elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: [AIO elhacker.NET 2013] Compilación herramientas análisis y desinfección malware


+  Foro de elhacker.net
|-+  Programación
| |-+  Programación C/C++ (Moderadores: Eternal Idol, Littlehorse)
| | |-+  Porque el antivirus heuristico detecta mi programa como virus si no lo es????
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] Ir Abajo Respuesta Imprimir
Autor Tema: Porque el antivirus heuristico detecta mi programa como virus si no lo es????  (Leído 2,802 veces)
Override

Desconectado Desconectado

Mensajes: 242



Ver Perfil WWW
Re: Porque el antivirus heuristico detecta mi programa como virus si no lo es????
« Respuesta #10 en: 9 Febrero 2006, 05:17 »

Tengo un programa el cual quiero que se ejecute cada vez que se reinicia el ordenador para eso hago que se copie a si mismo en la carpeta del sistema y guarde una clave en el registro para que al reiniciar se autoejecute la funcion que hace eso es esta:

int GuardarRegistro(char *Dest,char *NomKey, char *KeyVal)
{
   HKEY hk;
   int disposition;
   RegCreateKeyEx(HKEY_LOCAL_MACHINE, Dest, 0, NULL, REG_OPTION_NON_VOLATILE, KEY_ALL_ACCESS, NULL, &hk, (unsigned long *) &disposition);
   if(!RegSetValueEx(hk,NomKey, 0, REG_SZ, (LPBYTE) KeyVal, strlen(KeyVal) +1))
   {
      RegCloseKey(hk);
      return 0;
   }
   RegCloseKey(hk);
   return 1;
}

void AutomaticRun ()
{
   char SystemD[64];
   char Path[512];
   int EspacioReservado = 512;
   GetSystemDirectory(SystemD, 64);
   strcat(TrojanSource, "\\program.exe");
   GetModuleFileName(GetModuleHandle(NULL), Path, EspacioReservado);
   CopyFile(Path, SystemD, true);
   GuardarRegistro (FOLDER_RUN,"pro", SystemD);
}


Pues resulta que cuando implemento esta funcion el antivirus panda platinum 2006 me dice que prodria ser un posible virus supongo que lo hace su funcion heuristica y la verdad que no se como evitar que lo detecte

No tengo el panda antivirus para checarlo, pero la pregunta que todo antivirus se haría es:
Por que rayos este programa se copia a sistem y se ancla en el registro para ejecutarse? y aunque aun asi existan muchos programas que lo hagan, quizá tu codigo ya vamos a decir que haya sido usado por otra persona y los avers han visto un patrón de detección, en otras palabras copiarse a System32 y luego escribir en el registro para que se ejecute no es un comportamiento normal...

trata de cifrar la variable string que contiene el path de RUn (\Software\Microsoft\.. blah) y prueba, si sigue detectandote al implementar eso, trata de separar tu codigo, pon otras cosas y no lo hagas de inmediato

[copiar system]
[hacer otras cosas]
[escribir registro]

otro consejo es no uses palabras muy obvias ;-] eso ayuda en la detección.

ah y un consejo de optimización
GetModuleFileName, no es necesario que llames a getmodulehandle, con ponerle valor 0 obtiene el nombre/path del actual fichero.


En línea

G3r4rD

Desconectado Desconectado

Mensajes: 34


Ver Perfil WWW
Re: Porque el antivirus heuristico detecta mi programa como virus si no lo es????
« Respuesta #11 en: 9 Febrero 2006, 10:04 »

Lo siento la variable TrojanSource se ha colado, esta funcion la utilizo para siempre que quiero que un programa arranque solo y la copie directamente sin fijarme que ponia trojansource realmente alli deberia poner SystemD.

He modificado el nombre de las variables y cifrando las string que contienen la direccion del registro pero lo detecta ya que al final a la funcion que escribe en el registro le tengo que pasar la string descifrada.

He probado de estas formas y todas las detecta como posible virus.
- Copiandose a si mismo en la carpeta del sistema y metiendo una clave

- Copiandose a si mismo en otro lado que no se la carpeta del sistema y metiendo la clave

El problema eske necesito que se copie en otro lado y asi si el usuario quiere borrar el ejecutable puede ya que se ha copiado en otra carpeta.

Se os ocurre alguna forma distinta de conseguir que un programa arranque solo?



En línea

Páginas: 1 [2] Ir Arriba Respuesta Imprimir 

Ir a:  

Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines