Primer scan del archivo main:
Virulator 1.0c- 18/06/2012
SHA256: 4a99d68c76d7f9d7812c4360294148805f0d70622a25e330277b7dece8c5d68d
SHA1: e23ffba2a2ad7bba7b52ac76e3fc334d0ba2f1a6
MD5: 48bb0d3b6f23dbc1ffece80e42ec3612
Tamaño: 109.7 KB ( 112372 bytes )
Nombre: virulator.bat
Tipo: unknown
Detecciones: 4 / 40
Fecha de análisis: 2012-07-18 19:45:53 UTC ( hace 1 minuto )
AhnLab-V3 - 20120718
AntiVir - 20120718
Antiy-AVL - 20120717
Avast VBS:QHost-D [Trj] 20120718
AVG Hosts 20120718
BitDefender - 20120718
ByteHero - 20120716
CAT-QuickHeal - 20120718
ClamAV Trojan.Qhost-264 20120718
Commtouch - 20120718
Comodo - 20120718
DrWeb - 20120718
Emsisoft - 20120718
ESET-NOD32 - 20120718
F-Prot - 20120718
F-Secure - 20120718
Fortinet - 20120718
GData VBS:QHost-D 20120718
Ikarus - 20120718
Jiangmin - 20120718
K7AntiVirus - 20120718
Kaspersky - 20120718
McAfee - 20120718
McAfee-GW-Edition - 20120718
Microsoft - 20120718
Norman - 20120718
nProtect - 20120718
PCTools - 20120718
Rising - 20120718
Sophos - 20120718
SUPERAntiSpyware - 20120718
Symantec - 20120718
TheHacker - 20120717
TotalDefense - 20120717
TrendMicro - 20120718
TrendMicro-HouseCall - 20120718
VBA32 - 20120718
VIPRE - 20120718
ViRobot - 20120718
VirusBuster - 20120718
*Notas: Buscar información acerca de Qhost y sus funciones.
Se irán añadiendo las modificaciones y los respectivos escaneos.
2-
----------
SHA256: d5895764cd489edf0b9699de3f9ac90c6c82e69687fea95f7d68a13b53097992
SHA1: f1c20e88816f33fc1c29ec0308ff66a69928ea43
MD5: 7a5f29c59317841d1c91dac118b56482
Tamaño: 8.2 KB ( 8367 bytes )
Nombre: virulator.bat
Tipo: unknown
Detecciones: 1 / 44
Fecha de análisis: 2012-10-10 18:35:29 UTC ( hace 0 minutos )
Agnitum - 20121010
AhnLab-V3 - 20121010
AntiVir - 20121010
Antiy-AVL - 20121009
Avast - 20121010
AVG - 20121010
BitDefender - 20121010
ByteHero - 20121009
CAT-QuickHeal - 20121010
ClamAV - 20121010
Commtouch - 20121010
Comodo - 20121010
DrWeb BATCH.Virus 20121010
Emsisoft - 20120919
eSafe - 20121009
ESET-NOD32 - 20121010
F-Prot - 20121010
F-Secure - 20121003
Fortinet - 20121010
GData - 20121010
Ikarus - 20121010
Jiangmin - 20121009
K7AntiVirus - 20121010
Kaspersky - 20121010
Kingsoft - 20121008
McAfee - 20121010
McAfee-GW-Edition - 20121010
Microsoft - 20121010
MicroWorld-eScan - 20121010
Norman - 20121010
nProtect - 20121010
Panda - 20121010
PCTools - 20121010
Rising - 20121009
Sophos - 20121010
SUPERAntiSpyware - 20121010
Symantec - 20121010
TheHacker - 20121009
TotalDefense - 20121010
TrendMicro - 20121010
TrendMicro-HouseCall - 20121010
VBA32 - 20121009
VIPRE - 20121010
ViRobot - 20121010
Sorprendente-mente ahora solo es detectado por dr.web :S
Bueno, por lo visto o el código a cambiado o los antivirus han cambiado.
Esto era para ver como los antivirus lo detectaban más cada vez y ir viendo en que se fijaban.
Visto que les da igual en general lo que ejecuta el archivo tan solo con cambiar el orden y rellenar muy posiblemente dr.web saldría de la lista. Otra posibilidad es que sea una funcion especifica de batch o una implementacion de la propia aplicación, en cuyo caso se verá cuando pruebe la parte de batch del ofuscador que preparo.
Si la próxima prueba que hago dr.web sale y queda totalmente limpio dejaré de postear aquí escaneos ya que tendré la función que hace saltar dr.web(en caso que no sea por checksum o algun tipo de firmas) y se incluira como la parte de batch del ofuscador que preparo.
Si no pues se ira viendo a ver que hacen los antivirus.
Advertencia:Esto es un experimento, cualquier parecido con algo profesional es pura casualidad.
Mostrar Mensajes
