandbox) se utilizan directamente para denegar la ejecución de la aplicación (para que no corra la app en una V.M), no se suele utilizar arbitrariamente "en mitad de la aplicación", pero bien podría ser, ya que dependería de las intenciones del autor.




Me parece genial la información que has aportado para dar a conocer varios detalles importantes a los usuarios, y así hacer saber también que mi análisis no es del todo fiel, probablemente ningún análisis de nadie sería concluyente al 100%, estas cosas nunca parecen serlo.

PD: Y que no hayas sido ofensivo, se agradece todavía más si cabe. Sin sarcasmo.

Saludos!








x64core

#8
Increible olvide agregar Maquinas Virtuales punto 3, lo agrego.

tincopasan

pues las mejores herramientas para analizar comportamientos y posibilidades de un archivo(que no tenemos el código fuente) son ollydbg e ida. Sino como hacen los creadores de antivirus ¿piden el código al creador?