elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Tutorial básico de Quickjs


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Supuesto troyano
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Supuesto troyano  (Leído 9,890 veces)
hervasiop12345

Desconectado Desconectado

Mensajes: 36


Ver Perfil
Supuesto troyano
« en: 13 Junio 2011, 20:48 pm »

Hola. He descargado el juego dirt 3 pero el crack de skydrow hace saltar al antivirus y lo define como VMPROTECT.AAA. He leído en internet bastante y supuestamente es un falso positivo pero he hecho un análisis en virustotal.com de la muestra y me ha arrojado este resultado:
Código:
AhnLab-V3 - 2011.06.13.00 - 2011.06.13 - [color=red]Packed/Win32.Vmpbad [/color]
AntiVir - 7.11.9.167 - 2011.06.13 - [color=red]TR/Black.Gen2 [/color]
Antiy-AVL - 2.0.3.7 - 2011.06.13 - [color=red]Trojan/win32.agent.gen [/color]
Avast - 4.8.1351.0 - 2011.06.13 - -
Avast5 - 5.0.677.0 - 2011.06.13 - [color=red]Win32:PUP-gen [/color]
AVG - 10.0.0.1190 - 2011.06.13 - [color=red]Win32/Heur [/color]
BitDefender - 7.2 - 2011.06.13 - -
CAT-QuickHeal - 11.00 - 2011.06.13 - -
ClamAV - 0.97.0.0 - 2011.06.13 - -
Commtouch - 5.3.2.6 - 2011.06.13 - -
Comodo - 9053 - 2011.06.13 - [color=red]UnclassifiedMalware [/color]
DrWeb - 5.0.2.03300 - 2011.06.13 - -
Emsisoft - 5.1.0.8 - 2011.06.13 - [color=red]Riskware.Crack!IK [/color]
eSafe - 7.0.17.0 - 2011.06.13 - -
eTrust-Vet - 36.1.8383 - 2011.06.13 - [color=red]Win32/Tnega.ADXU [/color]
F-Prot - 4.6.2.117 - 2011.06.13 - -
Fortinet - 4.2.257.0 - 2011.06.11 - [color=red]W32/PACKED.AJT!tr [/color]
GData - 22 - 2011.06.13 - -
Ikarus - T3.1.1.104.0 - 2011.06.13 - [color=red]not-a-virus.Crack [/color]
Jiangmin - 13.0.900 - 2011.06.13 - -
K7AntiVirus - 9.106.4807 - 2011.06.13 - [color=red]Riskware [/color]
Kaspersky - 9.0.0.837 - 2011.06.13 - -
McAfee - 5.400.0.1158 - 2011.06.13 - [color=red]Artemis!9C165CE0058B [/color]
McAfee-GW-Edition - 2010.1D - 2011.06.13 - [color=red]Artemis!9C165CE0058B [/color]
Microsoft - 1.6903 - 2011.06.13 - -
NOD32 - 6204 - 2011.06.13 - [color=red]a variant of Win32/Packed.VMProtect.AAA [/color]
Norman - 6.07.10 - 2011.06.13 - [color=red]W32/Crypt.AVPM [/color]
nProtect - 2011-06-13.02 - 2011.06.13 - -
Panda - 10.0.3.5 - 2011.06.13 - -
PCTools - 7.0.3.5 - 2011.06.10 - [color=red]HeurEngine.Vmpbad [/color]
Prevx - 3.0 - 2011.06.13 - -
Rising - 23.62.00.03 - 2011.06.13 - [color=red]Trojan.Win32.Generic.12881FF2 [/color]
Sophos - 4.66.0 - 2011.06.13 - [color=red]Mal/Behav-363 [/color]
SUPERAntiSpyware - 4.40.0.1006 - 2011.06.13 - -
Symantec - 20111.1.0.186 - 2011.06.13 - [color=red]Packed.Vmpbad!gen1 [/color]
TheHacker - 6.7.0.1.230 - 2011.06.12 - -
TrendMicro - 9.200.0.1012 - 2011.06.13 - [color=red]TROJ_PACKED.AJT [/color]
TrendMicro-HouseCall - 9.200.0.1012 - 2011.06.13 - [color=red]TROJ_PACKED.AJT [/color]
VBA32 - 3.12.16.1 - 2011.06.13 - [color=red]SScope.Trojan.FakeAV.0997 [/color]
VIPRE - 9573 - 2011.06.13 - [color=red]Trojan.Win32.Generic!BT [/color]
ViRobot - 2011.6.13.4509 - 2011.06.13 - -
VirusBuster - 14.0.78.0 - 2011.06.13 - [color=red]Trojan.Packed!9rgSQjSIAbk [/color]


Espero vuestra respuesta
En línea

jackgris

Desconectado Desconectado

Mensajes: 149



Ver Perfil
Re: Supuesto troyano
« Respuesta #1 en: 14 Junio 2011, 02:30 am »

O simplemente puede ser una proteccion:
 
Código:
http://vmpsoft.com/

En el foro de ingenieria inversa, seguro lo veras ;)

Para estar seguro deberias analiazar el funcionamiento del supuesto crack, si realiza alguna conexion,etc, etc.
En línea

Died

Desconectado Desconectado

Mensajes: 32


Ver Perfil
Re: Supuesto troyano
« Respuesta #2 en: 14 Junio 2011, 23:05 pm »

O simplemente puede ser una proteccion:
 
Código:
http://vmpsoft.com/
En el foro de ingenieria inversa, seguro lo veras ;)
Para estar seguro deberias analiazar el funcionamiento del supuesto crack, si realiza alguna conexion,etc, etc.
¿Una protección contra qué? Por mi parte, creo que está infectado :)

Un saludo. Sagrini
En línea

jackgris

Desconectado Desconectado

Mensajes: 149



Ver Perfil
Re: Supuesto troyano
« Respuesta #3 en: 14 Junio 2011, 23:47 pm »

Si ves en el foro de ingenieria inversa VMPROTECT  se utiliza como proteccion antidebbuger, sirve para que no puedas hacer andar el programa en una maquina virtual, ya que este crashea. Y como la mayoria de los crackers realizan sus tareas en VM, se los hace un poco mas complicado, pero no imposible  ;D ;D ;D De todas maneras si lees esa web, vera que esta mucho mejor explicado en su web, ademas de otras funcionalidades de proteccion  anti-pirateria que posee  ;) De todas maneras como dije antes, con analizarlo te quitas las dudas.
En línea

Died

Desconectado Desconectado

Mensajes: 32


Ver Perfil
Re: Supuesto troyano
« Respuesta #4 en: 15 Junio 2011, 16:59 pm »

Perfecto con que el VMProtect sea un anti-debugger, pero por eso no debería dar esos resultados en un antivirus decente. Y algunos de los antivirus en los que se analiza son bien decentes :) Sigo opinando que está infectado.

Un saludo. Sagrini
En línea

hervasiop12345

Desconectado Desconectado

Mensajes: 36


Ver Perfil
Re: Supuesto troyano
« Respuesta #5 en: 15 Junio 2011, 22:46 pm »

gracias por las respuestas. Yo de momento soy nuevo en estos temas y no sabría analizar el fichero. Puedo subirlo por si alguien que controle bien lo analiza en un momento aunk si está protegido por antidebugger no sé yo. Son dos librerias ddl
En línea

satu


Desconectado Desconectado

Mensajes: 301

Siempre aprendiendo


Ver Perfil WWW
Re: Supuesto troyano
« Respuesta #6 en: 18 Junio 2011, 16:09 pm »

Hola

Yo no entiendo mucho de estos temas pero hace tiempo leí que las compañías que desarrollan software, juegos, etc pagan a las empresas de antivirus para que marquen los cracks/keygens como malware, no se si será cierto pero mira el resultado que te tira el Ikarus:

Citar
Ikarus - T3.1.1.104.0 - 2011.06.13 - not-a-virus.Crack

Saludos
En línea

Breakbeat como forma de vida
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Un supuesto vídeo erótico de Neymar sirve como gancho para difundir un troyano
Noticias
wolfbcn 0 872 Último mensaje 28 Enero 2014, 21:22 pm
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines