Título: Puede el antivirus detectar como virus algo que no lo es? Publicado por: CatomartineZ en 29 Mayo 2010, 23:05 pm Hola, he estado leyendo mucho a cerca de liberar moviles, flashearlos, etc y por ello me he descargado un curso de telefonia movil. La cuestion es que le he pasado el AVG para ver si esta "sano" y me ha encontrado un monton de infecciones, de hecho me indica como que son "Troyanos Generic, blablabla" y "objetos potencialmente dañinos". Pero la cosa es que he leido que en lo que esta relacionado a este tipo de cuestiones los antivirus lo detectan como "amenazas" cuando en realidad no lo son (de hecho me paso antes con un soft para liberar moviles que instale y me saltaba el AVG, pero segun me informé eso pasa porque a las compañias de telecomunicaciones no les conviene y lo reportan a las compañias de antivirus como "sofware ilegal", por lo cual lo desactive y en realidad no era nada peligroso. En fin mi pregunta es si estas cosas realmente pasan, si será que mi curso esta realmente infectado o que el antivirus me lo presenta como amenaza porque asi funcionan las cosas en este mundo?...
Entenderia que no puedan responder honestamente a mi pregunta porque talvez se comprometan las normas del foro, pero agradeceria si alguien me contesta a mi dir de correo electronico, eso si, espero respuestas sinceras, si no, prefiero no obtener ninguna. Gracias. Título: Re: Puede el antivirus detectar como virus algo que no lo es? Publicado por: winroot en 29 Mayo 2010, 23:28 pm se llaman falsos positibos, es similar con lo que ocurre con algunos cracks/keygens.
la única manera de saber si es malware o no, es analisando la muestra. si puedes manda el archivo a mu o rapidshare, y pon el link aquí. saludos! Título: Re: Puede el antivirus detectar como virus algo que no lo es? Publicado por: SpuTniK. en 30 Mayo 2010, 12:09 pm Un ejemplo de falso positivo muy conocido, y que se usa para ver si tu AV funciona es la prueba Eicar
Citar http://como-hacer.wikia.com/wiki/Como_hacer_la_prueba_EICAR Saludos! Título: Re: Puede el antivirus detectar como virus algo que no lo es? Publicado por: CatomartineZ en 30 Mayo 2010, 14:33 pm Vale!, muchas gracias por sus respuestas, ;-) aqui esta el link para bajarlo del mu, a mi lo que me detecto el AVG fue todo del modulo 5
http://www.megaupload.com/?d=P7NOTCST agradeceria si pudieras analizar la muestra, como has dicho winroot o que me explicaras como hacerlo yo. Saludos, y espero sus respuestas! Título: Re: Puede el antivirus detectar como virus algo que no lo es? Publicado por: winroot en 30 Mayo 2010, 14:55 pm Vale!, muchas gracias por sus respuestas, ;-) aqui esta el link para bajarlo del mu, a mi lo que me detecto el AVG fue todo del modulo 5 DESCARGANDO !http://www.megaupload.com/?d=P7NOTCST agradeceria si pudieras analizar la muestra, como has dicho winroot o que me explicaras como hacerlo yo. Saludos, y espero sus respuestas! :P EN MEDIA HORA POSTEO EL ANÁLISIS. SALUDOS! edito: no sabía que eran 600 mb, la descarga me demora como 1 h y media, asique en 2 horas mas o menos :huh: saludos! Título: Re: Puede el antivirus detectar como virus algo que no lo es? Publicado por: SpuTniK. en 30 Mayo 2010, 16:03 pm Sube el archivo a No Virus Thanks o a Virus Total, hay te sale según los AV's más conocidos del mercado te dirán si es un virus o no
Saludos! Título: Re: Puede el antivirus detectar como virus algo que no lo es? Publicado por: winroot en 30 Mayo 2010, 16:09 pm me podrías decir cuales son los archivos que detecta el antivirus?
es que son mas de 100 ejecutables y librerías dinámicas, y si me pongo a analisar todo termino en octubre :D decime cuales son los archivos sospechosos, y los analiso. saludos! Título: Re: Puede el antivirus detectar como virus algo que no lo es? Publicado por: CatomartineZ en 30 Mayo 2010, 17:29 pm Mira, todas las infecciones que encuentra estan en:
Celus\Autoplay\Docs\Modulo 5\Programas, Cables y Bases de Datos son 15 en total y aqui te las especifico: 1)Unlok_t110.zip:\altrium.exe 2)Unlok_t110.zip 3)siemens_a55_unloker.zip:\Siemens_a55_unloker.exe 4)siemens_a55_unloker.zip 5)samsung_unloker_by_cerberos_v1.5.zip\samsung_unloker_by_cerberos_v1.5.exe 6)samsung_unloker_by_cerberos_v1.5.zip 7)philips_savvy_universal_tools_v2.0_by_ghost.zip:\Philips_savvy_universal_tools_v2.0_by_ghost\philips_savvy_universal_tool 8)philips_savvy_universal_tools_v2.0_by_ghost.zip:\Philips_savvy_universal_tools_v2.0_by_ghost\philips_savvy_universal_tool 9)philips_savvy_universal_tools_v2.0_by_ghost.zip 10) philips_ozeo_xenium_unloker.zip:\Philips_ozeo_xenium_unloker\philips_ozeo_xenium_unloker.zip:\Xenium & Ozeo Unloker b 11) philips_ozeo_xenium_unloker.zip:\Philips_ozeo_xenium_unloker\philips_ozeo_xenium_unloker.zip:\Xenium & Ozeo Unloker b 12)philips_ozeo_xenium_unloker.zip:\Philips_ozeo_xenium_unloker\philips_ozeo_xenium_unloker.zip 13)philips_ozeo_xenium_unloker.zip 14)Oxygen_Phone_Manager_Symbian_Official_Register_v2.0.1.zip:\Oxygen_Phone_Manager_Symbian_Official_Register_v2.0.1\SymbianO 15)Oxygen_Phone_Manager_Symbian_Official_Register_v2.0.1.zip Veras que el 7 con 8 y el 10 con el 11 son iguales, pero asi me lo pone el antivirus. Ademas encuentra como Spyware 2 mas: Tambien en Celus\Autoplay\Docs\Modulo 5\Programas, Cables y Bases de Datos: 1)div62cracked.zip:\DIV62cracked\DIV62_ok.exe 2)div62cracked.zip Y tres advertencias, tambien en Celus\Autoplay\Docs\Modulo 5\Programas, Cables y Bases de Datos: 1)philips_savvy_and_ozeo_by_martech.zip:\Philips_savvy_and_ozeo_by_martech\philips_savvy_and_ozeo_by_martech.zip:\Savvy.exe 2)philips_savvy_and_ozeo_by_martech.zip:\Philips_savvy_and_ozeo_by_martech\philips_savvy_and_ozeo_by_martech.zip 3)philips_savvy_and_ozeo_by_martech.zip Bueno, eso es todo, saludos y aqui espero... Título: Re: Puede el antivirus detectar como virus algo que no lo es? Publicado por: winroot en 30 Mayo 2010, 18:04 pm Mira, todas las infecciones que encuentra estan en: gracias, ahora me pongo a analisar :PCelus\Autoplay\Docs\Modulo 5\Programas, Cables y Bases de Datos son 15 en total y aqui te las especifico: 1)Unlok_t110.zip:\altrium.exe 2)Unlok_t110.zip 3)siemens_a55_unloker.zip:\Siemens_a55_unloker.exe 4)siemens_a55_unloker.zip 5)samsung_unloker_by_cerberos_v1.5.zip\samsung_unloker_by_cerberos_v1.5.exe 6)samsung_unloker_by_cerberos_v1.5.zip 7)philips_savvy_universal_tools_v2.0_by_ghost.zip:\Philips_savvy_universal_tools_v2.0_by_ghost\philips_savvy_universal_tool 8)philips_savvy_universal_tools_v2.0_by_ghost.zip:\Philips_savvy_universal_tools_v2.0_by_ghost\philips_savvy_universal_tool 9)philips_savvy_universal_tools_v2.0_by_ghost.zip 10) philips_ozeo_xenium_unloker.zip:\Philips_ozeo_xenium_unloker\philips_ozeo_xenium_unloker.zip:\Xenium & Ozeo Unloker b 11) philips_ozeo_xenium_unloker.zip:\Philips_ozeo_xenium_unloker\philips_ozeo_xenium_unloker.zip:\Xenium & Ozeo Unloker b 12)philips_ozeo_xenium_unloker.zip:\Philips_ozeo_xenium_unloker\philips_ozeo_xenium_unloker.zip 13)philips_ozeo_xenium_unloker.zip 14)Oxygen_Phone_Manager_Symbian_Official_Register_v2.0.1.zip:\Oxygen_Phone_Manager_Symbian_Official_Register_v2.0.1\SymbianO 15)Oxygen_Phone_Manager_Symbian_Official_Register_v2.0.1.zip Veras que el 7 con 8 y el 10 con el 11 son iguales, pero asi me lo pone el antivirus. Ademas encuentra como Spyware 2 mas: Tambien en Celus\Autoplay\Docs\Modulo 5\Programas, Cables y Bases de Datos: 1)div62cracked.zip:\DIV62cracked\DIV62_ok.exe 2)div62cracked.zip Y tres advertencias, tambien en Celus\Autoplay\Docs\Modulo 5\Programas, Cables y Bases de Datos: 1)philips_savvy_and_ozeo_by_martech.zip:\Philips_savvy_and_ozeo_by_martech\philips_savvy_and_ozeo_by_martech.zip:\Savvy.exe 2)philips_savvy_and_ozeo_by_martech.zip:\Philips_savvy_and_ozeo_by_martech\philips_savvy_and_ozeo_by_martech.zip 3)philips_savvy_and_ozeo_by_martech.zip Bueno, eso es todo, saludos y aqui espero... saludos! Título: Re: Puede el antivirus detectar como virus algo que no lo es? Publicado por: winroot en 30 Mayo 2010, 18:59 pm estoy terminando de montar el lab
sacando los ejecutables, hay un archivo llamado < regkey.key, que no es un archivo de registro normal. lo que me preocupa es que virustotal, ningun av detecta nada raro... me imagino que es un archivo que lo usa la aplicación alltrium.exe. pongo el contenido del archivo: Código: vqRo4+eSt1lK7s/b8XMFWNLbKEQD1fDftzVWQkplHK6+OcXwFXNISsgC6fmZSIbh/tntTX3FOhvPxqYAjKmJTKaG4OQxoPUXbMGZlHFc8Vth/7FAnEMKZjs1/Vq9Rj5c/Y28/Y9evGKn4s8TGgfY1jJxsV8mNT0DigYzjboGszTT5tXNyMNapLQYHyUi7uP1ujqUUoHHOws5OwO+IkfgS0vIZkh+XBBdQL2YrR9eRoWKvScMr0O+/8UUjHBXn3JJeKyGaUf9gkOrA+Pw38Efb0JGT5MTOAVHo6dBwaQzIb9w/AicR34siK3AEsygXhFpHDmDVUSe4LxammbzjPaVBw saludos! Título: Re: Puede el antivirus detectar como virus algo que no lo es? Publicado por: CatomartineZ en 30 Mayo 2010, 19:32 pm Ok! Gracias, espero a ver q me decis!
Saludos! Título: Re: Puede el antivirus detectar como virus algo que no lo es? Publicado por: winroot en 30 Mayo 2010, 20:59 pm primero que nada, te pido disculpas, pero me acaba de llegar un mail de un profesor, y tengo que hacer tarea para mañana.
el problema, es que luego en toda la semana no tengo tiempo, asique disculpas nuevamente. de todos modos, dejo un link con el laboratorio, por si alguien quiere ayudar. son solo 15mb. contiene *los zips sospechosos * los mismos descomprimidos en carpetas de su mismo nombre pero en la carpeta llamada ext. *logs esta carpeta contiene una lista de archivos exes, todos los zips y los descomprimidos. *tools contiene el process monitor, process explorer, reg sot y cur ports. lista.txt conteine la lista de ficheros sospechosos dentro de los mismos zips. lo único que hay que hacer es usar el regsot, con el curport en una pc virtual. disculpas y saludos! Título: Re: Puede el antivirus detectar como virus algo que no lo es? Publicado por: winroot en 30 Mayo 2010, 21:01 pm primero que nada, te pido disculpas, pero me acaba de llegar un mail de un profesor, y tengo que hacer tarea para mañana.
el problema, es que luego en toda la semana no tengo tiempo, asique disculpas nuevamente. de todos modos, dejo un link con el laboratorio, por si alguien quiere ayudar. son solo 15mb. contiene *los zips sospechosos * los mismos descomprimidos en carpetas de su mismo nombre pero en la carpeta llamada ext. *logs esta carpeta contiene una lista de archivos exes, todos los zips y los descomprimidos. *tools contiene el process monitor, process explorer, reg sot y cur ports. lista.txt conteine la lista de ficheros sospechosos dentro de los mismos zips. lo único que hay que hacer es usar el regsot, con el curport en una pc virtual. disculpas y saludos! link: http://rapidshare.com/files/393367096/lab.rar.html Título: Re: Puede el antivirus detectar como virus algo que no lo es? Publicado por: CatomartineZ en 31 Mayo 2010, 11:41 am Ok, gracias de tdas maneras, a ver que puedo hacer yo, y si no tendre q molstart el finde q viene,jaja.
Gracias, un saludo ;D Título: Re: Puede el antivirus detectar como virus algo que no lo es? Publicado por: winroot en 1 Junio 2010, 01:04 am Ok, gracias de tdas maneras, a ver que puedo hacer yo, y si no tendre q molstart el finde q viene,jaja. denada, puedes leer un tutorial sobre analisis de malware de manera dinámica.Gracias, un saludo ;D lo unico que hay que tener es un pc virtual como virtualbox, un sistema operativo para instalar en la pc virtual y las tools que puse. saludos y suerte! Título: Re: Puede el antivirus detectar como virus algo que no lo es? Publicado por: CatomartineZ en 2 Junio 2010, 11:45 am :o Bueno, la verdad no tenia ni idea de que existia todo eso, pero me puse a investigar y a leer y ya me puede la curiosidad, asiq tendre q intentarlo, a ver q puedo hacer
Gracias y saludos!!! |