El problema puede estar en el firewall.

Creo que esto debería ir en seguridad.
Lo único que se me ocurre es que restaures el sistema a un punto anterior.

Lo detecta simplemente abriendo la carpeta en la que está el programa, no hace falta ni que lo escanee 


El mío se llama MSNFake.exe y he probado a ponerle otro nombre pero lo detecta igualmente.

Pero, ¿qué propiedad debe tener la aplicación para que sea detectada como IM-Worm?
El fake que yo he hecho no hace nada fuera de lo normal, tan solo guarda el contenido de 2 textbox, abre las páginas de la parte de abajo, ejecuta el MSN original al terminar con su cometido, y tiene un montón de imágenes del MSN para todos los botones  .
Lo único que creo que puede hacer que sea detectado es lo de que ejecute el MSN original, ya que no modifica el registro ni hace nada, no se que podrá ser.

¿Y no será posible que esos gusanos sean modificados por alguien en el camino? Si es posible (que no lo sé) puede llegar a ser un problema.

No.


Si, explotando alguna vulnerabilidad de la máquina objetivo.

Tan solo se lo pasé a un amigo para comprobar si funcionaba bien, lo usó unas 5 veces y después lo eliminé. Podría ser ese el motivo, pero lo dudo porque lo usó eso, 5 veces y no lo detecto su AV (Nod32). Además el Nod32 no es el AV que lo detecta, el que lo detecta es el KIS7. ¿Puede ser porque guarda el contenido de un textbox que muestra asteriscos cuando se escribe en él?

EDITO: ¿Subo el programa para que lo veais?

Ahora que lo pienso, ¿es posible que estando en el ordenador de mi amigo algun virus lo haya modificado y por eso ponga lo de IM-Worm?

Tienes que cerciorarte de si el joiner es o no detectado por los antivirus.


No lo envíes a VirusTotal, eso solo hará que lo que envíes se cada vez mas detectado.


Se pueden utilizar mas de un crypter, y no estoy muy seguro, pero creo que si se puede romper el server.


Envíalo comprimido en ZIP o RAR.


Si te ha servido para algo lo que te he dicho, de nada  .

-Comentario extra: No utilices el themida, es detectado por los AV, mírate esto http://foro.elhacker.net/index.php/topic,199341.0.html

Así es  . Ya se que puede parecer que no he sido yo el que ha creado el Fake, pero que le vamos a hacer  . Lo hice bastante chapucero porque apenas sé programar en VB, estoy aprendiendo, y lo que hice fue tomar capturas de cada botón del MSN original por ej: botón iniciar sesión, botón iniciar sesión con el mouse encima (Evento MouseMove) y botón iniciar sesión pulsado (Evento MouseDown) y así con todos  .
Puedo volver a escribir el código, pero a parte de que es bastante laborioso por lo de tomar cada imágen y tal (no sé hacerlo aún de otra forma, que supongo que la habrá), no quiero el programa para nada y me parece una pérdida de tiempo.
Respecto al tema principal, lo de por qué es detectada, ¿alguien tiene idea de por qué lo detecta como IM-Worm? ¿Puede ser porque el programa al "iniciar sesión" y saltar el mensaje de error, ejecuta el MSN original?

De nuevo, muchas gracias por vuestra ayuda.

El problema es que ya no tengo el código porque tuve que formatear y lo perdí, tan solo conservo el ejecutable.
El fake lo hice tomando imágenes del MSN original y lo único que hace es guardar en un archivo de texto lo que se escribe en los cuadros de texto de contraseña y cuenta, abre las páginas que aparecen en la parte de abajo del MSN original si se pulsa sobre ellas y cuando se intenta iniciar sesión muestra un mensaje de error, se cierra y abre el MSN original.

Si hace falta algo mas trataré de reescribir el código y lo pongo, gracias!

Marca en las opciones del No-IP DUC las dos casillas de la pestaña Connection, así se conectará a la IP privada. En mi red local me funciona así, aunque yo no uso el Shark y no creo que eso influya.

Espero que te sirva, suerte!

Tienes que ejecutar DUC en la máquina en la que tengas el cliente, desde donde vayas a controlar el server para que el server se conecte a tu no-ip.

Puedes usar el Winlicense, es muy parecido pero es detectado como una variante del Themida. Te aconsejo utilizar otros métodos para indetectabilizar el server.

Entendido, muchas gracias!! (Que algún moderador cierre el post)

Prueba a cifrar el server con otro cripter antes de pasarlo por el themida, pero aún así el themida es detectado por los antivirus.
Hay mejores formas de indetectabilizar un server, echale un vistazo a este post http://foro.elhacker.net/index.php/topic,199341.0.html