|
Título: ¿Por qué es detectada la aplicación? Publicado por: Gato Negro en 11 Febrero 2008, 21:47 pm No estoy seguro de si esto debe ir aquí o en seguridad. La cosa es que me aburria y me puse a programa un Fake del Windows Live Messenger para capturar las contraseñas (si, ya se que es un poco lammer, pero me parecía curioso y lo hice como reto personal para ver si conseguía hacerlo, y fue fácil ;D) y el kaspersky me lo detecta como IM-Worm y me gustaría saber que parte del código detecta como tal y por qué lo detecta como virus. ¿Cómo puedo averiguarlo?
Desde ya muchas gracias! Título: Re: ¿Por qué es detectada la aplicación? Publicado por: ~~ en 11 Febrero 2008, 22:52 pm Pues sin ver algo de codigo dificil q lo sepamos xD posilemente se autocopiará en el form load o se añadirá al reg o algo por el estilo.. pones el form load al menos ;)
Título: Re: ¿Por qué es detectada la aplicación? Publicado por: Gato Negro en 15 Febrero 2008, 13:22 pm El problema es que ya no tengo el código porque tuve que formatear y lo perdí, tan solo conservo el ejecutable.
El fake lo hice tomando imágenes del MSN original y lo único que hace es guardar en un archivo de texto lo que se escribe en los cuadros de texto de contraseña y cuenta, abre las páginas que aparecen en la parte de abajo del MSN original si se pulsa sobre ellas y cuando se intenta iniciar sesión muestra un mensaje de error, se cierra y abre el MSN original. Si hace falta algo mas trataré de reescribir el código y lo pongo, gracias! Título: Re: ¿Por qué es detectada la aplicación? Publicado por: juancho77 en 15 Febrero 2008, 18:17 pm jaja perdiste el codigo amigo? :rolleyes:
Título: Re: ¿Por qué es detectada la aplicación? Publicado por: Gato Negro en 15 Febrero 2008, 19:19 pm Así es :xD. Ya se que puede parecer que no he sido yo el que ha creado el Fake, pero que le vamos a hacer :xD. Lo hice bastante chapucero porque apenas sé programar en VB, estoy aprendiendo, y lo que hice fue tomar capturas de cada botón del MSN original por ej: botón iniciar sesión, botón iniciar sesión con el mouse encima (Evento MouseMove) y botón iniciar sesión pulsado (Evento MouseDown) y así con todos :xD.
Puedo volver a escribir el código, pero a parte de que es bastante laborioso por lo de tomar cada imágen y tal (no sé hacerlo aún de otra forma, que supongo que la habrá), no quiero el programa para nada y me parece una pérdida de tiempo. Respecto al tema principal, lo de por qué es detectada, ¿alguien tiene idea de por qué lo detecta como IM-Worm? ¿Puede ser porque el programa al "iniciar sesión" y saltar el mensaje de error, ejecuta el MSN original? De nuevo, muchas gracias por vuestra ayuda. Título: Re: ¿Por qué es detectada la aplicación? Publicado por: ~~ en 15 Febrero 2008, 19:33 pm Pues ni idea, por lo q dices q tiene no deberia ser detectado, por q lo unico q haces es guardar el contenido de 2 textbox en un archivo y luego ejecutar otro... eso no deberia ser detectado, a no ser q se lo hayas pasado a MUCHA gente y lo hayan usado mucho y los av's lo hayan detectado..
Título: Re: ¿Por qué es detectada la aplicación? Publicado por: Gato Negro en 15 Febrero 2008, 19:45 pm Tan solo se lo pasé a un amigo para comprobar si funcionaba bien, lo usó unas 5 veces y después lo eliminé. Podría ser ese el motivo, pero lo dudo porque lo usó eso, 5 veces y no lo detecto su AV (Nod32). Además el Nod32 no es el AV que lo detecta, el que lo detecta es el KIS7. ¿Puede ser porque guarda el contenido de un textbox que muestra asteriscos cuando se escribe en él?
EDITO: ¿Subo el programa para que lo veais? Ahora que lo pienso, ¿es posible que estando en el ordenador de mi amigo algun virus lo haya modificado y por eso ponga lo de IM-Worm? Título: Re: ¿Por qué es detectada la aplicación? Publicado por: ~~ en 15 Febrero 2008, 20:07 pm No, xD mira un ejemplo simple q no es detectado:
Código: Private Sub Command1_Click() Ala, eso es todo lo q hay q hacer, si el code es tan simple como eso no te lo deberian detectar ;) Si no podemos ver el code, pues no vamos a adivinar q le pasa xD Salu2 Título: Re: ¿Por qué es detectada la aplicación? Publicado por: juancho77 en 15 Febrero 2008, 20:10 pm IM-Worm significa Instant Messaging (o messenger) Worm, por lo que supongo que el comportamiento de software como el que vos creaste ya ha sido estudiado y clasificado. Es decir, Por ser una accion comun entre estos virus, te la bloquea y reconoce como IM-Worm. Hay mas, pero basicamente es eso.
Aca tenes informacion (ingles): http://www.wormblog.com/im_worms/ Y aca algo mas http://www.viruslist.com/sp/spam/analysis?pubid=189349406 Saludos Título: Re: ¿Por qué es detectada la aplicación? Publicado por: Gato Negro en 16 Febrero 2008, 20:56 pm Pero, ¿qué propiedad debe tener la aplicación para que sea detectada como IM-Worm?
El fake que yo he hecho no hace nada fuera de lo normal, tan solo guarda el contenido de 2 textbox, abre las páginas de la parte de abajo, ejecuta el MSN original al terminar con su cometido, y tiene un montón de imágenes del MSN para todos los botones :xD. Lo único que creo que puede hacer que sea detectado es lo de que ejecute el MSN original, ya que no modifica el registro ni hace nada, no se que podrá ser. Título: Re: ¿Por qué es detectada la aplicación? Publicado por: Eternal Idol en 16 Febrero 2008, 21:41 pm ¿Cuando lo detecta? ¿Al ejecutar o al scannear? Si es al ejecutar depura el programa y evita que haga ciertas acciones (como ejecutar el msn por ej.).
Título: Re: ¿Por qué es detectada la aplicación? Publicado por: Scratz en 17 Febrero 2008, 00:34 am Yo en su día también hice uno super chapucero con capturas del original. Formateé y cuando reinstalé el antivirus que me puse (no recuerdo cual era) me lo detectaba como MSN Fake. Pero yo supongo que sería por el nombre del archivo.
Título: Re: ¿Por qué es detectada la aplicación? Publicado por: Gato Negro en 18 Febrero 2008, 16:25 pm ¿Cuando lo detecta? ¿Al ejecutar o al scannear? Si es al ejecutar depura el programa y evita que haga ciertas acciones (como ejecutar el msn por ej.). Lo detecta simplemente abriendo la carpeta en la que está el programa, no hace falta ni que lo escanee :xDYo en su día también hice uno super chapucero con capturas del original. Formateé y cuando reinstalé el antivirus que me puse (no recuerdo cual era) me lo detectaba como MSN Fake. Pero yo supongo que sería por el nombre del archivo. El mío se llama MSNFake.exe y he probado a ponerle otro nombre pero lo detecta igualmente. Título: Re: ¿Por qué es detectada la aplicación? Publicado por: Eternal Idol en 18 Febrero 2008, 16:57 pm Lo detecta simplemente abriendo la carpeta en la que está el programa, no hace falta ni que lo escanee :xD El mío se llama MSNFake.exe y he probado a ponerle otro nombre pero lo detecta igualmente. Entonces seguramente sea un analisis estatico, puede que tengas dentro las cadenas "fake" y "msn" - en los recursos de version por ejemplo - ;D Trata de reproducir el programa, agregando de una en una sus funcionalidades hasta que lo detecte ... |